ESIREM - Infotronique 1 ITC7-2. Systèmes et réseaux
|
|
|
- Lionel Guérard
- il y a 10 ans
- Total affichages :
Transcription
1 ESIREM - Infotronique 1 ITC7-2 Systèmes et réseaux Département IEM / UB [email protected] Bureau G212 Aile des Sciences de l Ingénieur Mise-à-jour : décembre 2006 (Département IEM / UB) Organisation 1 / 1
2 Plan du cours Objectifs : être capable de mettre en place une architecture de réseau et de service pour une PMI/PME appréhender les problématiques de gestion des applications d infrastructure support des systèmes d information Principaux chapitres : 1. Modèles client/serveur, principaux protocoles, architectures distribuées 2. Adressage IP et routage (configuration) 3. Filtrage 4. Installation d applications 5. La gestion des services réseau sous UNIX 6. Les principaux services : SSH, DHCP, NIS, NFS, Bind, sendmail 7. Les services pour les Systèmes d information 8. Processus de démarrage du système d exploitation (Département IEM / UB) Organisation 2 / 1
3 Bibliographie Les Bases de l administration système - Aelen Frisch - O Reilly pp. Unix, guide de l administrateur - Evi Nemeth, Garth Snyder, Scott Seebass, Trent R. Hein - CampusPress pp. TCP/IP : Administration de réseau, 3e édition - Craig Hunt O Reilly pp. Linux Security Cookbook - Daniel J. Barrett, Richard E. Silverman, Robert G. Byrnes - O Reilly 2003 Administration réseau sous Linux - Olaf Kirch, et al - O Reilly nouvelle édition? Le Système Linux - Matt Welsh, Matthias Kalle Dalheimer, Terry Dawson, Lar Kaufman - O Reilly 2003 (Département IEM / UB) Organisation 3 / 1
4 Interactions C/S Définitions Les trois modes principaux Définition (Client serveur de données) le modèle C/S de données regroupe les protocoles qui ont pour objectif le transfert de données Définition (Client serveur d affichage) le modèle C/S de d affichage regroupe les protocoles qui ont pour objectif de permettre la prise de contrôle à distance Définition (Client de procédures) le modèle C/S de procédures regroupe les protocoles qui ont pour objectif l exécution à distance (Département IEM / UB) Organisation 4 / 1
5 Interactions C/S Définitions Les trois modes principaux Serveur Serveur Serveur Envoi d un requete Appel de procédure et envoi des paramètres Envoi des résultats Evénement clavier/souris Primitives Graphiques Images bitmap Envoi des résultats Client Client/Serveur de données Client Client/Serveur de procédures Client Client/Serveur d affichage Processus Données (Département IEM / UB) Organisation 5 / 1
6 Interactions C/S Exemples Protocole réseau et mode client serveur Client serveur de données : SMB, FTP, NFS, JDBC, ODBC, POP etc. Client serveur d affichage : TELNET, SSH, X11, ICA, VNC, RDP, etc. Client serveur de procédure : RPC, Java-RMI (JRMP), CORBA-IIOP Remarque : être capable d identifier clairement la différence entre partage et transfert de fichiers Exercice : 1. Définir chaque protocole 2. Déterminer où sont exécutés les processus utilisateur et serveur dans le cas d une connexion : SSH, TELNET, FTP, SMB, NFS, JDBC, IMAP. Faire un schéma pour chaque cas. (Département IEM / UB) Organisation 6 / 1
7 Architecture ED Architectures type Architectures type Systèmes distribués : coopération de systèmes sans objectif figé Systèmes fédérés : coopération de systèmes avec un objectif commun (exemple : bases de données fédérées) Cluster : grappe de machines homogènes localisées (disponibilité, répartition de charge, partage de ressources) Grid : infrastructure constituée d un ensemble coordonné de ressources potentiellement partagées, distribuées, hétérogènes et sans administration centralisée (ressources non contrôlées). Exemple : grille de calcul, grille de stockage (Département IEM / UB) Organisation 7 / 1
8 Architecture ED Système d Information Notion de Système d Information Définition (Système d information) ensemble organisé de ressources matérielles et logicielles permettant d acquérir, de stocker, de manipuler et de communiquer des informations (textes, images, sons, etc.) dans des organisations. Selon leur finalité principale, on distingue différents types de SI : des systèmes d information supports d opérations : traitement de transactions, contrôle de processus industriels, supports d opérations de communication des systèmes d information supports de gestion : aide à la décision, gestion de la relation client (Département IEM / UB) Organisation 8 / 1
9 Architecture ED Système d Information Exemple de systèmes d informations ERP - Enterprise Resource Planning (PGI pour progiciel de gestion intégré) solution logicielle qui intègre tous les composants informatisés permettant d aider le travail dans l entreprise ; CRM - Customer Relationship Management (GRC gestion de la relation client) : logiciel qui regroupe toutes les fonctions permettant de gérer les relations avec les clients d une entreprise ; SCM - Supply Chain Management : logiciel qui regroupe toutes les fonctions permettant les fournisseurs et la logistique d une entreprise. (Département IEM / UB) Organisation 9 / 1
10 Architecture ED Système d Information Intergiciel / Middleware Définition un middleware (intergiciel) désigne un ensemble de logiciels se plaçant au dessus du système d exploitation et servant d intermédiaire entre les différents composant logiciels d un SI. On utilise généralement du middleware comme intermédiaire de communication entre des applications distribuées (programmes applicatifs, BD, capteurs etc.). Exemples : CORBA, JAVA-RMI sont des middleware orienté traitement permettant l appel de méthodes à distance, JBDC est un middleware orienté données. (Département IEM / UB) Organisation 10 / 1
11 Architecture ED Infrastructure de SI Exemple d infrastructure de SI pour le support des applications SGBD SGBD SGBD Serveur WEB APACHE Filtrage ipfilter/netfilter + L7 Filtrage ORACLE / PostgreSQL / MySQL Transactions / Sessions d applications Serveur TOMCAT/JONAS Partenaire SOAP JSP/PHP HTML/CSS/XML/XSLT JMS/RMI/CORBA SOAP XML JDBC/JDO/OJB Middleware Remarque : ajouter messagerie, service de fichier etc. pour d approcher des éléments d un SI (Département IEM / UB) Organisation 11 / 1
12 Le couplage des systèmes Notion de couplage Définition le couplage est une mesure traduisant les dépendances entre composants logiciels ou matériels. Le couplage peut se situer à différents niveaux dans le SI : modélisation programmation (technique intrusive) stockage (format de stockage) transport (format de transmission) services réseau : éléments clé de l infrastructure du SI rightarrow influence la disponibilité (Département IEM / UB) Organisation 12 / 1
13 Le couplage des systèmes Le couplage et les propriétés des infrastructures Le couplage est un frein à : l évolutivité ; la scalability (tenue à la charge, passage à l échelle) ; la disponibilité. On parle d architecture : fortement couplée pour désigner des systèmes centralisé ou fédéré faiblement couplée pour désigner des systèmes distribués. Exercice : Quel type d architecture peut qualifier cluster et grid? (Département IEM / UB) Organisation 13 / 1
14 Le couplage des systèmes Comment assurer les propriétés évolutivité : essentiellement liée à la qualité du logiciel, assurer une indépendance entre les traitements métier et les technologies utilisées pour véhiculer les informations, utiliser des protocoles et des formats normalisés ou standards la scalability : peut être assurée par une indépendance à la localisation des traitements et des données (équilibrage de charge). la disponibilité : nécessite une redondance et donc une transparence (ou indépendance) à la localisation. Elle décroît inversement au couplage. (Département IEM / UB) Organisation 14 / 1
15 Le couplage des systèmes Gestion des accès et des protection des flux Une des problématiques majeure des systèmes distribués est le contrôle d accès aux ressources (traitement et données). Pour résoudre cette problématique trois concepts fondamentaux sont mis en œuvre : l authentification (identifier une personne ou une machine) : niveau application et système les autorisations (accès aux ressources, aux fonctionnalités) : niveau application le chiffrage des échanges la traçabilité des opérations (application) (Département IEM / UB) Organisation 15 / 1
16 Offre logiciels Évolution de l offre logiciels PostgreSQL MySQL SGBD JONAS, JBOSS, GERONIMO Serveur d application CORBA, SOAP, JRMP, JMS Intergiciels SAMBA, Apache, SQUID, TOMCAT, etc. DNS BIND, DHCP, IMAP, POP, LDAP, SMTP Sendmail NIS, NFS, FTP, SSL, SSH Linux, FreeBSD, NetBSD, OpenBSD, GNU HURD etc. Infrastructure applicative Infrastructure Réseau Système d exploitation IA32, IA64, PPC, SPARC, PA RISC etc. CPU (Département IEM / UB) Organisation 16 / 1
17 Principes fondamentaux de TCP/IP TCP/IP et modèle OSI TCP/IP est suite des protocoles organisés en pile et utilisés par Internet. Le deux protocoles d origine sont (RFC 1122) : TCP (Transmission Control Protocol) IP (Internet Protocol) Le modèle OSI (Open Systems Interconnection) est une vue conceptuelle des protocoles réseau définie par l ISO. Il propose une décomposition des différents protocoles en 7 couches correspondant reflétant les différents niveaux d abstraction des protocoles. (Département IEM / UB) Organisation 17 / 1
18 Principes fondamentaux de TCP/IP Notion de couches Notion de couches Le principe du modèle OSI repose sur le concept d abstration : chaque couche résout un certain nombre de problèmes relatifs à la transmission de données chaque couche defini des services pour les couches supérieures les couches hautes gèrent des données plus abstraites (proche de l utilisateur), en utilisant les services des couches basses la couche 1 émet les données sur le medium physique (Département IEM / UB) Organisation 18 / 1
19 Principes fondamentaux de TCP/IP Notion de couches Les sept couches 1. la couche physique est chargée de la transmission des signaux entre les interlocuteurs c-à-d l émission et la réception d un bit ou d une suite de bits ; 2. la couche liaison de données gère les communications entre 2 machines adjacentes ; 3. la couche réseau gère les communications de bout en bout, généralement entre machines routage et adressage des paquets ; 4. la couche transport gère les communications de bout en bout entre processus du système d exploitation ; 5. la couche session gère la synchronisation des échanges : permet l ouverture et la fermeture de session ; 6. la couche présentation traite du codage des données applicatives (conversion entre données manipulées au niveau applicatif et suites d octets transmises) ; 7. la couche application est le point d accès aux services réseaux, elle n a pas de service propre spécifié dans le modèle. (Département IEM / UB) Organisation 19 / 1
20 Principes fondamentaux de TCP/IP Les couches du modèle OSI et TCP/IP Les couches du modèle OSI (norme complète référence ISO 7498) (Département IEM / UB) Organisation 20 / 1
21 Principes fondamentaux de TCP/IP Les couches du modèle OSI et TCP/IP Les couches du modèle OSI Couches du modèles OSI et couches éléments de la pile de protocoles TCP/IP : (Département IEM / UB) Organisation 21 / 1
22 Principes fondamentaux de TCP/IP Les protocoles importants de la famille TCP/IP Les protocoles importants de la famille TCP/IP Définition (ARP) Le protocole de résolution d adresse (Adress Resoltion Protocol) spécifie comment déterminer l adresse physique (MAC) correspondant à une adresse IP. Il fonctionne au niveau de la couche d accès reseau. La commande arp des SE Unix et Windows permet de manipuler la table de correspondances adresses MAC, adresses IP. Définition (IP) Le protocole IP gère la transmission le routage, la fragmentation et le réassemblage des données au niveau de la couche Internet. (Département IEM / UB) Organisation 22 / 1
23 Principes fondamentaux de TCP/IP Les protocoles importants de la famille TCP/IP Les protocoles importants de la famille TCP/IP Définition (TCP) Le protocole TCP apporte la gestion des session de communication entre application (c-à-d sur un réseau fiable). Il propose un contrôle de flux, la détection et la correction des erreurs au niveau de la couche transport. Définition (UDP) Le protcole UDP (User Datagram Protocol) suuporte les communications entre applications sans connexion au niveau de la couche transport. Les données transmisses ne sont pas contrôlées c est à l application de faire les contrôles. (Département IEM / UB) Organisation 23 / 1
24 Principes fondamentaux de TCP/IP Les protocoles importants de la famille TCP/IP Exemple de datagramme IP < bits > <-4b-> <--8bits--->< bits > Ver IHL TOS Longueur totale Identificateur Fl FO TTL Protocole Somme de ctrl (entête) Adresse Source Adresse Destination Options Données (Département IEM / UB) Organisation 24 / 1
25 Principes fondamentaux de TCP/IP Les protocoles importants de la famille TCP/IP Structure de segment TCP < bits > <-4b-> <-6bits->< bits > Port Source Port Destination Numéro de Séquence Numéro d Acquittement THL Flag Taille Fenêtre Somme de ctrl (message) Pointeur d Urgence Options Données (Département IEM / UB) Organisation 25 / 1
26 Principes fondamentaux de TCP/IP Les protocoles importants de la famille TCP/IP Structure de datagramme UDP < bits > Port Source Port Destination Longueur UDP Somme de ctrl (message) Données (Département IEM / UB) Organisation 26 / 1
27 Adressage Codage des adresses Adressage le protocole TCP/IP utilise des nombres de 32 bits pour adresser les machines (adresse IP) les adresses sont structurées sous la forme de 4 nombres entre 0 à 255 séparès par des points (4 8 bits) on distingue deux parties dans l adresse IP : la partie des nombres à gauche désigne le réseau (on l appelle net-id) la partie des nombres de droite restants désignent les ordinateurs du réseau détermine par net-id (on l appelle host-id) IANA (Internet Assigned Numbers Agency) est chargée d attribuer ces adresses il ne doit pas exister deux ordinateurs joignables sur le réseau ayant la même adresse IP (Département IEM / UB) Organisation 27 / 1
28 Adressage Division en classes Adressage (notion de classe) Définition (classe) Une classe est une subdivision de l espace d adressage l espace d adressage est divisé en une partie pour désigner un réseau et une partie pour les machines de ce réseau (host-id et net-id) plus le nombre de bits réservé au réseau est petit, plus ceux-ci peuvent contenir d ordinateurs Exemple : un réseau noté XYZ peut contenir des ordinateurs dont l adresse IP peut aller de XYZ à XYZ ( = possibilités) (Département IEM / UB) Organisation 28 / 1
29 Adressage Classes d adresse particulières Adressage (adresses particulières) Exemple : un réseau noté XYZ.TUV ne pourra contenir que des ordinateurs dont l adresse IP sera comprise entre XYZ.TUV.0.1 et XYZ.TUV ( =65534 possibilités) Lorsque la partie host-id =0 (lorsque l on remplace les bits réservés aux machines du réseau), on obtient l adresse réseau Exemple : est une adresse réseau on ne peut donc pas l attribuer à un des ordinateurs du réseau Lorsque la partie net-id=0, c est-à-dire lorsque l on remplace les bits réservés au réseau, on obtient ce que l on appelle l adresse machine (dans le réseau). (Département IEM / UB) Organisation 29 / 1
30 Adressage Classes d adresse particulières Adressage (Adresses particulières) Lorsque tous les bits de la partie host-id sont à 1, on obtient l adresse de diffusion (en anglais broadcast), c est-à-dire une adresse qui permettra d envoyer le message à toutes les machines situées sur le réseau spécifié par le net-id. Lorsque tous les bits de la partie net-id sont à 1, on obtient l adresse de diffusion limitée (multicast). L adresse est appelée adresse de boucle locale (loopback) : désigne la machine locale (localhost). (Département IEM / UB) Organisation 30 / 1
31 Adressage Classes d adresses Adressage Classe A Les adresses IP sont réparties en classes définies selon le nombre d octets qui représentent le réseau. Pour une adresse IP de classe A : le premier octet représente le réseau. Le bit de poids fort (le premier bit, celui de gauche) est à zéro, ce qui signifie qu il y a 2 7 ( à ) possibilités de réseaux, soit 128 mais : le réseau 0 ( ) n existe pas et le nombre 127 est réservé pour la machine locale Les réseaux de classe A disponibles sont donc les réseaux allant de à Les trois octets de droite représentant les machines du réseaux, un réseau de classe A peut donc contenir : = ordinateurs. (Département IEM / UB) Organisation 31 / 1
32 Adressage Classes d adresses Adressage Classe B Pour une adresse IP de classe B : les deux premiers octets représentent le réseau. Les deux premiers bits sont 1 et 0, ce qui signifie qu il y a 2 14 ( à ) possibilités de réseaux, soit réseaux possibles. Les réseaux disponibles de classe B sont donc les réseaux allant de à Les deux octets de droite représentant les machines du réseau, le réseau peut donc contenir un nombre de machines égal à : = En binaire, une adresse IP de classe B, a la forme suivante : 10xxxxxx xxxxxxxx xxxxxxxx xxxxxxxx (Département IEM / UB) Organisation 32 / 1
33 Adressage Classes d adresses Adressage Classe C Pour une adresse IP de classe C : les trois premiers octets représentent le réseau. Les trois premiers bits sont 1,1 et 0, ce qui signifie qu il y a 2 21 possibilités de réseaux, c est-à-dire Les réseaux disponibles de classe C sont donc les réseaux allant de à L octet de droite représente les ordinateurs du réseau, le réseau peut donc contenir un nombre de machines égal à : = 254. En binaire, une adresse IP de classe B, a la forme suivante : 110 xxxxx xxxxxxxx xxxxxxxx xxxxxxxx (Département IEM / UB) Organisation 33 / 1
34 Adressage Classes d adresses Masque de sous-réseau Définition (Masque de sous-réseau) Le masque réseau (netmask) est une suite 32 bits présentée généralement sous la forme de 4 octets séparés par des points (comme une adresse IP) dont un certain nombre de bits de poids fort consécutifs sont à 1 et qui sert à délimiter la portion réservée au net-id et celle réservée au host-id On fabrique un masque en plaçant des 1 aux emplacements des bits que l on désire conserver, et des 0 pour ceux que l on veut annuler. Une fois ce masque défini faire un ET logique entre une valeur et le masque afin de garder intacte la partie que l on souhaite et annuler le reste. Un masque de sous-réseau est de permet d identifier simplement le réseau associé à une adresse IP. (Département IEM / UB) Organisation 34 / 1
35 Adressage Classes d adresses Masques des classes usuelles Classe binaire décimal classe A classe B classe C (Département IEM / UB) Organisation 35 / 1
36 Adressage Classes d adresses Découpage des réseaux Il est possible d étendre le masque d une adresse de classe donnée ceci permet de décomposer un réseau donné en sous-réseau : subneting Exemple : subnet d une classe A définie par le masque c-à-d Ce qui donne pour la classe A 38, 4 sous-réseaux : les deux premiers bits du deuxième octet sont 00, le réseau est les deux premiers bits du deuxième octet sont 01, le réseau est les deux premiers bits du deuxième octet sont 10, le réseau est les deux premiers bits du deuxième octet sont 11, le réseau est (Département IEM / UB) Organisation 36 / 1
37 Adressage Classes d adresses Classes d adresses pour les réseaux privés Définies dans la RFC 1918 Utilisées lors de la mise en œuvre d un mécanisme de translation d adresse Classe de jusqu à CIDR classe A /8 classe B /12 classe C /16 Les réseau sont donnés dans la notation CIDR (Classless Inter-Domain Routing) (Département IEM / UB) Organisation 37 / 1
38 Routage La liaison de données sur Ethernet Préambule Destination : adresse Ethernet de destination Source : adresse Ethernet source de la trame Type : type de données transportées Données : taille maximum 1500 octets. Les données sont complétées par des octets de bourrage pour avoir une taille minimum de 46 octets CRC : somme de contrôle sur la trame Les adresses Ethernet sont composées de 8 octets et sont habituellement notées en hexadécimal sous la forme 12 :34 :56 :78 :9a :bc. Les 3 premiers octets de l adresse sont fixes pour un constructeur et les 3 derniers servent à assurer l unicité. (Département IEM / UB) Organisation 38 / 1
39 Routage Princpe du routage La communication entre machines ne peut avoir lieu que lorsque celles-ci connaissent leurs adresses physiques (MAC). Pour envoyer des paquets IP vers les autres noeuds du réseau, un noeud qui utilise TCP/IP traduit les adresses IP de destination en adresses MAC. Quand une machine cherche l adresse physique correspondant à l adresse IP qu il connaît, le protocole ARP se met en œuvre : 1. broadcast sur le réseau en demandant à qui correspond l adresse IP à résoudre (paquet ARP qui contient l adresse IP du destinataire) ; 2. les machines du réseau comparent l adresse demandée à leur adresse et le noeud correspondant renvoie son adresse physique au noeud qui a émis la requête ; 3. stockage de l adresse physique lorsque le destinataire répond dans le cache ARP de la machine (Département IEM / UB) Organisation 39 / 1
40 Routage Principe du routage Lorsque le noeud envoie un autre paquet IP, il cherche l adresse IP dans son cache. S il la trouve, il utilise alors l adresse physique correspondante pour son paquet. Le noeud diffuse une requête ARP seulement s il ne trouve pas l adresse IP dans son cache. Problématique des réseaux à diffusion : nombres de machines (saturation du réseau) segmentation des zones par catégories de service (impossible) comment savoir si une adresse est sur le réseau a diffusion? Équipement de couche 2 et 3. (Département IEM / UB) Organisation 40 / 1
41 Routage Le routage Processus permettant de rediriger les packets vers leur destination Algorithme fonctionnant de proche en proche (autres méthodes?) Utilisation de règles de routage : pour rejoindre le réseau R envoyer les packets à la machine M Il est possible de définir une seule route par défaut Les informations de routage sont stockées dans une table de routage au niveau des données du noyau S il n y a pas de route le SE retourne un message ICMP "network unreachable" (à l envoyeur) (Département IEM / UB) Organisation 41 / 1
42 Routage Table de routage : visualisation Pour afficher la table de routage, on utilise la commande netstat -r sur SysV ou route get sur BSD Exemple : ufrsciencestech: netstat -r -n Kernel IP routing table Destination Gateway Genmask Flags MSS Window irtt Iface U eth U eth UG eth0 depinfo: netstat -rn Routing Table: IPv4 Destination Gateway Flags Ref Use Interface U hme U hme UG U 1 0 hme0 default UG UH lo0 (Département IEM / UB) Organisation 42 / 1
43 Routage Table de routage : exemple Exemple : # route Table de routage IP du noyau Destination Gateway Genmask Indic Metric Ref Use Iface U eth UH eth2 loopback * U lo default UG eth1 ligne 1 : les paquets destinés au réseau seront envoyés sur l interface eth1 à la machine ligne 2 : les paquets destinés à la machine seront envoyés sur l interface eth2 à la machine ligne 3 : Loopack (adresse ) adressage local ligne 4 : routage par défaut des paquets, les paquets seront envoyés sur l interface eth1 à la machine lorsque leur destination est inconnue de la table. (Département IEM / UB) Organisation 43 / 1
44 Routage Table de routage : signification Destination : adresse du réseau ou de l hôte de destination Gateway : adresse de la passerelle (le routeur) ou * si indéfini Genmask : masque de réseau pour le réseau destinataire pour un hôte et pour la route par défaut Indicateurs : U (la route est active = up) H (la cible est un hôte) G (utilise comme passerelle) D (dynamiquement configurée) Metric : distance à la cible (habituellement comptée en hops) Iface : interface vers laquelle les paquets empruntant cette route seront envoyés (Département IEM / UB) Organisation 44 / 1
45 Routage Table de routage : manipulation La table de routage peut être configurée selon deux modes : statique, dynamique Les routes statiques restent dans la table tant que le système est en marche On fixe les routes statiques au boot via des scripts mais nécessite une bonne connaissance de la topologie du réseau Pour manipuler la table de routage, on utilise la commande route Pour le routage dynamique, on utilise des démons qui maintiennent et modifient les tables de routage gated, routed (Département IEM / UB) Organisation 45 / 1
46 Routage Table de routage : syntaxe route add del [-net -host] destination [netmask Nm] [gw gateway] [metric m] [dev itf] add del : permet d ajouter ou supprimer une entrée dans la table -net : permet de spécifier une entrée vers un réseau -host : permet de spécifier une entrée vers une machine destination : la destination peut être une adresse machine ou une adresse réseau. La destination peut être default netmask : le masque de sous-réseau du réseau (ou de la machine) de destination gw : addresse du routeur qui permet de faire transiter les paquets d un réseau à un autre metric : longueur du chemin (en nombre de routeurs traversés) pour atteindre le réseau de destination (optionnel). dev : le nom de l interface par laquelle envoyer les paquets à router (optionnel) (Département IEM / UB) Organisation 46 / 1
47 Routage Table de routage : exemple route add -net r1 netmask lnx2 metric 3 Permet de rajouter une route dans la table de routage : pour atteindre le réseau r1 ( ), il faut passer par la lnx2 ( , qui sert de routeur), et on franchira 3 routeurs au total : r1 est un nom qui doit figurer dans le fichier /etc/networks lnx2 doit figurer ddans le fichier /etc/hosts L option -f (flush) qui permet de supprimer tous les chemins qui ont été rajoutés avec la commande route (Département IEM / UB) Organisation 47 / 1
48 Translation d adresse (NAT) Principes de la translation d adresses Permettre aux machines de réseaux privés de dialoguer sur Internet NAT = Network Address Translation Ce n est pas un mécanisme qui assure la sécurité! Utilisation d un routeur d entrée (border router) Intercepte les packets, les réécrits (adresse source,port) Maintient une table de correspondance entre adresses internes et externes Permet un multiplexage des connections via des correspondances de port Sous linux NAT et ip-masquerading sont synonymes (Département IEM / UB) Organisation 48 / 1
49 Translation d adresse (NAT) Translation d adresses et protocoles CS inversés Tous les protocoles ne supportent pas la translation d adresse Les protocoles pour lesquels le serveur est dans le réseau privé sont mal adaptés à la translation d adresse : affichage X11 FTP Il faut alors un mécanisme supplémentaire capable de suivre une session ou établir un relai (ssh -X, ip_contrack_ftp) Il est préférable de ne pas utiliser X11 sur internet, lui préférer un protocole moins gourmand plus sûre (VNC, ssh) (Département IEM / UB) Organisation 49 / 1
50 Filtrage iptables Un filtre de paquets est un programme qui regarde l en-tête des paquets qui transitent par les cartes réseau et décide du sort du paquet entier. Il peut décider de DROPer le paquet (faire comme si il n avait jamais été reçu), ACCEPTer le paquet (le laisser passer), ou quelque chose de plus sophistiquée (le loguer par exemple). Sous Linux, le filtrage de paquets est intégré dans le noyau sous la forme d un module ou directement dans le code. Le module de filtrage est très complet, il propose un véritable mécanisme de firewall avec états, néanmoins le principe de base reste simple : regarder les en-têtes et décider du sort du paquet. (Département IEM / UB) Organisation 50 / 1
51 Filtrage iptables La commande iptables insère et retire des règles de la table de filtrage des paquets du noyau. Les règles seront perdues au reboot. ## Chaine qui bloque les connections sauf celles qui viennent ## de l intérieur iptables -N block iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A block -m state --state NEW -i! ppp0 -j ACCEPT iptables -A block -j DROP ## Lancer la chaîne block à partir des chaînes INPUT et FORWARD. iptables -A INPUT -j block iptables -A FORWARD -j block (Département IEM / UB) Organisation 51 / 1
52 Filtrage iptables Le noyau contient par défaut trois listes (INPUT, OUTPUT et FORWARD) dans une table nommée filter. Les éléments des listes sont appelés chaînes ou règles. On peut considérer qu une chaîne est une série de règles simples. Chaque règle est une condition que doit satisfaire le paquet, si la règle ne convient pas au paquet, la chaîne suivante est examinée, finalement, si il ne reste plus de chaîne, le noyau regarde la chaîne par défaut pour décider de l action à exécuter. (Département IEM / UB) Organisation 52 / 1
53 Filtrage iptables L enchaînement des trois listes est le suivant : 1. Quand un paquet arrive le noyau regarde en premier la destination de ce paquet (prise en charge). Si le paquet est destiné à la machine il est transmis la chaine INPUT. Si il la passe, les processus qui attendent le paquet le recevront. 2. Si le noyau n a pas de forwarding activé, ou qu il ne sait pas comment forwarder le paquet, le paquet est tué. 3. Si le forwarding est autorisé et que le paquet est destiné à une autre interface réseau, le paquet va directement à la chaine FORWARD. Si il est accepté par une des chaînes, il sera envoyé. 4. Finalement, un programme qui tourne sur la machine peut envoyer des paquets. Ces paquets passeront par la chaine OUTPUT immédiatement : si elle dit ACCEPT, alors le paquet continue vers l interface à laquelle il est destiné. (Département IEM / UB) Organisation 53 / 1
54 Filtrage iptables : les chaînes de base Chaîne Table Description PREROUTING nat, mangle Par cette chaîne passeront les paquets entrant dans la machine avant routage INPUT filter Cette chaîne traitera les paquets entrants avant qu ils ne soient passées aux couches supérieures (les applications). FORWARD filter Ce sont les paquets uniquement transmis par la machine sans que les applications n en aient connaissance. OUTPUT filter, nat, mangle Cette chaîne sera appelée pour des paquets envoyés par des programmes présents sur la machine. POSTROUTING nat Les paquets prêts à être envoyés (soit transmis, soit générés) seront pris en charge par cette chaîne. Action Signification ACCEPT Les paquets envoyés vers cette cible seront tout simplement acceptés et pourront poursuivre leur cheminement au travers des couches réseaux. DROP Cette cible permet de jeter des paquets qui seront donc ignorés. REJECT Permet d envoyer une réponse à l émetteur pour lui signaler que son paquet a été refusé. LOG Demande au noyau d enregistrer des informations sur le paquet courant. Cela se fera généralement dans le fichier /var/log/messages (selon la configuration du programme syslogd). MASQUERADE Cible valable uniquement dans la chaîne POSTROUTING de la table nat. Elle change l adresse IP de l émetteur par celle courante de la machine pour l interface spécifiée. Cela permet de masquer des machines et de faire par exemple du partage de connexion. SNAT Egalement valable pour la chaîne POSTROUTING de la table nat seulement. Elle modifie aussi la valeur de l adresse IP de l émetteur en la remplaçant par la valeur fixe spécifiée. DNAT Valable uniquement pour les chaînes PREROUTING et OUTPUT de la table nat. Elle modifie la valeur de l adresse IP du destinataire en la remplaçant par la valeur fixe spécifiée. RETURN Utile dans les chaînes utilisateurs. Cette cible permet de revenir à la chaîne appelante. Si RETURN est utilisé dans une des chaînes de base précédente, cela est équivalent à l utilisation de sa cible par défaut. (Département IEM / UB) Organisation 54 / 1
55 Filtrage iptables Les principales options d iptables sont : Créer une nouvelle chaine (-N) ou plutôt une liste de chaînes ; Effacer une chaîne (-X) ; Changer la règle par défaut pour une chaîne (-P) ; Lister les règles dans une chaîne (-L) ; Retirer les règles d une chaîne (-F). ; Mettre à zéro les compteurs de bits et de paquets d une chaîne (-Z). (Département IEM / UB) Organisation 55 / 1
56 Filtrage iptables Il y a plusieurs manières de manipuler une règle dans une liste de chaînes : Ajouter une nouvelle règle à une liste (-A) ; Insérer une nouvelle règle à une position dans une liste (-I) ; Remplacer une règle à une position dans une liste (-R) ; Supprimer une chaîne à une position dans une liste (-D) ; Supprimer la première règle qui convient dans une chaine (-D). Les spécifications des règles de filtrage peuvent concerner la source, la destination, un protocole, une interface ou des fragments de paquet. (Département IEM / UB) Organisation 56 / 1
57 Filtrage iptables Les adresses IP source (-s, source ou src) et destination (-d, destination ou dst) peuvent être specifiées de 4 façons : 1. le nom complet, comme localhost ou panda.ville-dijon.fr ; 2. l adresse IP comme ; 3. un groupe d IPs, comme /24 ou / Elles specifient toutes deux les adresses de à inclus. Les nombres après le / indiquent quelle partie des adresses IP a de la signification. /32 ou / est le défaut (correspond à toutes les adresses IP). 4. pour spécifier toutes les adresses IP /0 peut être utilisé, comme dans la règle : iptables -A INPUT -s 0/0 -j DROP (Département IEM / UB) Organisation 57 / 1
58 Filtrage iptables Beaucoup d options comme -s (ou source ) et -d ( destination) peuvent avoir leurs arguments précédés de! (négation) pour correspondre aux adresses différentes égales à celles données. Le! permet donc la négation d une règle. iptables est extensible, ce qui veut dire que le noyau et le programme iptables peuvent être étendus pour avoir de nouvelles capacités. Les extensions au noyau sont normalement situées dans le répertoire des modules du kernel comme /lib/modules/2.x.y/net. Elles sont chargées à la demande. (Département IEM / UB) Organisation 58 / 1
59 Filtrage iptables (Filtrage sur protocole et port) Les options -i (ou in-interface) et -o (ou out-interface) spécifient le nom d une interface à laquelle le paquet doit correspondre. Les paquets qui traversent la chaîne INPUT n ont pas encore d interface de sortie donc, une règle utilisant -o dans cette chaîne n est pas valide. Les paquets traversant la chaîne OUTPUT n ont pas d interface d entrée, donc toute règle utilisant -i dans cette chaîne n est pas valide. Seuls les paquets traversant la chaîne FORWARD ont une interface d entrée et de sortie. (Département IEM / UB) Organisation 59 / 1
60 Filtrage iptables (Filtrage sur protocole et port) Les extensions TCP sont automatiquement chargées si -p tcp est spécifié. tcp-flags : suivi d un! optionnel, ensuite 2 chaînes de caractères permettent de filtrer suivant des drapeaux TCP spécifiques. La première chaîne de drapeaux est le masque : une liste de drapeaux à examiner. La deuxième chaîne de drapeaux dit lequel doit être présent. Par exemple : iptables -A INPUT -p tcp --tcp-flags ALL SYN,ACK -j DENY source-port : suivi d un! optionnel optionnel, ensuite soit un port TCP seul, ou un bloc de ports. Les ports peuvent être des noms de ports, listés dans /etc/services, ou des nombres. sport est synonyme de source-port. destination-port et dport ils spécifient la destination plutôt que la source qui convient. (Département IEM / UB) Organisation 60 / 1
61 Filtrage iptables (Filtrage sur protocole et port) echo 1 > /proc/sys/net/ipv4/ip_forward /sbin/iptables -P INPUT ACCEPT /sbin/iptables -P FORWARD ACCEPT /sbin/iptables -P OUTPUT ACCEPT /sbin/iptables -t nat -P PREROUTING ACCEPT /sbin/iptables -t nat -P POSTROUTING ACCEPT /sbin/iptables -t nat -P OUTPUT ACCEPT /sbin/iptables -F /sbin/iptables -t nat -F /sbin/iptables -A INPUT -i lo -j ACCEPT /sbin/iptables -A OUTPUT -o lo -j ACCEPT /sbin/iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT /sbin/iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT /sbin/iptables -t nat -A POSTROUTING -s /24 -j MASQUERADE #redirection du port 80 pour proxy squid transparent /sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 \ -j REDIRECT --to-port 3128 (Département IEM / UB) Organisation 61 / 1
62 Filtrage iptables (Filtrage sur protocole et port) echo 1 > /proc/sys/net/ipv4/ip_forward # PARTIE A MODIFIER public=ppp0 prive=eth0 reseauprive=" /24" iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP iptables -F iptables -t nat -F iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A OUTPUT -o $public -p tcp --dport http -j ACCEPT iptables -A INPUT -i $public -p tcp --sport http -j ACCEPT iptables -A OUTPUT -o $public -p tcp --dport https -j ACCEPT iptables -A INPUT -i $public -p tcp --sport https -j ACCEPT (Département IEM / UB) Organisation 62 / 1
63 Configuration des cartes réseau Pilote de la carte /sbin/lspci donnera les informations sur les périphériques connectés ls /lib/modules/*/kernel/drivers/net/ : donne la liste des cartes réseau supportées par le noyau de la distribution. S il n y a pas le pilote de la carte recherchée, une recompilation du noyau s impose /sbin/modprobe nompil : chargement du pilote ajouter le nom à /etc/modules (Département IEM / UB) Organisation 63 / 1
64 Configuration des cartes réseau Sous Debian 1. éditer le fichier /etc/network/interface 2. arrêter et redémarrer le réseau : /etc/init.d/networking restart 3. vérifier la configuration : /sbin/ifconfig -a 4. les alias sont permis : eth0 :0, eth0 :1 Exemple : # The loopback interface auto lo iface lo inet loopback # The first network card - this entry was created during the Debian installation # (network, broadcast and gateway are optional) auto eth0 iface eth0 inet static address netmask network broadcast gateway (Département IEM / UB) Organisation 64 / 1
65 Configuration des cartes réseau Sous RedHat 1. éditer le fichier /etc/sysconfig/network 2. éditer le fichier /etc/sysconfig/networking/devices 3. arrêter et redémarrer le réseau : /etc/init.d/network restart 4. vérifier la configuration : /sbin/ifconfig -a Exemple : # 3Com Corporation 3c905C-TX/TX-M [Tornado] DEVICE=eth0 BOOTPROTO=dhcp BROADCAST= HWADDR=00:06:5B:28:07:39 IPADDR= NETMASK= NETWORK= ONBOOT=yes TYPE=Ethernet USERCTL=no PEERDNS=yes GATEWAY= IPV6INIT=no (Département IEM / UB) Organisation 65 / 1
66 Configuration des cartes réseau La commande ifconfig On peut configurer une interface ethernet à la volée avec la commande : ifconfig eth netmask broadcast les options de ifconfig sont : up : activation de l interface, down : désactivation de l interface, [-]arp : activation/désactivation du protocole ARP sur l interface, netmask <addr> : valeur du masque de réseau, broadcast <addr> : valeur de l adresse de diffusion hw? (Département IEM / UB) Organisation 66 / 1
67 Configuration des cartes réseau La résolution des noms la résolution des associations (nom de machine, adresse IP) se fait via 3 fichiers : 1. /etc/hosts : associations nom sur le réseau local, adresse ip dans un fichier texte dont les séparateurs sont l espace ou le tab, le # est réservé pour les commentaires. IPaddress canonical_hostname aliases 2. /etc/resolv.conf : renseigne le système sur l utilisation d un DNS 3. /etc/nsswitch.conf : spécifie les mécanismes à mettre en oeuvre pour la résolution des nom (DNS, files, etc.) (Département IEM / UB) Organisation 67 / 1
68 Configuration des cartes réseau Outils standards pour la résolution des problèmes ifconfig ping(simple + broadcast combiné à arp) arp traceroute nslookup / dig telnet machine port (Département IEM / UB) Organisation 68 / 1
69 Configuration d un poste Étapes de configuration 1. fixer l IP (statique ou via DHCP) 2. renseigner le fichier /etc/hosts et éventuellement le fichier /etc/networks 3. donner la route par défaut ou les autres stratégies de routage 4. configurer la résolution des nom /etc/resolv.conf 5. configurer les stratégies de résolution /etc/nsswitch.conf (Département IEM / UB) Organisation 69 / 1
70 Méthodologie Méthodologie Pour concevoir et implanter un réseau suivre les étapes : définir l architecture fonctionnelle (les services) définir l architecture physique (localiser les service, segmenter le réseau afin d identifier et ou d obtenir différent réseau IP) déterminer un plan d adresse déterminer la table de routage et les règles de filtrage (Département IEM / UB) Organisation 70 / 1
71 Introduction Différentes méthodes d installation de logiciels On distingue généralement 4 modes d installation différents : la notion de packages la notion de port ou portage installation à partir des sources installation des binaires installation selon une méthode spécifique (propriétaire) (Département IEM / UB) Organisation 71 / 1
72 Introduction Notions de package Ensemble de fichiers dédiés à une application, valable pour une architecture précise (x86 32bits, SPARC, etc.) Utilisés dans les distribution RedHat, Suse, Mandrake (RPM) Debian (.deb) mais aussi sous Solaris (.pkg) Une base de données enregistre les packages installés dans le système Toute modification ou installation hazardeuse peut entrainer une incohérence de la base de données Veiller à installer uniquement des packages pour la distribution installée, et l architecture matérielle de la machine Les applications n existant pas sous la forme de package ou installées depuis le code source doivent être localisées dans une partie spécifique du système de fichiers (Département IEM / UB) Organisation 72 / 1
73 Introduction Gestion de l arobrescence du système (Département IEM / UB) Organisation 73 / 1
74 Étude des packages RPM Gestion de packages (RPM) RedHat Package Manager (RPM) Lors des mises à jour, RPM traite les fichiers de configuration de façon particulière, de sorte les personnalisations sont préservées RPM permet aussi au développeur d empaqueter le code source d un logiciel et de l insérer dans des paquetages source et binaires destinés aux utilisateurs finaux Objectifs des RPM : Évolutivité : facilité des mises à jour et des corrections Fonction d interrogation puissante : effectuer des recherches dans la BD des packages ou seulement dans certains fichiers, retrouver aisément à quel package appartient un fichier Vérification du système : si vous craignez d avoir supprimé un fichier important pour un paquetage quelconque, il suffit de vérifier celui-ci, (Département IEM / UB) Organisation 74 / 1
75 Étude des packages RPM Le nommage des packages Les packages rpm adoptent la convention de nommage nom-version-release.architecture.rpm. La signification de chaque partie du nom du package est la suivante : nom : represente le nom du package, en général il s agit du nom du logiciel mais celui-ci peut aussi être decomposé en plusieurs packages. Ainsi, on trouve couramment : nom-devel : package de développement (include C, bibliothèques) pour permettre la compilation de logiciels utilisant les ressources fournies par le packages ; libnom : les bibliotheques du logiciel sont separées du package principal ; nom-common : partie du logiciel utilisable pour un serveur ou un client ; nom-server : partie du logiciel pour un serveur ; nom-client : partie du logiciel pour un client. version : telle qu elle est definie par le ou les developpeurs du logiciel ; (Département IEM / UB) Organisation 75 / 1
76 Étude des packages RPM Le nommage des packages release : elle est definie par celui qui construit le package ; l architecture représente la categorie de processeur sur laquelle le package peut être installé : ppc pour powerpc (mac), sparc pour stations sun, alpha pour pc avec processeurs alpha etc. Pour les architectures intel la dénomination est la suivante : i* = processeurs intel, + i386 : la base commune (80386) + i486, + i566 : pentium, i686 : pentium II, III, IV. Tous ces packages contiennent des programmes compilés, donc non portables entre les differents processeurs (intel, powerpc, sparc) les programmes dependent également des librairies utilisées lors de la compilation et sont donc souvent non portables entre distributions differentes, voire sur la même distribution, entre versions différentes (Département IEM / UB) Organisation 76 / 1
77 Étude des packages RPM Le nommage des packages il existe deux types d architectures portables : noarch : ces packages contiennent des fichiers de configuration, ou des programmes en langage interprété (shell, perl, python...), et peuvent donc être installés partout ; src : ces "pseudo-packages" contiennent les programmes sources, avec ce qu il faut pour les recompiler (Makefile, configure) et fabriquer un package. (Département IEM / UB) Organisation 77 / 1
78 Étude des packages RPM Modes de fonctionnement RPM offre cinq modes de fonctionnement de base : 1. installation, 2. désinstallation, 3. mise à jour, 4. interrogation, 5. vérifications L ensemble des possibilités est donné par rpm help les principales sont présentées dans les transparents suivant (Département IEM / UB) Organisation 78 / 1
79 Étude des packages RPM RPM : Installation Les fichier RPM portent généralement des noms tels que prog i386.rpm, la version (1.0) du code, l édition (1) maj RedHat, l architecture (i386) Installer le package : rpm -ivh prog i386.rpm La commande -U est généralement utilisée pour mettre à jour des paquetages, elle permet également d en installer de nouveaux Réinstaller un package : replacepkgs rpm -ivh replacepkgs prog i386.rpm (Département IEM / UB) Organisation 79 / 1
80 Étude des packages RPM RPM : Désinstallation La désinstallation d un package se fait par la commande : rpm -e prog Nous avons utilisé le nom prog, pas le nom du fichier d origine prog i386.rpm Une erreur de dépendance peut se produire : # rpm -e prog removing these packages would break dependencies: prog is needed by xyz Pour faire en sorte que RPM ignore cette erreur et désinstalle le paquetage malgré tout, utiliser l option nodeps (Département IEM / UB) Organisation 80 / 1
81 Étude des packages RPM RPM : Mise à jour La mise à jour est similaire à l installation : rpm -Uvh prog i386.rpm RPM effectue une mise à jour intelligente un message du type suivant peut apparaître : enregistrement de /etc/prog.conf /etc/prog.conf.rpmsave les modifications apportées au fichier de configuration risquent de ne pas être compatibles avec le nouveau fichier de config du package (utilisation.rpmnew ou.rpmsave) RPM a enregistré le fichier d origine et en a installé un nouveau rechercher les.rpmnew ou.rpmsave dans l arboresence (Département IEM / UB) Organisation 81 / 1
82 Étude des packages RPM RPM : Mise à jour mise à niveau vers un paquetage portant un numéro de version plus ancien, le système affiche le message suivant : rpm -Uvh foo i386.rpm foo package foo (which is newer) is already installed error: foo i386.rpm cannot be installed Pour faire en sorte que RPM effectue malgré tout la mise à niveau, utilisez oldpackage dans la ligne de commande : rpm -Uvh oldpackage prog i386.rpm prog (Département IEM / UB) Organisation 82 / 1
83 Étude des packages RPM RPM : Recherches L interrogation de la BD des packages installés s effectue au moyen de rpm -q rpm -q prog imprime le nom, la version de prog (installé) On peut aussi utiliser les options suivantes avec -q pour spécifier le(s) paquetage(s) interrogés. -a recherche tous les paquetages actuellement installés -f fic interroge le package contenant fic -p nomp interroge le package nomp Plusieurs manières de spécifier les informations à afficher : -i affiche nom, description, version, taille, date de compilation, date d installation, éditeur, etc. -l affiche la liste des fichiers contenus dans le package -d affiche la liste des fichiers de documentation -c affiche la liste des fichiers de configuration Pour les options qui affichent des listes de fichiers, -v pour obtenir les listes dans un format ls -l (Département IEM / UB) Organisation 83 / 1
84 Étude des packages RPM RPM : Vérification Comparer les informations sur les fichiers d un package installé avec celles de l original : taille, MD5, autorisations, type, propriétaire et groupe de chaque fichier : rpm -V Pour vérifier un package contenant un fichier particulier : rpm -Vf nomfic Pour vérifier tous les paquetages installés : rpm -Va Pour comparer un package installé à un fichier RPM : rpm -Vp prog i386.rpm Si la vérification est correcte, elle ne fournit aucun résultat Si il y a des différences, le résultat est une chaîne de 8 caractères (indiquant l échec de certains tests) : 5 : somme de contrôle MD5 S : taille de fichier L : lien symbolique U : utilisateur G : groupe M : mode (permissions et type) (Département IEM / UB) Organisation 84 / 1
85 Étude des packages RPM RPM : Problèmes courants Conflits de fichiers : si vous tentez d installer un package contenant un fichier déjà installé par un autre package, le système affiche : # rpm -ivh truc i386.rpm foo /usr/bin/truc conflicts with file from xyz error: truc i386.rpm cannot be installed Solution : utiliser l option replacefiles Dépendance non résolue : les RPM peuvent dépendre d autres paquetages # rpm -ivh prog i386.rpm failed dependencies: truc is needed by prog Pour résoudre cette erreur, installez les paquetages demandés. Pour forcer l installation utiliser l option nodeps À utiliser avec précaution car les màj seront plus difficiles (Département IEM / UB) Organisation 85 / 1
86 Étude des packages RPM RPM : Questions Réponses 1. j ai supprimé certains fichiers accidentellement comment déterminer quels sont les éléments manquants : rpm -Va 2. je veux voire ce que va installer le package toto.rpm rpm -qlp toto.rpm 3. je recontre un fichier inconnu, a quel package appartient il? rpm -qf /usr/sbin/fichierinconnu 4. j ai un probleme avec le programme truc, je ne connais pas le package : rpm -Vf /usr/bin/truc 5. je recherche les fichiers de documentation de ftp, où sont ils installés? rpm -qdf /usr/bin/ftp 6. que fait le RPM wu-ftpd? rpm -qip wu-ftpd i386.rpm 7. un programme a besoin de la commande cmd, j ignore le package qui la contient (Département IEM / UB) Organisation 86 / 1
87 Étude des packages RPM Conclusion sur les packages Pour ou contre les packages? + flexibilité, + mises à jours, - optimization, - sécurité? - réactivité en cas de bugs - tous les programmes ne sont pas livrés sous la forme de package (Département IEM / UB) Organisation 87 / 1
88 Étude des packages RPM Les packages sous Debian La distribution Debian propose un gestionnaire de package intégrant un téléchargement automatique depuis une liste de serveurs pré-définie Accessible via les commandes : apt-get apt-cache (Département IEM / UB) Organisation 88 / 1
89 Étude des packages RPM Les packages sous Solaris Notion identique aux packages RPM Linux Accessbile via les commandes pkgadd, pkgrm et pkginfo Il existe une commande (à installer en plus de solaris) permettant un traitement des packages de façon similaire à Debian : pkg-get (Département IEM / UB) Organisation 89 / 1
90 Autres formes de packages La notion de portage issus des distribution BSD le package est distribué sous la forme de fichiers sources nécessite une compilation sur la machine cible permet une adaptation et des optimisation très poussées utilisé dans les distribution BSD en Linux Gentoo (Département IEM / UB) Organisation 90 / 1
91 Autres formes de packages Principes télécharger les archives des sources depuis le site officiel ou un de ses mirroirs installer les binaires dans une partie spcifique du système de fichier utiliser des règles de nommage précises pour faciliter les desinstallation lire rigoureusement les documentations (Département IEM / UB) Organisation 91 / 1
92 Autres formes de packages Conventions d installation (Département IEM / UB) Organisation 92 / 1
93 Autres formes de packages Installation de PostgreSQL (1) tar xzfv postgresql tar.gz./configure --prefix=/usr/local/postgresql \ --with-java --enable-thread-safety make make install make install-all-headers Verifier que l utilisateur postgres existe : su postgres make check Attention mettre les droits x sur l ensemble des répertoires traversés pour accéder a postgres, positionner le propriétaire des sources sur postgres. En etant root, sous /usr/local, créer le lien et le repertoire des database files. ln -sf postgresql-7.4.5/ postgresql mkdir /usr/local/postgres/data chown postgres /usr/local/postgres/data (Département IEM / UB) Organisation 93 / 1
94 Autres formes de packages Installation de PostgreSQL (2) Initialisation du dictionnaire de donnees : su postgres /usr/local/postgresql/bin/initdb -D \ /usr/local/postgresql/data résultat : Success. You can now start the database server using: /usr/local/postgresql/bin/postmaster \ -D /usr/local/postgresql/data or /usr/local/postgresql/bin/pg_ctl \ -D /usr/local/postgresql/data -l logfile start (Département IEM / UB) Organisation 94 / 1
95 Autres formes de packages Installation de MySQL (1) tar xzfv mysql tar.gz groupadd mysql useradd -g mysql mysql./configure --prefix=/usr/local/mysql \ --with-innodb --enable-thread-safe-client make make install scripts/mysql_install_db ln -sf mysql / mysql chown -R root /usr/local/mysql chgrp -R mysql /usr/local/mysql chown -R mysql /usr/local/mysql/var (Département IEM / UB) Organisation 95 / 1
96 Autres formes de packages Installation de MySQL (2) Résultat : To start mysqld at boot time you have to copy support-files/mysql.server to the right place for your system PLEASE REMEMBER TO SET A PASSWORD FOR THE MySQL root USER! To do so, start the server, then issue the following commands: /usr/local/mysql /bin/mysqladmin -u root password new-password /usr/local/mysql /bin/mysqladmin -u root -h XYZ.u-bourgogne.fr password new-password See the manual for more instructions. You can start the MySQL daemon with: cd /usr/local/mysql ; /usr/local/mysql /bin/mysqld_safe & You can test the MySQL daemon with the benchmarks in the sql-bench directory: cd sql-bench ; perl run-all-tests Please report any problems with the /usr/local/mysql /bin/mysqlbug script! The latest information about MySQL is available on the web at Support MySQL by buying support/licenses at (Département IEM / UB) Organisation 96 / 1
97 Autres formes de packages Installation de MySQL (3) Fixer le password de root (root mysql, pas celui du systeme) /usr/local/mysql /bin/mysqld_safe & /usr/local/mysql /bin/mysqladmin \ -u root password toto /usr/local/mysql /bin/mysqladmin \ -u root -h XYZ.u-bourgogne.fr password toto (Département IEM / UB) Organisation 97 / 1
98 Autres formes de packages Installation d apache Vérifier l existence de l utilisateur et du groupe nobody tar xzfv apache tar.gz./configure --prefix=/usr/local/apache \ --enable-module=so make make install Éditer le fichier httpd.conf et lancer le serveur apache /usr/local/apache/bin/apachectl start Ajouter des utilisateurs pour les différentes applications, les positionner dans le groupe nobody (Département IEM / UB) Organisation 98 / 1
99 Autres formes de packages Installation d apache : configuration... # BindAddress: You can support virtual hosts with this option. This directive # is used to tell the server which IP address to listen to. It can either # contain "*", an IP address, or a fully qualified Internet domain name. # See also the <VirtualHost> and Listen directives. # BindAddress *... # Example: # LoadModule foo_module libexec/mod_foo.so LoadModule php4_module libexec/libphp4.so... # # Port: The port to which the standalone server listens. For # ports < 1023, you will need httpd to be run as root initially. # Port User nobody Group nobody # # ServerAdmin: Your address, where problems with the server should be # ed. This address appears on some server-generated pages, such # as error documents. # ServerAdmin [email protected]... (Département IEM / UB) Organisation 99 / 1
100 Autres formes de packages Installation d apache : configuration # # DocumentRoot: The directory out of which you will serve your # documents. By default, all requests are taken from this directory, but # symbolic links and aliases may be used to point to other locations. # # # DocumentRoot "/usr/local/apache_1.3.29/htdocs" DocumentRoot "/usr/local/www"... # # This should be changed to whatever you set DocumentRoot to. # # <Directory "/usr/local/apache_1.3.29/htdocs"> (Département IEM / UB) Organisation 100 / 1
101 Autres formes de packages Installation d apache : configuration alias /master "/home0/fdess/" <Directory "/home0/fdess/"> Options Indexes FollowSymLinks AllowOverride None </Directory> alias /infoiem "/home0/infoiem/www" <Directory "/home0/infoiem/www/"> Options Indexes FollowSymLinks AllowOverride None </Directory> alias /webcal "/home0/webcal/www" <Directory "/home0/webcal/www/"> Options Indexes FollowSymLinks AllowOverride None </Directory> (Département IEM / UB) Organisation 101 / 1
102 Autres formes de packages Installation de PHP./configure --prefix=/usr/local/php with-mysql=/usr/local/mysql --with-postgres=/usr/local/postgresql --with-apxs=/usr/local/apache/bin/apxs --with-zlib --with-jpeg --with-png --with-gettext --with-gd2 make make install Éditer la config http /usr/local/apache/conf/httpd.conf ajouter AddType application/x-httpd-php.php (vers les autres lignes concernees par le addtype) /usr/local/apache/bin/apachectl stop /usr/local/apache/bin/apachectl start (Département IEM / UB) Organisation 102 / 1
103 Infrastructure de SI Exemple d infrastcuture de SI SGBD SGBD SGBD Serveur WEB APACHE Filtrage ipfilter/netfilter + L7 Filtrage ORACLE / PostgreSQL / MySQL Transactions / Sessions d applications Serveur TOMCAT/JONAS Partenaire SOAP JSP/PHP HTML/CSS/XML/XSLT JMS/RMI/CORBA SOAP XML JDBC/JDO/OJB Middleware (Département IEM / UB) Organisation 103 / 1
104 Principes Aperçu La plupart des systèmes Unix disposent de plusieurs modes de fonctionnement : les niveaux d exécution Un niveau d exécution = un certain nombre de services démarrés Le lancement et l arrêt des services peut se faire de manière groupée en changeant de niveau d exécution Il existe 7 niveaux d exécution (en général) Seulement trois sont bien définis (Département IEM / UB) Organisation 104 / 1
105 Principes Niveaux Le niveau 0 correspond à l arrêt du système : aucun service n est disponible (à part le redémarrage) Le niveau 6 correspond au redémarrage de la machine le fait de passer dans le niveau d exécution 6 revient donc à arrêter et à redémarrer la machine Le niveau d exécution 1 correspond au mode de fonctionnement mono utilisateur (single user) La signification des autres niveaux d exécution dépend de la distribution en général : le niveau 2 correspond au mode multi-utilisateur avec réseau mais sans X11 les niveaux 3 et 4 correspondent au mode multi-utilisateur avec login X11 les autres niveaux restent à disposition (Département IEM / UB) Organisation 105 / 1
106 Principes Le processus init Le programme en charge de gérer les niveaux d exécution est le processus init Ce programme est le premier programme lancé par le noyau init ne peut pas être détruit ou arrêté : c est le processus père de tous les autres dans le système Les rôles fondamentaux d init sont : de gérer les changements de niveau d exécution de lancer et arrêter les services du système en fonction de ces niveaux init s occupe également de tâches de base concernant la gestion des autres processus (Département IEM / UB) Organisation 106 / 1
107 Principes Les zombies init permet dans certains cas de supprimer les processus zombies Un processus zombie est un processus qui vient de se terminer et dont aucun autre processus n a lu le code de retour Les zombies apparaissent généralement lorsque leur processus père se termine avant eux En génral c est le processus père qui lit le code de retour de ses processus fils (Département IEM / UB) Organisation 107 / 1
108 Principes Utilisation de Init La syntaxe suivante est utilisée pour changer le niveau d exécution : init niveau ou telinit niveau niveau est le niveau d exécution à atteindre Il est assez rare d utiliser la commande directement en général on n a pas besoin de changer de niveau d exécution (sauf en mode single) Le niveau d exécution dans lequel le système doit se placer lors de son démarrage peut être précisé en paramètre au noyau lors du boot avec LILO : boot :linux niveau ou boot : linux single avec GRUB : kernel /boot/vmlinuz 1 avec Solaris : boot -s pour passer en mode monoutilisateur (c est-à-dire maintenance/single), il suffit de taper la commande au prompt du chargeur de noyau (Département IEM / UB) Organisation 108 / 1
109 Inittab Le fichier inittab Le comportement d init est défini dans le fichier de configuration /etc/inittab Ce fichier contient : la description des niveaux d exécution le niveau par défaut dans lequel le système se place au démarrage les actions qu init doit effectuer lorsque certains événements arrivent Il est indiqué quels sont les scripts qui doivent être exécutés lors du changement de niveau d exécution Il est fortement déconseillé de toucher au fichier /etc/inittab (Département IEM / UB) Organisation 109 / 1
110 Inittab Structure du fichier # # inittab This file describes how the INIT process should set up # the system in a certain run-level. # # Author: Miquel van Smoorenburg, <[email protected]> # Modified for RHS Linux by Marc Ewing and Donnie Barnes # # Default runlevel. The runlevels used by RHS are: # 0 - halt (Do NOT set initdefault to this) # 1 - Single user mode # 2 - Multiuser, without NFS (The same as 3, if you do not have networkin # 3 - Full multiuser mode # 4 - unused # 5 - X11 # 6 - reboot (Do NOT set initdefault to this) # id:5:initdefault: (Département IEM / UB) Organisation 110 / 1
111 Inittab Structure du fichier # System initialization. si::sysinit:/etc/rc.d/rc.sysinit l0:0:wait:/etc/rc.d/rc 0 l1:1:wait:/etc/rc.d/rc 1 l2:2:wait:/etc/rc.d/rc 2 l3:3:wait:/etc/rc.d/rc 3 l4:4:wait:/etc/rc.d/rc 4 l5:5:wait:/etc/rc.d/rc 5 l6:6:wait:/etc/rc.d/rc 6 # Trap CTRL-ALT-DELETE ca::ctrlaltdel:/sbin/shutdown -t3 -r now (Département IEM / UB) Organisation 111 / 1
112 Inittab Structure du fichier # When our UPS tells us power has failed, assume we have a few minutes # of power left. Schedule a shutdown for 2 minutes from now. # This does, of course, assume you have powerd installed and your # UPS connected and working correctly. pf::powerfail:/sbin/shutdown -f -h +2 "Power Failure; System Shutting Down" # If power was restored before the shutdown kicked in, cancel it. pr:12345:powerokwait:/sbin/shutdown -c "Power Restored; Shutdown Cancelled" # Run gettys in standard runlevels 1:2345:respawn:/sbin/mingetty tty1 2:2345:respawn:/sbin/mingetty tty2 3:2345:respawn:/sbin/mingetty tty3 4:2345:respawn:/sbin/mingetty tty4 5:2345:respawn:/sbin/mingetty tty5 6:2345:respawn:/sbin/mingetty tty6 # Run xdm in runlevel 5 x:5:respawn:/etc/x11/prefdm -nodaemon (Département IEM / UB) Organisation 112 / 1
113 Inittab Structure du fichier (Solaris) co:234:respawn:/usr/lib/saf/ttymon -g -h -p " uname -n console login: " -T sun -d /dev/console -l console -m l ap::sysinit:/sbin/autopush -f /etc/iu.ap ap::sysinit:/sbin/soconfig -f /etc/sock2path fs::sysinit:/sbin/rcs sysinit >/dev/msglog 2<>/dev/msglog </dev/console is:3:initdefault: p3:s1234:powerfail:/usr/sbin/shutdown -y -i5 -g0 >/dev/msglog 2<>/dev/msglog ss:s:wait:/sbin/rcs >/dev/msglog 2<>/dev/msglog </dev/console s0:0:wait:/sbin/rc0 >/dev/msglog 2<>/dev/msglog </dev/console s1:1:respawn:/sbin/rc1 >/dev/msglog 2<>/dev/msglog </dev/console s2:23:wait:/sbin/rc2 >/dev/msglog 2<>/dev/msglog </dev/console s3:3:wait:/sbin/rc3 >/dev/msglog 2<>/dev/msglog </dev/console s5:5:wait:/sbin/rc5 >/dev/msglog 2<>/dev/msglog </dev/console s6:6:wait:/sbin/rc6 >/dev/msglog 2<>/dev/msglog </dev/console fw:0:wait:/sbin/uadmin 2 0 >/dev/msglog 2<>/dev/msglog </dev/console of:5:wait:/sbin/uadmin 2 6 >/dev/msglog 2<>/dev/msglog </dev/console rb:6:wait:/sbin/uadmin 2 1 >/dev/msglog 2<>/dev/msglog </dev/console sc:234:respawn:/usr/lib/saf/sac -t 300 (Département IEM / UB) Organisation 113 / 1
114 Les scripts Enchaînement des scripts Lorsqu on change de niveau d exécution, init appelle les scripts de configuration pour effectuer les opérations de configuration, de lancement et d arrêt des différents services Ces scripts sont spécifiés dans le fichier /etc/inittab En général ils sont placés dans le répertoire /etc/rc.d/ ou /sbin/init.d/. Ce répertoire contient donc (en général) : le script exécuté lors du démarrage du système les scripts exécutés lors de l entrée dans un niveau d exécution les scripts exécutés lors de la sortie d un niveau d exécution On préfère une organisation plus rigoureuse ne place dans init.d que les scripts des services (Département IEM / UB) Organisation 114 / 1
115 Les scripts Enchaînement des scripts Le script appelé lors du démarrage du niveau est en général spécifié directement dans /etc/inittab Vous pouvez y ajouter les commandes spécifiques à votre système (par exemple les commandes de configuration du matériel) Ce fichier n est exécuté qu une seule fois et est placé directement dans /etc/rc.d/ ou dans /sbin/init.d/ Les scripts appelés lors du changement de niveau d exécution sont souvent placés dans des sous-répertoires du répertoire rc.d ou init.d. Ils sont classés à raison d un répertoire par niveau d exécution. Ces sous-répertoires portent le nom de rc0.d, rc1.d, rc2.d, etc. (Département IEM / UB) Organisation 115 / 1
116 Les scripts Enchaînement des scripts (Département IEM / UB) Organisation 116 / 1
117 Les scripts Enchaînement des scripts (Département IEM / UB) Organisation 117 / 1
118 Les scripts Enchaînement des scripts (Département IEM / UB) Organisation 118 / 1
119 Les scripts Enchaînement des scripts un seul script est exécuté par init lorsqu on change de niveau d exécution il se charge d exécuter les bons scripts dans les sous-répertoires de rc.d ou init.d. ce script principal est appelé avec le numéro du niveau d exécution en paramètre, et il commence par appeler les scripts de sortie du niveau d exécution courant, puis les scripts d entrée dans le nouveau niveau d exécution la distinction entre les scripts d entrée et de sortie dans chaque répertoire rcn.d se fait par la première lettre du script. Sur certaines distributions, la lettre K correspond aux scripts de sortie et la lettre S au script d entrée l ordre dans lequel ces scripts doivent être exécutés est indiqué par le nombre (Département IEM / UB) Organisation 119 / 1
120 Les scripts Enchaînement des scripts Il est assez courant (et même recommandé) que les répertoires rcx.d ne contiennent que des liens symboliques vers les fichiers de scripts ; Ceux-ci sont placés directement dans le répertoire /etc/rc.d/ ou plus souvent dans /etc/init.d Un même script peut être utilisé pour différents niveaux d exécution ; Il est assez courant qu un scripts gère à la fois l entrée et la sortie du niveau d exécution selon le paramètre qu il reçoit lors de son appel Parmi les paramètres, on retrouve : start, pour le démarrage du service stop, pour son arrêt (Département IEM / UB) Organisation 120 / 1
121 Les scripts Enchaînement des scripts De cette manière, vous pouvez ajouter ou supprimer des services simplement dans chaque niveau d exécution. Il suffit d écrire un fichier script capable de prendre en paramètre l action à réaliser sur le service (start ou stop), de le placer dans /etc/rc.d/ ou /etc/init.d/) et de créer les liens dans les sous-répertoires /etc/rc.d/rc?.d/ Dès lors, votre service sera arrêté ou redémarré selon le niveau d exécution dans lequel passera le système. (Département IEM / UB) Organisation 121 / 1
122 Lancement des services Notion de services et démons Notion de services et démons Les services sont des programmes qui permettent à un utilisateur distant de devenir utilisateur (réel ou virtuel) d une machine UNIX et par conséquent de l utiliser (éventuelement avec des ressources restreintes) Les services sont à l écoute des connexions sur ports TCP/IP Chaque port réseau (codé sur 16 bits) est associé à un service particulier, c est ce qui permet au noyau de délivrer les paquets aux processus concerné L utilisateur distant établit une connexion réseau avec la machine serveur puis le programme serveur (service ou démon), à l écoute du port (enregistré dans le noyau), accepte la connexion et traite la requête (éventuellement en se dupliquant) (Département IEM / UB) Organisation 122 / 1
123 Lancement des services Notion de démon Notion de démon Le mot démon vient du mot anglais daemon qui lui-même est un acronyme signifiant Disk And Execution MONitor Définition un processus qui s exécute en arrière-plan plutôt que sous le contrôle direct d un utilisateur. Les processus démons sont le plus souvent lancés lors de la phase de chargement du système d exploitation Ils servent en général à répondre à des requêtes du réseau, à gérer l activité du matériel ou à proposer des services à d autres programmes De manière plus spécifique, sous un système UNIX, un démon peut être n importe quel processus qui a le processus numéro 1 comme parent (init) (Département IEM / UB) Organisation 123 / 1
124 Lancement des services Notion de démon Notion de démon Tout processus dont le parent meurt sans attendre le statut de son processus enfant est adopté par init Pour lancer un démon fork off and die : "forker" une ou deux fois faire arrêter le parent quand l enfant à commencé ses opérations normales. Il existe également des processus qui ne peuvent pas être tués considérés comme les véritables démon du SE : X, inetd etc. (Département IEM / UB) Organisation 124 / 1
125 Lancement des services Deux modes de lancement des démons Deux modes de lancement des démons autonome : le démon écoute le port réseau désigné et lorsqu il y a une connexion, il prend lui-même la connexion en charge pour fournir le service (exemple httpd) esclave du démon inetd ou plus récement xinetd : (x)inetd est spécialisé pour les connexions réseau il possède un fichier de configuration qui indique quel programme doit être utilisé lorsqu une connexion entrante est reçue. Chacun des ports (service) doit être configuré soit avec le protocole tcp, soit avec le protocole udp. Les ports standards sont décrits dans le fichier /etc/services. (Département IEM / UB) Organisation 125 / 1
126 Lancement des services Fichiers de configuration Fichiers de configuration Il y a deux fichiers essentiels sur lesquels vous êtes succeptibles d intervenir : /etc/services qui enregistre les couples noms de service, numéros de port (pour ajouter un protocole) /etc/xinetd.conf ou /etc/inetd.conf qui sert pour la configuration du démon général et de ses services que nous developpons dans la partie suivante (pour lancer un nouveau service La sécurité de votre machine dépend en premier lieu de ces deux fichiers (Département IEM / UB) Organisation 126 / 1
127 Lancement des services Fichiers de configuration /etc/services Le fichier /etc/services est base de données qui associe des noms compréhensibles par l homme à des numéros de ports compréhensibles par la machine. Son format est simple : fichier texte dont chaque ligne comprend trois champs séparés par des espaces ou tabulations 1. nom : mot qui identifie le service décrit 2. port/protocole : ce champ est divisé en deux port : un nombre qui spécifie le numéro de port où le service désigné sera disponible. La plupart des services ont des numéros assignés (RFC-1340) protocole : c est soit tcp soit udp. 3. alias : autre nom utilisé pour désigner ce service (Département IEM / UB) Organisation 127 / 1
128 Lancement des services Fichiers de configuration Exemple : Tout texte apparaissant après le caractère # est ignoré et traité comme commentaire. echo 7/tcp echo 7/udp discard 9/tcp sink null discard 9/udp sink null systat 11/tcp users daytime 13/tcp daytime 13/udp netstat 15/tcp qotd 17/tcp quote chargen 19/tcp ttytst source chargen 19/udp ttytst source ftp-data 20/tcp ftp 21/tcp ssh 22/tcp # SSH Remote Login Protocol telnet 23/tcp smtp 25/tcp mail (Département IEM / UB) Organisation 128 / 1
129 Les supers démons inetd/xinetd inetd Le démon inetd 1. une requête arrive sur un port pris en charge par inetd 2. un processus est crée 3. la requête est transmise au processus Il est possible d installer un intermédiaire entre inetd et les processus : wrapper Dans ce la requête est transmise au wrapper tcpd : tcpd décide de l action à entreprendre relativement aux instructions contenues dans les fichiers hosts.{allow, deny} si la requête est autorisée, le démon associé la traite (Département IEM / UB) Organisation 129 / 1
130 Les supers démons inetd/xinetd inetd Le démon inetd Extrait du fichier de /etc/inetd.conf # <service_name> <sock_type> <proto> <flags> <user> <server_path> <args> telnet stream tcp nowait telnetd.telnetd /usr/sbin/tcpd /usr/sbin/in.telnetd talk dgram udp wait nobody.tty /usr/sbin/in.talkd in.talkd ntalk dgram udp wait nobody.tty /usr/sbin/in.ntalkd in.ntalkd smtp stream tcp nowait mail /usr/sbin/exim exim -bs imap2 stream tcp nowait root /usr/sbin/tcpd /usr/sbin/imapd imap3 stream tcp nowait root /usr/sbin/tcpd /usr/sbin/imapd (Département IEM / UB) Organisation 130 / 1
131 Les supers démons inetd/xinetd xinetd Principe d xinetd - extented Internet services daemon Fournit une excellente sécurité contre les intrusions Limite certains risques d attaques par Deny of Services (DoS) Basé sur les techniques éprouvée du couple inetd + tcpd (tcp wrapper) Permet de fixer des règles d accès à une machine, mais ses capacités s étendent bien au-delà (Département IEM / UB) Organisation 131 / 1
132 Les supers démons inetd/xinetd xinetd Extensions fournies par xinetd : contrôle d accès pour des services TCP, UDP et RPC contrôle d accès fondé sur des plages horaires journalisation et limitations sur la taille des fichiers de log prévention contre les attaques de type Deny of Services (DoS) limitations du nombre de serveurs d un même type limitations du nombre total de serveur attachement d un service à une interface particulière peut faire office de proxy vers d autres systèmes (Département IEM / UB) Organisation 132 / 1
133 Les supers démons inetd/xinetd xinetd xinetd : installation La compilation à partir des fichiers sources et l installation sont tout à fait classiques :./configure ; make ; make install Néanmoins deux options particulières sont à considérer : 1. with-libwrap : xinetd commencera par examiner les fichiers de configuration de tcpd (/etc/hosts.allow, deny) et ensuite, si l accès est accordé, il utilisera ses propres mécanismes de contrôle 2. with-loadavg : permet à xinetd de supporter l option de configuration max_load(charge maximale). Cela permet de désactiver certains services lorsque la charge de la machine dépasse le seuil donné, ce qui est essentiel pour prévenir certains DoS xinetd et inetd peuvent cohabiter, mais cela peut entraîner un comportement relativement imprévisible des deux démons (Département IEM / UB) Organisation 133 / 1
134 Les supers démons inetd/xinetd xinetd xinetd et les signaux : SIGUSR1 : reconfiguration soft, le fichier de configuration est relu et les paramètres des services sont ajustés ; SIGUSR2 : reconfiguration hard, comme ci-dessus, mais tue en plus les démons qui ne correspondent plus aux critères ; SIGTERM : termine xinetd et tous les démons qu il a générés. SIGHUP : redemarre xinetd (Département IEM / UB) Organisation 134 / 1
135 Les supers démons inetd/xinetd xinetd : configuration structure du fichier /etc/xinetd.conf Le fichier de configuration comprend : une section défaut dont les attributs seront utilisés pour tous les services pris en charge defaults { attribut opérateur valeur(s)... } les sections spécifiques : autant de sections que de services désirés, chacune pouvant redéfinir des options qui lui seront spécifiques par rapport à celles par défaut service nom_du_service { attribut opérateur valeur(s)... } (Département IEM / UB) Organisation 135 / 1
136 Les supers démons inetd/xinetd xinetd : configuration Exemple : l attribut only_from permet de stipuler une liste d adresses autorisées à se connecter au serveur only_from= / / Si cet attribut est dans defaults, tous les services déclarés autorisent l accès aux machines dont les adresses correspondent Il est néanmoins possible de modifier ces valeurs par défaut au sein de chaque service (Département IEM / UB) Organisation 136 / 1
137 Les supers démons inetd/xinetd xinetd : configuration Les opérateurs Trois opérateurs sont disponibles =, += et -= : = fixe une valeur à un attribut (la plupart des attributs ne supporte que l opérateur =) += ajoute un élément à une liste de valeurs -= retire un élément (Département IEM / UB) Organisation 137 / 1
138 Les supers démons inetd/xinetd xinetd : configuration Les attributs (1) flags : IDONLY : n accepte de connexions que des clients qui disposent d un serveur d identification NORETRY : évite que le processus soit à nouveau crée en cas d échec log_type : xinetd utilise syslogd par défaut SYSLOG sélecteur [level] : permet de choisir parmi les entrées daemon, auth, user ou local0-7 de syslogd ; FILE [taille_max[ taille_max_absolue ]] : le fichier spécifié reçoit les informations. Les deux options fixent des limites de taille du fichier. La première provoque l émission d un message vers syslogd, la seconde arrête l enregistrement des logs pour le service concerné (Département IEM / UB) Organisation 138 / 1
139 Les supers démons inetd/xinetd xinetd : configuration Les attributs (2) log_on_success enregistrement des infos au démarrage du serveur PID : le PID du serveur (service interne à xinetd, le PID vaut alors 0) HOST : l adresse du client USERID : l identité de l utilisateur distant, (RFC1413) EXIT : le statut de sortie du processus DURATION : la durée de la session log_on_failure HOST, USERID ATTEMPT : enregistre le fait qu une tentative d accès a eu lieu RECORD : enregistre toutes les informations disponibles sur le client (Département IEM / UB) Organisation 139 / 1
140 Les supers démons inetd/xinetd xinetd : configuration Les attributs (3) no_access liste des clients dont on refuse les connexions à ce service only_from liste des clients autorisés, si cet attribut n a pas de valeur, l accès à ce service est interdit port associé au service, si celui-ci est également défini dans /etc/services, les ports doivent correspondre protocol le protocole stipulé doit exister dans /etc/protocols, s il n en est pas fournit, le protocole par défaut associé à ce service est employé server chemin vers le serveur à utiliser cps limite le nombre de connexions entrantes, premier argument = nombre, lorsque ce seuil est dépassé, le service se désactive pour un délai, exprimé en secondes, fourni par le second argument (Département IEM / UB) Organisation 140 / 1
141 Les supers démons inetd/xinetd xinetd : configuration Les attributs (4) instancesnombre maximal de serveurs d un même type pouvant fonctionner en même temps max_loadcharge maximale pour un serveur, au-delà les requêtes sur ce serveur sont rejetées per_source soit un entier, soit UNLIMITED, restreint le nombre de connexions de la même origine wait comportement du service vis-à-vis des threads. yes : le service est mono-thread, une seule connexion de ce type peut-être gérée à la fois par le service no : à chaque nouvelle requête vers le service, un nouveau serveur est démarré par xinetd, dans la limite maximale définie (Département IEM / UB) Organisation 141 / 1
142 Les supers démons inetd/xinetd xinetd : configuration Exemple jaromil root # cd /etc/xinetd.d/ jaromil xinetd.d # ls cups-lpd cvspserver swat jaromil xinetd.d # more * :::::::::::::: cups-lpd :::::::::::::: # default: off # description: The cups-lpd mini daemon accepts jobs from a remote LPD client. # $Header: /var/cvsroot/gentoo-x86/net-print/cups/files/cups.xinetd,v /0 7/18 04:18:17 dragonheart Exp $ service printer { socket_type = stream protocol = tcp wait = no user = lp server = /usr/lib/cups/daemon/cups-lpd disable = yes } (Département IEM / UB) Organisation 142 / 1
143 Les supers démons inetd/xinetd xinetd : configuration Exemple # default: on # description: The telnet server serves telnet sessions; it uses \ # unencrypted username/password pairs for authentication. service telnet { disable = no only-from = / /24 flags = REUSE socket_type = stream wait = no user = root server = /usr/sbin/in.telnetd log_on_failure += USERID } (Département IEM / UB) Organisation 143 / 1
144 ssh et administration SSH : la génération de clés Cette méthode de connexion peut-être utilisée : pour l administration à distance d une machine ; pour la synchronisation des répertoires utilisateur (web) via rsync par exemple. Attention : ce mécanisme suppose que la clé privée du serveur est gardée en sécurité. # génération des clés publiques et privées du serveur # cette étape n est à faire qu une seule fois ssh-keygent -t dsa # ne pas entrer de passphrase seulement CR # en résultat deux fichiers ont été générés : # la clé privée # /root/.ssh/id_dsa # la cle publique # /root/.ssh/id_dsa.pub # copier la clé publique sur les machines distantes puis # la concatener au fichier authorized_keys du répertoire.ssh cat id_dsa.pub >> /root/.ssh/authorized_keys # faire un test depuis le serveur (Département IEM / UB) Organisation 144 / 1
145 ssh et administration Création de tunnel ssh Un tunnel permet de faire transiter dans une communication cryptée tout protocole non sûre. Les tunnels ssh s appuient sur le renvoi de port (port forwarding) utilisation de l option -L de n importe quel client ssh diposer d une connexion ssh sur un serveur créer le tunnel et se connecter sur un port local Syntaxe générale : ssh -L sortant :localhost :entrant login@serveurssh (Département IEM / UB) Organisation 145 / 1
146 Synchronisation des horloges NTP Le protocole NTP Il faut avant tout vérifier que le service ntpd est bien démarré : lancer l utilitaire d administration setup pour les machines sous RedHat et choisir system services. Le fichier /etc/ntp.conf doit contenir les lignes suivantes : server ntp.univ-lyon1.fr fudge ntp.univ-lyon1.fr stratum 10 Il est possible de la configurer soit en editant directement le fichier /etc/ntp.conf ou en utilisant l outil graphique redhat-config-time. (Département IEM / UB) Organisation 146 / 1
147 Proxy cache Le proxy cache SQUID Squid est un serveur proxy cache qui supporte les protocoles HTTP, FTP et SSL : un proxy est un mandataire lorsqu un passerelle joue également le rôle de proxy, cela signifie que les postes clients : ne se connectent pas directement à Internet, ils demandent au proxy de télécharger pour eux les pages dont ils ont besoin. il sera donc possible d effectuer un filtrage sur les connexion lors de l action du proxy (redirecteur) (Département IEM / UB) Organisation 147 / 1
148 Proxy cache Installation Préparation : # groupadd proxy # useradd -g proxy proxy # passwd proxy # mkdir /var/log/squid => stockage des logs # mkdir /home/squid => stockage de cache # chwon proxy:proxy /var/log/squid /home/squid Hypothèse réseau : Adressage de type : x Adresse du serveur proxy : Nom du serveur proxy : serveur Port d écoute de Squid : Postes client : et plage à (Département IEM / UB) Organisation 148 / 1
149 Proxy cache Installation ##### /etc/squid/squid.conf #####... http_port : cache_mem 100 MB... cache_dir ufs /var/spool/squid cache_access_log /var/log/squid/access.log cache_log /var/log/squid/cache.log cache_store_log /var/log/squid/store.log... # ACL : les acl permettent de spécifier les autorisations # d accès sur certains ports, et les adresses ip des stations # l ordre donné est important acl all src / acl localhost src / acl serveur src acl poste src acl plageclients src (Département IEM / UB) Organisation 149 / 1
150 Proxy cache Installation... http_access allow serveur... http_access allow poste http_access allow plageclients # utilisateur et le groupe qui lance Squid : cache_effective_user proxy cache_effective_group proxy... # le nom de machine qui est serveur squid visible_hostname serveur... httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on Il faut initialiser le cache à la première utilisation (structure de hachage) /usr/sbin/squid -z (Département IEM / UB) Organisation 150 / 1
151 Proxy cache Redirections Deux cas : le proxy est la passerelle : iptables -t nat -A PREROUTING -s / p tcp -m tcp --dport 80 -j REDIRECT --to-port 3128 le proxy est une autre machine iptables -t nat -A PREROUTING -s / p tcp -m tcp --dport 80 -j DNAT --to-destination :3128 (Département IEM / UB) Organisation 151 / 1
152 Configuration automatique des hôtes d un réseau Aperçu du protocole DHCP Aperçu du protocole DHCP Le service DHCP (Dynamic Host Configuration Protocol) est un système qui permet d attribuer dynamiquement une adresse IP à un poste qui se connecte au réseau Le serveur DHCP fournit également d autres informations comme la passerelle par défaut et les serveurs DNS etc. (Département IEM / UB) Organisation 152 / 1
153 Configuration automatique des hôtes d un réseau Le dialogue C/S pour le protocole DHCP Dialogue C/S Le dialogue entre le client et le serveur est décrit de la manière suivante : 1) Lorsque le client DHCP démarre, il n a aucune connaissance du réseau, il envoie donc une trame DHCPDISCOVER, destinée à trouver un serveur DHCP. Cette trame est un broadcast. N ayant pas encore d adresse IP, il utilise provisoirement l adresse Ce n est pas avec cette adresse que le DHCP va pouvoir l identifier, il fournit donc aussi sa MAC Address ; (Département IEM / UB) Organisation 153 / 1
154 Configuration automatique des hôtes d un réseau Le dialogue C/S pour le protocole DHCP Dialogue C/S 2) Le ou les serveurs DHCP du réseau qui vont recevoir cette trame vont répondre par un DHCPOFFER. Cette trame, elle aussi en broadcast car il n est pas encore possible d atteindre le client qui n a pas encore d adresse IP valide. Elle contient une proposition de bail et la MAC Address du client, avec également l adresse IP du serveur. Tous les DHCP répondent et le client normalement accepte la première réponse venue ; (Département IEM / UB) Organisation 154 / 1
155 Configuration automatique des hôtes d un réseau Le dialogue C/S pour le protocole DHCP Dialogue C/S 3) Le client répond ensuite par un DHCPREQUEST toujours en broadcast (donc à tous les serveurs) pour indiquer quelle offre il accepte ; 4) Le serveur DHCP Concerné répond définitivement par un DHCPACK qui constitue une confirmation du bail. L adresse du client est alors marquée comme utilisée et ne sera plus proposée à un autre client pour toute la durée du bail. (Département IEM / UB) Organisation 155 / 1
156 Configuration automatique des hôtes d un réseau Le dialogue C/S pour le protocole DHCP Principe du bail Un serveur DHCP dispose d une plage d adresses à distribuer aux clients. Il tient à jour une table des adresses déjà utilisées et utilisées récement. Lorsqu il attribue une adresse, il le fait par l intermédiaire d un bail. Ce bail a normalement une durée limitée dans le temps. Sur un réseau d entreprise où l on dispose largement d assez d adresses pour le nombre de postes et que ces derniers sont en service toute la journée, le bail peut être d une semaine ou plus encore. En pratique, il est recommandé de ne pas créer de baux inutilement courts, ceci entraînant une augmentation significative du broadcast sur le réseau. Le compromis est à trouver entre la durée moyenne de connexion des utilisateurs, la réserve d adresses IP du serveur, le nombre d abonnés. (Département IEM / UB) Organisation 156 / 1
157 Configuration automatique des hôtes d un réseau Le dialogue C/S pour le protocole DHCP Principe du bail Après expiration du bail, ou résiliation par le client, les informations concernant ce bail restent mémorisées dans les tables du serveur pendant un certain temps. Bien que l adresse IP soit disponible, elle ne sera pas attribuée en priorité à une autre machine. C est ce qui explique que l on retrouve souvent la même adresse d une session à l autre. Dans le bail, il y a non seulement une adresse IP pour le client, avec une durée de validité, mais également d autres informations de configuration comme : l adresse d un ou de plusieurs DNS (résolution de noms) ; l adresse de la passerelle par défaut ; l adresse du serveur DHCP. (Département IEM / UB) Organisation 157 / 1
158 Configuration automatique des hôtes d un réseau Le dialogue C/S pour le protocole DHCP Principe du bail Lorsque le bail arrive à la moitié de son temps de vie, le client va essayer de renouveler ce bail, cette fois-ci en s adressant directement au serveur qui le lui a attribué. Il n y aura alors qu une requête DHCPREQUEST et un DHCPACK. Si, au bout des 7/8èmes de la durée de vie du bail en cours, ce dernier n a pu être renouvelé, le client essayera d obtenir un nouveau bail auprès d un DHCP quelconque qui voudra bien lui répondre. Il est alors possible que le client change d adresse IP en cours de session. Normalement, cette situation ne devrait pas se produire, sauf en cas de panne du DHCP. (Département IEM / UB) Organisation 158 / 1
159 Configuration automatique des hôtes d un réseau Configuration du serveur Packages Sur Linux Redhat l installation se fait via le package dhcpcd pl8-13 ou supérieur. Il y a un seul fichier de configuration : /etc/dhcpd.conf. Il y a deux choses essentielles à configurer : la réserve d adresses dont le serveur pourra disposer pour les attribuer aux clients les paramètres optionnels à leur communiquer, comme l adresse d un DNS et de la passerelle par défaut. Il est possible de définir des options globales, qui seront les mêmes pour tous les clients du DHCP, tous sous réseaux confondus et des options propres à chaque sous réseau, celles-ci écrasant les options globales, en cas de conflit. (Département IEM / UB) Organisation 159 / 1
160 Configuration automatique des hôtes d un réseau Configuration du serveur Exemple nous avons un seul réseau, avec des IP choisies dans la classe C privée 10.X.Y.0, donc avec un masque ; nous avons une passerelle par défaut pour tous nos hôtes du réseau, dans l exemple, ce sera 10.X.Y.1 ; nous disposons d un DNS, unique pour tous les hôtes du réseau, ; sur la totalité de la classe C disponible, nous allons réserver les adresses comprises entre 10.X.Y.101 et 10.X.Y.199 pour les clients du réseau. Cette plage constituera la réserve d adresses que le DHCP pourra fournir aux clients ; la durée de vie du bail que le DHCP va attribuer aux clients. Dans l exemple, nous utiliserons environ 2 heures. (Département IEM / UB) Organisation 160 / 1
161 Configuration automatique des hôtes d un réseau Configuration du serveur Exemple de fichier dhcp.conf default-lease-time 6000; max-lease-time 72000; option subnet-mask ; option broadcast-address ; option routers ; option domain-name-servers ; subnet netmask { # range ; } host epn-0101 { hardware ethernet 00:C0:A8:F4:8B:56; fixed-address ; option host-name "poste-0101"; } host epn-0102 { hardware ethernet 00:C0:A8:F4:9C:11; fixed-address ; option host-name "poste-0102"; } L option domain-name-servers sert à attribuer aux hôtes une adresse de DNS. L option domain-name est optionnelle, elle permet aux clients de savoir dans quel domaine ils sont enregistrés. L option routers permet de définir la passerelle par défaut. (Département IEM / UB) Organisation 161 / 1
162 Configuration automatique des hôtes d un réseau Configuration du serveur Améliorations le daemon DHCPd écoute par défaut sur toutes les interfaces réseau actives sur le serveur. Ce n est pas forcément souhaitable. Ce comportement par défaut peut être modifié, non pas dans le fichier de configuration mais dans le script de démarrage. Il faut utiliser un paramètre dans la ligne de commande qui va démarrer DHCPd. Généralement il faut éditer le script /etc/sysconfig/dhcpd et il faut spécifier le nom de la ou des interfaces qui doivent êtres écoutées. Dans notre cas, nous aurons par exemple : INTERFACES="eth1" ; (Département IEM / UB) Organisation 162 / 1
163 Configuration automatique des hôtes d un réseau Configuration du serveur Améliorations il est également possible de ne pas répondre aux clients dont on ne connait pas l adresse MAC : deny unknown clients ; ; l historique requêtes DHCP et les messages d erreur ou d avertissement sont enregistrés dans /var/log/messages. Il est possible de modifier ne fichier de log afin de ne pas le remplir inutilement : dans dhcpd.conf, ajouter la ligne log-facility dhcpd ; dans syslog.conf, ajouter dhcpd.* /var/log/dhcpd.log (Département IEM / UB) Organisation 163 / 1
164 Configuration automatique des hôtes d un réseau Configuration des clients Fichiers coté client Utiliser l interface graphique ou le fichier de configuration pour indiquer au client de se configurer via dhcp (/etc/sysconfig/network-scripts/ifcfg-eth0 sous RedHat). DEVICE="eth0" BOOTPROTO="dhcp" IPADDR="" NETMASK="" ONBOOT="yes" Modifier le fichier /etc/network/interfaces sur les distribution Debian. (Département IEM / UB) Organisation 164 / 1
165 Le partage de fichiers Principe Partage de fichiers via NFS Le protocole NFS (Network File System) est utilisé à l intérieur d un réseau local pour partager les systèmes fichiers entre machines Il repose sur UDP et les services RPC NFS est développé principalement dans le monde UNIX (NFS v3, NFS v4) Serveurs dédiés (Appliance) Reproches en terme de sécurité et de performances Néanmoins des évolutions utilisant du chiffrement (NFS v4?) Il existe des outils concurrents comme AFS par exemple (Département IEM / UB) Organisation 165 / 1
166 Le partage de fichiers Configuration du serveur NFS Configuration du serveur NFS Il faut d abord s assurer que le service nfs est lancé : /etc/init.d/nfsd start. Vérifier aussi qu il est activé dans les services démarrant au boot (utilitaire setup sous les distribution type RedHat). Éditer le fichier /etc/exports et définir les partages. /home (rw) (rw) (rw) La commande exportfs permet de lister les répertoire partagés, l option -a remet à jour les exportation en cas de changement. Attention : écrire la liste des machines sur une même ligne, ne pas mettre d espace avant les parenthèses (risque de se retrouver avec un partage valable pour toute machine de l internet) (Département IEM / UB) Organisation 166 / 1
167 Le partage de fichiers Configuration du serveur NFS Options de partage ro : n autorise que des requêtes en lecture-seule sur ce volume NFS. Le comportement par défaut autorise également les requêtes en écriture, ce que l on peut également mentionner explicitement en utilisant l option rw. async : consulter la documentation de J. Procaccia pour une étude des optimisations root_squash/no_root_squash : transforme les requêtes de couple UID/GID 0 (c-à-d root) en UID/GID anonymes (nobody par exemple). Ceci ne s applique pas aux autres couples UID/GID sensibles comme bin. (Département IEM / UB) Organisation 167 / 1
168 Le partage de fichiers Configuration des clients NFS Client Sur les clients NFS il suffit juste de modifier le fichier /etc/fstab pour monter un répertoire partagé :/home /home nfs defaults 0 0 La commande mount suivie du point de montage permet de tester la validité de la ligne ajoutée. Le fichier fstab sera relu et exécuté complètement au reboot de la machine. Les autres options de montage s appliquent : noexec, nosuid (Département IEM / UB) Organisation 168 / 1
169 Authentification centralisée Services NIS (1/2) NIS signifie Network Information Service Utilise des tables (version binaire indéxée des principaux fichiers de configuration) Repose sur une notion de domaine (différent du nom de domaine Internet) Propose de mécanismes de redondance (serveur escalves) Un service RPC nommé ypserv est utilisé en conjonction de portmap pour distribuer les tables des comptes utilisateur ainsi que d autres information (sensibles) à n importe quel machine connectée au domaine NIS. (Département IEM / UB) Organisation 169 / 1
170 Authentification centralisée Services NIS (2/2) Un serveur NIS comprend les services suivants : /usr/sbin/rpc.yppasswdd pour permettre aux utilisateur de changer leur mot de passe ; /usr/sbin/yppush pour propager les tables à des serveurs NIS esclaves ; /usr/sbin/rpc.ypxfrd pour transferer les tables au travers du réseau ; /usr/sbin/ypserv pour l authentification. Sur les clients NIS, le service symétrique de ypserv est ypbind. (Département IEM / UB) Organisation 170 / 1
171 Authentification centralisée Configuration du serveur Éditer le fichier /var/yp/securenets et ajouter les réseaux concernes. Le service NIS répond, par défaut, à toutes les requêtes. Le paramétrage des éléments de /var/yp/securenets se fait sous la forme de couples netmask/network comme par exemple : Cette technique ne peut pas protéger d attaques de type IP spoofing mais permet déjà une protection simple. (Département IEM / UB) Organisation 171 / 1
172 Authentification centralisée Configuration du serveur Éditer le fichier /etc/sysconfig/network, il doit contenir la ligne : NISDOMAIN=mondom. Éditer le fichier /etc/yp.conf, il doit contenir la ligne : domain mondom server localhost afin de permettre au serveur d être son propre client. Initialiser le domaine NIS : /usr/lib/yp/ypinit -m Le serveur est intialisé et lancé par : /etc/init.d/ypserv start (Département IEM / UB) Organisation 172 / 1
173 Authentification centralisée Configuration du serveur Pour créer des utilisateur, il suffit de créer un utilisateur traditionnel et de demander la mise à jour des tables NIS à partir du fichier /etc/passwd. Si il existe des esclaves il faut forcer make a pousser les tables NIS sur les escalve. Pour cela mettre la ligne NOPUSH=FALSE dans le fichier /var/yp/make useradd -g user utili passwd utili cd /var/yp make (Département IEM / UB) Organisation 173 / 1
174 Authentification centralisée Configuration d un client Éditer le fichier /etc/sysconfig/network, il doit contenir la ligne : NISDOMAIN=nomdom. Éditer le fichier /etc/yp.conf, il doit contenir la ligne : domain nomdom server Sur le client les services portmap, ypbind et yppasswd doivent être lancés. Remarque : afin de faciliter l administration des postes client et de les rendre indépendant du serveur NIS, il est possible d utiliser l option broadcast pour demander une recherche d un serveur NIS dans le réseau. (Département IEM / UB) Organisation 174 / 1
175 Authentification centralisée Initialisation (ré-) d un serveur NIS esclave L (ré)initialisation d un serveur NIS suit les étapes : 1. éditer le fichier /etc/yp.conf fixer l adresse du serveur principal (le poste ne doit plus être son propore client) : domain nomdom server arrêter les services : /etc/init.d/ypbind stop /etc/init.d/ypserv stop 3. effacer les tables : rm -r /var/yp/nomdom 4. relancer les services : /etc/init.d/ypbind start /etc/init.d/ypserv start 5. rappatrier les tables depuis le serveur NIS maître et initialiser le serveur NIS escalve : cd /usr/lib/yp/./ypinit -s nomdom 6. ensuite rechanger /etc/yp.conf afin que le serveur esclave soit son propre client : domain nomdom server localhost (Département IEM / UB) Organisation 175 / 1
Licence 3 Systèmes et Réseaux II. Chapitre V : Filtrage
Licence 3 Systèmes et Réseaux II Chapitre V : Filtrage Département IEM / UB [email protected] Bureau G212 Aile des Sciences de l Ingénieur Mise-à-jour : février 2009 (Département IEM / UB) Filtrage
Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall
Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A TP réseau firewall L objectif de ce TP est de comprendre comment mettre en place un routeur pare-feu (firewall) entre
Sécurité des réseaux Firewalls
Sécurité des réseaux Firewalls A. Guermouche A. Guermouche Cours 1 : Firewalls 1 Plan 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et
Introduction. Adresses
Architecture TCP/IP Introduction ITC7-2: Cours IP ESIREM Infotronique Olivier Togni, LE2I (038039)3887 [email protected] 27 février 2008 L Internet est basé sur l architecture TCP/IP du nom
L3 informatique Réseaux : Configuration d une interface réseau
L3 informatique Réseaux : Configuration d une interface réseau Sovanna Tan Septembre 2009 Révision septembre 2012 1/23 Sovanna Tan Configuration d une interface réseau Plan 1 Introduction aux réseaux 2
Présentation du modèle OSI(Open Systems Interconnection)
Présentation du modèle OSI(Open Systems Interconnection) Les couches hautes: Responsables du traitement de l'information relative à la gestion des échanges entre systèmes informatiques. Couches basses:
FILTRAGE de PAQUETS NetFilter
TP RESEAUX MMI Semestre 3 FILTRAGE de PAQUETS NetFilter OBJECTIF : Introduction à Netfilter. Configuration d'un firewall. MATERIELS : (Machines Virtuelles) 1 Serveur Debian avec apache d'installé, 1 Poste
Plan. Programmation Internet Cours 3. Organismes de standardisation
Plan Programmation Internet Cours 3 Kim Nguy ên http://www.lri.fr/~kn 1. Système d exploitation 2. Réseau et Internet 2.1 Principes des réseaux 2.2 TCP/IP 2.3 Adresses, routage, DNS 30 septembre 2013 1
TP SECU NAT ARS IRT 2010 2011 ( CORRECTION )
TP SECU NAT ARS IRT 2010 2011 ( CORRECTION ) Présentation du TP le firewall sera une machine virtuelle sous Devil Linux le firewall a deux cartes réseaux eth0 ( interface externe ) et eth1 (interface interne)
2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.
2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement
II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)
II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection) II.2/ Description des couches 1&2 La couche physique s'occupe de la transmission des bits de façon brute sur un canal de
Internet Protocol. «La couche IP du réseau Internet»
Internet Protocol «La couche IP du réseau Internet» Rôle de la couche IP Emission d un paquet sur le réseau Réception d un paquet depuis le réseau Configuration IP par l administrateur Noyau IP Performance
Formation Iptables : Correction TP
Table des matières 1.Opérations sur une seule chaîne et sur la table filter:...2 2.Opérations sur plusieurs chaînes et sur la table filter:...5 3.Opérations sur plusieurs chaires et sur plusieurs tables
TP Linux : Firewall. Conditions de réalisation : travail en binôme. Fonctionnement du parefeu Netfilter. I Qu est ce qu'un firewall?
TP Linux : Firewall Objectif : Réaliser un firewall simple par filtrage de paquet avec iptables sous Linux Matériel : 1 serveur Linux S configuré en routeur entre le réseau du lycée qui représentera le
Linux Firewalling - IPTABLES
Linux Firewalling - IPTABLES Aujourd hui tout le monde sait ce que c est qu un firewall ainsi que son utilité sur un réseau, un serveur ou même un ordinateur personnel. En gros, c est la partie du système
Configuration réseau Basique
Configuration réseau Basique 1. Configuration réseau bas niveau Les outils de configuration réseau bas niveau traditionnels des systèmes GNU/Linux sont les programmes ifconfig et route qui viennent dans
Les firewalls libres : netfilter, IP Filter et Packet Filter
Les firewalls libres : netfilter, IP Filter et Packet Filter Linux Expo Paris 1er Février 2002 Jean-Baptiste Marchand [email protected] Hervé Schauer Consultants Firewalls libres : netfilter,
EPREUVE PRATIQUE DES TECHNIQUES INFORMATIQUES ACTIVITE N 1. Thème de l activité : Configuration d un firewall
B.T.S Informatique de Gestion Option Administrateur de Réseaux Locaux d Entreprise Session 2004/2005 EPREUVE PRATIQUE DES TECHNIQUES INFORMATIQUES Nom et prénom du candidat : TAGLIAFERRI Eric ACTIVITE
Devoir Surveillé de Sécurité des Réseaux
Année scolaire 2009-2010 IG2I L5GRM Devoir Surveillé de Sécurité des Réseaux Enseignant : Armand Toguyéni Durée : 2h Documents : Polycopiés de cours autorisés Note : Ce sujet comporte deux parties. La
DHCP et NAT. Cyril Rabat [email protected]. Master 2 ASR - Info09115 - Architecture des réseaux d entreprise 2012-2013
DHCP et NAT Cyril Rabat [email protected] Master 2 ASR - Info09115 - Architecture des réseaux d entreprise 22-23 Cours n 9 Présentation des protocoles BOOTP et DHCP Présentation du NAT Version
Administration Réseaux
M1 Réseaux Informatique et Applications Administration Réseaux Travaux Pratique n 2 : Firewall Auteurs : Professeur : Patrick Guterl A rendre pour le Mardi 27 Mars 2007 Chapitre : / Préliminaires Préliminaires
Sécurité et Firewall
TP de Réseaux IP pour DESS Sécurité et Firewall Auteurs: Congduc Pham (Université Lyon 1), Mathieu Goutelle (ENS Lyon), Faycal Bouhafs (INRIA) 1 Introduction: les architectures de sécurité, firewall Cette
Chapitre I. La couche réseau. 1. Couche réseau 1. Historique de l Internet
Chapitre I La couche réseau 1. Couche réseau 1 Historique de l Internet Né 1969 comme projet (D)ARPA (Defense) Advanced Research Projects Agency; US Commutation de paquets Interconnexion des universités
Sécurité GNU/Linux. Iptables : passerelle
Sécurité GNU/Linux Iptables : passerelle By sharevb Sommaire I.Rappels...1 a)les différents types de filtrages : les tables...1 b)fonctionnement de base : les chaînes et les règles...1 II.La table nat
Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage:
Administration d un Intranet Rappel: Le routage dans Internet La décision dans IP du routage: - Table de routage: Adresse destination (partie réseau), netmask, adresse routeur voisin Déterminer un plan
Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux
Réseaux Evolutions topologiques des réseaux locaux Plan Infrastructures d entreprises Routeurs et Firewall Topologie et DMZ Proxy VPN PPTP IPSEC VPN SSL Du concentrateur à la commutation Hubs et switchs
Le filtrage de niveau IP
2ème année 2008-2009 Le filtrage de niveau IP Novembre 2008 Objectifs Filtrage : Le filtrage permet de choisir un comportement à adopter vis à vis des différents paquets émis ou reçus par une station.
TP4 : Firewall IPTABLES
Module Sécurité TP4 : Firewall IPTABLES Ala Rezmerita François Lesueur Le TP donnera lieu à la rédaction d un petit fichier texte contenant votre nom, les réponses aux questions ainsi que d éventuels résultats
Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT
Administration Réseau Niveau routage Intérêt du NAT (Network Address Translation) Possibilité d utilisation d adresses privées dans l 4 2 1 Transport Réseau Liaison Physique Protocole de Transport Frontière
Exemples de commandes avec iptables.
Exemples de commandes avec iptables. * Présentation d'iptables IpTables est une solution complète de firewall (noyau 2.4) remplaçant ipchains (noyau 2.2) tournant sous le système GNU/Linux. IpTables permet
Sécuriser son réseau. Sécuriser son réseau Philippe Weill (IPSL/LATMOS) Frédéric Bongat (SSI/GOUV/FR)
Sécuriser son réseau Sécuriser son réseau Philippe Weill (IPSL/LATMOS) Frédéric Bongat (SSI/GOUV/FR) Plan Rappel IP Techniques et outils Réseaux Outils réseaux ( sniffer,scanner ) Translation d adresse
TP : Introduction à TCP/IP sous UNIX
1 Introduction TP : Introduction à TCP/IP sous UNIX Le but de cette séance est de vous familiariser au fonctionnement de la pile TCP/IP sous UNIX. Les systèmes UNIX (Linux, FreeBSD, Solaris, HPUX,...)
DIFF AVANCÉE. Samy. [email protected]
DIFF AVANCÉE Samy [email protected] I. RETOUR SUR QUELQUES PROTOCOLES COUCHE FONCTIONS Protocoles 7 Application 6 Présentation 5 Session 4 Transport 3 Réseau 2 Liaison 1 Physique Interface entre l utilisateur
M1101a Cours 4. Réseaux IP, Travail à distance. Département Informatique IUT2, UPMF 2014/2015
M1101a Cours 4 Réseaux IP, Travail à distance Département Informatique IUT2, UPMF 2014/2015 Département Informatique (IUT2, UPMF) M1101a Cours 4 2014/2015 1 / 45 Plan du cours 1 Introduction 2 Environnement
SOMMAIRE : CONFIGURATION RESEAU SOUS WINDOWS... 2 INSTRUCTIONS DE TEST DE CONNECTIVITE... 5
SOMMAIRE : CONFIGURATION RESEAU SOUS WINDOWS... 2 INTRODUCTION... 2 CONFIGURATION DE L INTERFACE RESEAU... 3 INSTRUCTIONS DE TEST DE LA CONNECTIVITE.... 5 INTRODUCTION... 5 INSTRUCTIONS DE TEST DE CONNECTIVITE...
Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86
Tunnels et VPN 22/01/2009 Formation Permanente Paris6 86 Sécurisation des communications Remplacement ou sécurisation de tous les protocoles ne chiffrant pas l authentification + éventuellement chiffrement
Plan du Travail. 2014/2015 Cours TIC - 1ère année MI 30
Plan du Travail Chapitre 1: Internet et le Web : Définitions et historique Chapitre 2: Principes d Internet Chapitre 3 : Principaux services d Internet Chapitre 4 : Introduction au langage HTML 2014/2015
SYSTEME DE GESTION DES ENERGIES EWTS EMBEDDED WIRELESS TELEMETRY SYSTEM
SYSTEME DE GESTION DES ENERGIES EWTS EMBEDDED WIRELESS TELEMETRY SYSTEM Copyright TECH 2012 Technext - 8, avenue Saint Jean - 06400 CANNES Société - TECHNEXT France - Tel : (+ 33) 6 09 87 62 92 - Fax :
Filtrage IP MacOS X, Windows NT/2000/XP et Unix
Filtrage IP MacOS X, Windows NT/2000/XP et Unix Cette présentation, élaborée dans le cadre de la formation SIARS, ne peut être utilisée ou modifiée qu avec le consentement de ses auteur(s). MacOS/NT/Unix
Environnements informatiques
Environnements informatiques Premiers pas sous Linux (seconde partie) 26 septembre 2008 [email protected] 1 /12 Administration sous Linux 2 /12 Démarrage Démarrage de Linux Niveaux de démarrage
pare - feu généralités et iptables
pare - feu généralités et iptables Cycle Ingénierie 3e année SRT Dernière mise à jour : 12/12/2006 Adrien URBAN pare-feu général routeurs pare-feu sans état pare-feu avec état pare-feu avec état et inspection
Introduction aux Technologies de l Internet
Introduction aux Technologies de l Internet Antoine Vernois Université Blaise Pascal Cours 2006/2007 Introduction aux Technologies de l Internet 1 Au programme... Généralités & Histoire Derrière Internet
Proxy et reverse proxy. Serveurs mandataires et relais inverses
Serveurs mandataires et relais inverses Qu'est-ce qu'un proxy? Proxy = mandataire (traduction) Un proxy est un service mandataire pour une application donnée. C'est à dire qu'il sert d'intermédiaire dans
Services Réseaux - Couche Application. TODARO Cédric
Services Réseaux - Couche Application TODARO Cédric 1 TABLE DES MATIÈRES Table des matières 1 Protocoles de gestion de réseaux 3 1.1 DHCP (port 67/68)....................................... 3 1.2 DNS (port
Iptables. Table of Contents
Iptables Dérnières modifications : Monday 07 April 2003 La dérnière version de ce document est disponible ici : http://tuxz.org/cours/iptables/ Stéphane Salès [email protected] Table of Contents 1.COURS
TP 3 Réseaux : Subnetting IP et Firewall
TP 3 Réseaux : Subnetting IP et Firewall Durée approximative du temps à passer sur chaque partie: I) 1h II-A) 1h II-B) 1h II-C) 45 mn II-D) 15 mn Important Il est nécessaire de ne pas avoir de services
Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203 mailto://[email protected]
M1 Informatique Réseaux Filtrage Bureau S3-203 mailto://[email protected] Sécurité - introduction Au départ, très peu de sécurité dans les accès réseaux (mots de passe, voyageant en clair) Avec
avec Netfilter et GNU/Linux
1/53 Sécurité/Firewall avec Netfilter et GNU/Linux 2/53 Copyright c 2002 Vincent Deffontaines, Hervé Eychenne, Jean-Pierre Messager, Alcôve. Ce document peut être reproduit, distribué et/ou modifié selon
Master 1 ère année. UE Réseaux Avancés I. Corrections décembre 2012. Durée : 2h Documents autorisés
Master 1 ère année UE Réseaux Avancés I Corrections décembre 2012 Durée : 2h Documents autorisés NetFilter & Gestion de congestion (12 points) 1 Le responsable d une petite entreprise vous appelle pour
TER Réseau : Routeur Linux 2 Responsable : Anthony Busson
TER Réseau : Routeur Linux 2 Responsable : Anthony Busson Exercice 1 : Une entreprise veut installer un petit réseau. Elle dispose d un routeur sur Linux. Il doit servir à interconnecter deux réseaux locaux
Rappels réseaux TCP/IP
Rappels réseaux TCP/IP Premier Maître Jean Baptiste FAVRE DCSIM / SDE / SIC / Audit SSI [email protected] CFI Juin 2005: Firewall (1) 15 mai 2005 Diapositive N 1 /27 Au menu Modèle
I. Adresse IP et nom DNS
Le système GNU/Linux Réseau et configuration IP By ShareVB Table des matières I.Adresse IP et nom DNS...1 II.Nom de la machine locale sous Debian...2 III.Nom de la machine locale sous Fedora...2 IV.Résolution
Capture, Filtrage et Analyse de trames ETHERNET avec le logiciel Wireshark. Etape 1 : Lancement des machines virtuelles VMWARE et de Wireshark
Capture, Filtrage et Analyse de trames ETHERNET avec le logiciel Wireshark Wireshark est un programme informatique libre de droit, qui permet de capturer et d analyser les trames d information qui transitent
Administration réseau Firewall
Administration réseau Firewall A. Guermouche Cours 5 : Firewall 1/13 Plan Firewall? DMZ Iptables et filtrage Cours 5 : Firewall 2/13 Plan Firewall? DMZ Iptables et filtrage Cours 5 : Firewall 3/13 Pourquoi
Architectures sécurisées
Architectures sécurisées Hanteville Nicolas CFBS 02/11/2009 Hanteville Nicolas (CFBS) Architectures sécurisées 02/11/2009 1 / 57 Introduction aux réseaux : modèles Modèle OSI 1 : Modèle internet : 7 Application
Spécialiste Systèmes et Réseaux
page 1/5 Titre professionnel : «Technicien(ne) Supérieur(e) en Réseaux Informatiques et Télécommunications» inscrit au RNCP de niveau III (Bac + 2) (J.O. du 19/02/2013) 24 semaines + 8 semaines de stage
Administration UNIX. Le réseau
Administration UNIX Le réseau Plan Un peu de TCP/IP Configuration réseau sous linux DHCP Démarrage PXE TCP/IP Unix utilise comme modèle de communication TCP/IP Application Transport TCP - UDP Réseau IP
Ch2 La modélisation théorique du réseau : OSI Dernière maj : jeudi 12 juillet 2007
Ch2 La modélisation théorique du réseau : OSI Dernière maj : jeudi 12 juillet 2007 I. LA NORMALISATION... 1 A. NORMES... 1 B. PROTOCOLES... 2 C. TECHNOLOGIES RESEAU... 2 II. LES ORGANISMES DE NORMALISATION...
Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -
Cours de sécurité Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC - 1 Plan pare-feux Introduction Filtrage des paquets et des segments Conclusion Bibliographie 2 Pare-Feux Introduction
Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier
Plan Internet - Outils Nicolas Delestre 1 DHCP 2 Firewall 3 Translation d adresse et de port 4 Les proxys 5 DMZ 6 VLAN À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier 7 Wake On Line
NOTIONS DE RESEAUX INFORMATIQUES
NOTIONS DE RESEAUX INFORMATIQUES GENERALITES Définition d'un réseau Un réseau informatique est un ensemble d'équipements reliés entre eux afin de partager des données, des ressources et d'échanger des
Réalisation d un portail captif d accès authentifié à Internet 10.10.10.1
Master 1 ère année UE Réseaux avancés I Projet Réalisation d un portail captif d accès authentifié à Internet Présentation du projet Le but du projet est de mettre en place un portail captif permettant
ASR4 Réseaux Département Informatique, IUT Bordeaux 1. DHCP Prénom : Nom : Groupe :
TP1 ASR4 Réseaux Département Informatique, IUT Bordeaux 1 ASR4-R Prénom : Nom : Groupe : 1 Gestion du réseau virtuel Le réseau virtuel utilisé lors de ce TP a été réalisé avec NEmu (Network Emulator),
Installation d un serveur HTTP (Hypertext Transfer Protocol) sous Débian 6
Installation d un serveur HTTP (Hypertext Transfer Protocol) sous Débian 6 1 BERNIER François http://astronomie-astrophotographie.fr Table des matières Installation d un serveur HTTP (Hypertext Transfer
GENERALITES. COURS TCP/IP Niveau 1
GENERALITES TCP/IP est un protocole inventé par les créateurs d Unix. (Transfer Control Protocol / Internet Protocole). TCP/IP est basé sur le repérage de chaque ordinateur par une adresse appelée adresse
Les systèmes pare-feu (firewall)
Copyright (c) 2003 tv Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.1 or any later version published
Figure 1a. Réseau intranet avec pare feu et NAT.
TD : Sécurité réseau avec Pare Feu, NAT et DMZ 1. Principes de fonctionnement de la sécurité réseau Historiquement, ni le réseau Internet, ni aucun des protocoles de la suite TCP/IP n était sécurisé. L
Programmation Réseau. ! UFR Informatique ! 2013-2014. [email protected]
Programmation Réseau [email protected]! UFR Informatique! 2013-2014 1 Programmation Réseau Introduction Ce cours n est pas un cours de réseau on y détaillera pas de protocoles de
TP2 - Conguration réseau et commandes utiles. 1 Généralités. 2 Conguration de la machine. 2.1 Commande hostname
Département d'informatique Architecture des réseaux TP2 - Conguration réseau et commandes utiles L'objectif de ce TP est d'une part de vous présenter la conguration réseau d'une machine dans l'environnement
Couche application. La couche application est la plus élevée du modèle de référence.
Couche application La couche application est la plus élevée du modèle de référence. Elle est la source et la destination finale de toutes les données à transporter. Couche application La couche application
Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch
Bernard Boutherin Benoit Delaunay Cahiers de l Admin Linux Sécuriser un réseau 3 e édition Collection dirigée par Nat Makarévitch Groupe Eyrolles, 2003, 2004, 2007, ISBN : 2-212-11960-7, ISBN 13 : 978-2-212-11960-2
IP & Co. 1. Service DHCP. L'objectif de ce TP est de voir l'ensemble des services élémentaires mis en oeuvre dans les réseaux IP.
IP & Co L'objectif de ce TP est de voir l'ensemble des services élémentaires mis en oeuvre dans les réseaux IP. 1. Service DHCP Faire un réseau de 4 machines comme ci-dessous. Pour l'instant seul la machine
But de cette présentation. Proxy filtrant avec Squid et SquidGuard. Serveur proxy. Serveur proxy. Hainaut P. 2013 - www.coursonline.
Proxy filtrant avec Squid et SquidGuard But de cette présentation Présenter le serveur proxy, son utilité et sa mise en œuvre Ce type de serveur est très utilisé en entreprise Il est donc important d en
Serveur de messagerie sous Debian 5.0
Serveur de messagerie sous Debian 5.0 Avec Postfix et une connexion sécurisée GEORGET DAMIEN ET ANTHONY DIJOUX 06/10/2009 [Tutorial d installation d un serveur de messagerie POP et SMTP sous Debian, avec
Administration Système & Réseau. Domain Name System Historique & Concepts Fonctionnalités & Hiérarchie Requêtes & Base de donnée DNS
1/25 Administration Système & Réseau Domain Name System Historique & Concepts Fonctionnalités & Hiérarchie Requêtes & Base de donnée DNS Dynamic Host Configuration Protocol L3 STRI 2005 Philippe Latu philippe.latu(at)linux-france.org
Présentation et portée du cours : CCNA Exploration v4.0
Présentation et portée du cours : CCNA Exploration v4.0 Dernière mise à jour le 3 décembre 2007 Profil des participants Le cours CCNA Exploration s adresse aux participants du programme Cisco Networking
Ubuntu Linux Création, configuration et gestion d'un réseau local d'entreprise (3ième édition)
Introduction 1. Introduction 13 2. Le choix de l'ouvrage : Open Source et Linux Ubuntu 13 2.1 Structure du livre 13 2.2 Pré-requis ou niveau de connaissances préalables 13 3. L'objectif : la constitution
RESEAUX TCP/IP: NOTIONS AVANCEES. Preparé par Alberto EscuderoPascual
RESEAUX TCP/IP: NOTIONS AVANCEES Preparé par Alberto EscuderoPascual Objectifs... Répondre aux questions: Quelles aspects des réseaux IP peut affecter les performances d un réseau Wi Fi? Quelles sont les
CONFIGURATION DE BASE. 6, Rue de l'industrie BP130 SOULTZ 68503 GUEBWILLER Cedex. Fax.: 03 89 62 13 31 Tel.: 08.92.56.68.69 support@telmatweb.
Educ@Box Configuration de base 6, Rue de l'industrie BP130 SOULTZ 68503 GUEBWILLER Cedex Fax.: 03 89 62 13 31 Tel.: 08.92.56.68.69 [email protected] Page: 1 Sommaire 1 CONTENU DE VOTRE PACKAGE EDUC@BOX...
Culture informatique. Cours n 9 : Les réseaux informatiques (suite)
Culture informatique Cours n 9 : Les réseaux informatiques (suite) 1 Un réseau : Nécessité de parler un langage commun pour pouvoir communiquer dans un réseau. Différents niveaux de communication Physique,
DHCPD v3 Installation et configuration
DHCPD v3 Installation et configuration Table des matières 1. Préambule... 2 2. Pré-requis... 2 3. Récupération du paquet... 2 4. Configuration du serveur... 3 4.1. Configuration de la carte réseau du serveur...
Algorithmique et langages du Web
Cours de Algorithmique et langages du Web Jean-Yves Ramel Licence 1 Peip Biologie Groupe 7 & 8 Durée totale de l enseignement = 46h [email protected] Bureau 206 DI PolytechTours Organisation de la partie
Cisco Certified Network Associate
Cisco Certified Network Associate Version 4 Notions de base sur les réseaux Chapitre 3 01 Quel protocole de la couche application sert couramment à prendre en charge les transferts de fichiers entre un
Table des matières GNU/Linux Services Serveurs ... 1 Éléments de cours sur TCP/IP ... 3 Fichiers de configuration et commandes de base ...
Table des matières GNU/Linux Services Serveurs... 1 1. Avertissement... 1 2. Date de dernière modification... 1 3. En cours de réalisation... 1 4. Les archives... 1 5. Résumé... 1 Éléments de cours sur
Résolution de noms. Résolution de noms
cb (C:\Documents and Settings\bcousin\Mes documents\enseignement\res (UE18)\12.DNS.fm- 25 janvier 2009 13:15) PLAN Introduction Noms des domaines de noms Principe de la résolution de noms La résolution
Configuration automatique
Configuration automatique (/home/terre/d01/adp/bcousin/polys/internet:gestion_reseau/6.dhcp.fm- 29 Septembre 1999 12:07) PLAN Introduction Les principes de DHCP Le protocole DHCP Conclusion Bibliographie
TP 1 et 2 de Réseaux en Master 1 Informatique : Assemblage d un réseau, configuration d adresses IP sous Linux et Windows
TP 1 et 2 de Réseaux en Master 1 Informatique : Assemblage d un réseau, configuration d adresses IP sous Linux et Windows Auteur : Olivier GLÜCK, Université Lyon 1 Objectifs - répartition des adresses
Fonctionnement de Iptables. Exercices sécurité. Exercice 1
Exercice 1 Exercices sécurité 1. Parmi les affirmations suivantes, lesquelles correspondent à des (bonnes) stratégies de défenses? a) Il vaut mieux interdire tout ce qui n'est pas explicitement permis.
Le Multicast. A Guyancourt le 16-08-2012
Le Multicast A Guyancourt le 16-08-2012 Le MULTICAST Définition: On entend par Multicast le fait de communiquer simultanément avec un groupe d ordinateurs identifiés par une adresse spécifique (adresse
ATELIER NETFILTER : LE FIREWALL LINUX EN ACTION
ATELIER NETFILTER : LE FIREWALL LINUX EN ACTION Olivier ALLARD-JACQUIN [email protected] Version 0.9.1-20 avril 2004 Ce document est publié sous la Licence de Libre Diffusion de Documents (LLDD) Ce document
Connexion à un réseau local: Configuration et dépannage
Connexion à un réseau local: Configuration et dépannage Configurer et Dépanner Ethernet Configuration de l'interface Unix Configuration Automatique Lorsque le réseau possède un serveur DHCP, il devient
Oléane VPN : Les nouvelles fonctions de gestion de réseaux. Orange Business Services
Oléane VPN : Les nouvelles fonctions de gestion de réseaux Orange Business Services sommaire 1. Qu'est-ce que la fonction serveur/relais DHCP? Comment cela fonctionne-t-il?...3 1.1. Serveur DHCP...3 1.2.
Réseau - VirtualBox. Sommaire
Réseau - VirtualBox 2015 tv - v.1.0 - produit le 10 mars 2015 Sommaire Le réseau virtuel 2 Introduction.............................................. 2 Modes réseaux............................................
1. Fonctionnement de l Internet 2. Protocoles applicatifs 3. Programmation réseau
1. Fonctionnement de l Internet 2. Protocoles applicatifs 3. Programmation réseau Fonctionnement de l Internet Fonctionnement de l Internet Basé sur une architecture TCP/IP du nom des deux principaux protocoles
L annuaire et le Service DNS
L annuaire et le Service DNS Rappel concernant la solution des noms Un nom d hôte est un alias assigné à un ordinateur. Pour l identifier dans un réseau TCP/IP, ce nom peut être différent du nom NETBIOS.
Protocoles réseaux. Abréviation de Binary Digit. C'est la plus petite unité d'information (0, 1).
Chapitre 5 Protocoles réseaux Durée : 4 Heures Type : Théorique I. Rappel 1. Le bit Abréviation de Binary Digit. C'est la plus petite unité d'information (0, 1). 2. L'octet C'est un ensemble de 8 bits.
Cisco Certified Network Associate
Cisco Certified Network Associate Version 4 Notions de base sur les réseaux Chapitre 5 01 Dans un environnement IPv4, quelles informations un routeur utilise-t-il pour transmettre des paquets de données
cedric.foll@(education.gouv.fr laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007
F i r e w a l l s e t a u t r e s é l é m e n t s d ' a r c h i t e c t u r e d e s é c u r i t é cedric.foll@(education.gouv.fr laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL
Protocoles IP (2/2) M. Berthet. Les illustrations sont tirées de l ouvrage de Guy Pujolle, Cours réseaux et Télécom Contributions : S Lohier
Protocoles IP (2/2) M. Berthet. Les illustrations sont tirées de l ouvrage de Guy Pujolle, Cours réseaux et Télécom Contributions : S Lohier Plan 1. ARP 2. DHCP 3. ICMP et ping 4. DNS 5.Paquet IPv4 1.