Rappels réseaux TCP/IP



Documents pareils
II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

Présentation du modèle OSI(Open Systems Interconnection)

Introduction. Adresses

DHCP et NAT. Cyril Rabat Master 2 ASR - Info Architecture des réseaux d entreprise

TCP/IP, NAT/PAT et Firewall

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

Sécuriser son réseau. Sécuriser son réseau Philippe Weill (IPSL/LATMOS) Frédéric Bongat (SSI/GOUV/FR)

Devoir Surveillé de Sécurité des Réseaux

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

Internet Protocol. «La couche IP du réseau Internet»

Protocoles réseaux. Abréviation de Binary Digit. C'est la plus petite unité d'information (0, 1).

L3 informatique Réseaux : Configuration d une interface réseau

Chapitre I. La couche réseau. 1. Couche réseau 1. Historique de l Internet

Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage:

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Protocoles IP (2/2) M. Berthet. Les illustrations sont tirées de l ouvrage de Guy Pujolle, Cours réseaux et Télécom Contributions : S Lohier

VoIP et "NAT" VoIP et "NAT" 1/ La Traduction d'adresse réseau. 1/ La traduction d'adresse réseau. 1/ La traduction d'adresse réseau

SYSTEME DE GESTION DES ENERGIES EWTS EMBEDDED WIRELESS TELEMETRY SYSTEM

Réseaux Locaux. Objectif du module. Plan du Cours #3. Réseaux Informatiques. Acquérir un... Réseaux Informatiques. Savoir.

GENERALITES. COURS TCP/IP Niveau 1

UFR de Mathématiques et Informatique Année 2009/2010. Réseaux Locaux TP 04 : ICMP, ARP, IP

Sécurité des réseaux Les attaques

Les Réseaux. les protocoles TCP/IP

RESEAUX TCP/IP: NOTIONS AVANCEES. Preparé par Alberto EscuderoPascual

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203

Sécurité des réseaux Firewalls

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

TP Linux : Firewall. Conditions de réalisation : travail en binôme. Fonctionnement du parefeu Netfilter. I Qu est ce qu'un firewall?

Technique de défense dans un réseau

Cisco Certified Network Associate

Découverte de réseaux IPv6

2. DIFFÉRENTS TYPES DE RÉSEAUX

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

Le protocole ARP (Address Resolution Protocol) Résolution d adresses et autoconfiguration. Les protocoles ARP, RARP, TFTP, BOOTP, DHCP

TR2 : Technologies de l'internet. Chapitre VII. Serveur DHCP Bootp Protocole, Bail Relais DHCP

Réseaux et protocoles Damien Nouvel

Installation et configuration d un serveur DHCP (Windows server 2008 R2)

N o t i o n s d e b a s e s u r l e s r é s e a u x C h a p i t r e 2

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

SOMMAIRE : CONFIGURATION RESEAU SOUS WINDOWS... 2 INSTRUCTIONS DE TEST DE CONNECTIVITE... 5

DIFF AVANCÉE. Samy.

Plan. Programmation Internet Cours 3. Organismes de standardisation

Figure 1a. Réseau intranet avec pare feu et NAT.

Principes de DHCP. Le mécanisme de délivrance d'une adresse IP à un client DHCP s'effectue en 4 étapes : COMMUTATEUR 1. DHCP DISCOVER 2.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

avec Netfilter et GNU/Linux

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Capture, Filtrage et Analyse de trames ETHERNET avec le logiciel Wireshark. Etape 1 : Lancement des machines virtuelles VMWARE et de Wireshark

Les possibilités de paramétrage réseau des logiciels de virtualisation sont les suivantes quant à la connexion réseau :

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

Architecture TCP/IP. Protocole d application. client x. serveur y. Protocole TCP TCP. TCP routeur. Protocole IP IP. Protocole IP IP.

pare - feu généralités et iptables

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

Daniel POULIN DRT 3808 (version 2010) Faculté de droit, Université de Montréal

Notions de Réseaux TCP/IP et environnements Microsoft Windows. Michel Cabaré Novembre 2002 ver 2.0

Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité

Proxy et reverse proxy. Serveurs mandataires et relais inverses

TP a Notions de base sur le découpage en sous-réseaux

Services Réseaux - Couche Application. TODARO Cédric

L annuaire et le Service DNS

Formation Iptables : Correction TP

TER Réseau : Routeur Linux 2 Responsable : Anthony Busson

Les systèmes pare-feu (firewall)

Réseaux Internet & Services

Applications en réseau

Télécommunications. IPv4. IPv4 classes. IPv4 réseau locaux. IV - IPv4&6, ARP, DHCP, DNS

Cisco Certified Network Associate

Manuel d installation UCOPIA Advance

Introduction à TCP/IP

Chap.9: SNMP: Simple Network Management Protocol

Configuration automatique

Administration réseau Firewall

Le protocole TCP. Services de TCP

Cloud public d Ikoula Documentation de prise en main 2.0

Culture informatique. Cours n 9 : Les réseaux informatiques (suite)

Réseaux - Cours 4. Traduction d adresse (NAT/PAT) et Service de Nom de Domaine (DNS) Cyril Pain-Barre. IUT Informatique Aix-en-Provence

Protection des protocoles

LES PROTOCOLES DES RÉSEAUX

Introduction aux Technologies de l Internet

Ch2 La modélisation théorique du réseau : OSI Dernière maj : jeudi 12 juillet 2007

La collecte d informations

NOTIONS DE RESEAUX INFORMATIQUES

TP c Fonctions des listes de contrôle d'accès multiples (TP avancé)

TAGREROUT Seyf Allah TMRIM

FILTRAGE de PAQUETS NetFilter

Sécurité et Firewall

LINUX REDHAT, SERVICES RÉSEAUX/INTERNET

module Introduction aux réseaux DHCP et codage Polytech / 5

laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007

Les ACL Cisco. F. Nolot Master 2 Professionnel STIC-Informatique 1

Computer Networking: A Top Down Approach Featuring the Internet, 2 nd edition. Jim Kurose, Keith Ross Addison-Wesley, July ENPC.

Réseaux IUP2 / 2005 IPv6

Outils de l Internet

EXPOSE : Traitements Intermédiaires : NAT, Proxy, Firewall

TP 1 : LES COMMANDES RESEAUX Matière: RESEAUX LOCAUX

Guide d utilisation Business Livebox

Transcription:

Rappels réseaux TCP/IP Premier Maître Jean Baptiste FAVRE DCSIM / SDE / SIC / Audit SSI jean-baptiste.favre@marine.defense.gouv.fr CFI Juin 2005: Firewall (1) 15 mai 2005 Diapositive N 1 /27

Au menu Modèle OSI, modèle TCP Principe d'encapsulation Structure des paquets et champs importants Établissement d'une connexion TCP Et au-dessus? En théorie: Adresses IP et sous-réseaux En pratique: Quelques exemples de trafic réseau Les dangers du réseau CFI Juin 2005: Firewall (1) 15 mai 2005 Diapositive N 2 /27

Modèle OSI, modèle TCP CFI Juin 2005: Firewall (1) 15 mai 2005 Diapositive N 3 /27

Principe d'encapsulation: CFI Juin 2005: Firewall (1) 15 mai 2005 Diapositive N 4 /27

Structure: Datagramme IP Champs principaux: Version: 4 ou 6 Protocole: 1 (ICMP), 6 (TCP), 17 (UDP), 50 (AH), 51 (ESP) IP source et destination Durée de vie (TTL) Type de service (QOS) CFI Juin 2005: Firewall (1) 15 mai 2005 Diapositive N 5 /27

Structure: Segment TCP Champs principaux: Port source et destination Drapeaux: ACK: accuser réception des données, PSH: transmettre les données au client, RST: réinitialiser la connexion, SYN: synchroniser la connexion, FIN: clore la connexion CFI Juin 2005: Firewall (1) 15 mai 2005 Diapositive N 6 /27

Structure: Segment UDP et ICMP Champs principaux: Port source Port destination Champs principaux: Champs principaux: Type: 0 (echo response), 3(destination unreachable), 4(source quench), 5(redirection), 8 (echo request), 11(timeout), 13(timestamp), 14 (timestamp response) CFI Juin 2005: Firewall (1) 15 mai 2005 Diapositive N 7 /27

Et au-dessus? Couches applicatives DNS: UDP/53 HTTP: TCP/80 POP: TCP/110 SMTP: TCP/25 FTP: TCP/20 (data) et 21 (control) + les variantes SSL SSH: TCP/22 Telnet: TCP/23 Netbios: TCP-UDP/137, UDP/138 et TCP/139 Etc, etc... CFI Juin 2005: Firewall (1) 15 mai 2005 Diapositive N 8 /27

En théorie: adresses IP 4 octets (32 bits) Chaque octets peut aller de 0 à 255 En théorie 4 294 967 295 adresses IP disponibles Notation de l'adresse IP: «Quadruplets pointés»: 192.168.0.1 Binaire: 11000000 10101000 00000000 00000001 Décimale: 3 232 235 521 De moins en moins d'adresses disponibles De moins en moins d'adresses disponibles Création d'adresses «privées» (RFC 1918) et de la translation d'adresses CFI Juin 2005: Firewall (1) 15 mai 2005 Diapositive N 9 /27

En théorie: Réseaux Les adresses IP sont réparties en réseaux 3 types de réseaux «publics» Classe A: seul le premier octet est utilisé pour définir le réseau Classe B: les 2 premiers octets Classe C: les 3 premiers octets Répartition «arbitraire» Classe A: de 1 à 126 Classe B: de 128 à 191 Classe C: de 192 à 254 CFI Juin 2005: Firewall (1) 15 mai 2005 Diapositive N 10 /27

En théorie: Réseaux 3 classes de réseaux «privés» Classe A: 10.0.0.0 Classe B: de 172.16.0.0 à 172.31.0.0 Classe C: de 192.168.0.0 à 192.168.255.0 Exemple de réseau: Adresse de réseau: 192.168.0.0 Masque de réseau: 255.255.255.0 Adresse de diffusion (broadcast): 192.168.0.255 Il y a donc 254 machines possibles dans un réseau de classe C (256 adresse de réseau et adresse de broadcast) CFI Juin 2005: Firewall (1) 15 mai 2005 Diapositive N 11 /27

En théorie: Masques de sous-réseaux Utilisé pour «partager» une tranche d'adresses IP qui vous est allouée Permet de faire plusieurs sous-réseaux Ne permet pas de réutiliser plusieurs fois la même adresse IP Notation: 192.168.0.0/255.255.255.0 192.168.0.0/24 Défini le nombre de bits de l'adresse IP identifiant le réseau CFI Juin 2005: Firewall (1) 15 mai 2005 Diapositive N 12 /27

En théorie: Masques de sous-réseaux Calcul de sous-réseau Adresse IP: 192.168.0.42 Masque de sous-réseau: 255.255.254.0 Adresse de réseau: 192.168.0.0 Adresse de diffusion: 192.168.1.255 Comment ça marche? CFI Juin 2005: Firewall (1) 15 mai 2005 Diapositive N 13 /27

En théorie: Masques de sous-réseaux Transformons tout en binaire: 192.168.0.42 = 11000000 10101000 00000000 00101011 255.255.254.0 = 11111111 11111111 11111110 00000000 Le réseau correspond aux bits à 1 du masque: 11000000 10101000 00000000 00101011 (IP) 11111111 11111111 11111110 00000000 (Mask) = 11000000 10101000 00000000 00000000 Soit ici 192.168.0.x auquel on accole la valeur minimale des adresses hôte (ici, x = 0) CFI Juin 2005: Firewall (1) 15 mai 2005 Diapositive N 14 /27

En théorie: Masques de sous-réseaux La plage d'adresse IP correspond aux valeurs mini et maxi du «reste» (bits à 0 du masque) 11000000 10101000 00000000 00000000 (Mask) 11000000 10101000 00000000 00000000 (Mini) 11000000 10101000 00000001 11111111 (Maxi) Soit de 192.168.0.0 à 192.168.1.255 Le mini est l'adresse de réseau Le maxi est l'adresse de diffusion Dans cet exemple, on peut avoir 510 adresses IP (512 adresse de réseau et adresse de diffusion) CFI Juin 2005: Firewall (1) 15 mai 2005 Diapositive N 15 /27

En théorie: Masques de sous-réseaux Le choix du masque de réseau dépend du nombre d'ip à assigner. Masque Nb d'ip Nb de sous-réseaux 255.255.255.0 254 (256-2) 1 255.255.255.128 126 ((256/2)-2) 2 255.255.255.192 62 ((256/4)-2) 4 255.255.255.224 30 ((256/8)-2) 8 255.255.255.240 14 ((256/16)-2) 16 255.255.255.248 6 ((256/32)-2) 32 255.255.255.252 2 ((256/64)-2) 64 CFI Juin 2005: Firewall (1) 15 mai 2005 Diapositive N 16 /27

En théorie: Routage Nous avons partagé notre plage d'adresses en sous-réseau. Comment faire communiquer ces sous- réseaux? => Il faut «router» le trafic Principe: Disposer d'un élément réseau commun à plusieurs sous-réseau qui se chargera d'aiguiller le trafic Il disposera donc d'une adresse IP par sousréseau «géré» Pour les machines de chaque sous-réseau, il agira comme passerelle CFI Juin 2005: Firewall (1) 15 mai 2005 Diapositive N 17 /27

En théorie: Routage La configuration réseau d'une machine doit donc comporter: L'adresse IP Le masque de sous-réseau L'adresse IP de la passerelle (pour pouvoir «sortir» du sous-réseau de départ) Lors d'une connexion, la machine émettrice regarde si l'adresse IP de destination se trouve dans son sous-réseau OUI: connexion directe NON: connexion via la passerelle CFI Juin 2005: Firewall (1) 15 mai 2005 Diapositive N 18 /27

En pratique: Trafic réseau Connexion directe d'une machine A vers B Requête ARP: MAC Source: MAC A MAC Destination: ff:ff:ff:ff:ff:ff Données: «Who has IP B? Tell IP A» Réponse ARP: MAC Source: MAC B MAC Destination: MAC A Données: «IP B is at MAC B» CFI Juin 2005: Firewall (1) 15 mai 2005 Diapositive N 19 /27

En pratique: Trafic réseau direct Connexion d'une machine A vers B (Suite) Puis, requête IP: MAC Source: MAC A MAC Destination: MAC B IP Source: IP A IP Destination: IP B Données TCP-UDP-ICMP-... CFI Juin 2005: Firewall (1) 15 mai 2005 Diapositive N 20 /27

En pratique: Trafic réseau via routeur Connexion d'une machine A vers B hors sous-réseau Requête IP: MAC Source: MAC A MAC Destination: MAC passerelle IP Source: IP A IP Destination: IP B Données TCP-UDP-ICMP-... CFI Juin 2005: Firewall (1) 15 mai 2005 Diapositive N 21 /27

En pratique: Trafic réseau via routeur Connexion d'une machine A vers B (Suite) Le routeur reçoit la requête, voit qu'elle ne lui est pas directement destinée et la renvoie vers la machine B en fonction des routes programmées. Requête IP: MAC Source: MAC passerelle MAC Destination: MAC B IP Source: IP A ou IP passerelle si NAT IP Destination: IP B TTL décrémenté de 1 Données TCP UDP ICMP -... CFI Juin 2005: Firewall (1) 15 mai 2005 Diapositive N 22 /27

Établissement d'une connexion TCP CFI Juin 2005: Firewall (1) 15 mai 2005 Diapositive N 23 /27

Les dangers du réseau ARP Spoofing: Saturer la cible de requêtes ARP Détourner le trafic de la cible par notre machine. ARP Poisonning Saturer 1 ou plusieurs machines de requêtes ARP Isoler une ou plusieurs machines du reste du réseau CFI Juin 2005: Firewall (1) 15 mai 2005 Diapositive N 24 /27

Les dangers IP Spoofing: Modifier l'ip Source d'un paquet Masquer la provenance d'une attaque Contourner un dispositif d'authentification Provoquer une attaque. TCP/UDP Flood Saturer la cible de paquets TCP avec le drapeau SYN activé (ou de paquets UDP) pour mobiliser toutes ses ressources mémoire. TCP HighJacking Prédiction des numéros de séquence «perturber» une connexion établie CFI Juin 2005: Firewall (1) 15 mai 2005 Diapositive N 25 /27

Les dangers Attaques applicatives: Man-in-the-Middle (DNS ou éventuellement ARP) DOS (Exploitation d'un BOF) DDOS (Pareil mais à plusieurs) SQL Injection Cross-Site Scripting Avez-vous de l'imagination? CFI Juin 2005: Firewall (1) 15 mai 2005 Diapositive N 26 /27

Rappels Réseau Questions? CFI Juin 2005: Firewall (1) 15 mai 2005 Diapositive N 27 /27

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back