370 likes | 522 Vues
L ES C OMPOSANTS D’UN R ÉSEAU D’ E NTREPRISE. F ABRICE C LARI - FABRICE.CLARI@GMAIL.COM v4 - O CTOBRE 2005. Sommaire. Quelques rappels TCP/IP Adresses IP, masques de sous-réseaux La translation d’adresses Unicast, broadcast, multicast Les composants matériels
E N D
LES COMPOSANTS D’UN RÉSEAUD’ENTREPRISE FABRICE CLARI - FABRICE.CLARI@GMAIL.COM v4 - OCTOBRE 2005
Sommaire • Quelques rappels • TCP/IP • Adresses IP, masques de sous-réseaux • La translation d’adresses • Unicast, broadcast, multicast • Les composants matériels • Topologies physiques d’un réseau • Hubs, switchs et routeurs • Les composants • Serveurs DHCP & DNS • Contrôleur de domaine, Active Directory • Le serveur de messagerie • Le serveur de cache • Le pare-feu, alias firewall • Le serveur de fichiers et d’impressions • Le serveur de sauvegardes • VoIP • Le serveur de messagerie instantanée • La sécurité d’un réseau d’entreprise • Qu’est-ce que c’est ? • Les outils et les technologies (firewall, anti-virus, VPN, IPSec, …) • Les différentes types d’attaques • La DMZ • Wireless LAN • Wi-Max • IPv6 • La configuration réseau d’un ordinateur • Sous Windows • Sous Linux • Vue d’ensemble d’un réseau d’entreprise • Un exemple : le réseau du MBDS
Pourquoi ce cours ? • Pour, entre autres raisons : • Avoir les bases « réseaux » pour vos projets ; • Utiliser la bonne terminologie ; • Pour votre culture générale.
Rappel n°1 : TCP/IP (1/2) TCP/IP (Transmission Control Protocol/Internet Protocol) est le protocole d’inter-connexion utilisé sur Internet. C’est un protocole en 4 couches (lien, réseau, transport et application). Couches hautes Applications : ping, ftp, IE, … Protocoles : TCP; UDP Adressage IP Couches basses Adressage physique (interface matérielle) Modèle OSI TCP/IP
Rappel n°1 : TCP/IP (2/2) Architecture TCP/IP par rapport au modèle ISO (source : http://www.guill.net/index.php?cat=2&ccm=15#struct)
Rappel n°2 : les adresses IP (1/2) Chaque interface réseau d’un hôte possède une adresse IP(v4). Une adresse IP est codée sur 32 bits. Exemple : 62.210.69.107 A.B.C.D représente réseau.machine (r.m, cad une adresse IP contient l’adresse du réseau ainsi que celle de la machine au sein du réseau). Le masque de sous-réseau correspond à la longueur de l’adresse du réseau. Exemple: Adresse IP : 192.168.0.12, masque de sous-réseau : 255.255.255.0 id. du réseau id. de la machine Donc, sur le réseau de cet exemple, les adresses IP varient entre 192.168.0.0 et 192.168.0.255.
Rappel n°2 : les adresses IP (2/2) • Certaines adresses, dont les suivantes, ont des utilisations particulières : • r.0 : désigne le réseau (sur l’exemple : 192.168.0.0) ; • r.(255)*n : adresse de diffusion (sur l’exemple : 192.168.0.255) ; • 255.255.255.255 : idem que la précédente ; • 127.0.0.1 : adresse de bouclage local (localhost). Plages d’adresses IP possibles (en notation décimale). Les deux dernières sont réservées :
La translation d’adresses (NAT) • La translation d’adresses (NAT, Network Address Translation) permet de remplacer à la volée une adresse IP, dans différents buts. • Par exemple, quand une entreprise dispose d’une seule adresse IP publique, tous les ordinateurs du réseau utilisent cette même adresse pour se connecter à Internet, alors qu’ils disposent d’une adresse IP privée (donc non routable) dans le réseau local (10.0.x.x, 192.168.x.x ou 172.x.x.x). • De ce fait, la NAT contribue à la sécurité du réseau (dans certains cas), et comble le manque d’adresses du protocole IP dans sa version 4. Ces deux points seront améliorés dans IPv6. • Il existe différents types de NAT : • le NAT Source (SNAT) : NAT le plus fréquemment utilisé, notamment dans l’exemple cité ci-dessus. • le NAT Destination (DNAT) : permet de changer la destination d’une connexion (par exemple pour diriger les requêtes d’un certain port d’un pare-feu vers un serveur dans un intranet) Ici, tous les ordinateurs de l’intranet ont pour adresse IP 62.210.69.107 62.210.69.107 172.15.21.8 WWW Routeur 172.15.21.45 Intranet
Unicast, broadcast et multicast • Il existe trois modes de transmissions de données : • l’unicast : une machine adresse des informations à une autre machine. Mode de transmission le plus simple ; • le broadcast : une machine émet des informations sur une adresse de diffusion qui est « écoutée » par tous les éléments actifs du réseau. Très utile dans certains cas (comme le DHCP par exemple, qui sera vu plus loin) ; • le multicast : mélange entre l’unicast et le broadcast. Les clients s’enregistrent auprès d’une addresse de multicast et « écoutent » tous cette adresse.
Topologies physique d’un réseau • Topologie la plus simple ; • Facile à mettre en œuvre; • Extrêmement vulnérable; • Le signal n’est jamais régénéré . Bus • Topologie la plus courante; • Tous les éléments sont reliés à un hub ou un switch; • Moins vulnérable que l’anneau ; • Plus onéreux (switch ou hub, + de câbles). Etoile • Les éléments communiquent chacun leur tour (avec un jeton); • Débit proche des 90 % de la bande passante; • Très vulnérable. Anneau Ici sont présentées les topologies les plus connues et répandues. D’autres existent comme par exemple les topologies en boucles simples, maillages réguliers, satellite, …
Les composants matériels : l’acheminement des données • Le Hub (ou concentrateur) • Un hub redirige « bêtement » tout ce qu’il reçoit sur tous ces ports. • Le Switch (ou commutateur) • Un switch est un hub intelligent : il n’envoie les données qu’à son destinataire (cf son nom français), d’où : • une diminution du trafic réseau ; • une amélioration de la sécurité. • Le Router (ou routeur) • Permet l’inter-connexion de plusieurs réseaux et de définir par quels chemins passent les paquets.
Dynamic Host Configuration Protocol : • (RFC 1541) • Fonctionne sur un modèle client/serveur et permet l’attribution distante et automatique d’un bail contenant : • l’adresse IP de la machine ; • l’adresse du routeur par défaut ; • les adresses des serveurs DNS ; • diverses informations telles que : • l’adresse du serveur de temps ; • l’adresse du serveur d’impression ; • l’adresse du serveur SMTP. • De plus, DHCP : • Fonctionne en broadcast ; • DHCP est l’extension de son prédécesseur BOOTP. DHCP
DNS • Domain Name Service : • (RFC 1034) • Rôle d’un serveur DNS : faire la correspondance entre une adresse IP et le nom de l’ordinateur associé (et vice-versa). • Une énorme base de données distribuée contenant différents types d’adresses : • « A Record ». Ex.: A record de www.google.fr = 216.239.53.101 ; • « MX Record » : Mail eXchange. Contient les adresses des serveurs de mail associés à un nom ; • « NS Record » : Name Server Record : serveur à interroger pour les recherches sur un domaine ; • « SOA Record » : Start Of Authority. Informations concernant le domaine (propriétaire, contact, …). • Quand un serveur DNS ne connaît pas l’adresse, il interroge son (ses) serveur(s) père(s).
Les composants : le contrôleur de domaine et Active Directory Un contrôleur de domaine est un serveur dont la tâche principale est l’authentification des utilisateurs et des machines du domaine Windows. Il gère également les profils des utilisateurs. Généralement, il est aidé d’un contrôleur de domaine secondaire, sur lequel toutes les informations sont dupliquées. Active Directory est le service d’annuaire fourni par Windows 2000 Server qui gère les ressources partagées d’un réseau (utilisateurs, unités d’organisations, imprimantes, …). L’avantage d’Active Directory par rapport aux autres services d’annuaire est qu’il est parfaitement intégré à Windows 2000/Server 2003.
Les composants : le serveur de messagerie Le serveur de messagerie donne aux utilisateurs du réseau l’accès, entre autres, aux mails (via différents protocoles comme SMTP, POP3, IMAP4, …). Dans les entreprises ayant une taille certaine (à partir de 50 utilisateurs), on trouve des serveurs de « travail collaboratif », comme Microsoft Exchange par exemple. Ces outils, en plus d’être des serveurs de mails, permettent également le partage d’agendas, de contacts, de documents, la messagerie instantanée … et sont de plus en plus accessibles à partir de différents supports (web, wap, voix, …). Les deux leaders sur le marché sont Microsoft avec Exchange et IBM avec Lotus Notes. Oracle a lancé il y a deux ans son offre dans ce domaine avec Collaboration Suite.
WWW Proxy HTTP Les composants : le serveur de cache Serveur de cache du MBDS : tango:3128
Réseau n°2 (ex.: Internet) Filtre les paquets entre deux réseaux FIREWALL Réseau n°1 Les composants : le firewall (1) Un pare-feu protège un réseau des tentatives d’intrusion venant de l’extérieur. • Les données pouvant être analysées sont principalement : • l’adresse source ; • l’adresse destination ; • le port source ; • le port destination ; • le protocole réseau (TCP ou UDP) ; • le protocole applicatif (HTTP, …) ; • l’état du paquet.
Les composants : le firewall (2) • Différentes techniques utilisées par les pare-feu : • dynamic (stateful) packet filter (la plus répandue) : permet d’analyser l’état des connexions (NEW, ESTABLISHED, RELATED, INVALID) ; • static packet filter ; • circuit level gateway ; • application level gateway (proxy) ; • stateful inspection ; • cutoff proxy ; • air gap. • La différence entre ces techniques est la couche OSI sur laquelle les firewalls travaillent. Comme conséquence, plus ils travaillent sur une couche basse, plus ils ont d’informations à analyser, plus ils sont performants. • Avant de configurer un firewall, il faut établir la politique à mettre en œuvre, puis écrire des règles décrivant cette politique.
Les composants : les serveurs de fichiers et d’impressions • Les serveurs de fichiers servent… des fichiers… • Ces fichiers sont accessibles de différentes manières : • via un serveur FTP (File Transfert Protocol), s’ils sont posés sur un serveur de ce type ; • viaun répertoire partagé sous un OS Windows. Dans ce cas, les protocoles utilisés sont SMB (Session Message Block, pour le partage des données) et NetBIOS (Network Basic Input Output System, pour le transfert des données). Il est à noter que ce protocole est non-routable. • Les serveurs d’impressions sont une passerelle entre un ordinateur et une (voire plusieurs) imprimantes. Ils gèrent les permissions, les quotas, les files d’attentes, … • Afin que les serveurs de fichiers et les serveurs d’impressions cohabitent dans un système hétérogène Windows et UNIX (et que les utilisateurs ne soient pas perdus), des implémentations de SMB (SAMBA) ont été créées sous UNIX.
La sécurité dans un réseau d’entreprise (1) • Afin de protéger un réseau d’entreprise, il est important de définir une politique de sécurité. Celle-ci doit être appliquée au niveau du réseau, ainsi qu’au niveau des utilisateurs. Cette politique se définit en plusieurs étapes : • définition des données sensibles ; • sensibilisation des utilisateurs du réseau ; • mise en place d’antivirus ; • … • Pour que la sécurité soit parfaite, il faut garantir : • l’intégrité des données ; • l’authenticité des données ; • l’authentification des utilisateurs. • De plus, il faut interdire l’accès au réseau de personnes extérieures : • grâce aux firewalls, pour que des personnes à l’extérieur du réseau (physiquement) ne puissent pas y entrer ; • par des portes fermées, des badges, …
La sécurité dans un réseau d’entreprise (2) : les connexions distantes Il est parfois nécessaire, pour une entreprise, de donner un accès distant aux ressources informatiques à ses employés itinérants. C’est là qu’intervient un VPN (Virtual Private Network). Un VPN crée un « tunnel » entre deux points et encrypte les données qui y circulent. Un VPN peut également servir de connexion entre deux succursales d’une même entreprise. Le protocole le plus utilisé pour les VPNs est IPSec. IPSec IPSec permet l’authentification (grâce à un échange de clés) et l’encryptage des données en encapsulant chaque paquet IP (qu’il encrypte) dans un autre paquet. Cependant, IPSec a des faiblesses. Par exemple, ce n’est pas une solution bout en bout : les données sont sécurisées de carte réseau en carte réseau, mais plus entre la carte réseau et l’application…
La sécurité dans un réseau d’entreprise (3) : quelques attaques Tableau non exhaustif !
WWW DMZ FIREWALL Intranet La sécurité dans un réseau d’entreprise (4) : la DMZ • Il est souvent nécessaire que certains serveurs d’un intranet soient accessibles depuis l’extérieur du réseau, notamment depuis Internet. Pour cela, quelques solutions existent, dont : • donner une adresse IP publique au serveur, et le placer devant le firewall. Cette solution est risquée car la sécurité du serveur est mise en péril ; • faire de la translation d’adresses sur le pare-feu (ou utiliser un proxy), et rediriger une requête sur la machine ciblée. Cela est risqué car un (voire plusieurs) port(s) d’une machine de l’intranet sera (seront) visible(s) de l’extérieur ; • mettre le serveur dans une DMZ : la meilleure solution. • Une DMZ est une zone démilitarisée (DMZ = DeMilitariZed) Une zone DMZ et un intranet sont deux sous-réseaux différents, avec des politiques de sécurités également différentes.
Les réseaux sans fil : Wireless LAN (1/3) • Le Wireless LAN (802.11b, équivaut à l’ethernet sans fil : 802.3) apporte une solution efficace de connexion sans fil entre deux points. Les communications se font sur les fréquences radios 2,4 GHz, ce qui implique quelques problèmes administratifs en France (en effet, cette fréquence est réservée aux militaires). Le débit théorique est de 11 Mb/s. • Pour mettre en place une solution 802.11b, sont nécessaires : • des cartes réseaux 802.11b ; • un (des) point(s) d’accès (cependant, deux clients peuvent communiquer en peer-to-peer). • Un réseau 802.11b (aussi appelé WiFi) est défini par : • un SSID (Service Set IDentity) : identifiant du réseau ; • un canal(il en existe 13) : chaque canal correspond à une fréquence autour des 2,4 Ghz. • Il est à noter que les réseaux 802.11b ont de nombreuses failles de sécurité, et ne proposent aucune qualité de service. • D’un point de vue administratif, aucune autorisation n’est à demander pour une utilisation dans une zone privée. Pour un déploiement en zone publique, une autorisation doit être demandée à l’ART (Association de Régulation des Télécoms). • Des alternatives existent ou sont entrain de naître : • 802.11a : entre 5 et 5.8 GHz (moins d’interférences qu’avec 2,4 GHz, avec un débit de 54 Mb/s) • 802.11x : beaucoup de normes sont en cours de préparation, chacune étant optimisée pour un point précis (sécurité 802.11i, qualité de service 802.11e, …) • HyperLan, HyperLan2
Les réseaux sans fil : Wireless LAN (2/3) • Le 802.11 peut être utilisé dans deux modes différents: • Infrastructure : toutes les connexions passent par un/des point(s) d’accès ; • Ad-Hoc : les clients wireless communiquent en point-à-point sans point d’accès ; • Répéteur : un point d’accès est utilisé pour répéter le signal. • Les réseaux Wi-Fi sont principalement utilisés pour: • étendre des LAN (filaires) existant ; • interconnecter des bâtiments (ex. MBDS).
Les réseaux sans fil : Wireless LAN (3/3) • Différents types d’antennes existent, dont: • Omnidirectionnelles: pour « arroser » une zone entière; • Unidirectionnelles : pour diriger les ondes vers un seul point Antenne Connexion pour antennes Le point d’accès transforme les ondes radio en données Ethernet. De nombreux produits existant offrent maintenant de nombreuses fonctionnalités (Modem ADSL / Router / FW / Serveur DHCP / UP’n P / …) Point d’accès Connexion Ethernet RJ45 LAN Comment ça marche ? Au-delà de leurs présences dans les réseaux d’entreprises, les réseaux Wi-Fi sont présents dans de nombreux lieux publics (aéroports, gare, …) et ont aussi un usage domestique.
Les réseaux sans fil : Wi-Max • Wi-Max (802.16) est une technologie de réseaux sans-fil hauts-débits, permettant (en théorie), d’émettre sur une portée de 50 km avec un débit de 70 Mb/s ; • Les déploiements actuels fournissent 10 Mb/s sur une portée de 20 km ; • Il n’existe pas encore de terminaux Wi-Max (seulement de gros récepteurs). Leur arrivée est prévue pour 2006/2007 ; • Actuellement, la technologie Wi-Max est utilisée pour la connexion à Internet d’entreprises se trouvant dans des zones non desservies par l’ADSL ;
IPv6 (1/2) • Question : pourquoi passer à IPv6 ? • Le nombre d’adresses IPv4 disponibles se situe aux alentours des 4,3 milliards (232 = 4 294 967 296) ; • 90 % des adresses étant réservées aux USA, il en reste peu pour les autres ; • Le NAT engendre des difficultés dans : • le P2P • la sécurité; • IPv4 ne propose aucune qualité de service ; • IPv4 ne propose aucun support pour la mobilité ; • IPv4 n’a pas de solution de sécurité intégrée ; • …
IPv6 (2/2) • Quelques éléments de réponses (la question était : pourquoi passer à IPv6 ?) : • Les adresses IPv6 sont codées sur 128 bits : • 340282366920938463463374607431768211456 adresses disponibles (c’est-à-dire 3,4*1038 adresses) ; • IPv6 intègre le support de la mobilité (Mobile IPv6) ; • IPv6 intègre le support de la sécurité (IPSec), de la qualité de services ; • IPv6 propose un mécanisme d’auto-configuration d’adresse IP ; • Les adresses sont hierarchisées plus de problème de routage. • Exemple d’adresse IPv6: • 21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A • (la notation décimale n’existe plus…)
Configuration réseau sous Windows La connexion au réseau sous Windows est aussi simple que Notepad… « Propriétés » sur l’icône « Favoris réseaux », puis choisir la carte à paramétrer, puis « Protocole Internet TCP/IP ». En DHCP En IP fixe
Configuration réseau sous Linux • Un peu moins convivial que sous Windows, à moins d’avoir une interface graphique (« gestionnaire de fenêtres dans la terminologie UNIX » - ex. : KDE, Gnome, …) • Les fichiers concernés sont (exemples sous RedHat/Fedora) : • /etc/sysconfig/network-scripts/ifcfg-ethx (x = numéro de la carte réseau ; l’emplacement du fichier dépend de la distrib’ Linux) : • /etc/hosts : noms et adresses IP de la machine ; • /etc/resolv.conf : domaine de recherche par défaut et serveur(s) DNS. • Après ces modifications, il est nécessaire de redémarrer l’interface réseau concernée : /etc/rc.d/init.d/network restart DEVICE=eth1 BOOTPROTO=none BROADCAST=192.168.0.255 IPADDR=192.168.0.1 NETMASK=255.255.255.0 NETWORK=192.168.0.0 ONBOOT=yes GATEWAY=192.168.0.1 TYPE=Ethernet
Le firewall du MBDS Internet « Tout sort, peu de choses rentrent Internet 134.59.152.100 DMZ Sécurité restreinte TANGO P III / 256 Mo DMZ 192.168.1.1 Wi-Fi Filtrage par @MAC Wi-Fi 192.168.2.1 ORCL Sécurité restreinte Wi-Fi 192.168.3.1 LAN 192.168.0.1 LAN
La connexion Internet du MBDS (1/2) Le DESS MBDS dépendant de l’Université, nous avons droit à RENATER(réseau à haut débit pour l’enseignement et la recherche). RENATER n’arrive pas au WTC, une solution sans fil a donc été choisie pour la connexion. Nous nous connectons à l’Esinsa où Renater est présent. Avantage : beaucoup moins chère qu’une connexion chez un opérateur Internet !
La connexion Internet du MBDS (2/2) Filtrage @MAC Pas de broadcast de SSID Point d’accès Cisco Antennes unidirectionnelles MBDS Filtrage @MAC Pas de broadcast de SSID ESINSA • Connexion Wi-Fi 802.11b entre les deux bâtiments ; • Débit théorique : 11 mb/s. • Débit max. atteint: 6.3 Mb/s ; • Sécurité : WEP 128 bits activé ; • N’est pas (ou très peu) sensible aux intempéries. Comment ça marche ?
Les serveurs du MBDS Quelques serveurs du MBDS…
Questions & Réponses