Administration &

Sécurité des
réseaux

ISITCom H-Sousse

2007 - 2008
 Plan de Cours
Nombre d'heures d'enseignement : 22,5 h Cours + 45 hTP
Administration :
 Introduction à l’administration réseaux
 Rappel sur les Protocoles et services
 Administration des équipements (Firewall, routeur)
 Administration des serveurs DNS, DHCP, Proxy, SNMP,..
Sécurité :
 Introduction à la sécurité informatique
 La cryptographie & l’authentification, les attaques (Hacking)
 Les virus selon leur type
 Les pare-feux (Firewalls)
 La sécurité sur Internet (Sécurité des données et résistance aux
pannes) et gestion de la sécurité informatique
 Quelques définitions

Administrateur :
 Administrateur Système:
Personne responsable de la totalité de la gestion d’un système
informatique. Il surveille le système et en assure la maintenance de
manière à garantir un fonctionnement irréprochable. Veiller au bon
fonctionnement des sauvegardes.
 Administrateur réseau:
Chargé de la gestion du réseau. Il est responsable de bon
fonctionnement du réseau et de la répartition des droits d’accès. Lui
seul a le droit d’ajouter des utilisateurs ou d’annuler des autorisations
d’accès, ainsi que l’installation du SE réseau et de la sécurité des
données sur l’ensemble du réseau
 Les Fonctions principales de
l’administrateur
La mise en place ou l’annulation d’identifications des users, l’allocation
de leurs droits d’accès
S’occuper de l’installation des interfaces utilisateurs et des
configurations qui se soit sur les postes de travail ou sur les éléments
du réseau
L’installation de nouveau logiciels d’application ainsi que le contrôle et la
sauvegarde des données
Le contrôle de l’utilisation du serveur et gérer toute la sécurité du réseau
Mesurer et analyser la performance des réseaux
Le constat de l’utilisation des stations de travail: contrôler pour mieux
gérer
Le contrôle des capacités du disque dur, la suppression des logiciels
qui ne sont plus utilisés et l’ajout de nouveaux logiciels
L’administrateur réseau doit toujours être une personne fiable qui
connaît la complexité du réseau pour en optimiser le fonctionnement.
 Objectifs
Administration
 Administration des serveurs, Administration des équipements et des applications (FTP,
Web, courrier,..)
 Déploiement, intégration, gestion des ressources réseaux mais aussi humaine
 Gérer des 100 ou des 1000 d’utilisateurs dans des systèmes autonomes
 Surveillance, test, configuration du réseau
 Évaluation des ressources nécessaires

Sécurité:
 Protéger le réseau contre les accès non autorisés
 Cryptographie et authentification
 Récupérer les données à la suite d’un événement catastrophique
La sauvegarde des données sur bande magnétique (quotidienne, complète,
incrémentielle,..)
La configuration des disques de tolérance de pannes (Les techniques de redondance,..)
L’utilisation des dispositifs d’alimentation sans coupure
 Se protéger contre les virus
 Contrôle d’accès: Les pare-feux (Firewalls)

….. Et tout ça pour un coût raisonnable !!!

Administration des réseaux
 Introduction

Le réseau est devenu une ressource indispensable

(voire vitale) au bon fonctionnement d’une
entreprise,..
L’administration du réseau met en œuvre un
ensemble de moyen pour :
 offrir aux utilisateurs un service de qualité
 Permettre l’évolution du système en intégrant des
nouvelles fonctionnalités
 Optimiser les performances des services pour les
utilisateurs
 Permettre une utilisation maximale des ressources pour
un coût minimal
Administration = Partie opérationnelle
d’un réseau
Les fonctions d'administration doivent permettre:
 l'extraction des informations des éléments du réseau au
moyen d'outils
=> récolte un grand nombre d'information,
 la réduction du volume d'information au moyen de filtres

=> sélection d'information significatives,

 le stockage des informations retenues dans une base de

données d'administration,
 des traitements sur ces informations,

 offrir des interfaces (utilisateur administration, opérateur

réseau).
 Les attendus d’une administration
de réseau
Les 5 domaines fonctionnels de l'administration tel que définis dans l'OSI:
 La gestion des pannes : permet la détection, la localisation, la réparation de
pannes et le retour à une situation normale dans l'environnement.
 La comptabilité : permet de connaître les charges des objets gérés, les coûts
de communication, ... Cette évaluation est établie en fonction du volume et de la
durée de la transmission. Ces relevés s'effectuent à deux niveaux : Réseau et
Application.
 La gestion des configurations : permet d'identifier, de paramétrer les
différents objets. Les procédures requises pour gérer une configuration sont la
collecte d'information, le contrôle de l'état du système, la sauvegarde de l'état
dans un historique
 L'audit des performances : permet d'évaluer les performances des ressources
du système et leur efficacité. Les performances d'un réseau sont évaluées à
partir de quatre paramètres : le temps de réponse, le débit, le taux d'erreur par
bit et la disponibilité.
 La gestion de la sécurité : une des fonctions de gestion concerne le contrôle
et la distribution des informations utilisées pour la sécurité. Un sous-ensemble
de la MIB (Management Information Base) concerne les informations de
sécurité (SMIB). Il renferme le cryptage et la liste des droits d'accès.
 L’organisation d’une administration
Qui a besoin d'administration et pour quoi faire ?
Il existe différents types de décision d'administration :
 décisions opérationnelles : décision à court terme, concernant
l'administration au jour le jour et opérations temps réel sur le système
 décisions tactiques : décision à moyen terme concernant l'évolution du
réseau et l'application des politiques de long terme
 décisions stratégiques : décision de long terme concernant les
stratégies pour le futur en exprimant les nouveaux besoins et désirs des
utilisateurs.
Ces niveaux déterminent différents niveaux d'administration:
 le contrôle opérationnel réseau pour les décisions opérationnelles
 la gestion réseau pour les décision tactiques
 l'analyse de réseau pour les décision tactiques et stratégiques
 la planification pour les décisions stratégiques
 Administration des réseaux

Protocoles TCP/IP et les protocoles d’application

Principe de routage (IP,ICMP, RIP,OSPF,..)
Administration des serveurs :
 Serveur de résolution des noms, DNS
 Serveur de configuration dynamique, DHCP
 Serveur de transfert des fichiers, FTP
 Serveur pour accéder à des machines distantes,Telnet
 Serveur Web
 Protocole d’administration réseau, SNMP
 Administrer un réseau IP
Un réseau IP est un ensemble d’équipements:
 Possédant chacun un ou plusieurs interfaces
 Reliés entre eux par des supports physiques divers
Administrer un réseau IP:
 Définir un plan d’adressage cohérent
 Affecter une adresse IP à chaque interface
 Mettre en œuvre le routage entre ces divers éléments
 Spécificités de TCP/IP

TCP/IP a émergé pour plus de 90% des réseaux

actuels :
 TCP/IP est indépendant du réseau physique (Ethernet,
Token Ring, X-25,..)
 TCP/IP utilise un système d’@ simple qui permet de
sélectionner un site parmi un réseau international
 TCP/IP est distribué avec un ensemble d’applications
standardisées, pour s’échanger des données
Rappel sur le modèle OSI
Modèle TCP/IP
 Rôle de couche réseau
Adressage
Fragmentation
Routage
 Statique
 Dynamique (RIP, OSPF, EGP,..)
 Protocoles de routage
2 familles de protocoles:
 Protocoles de routage internes (Internal
Gateway Protocols): RIP, OSPF, IGRP,..
 Protocoles de routage externes (External
Gateway Protocols): EGP, BGP
Protocoles à vecteurs de distance
Principe :
 Distance ou métrique:
Unité arbitraire liée soit au nombre de relais
traversées, soit au coût de la liaison, soit à son
débit, soit au délai de transmission pour atteindre
la destination
 Émission:
Diffusion du vecteur de distance (destination,
relais)
 Réception:
Mise à jour de la table de routage
 Protocoles à états des liens
Principe:
 Chaque nœud propage l’état de la liaison avec ses
voisins par inondation
 Chaque noeud maintient une carte complète du
réseau:
Il calcule le chemin le plus court pour atteindre le destinataire
Avantages:
 Pas de boucle
 Convergence très rapide vers un état stable en cas
de modification
 Le protocole IP
0 4 8 16 19 31
Longueur
Version Type de Service Longueur totale
entête

Identification Flags Fragment Offset

Time To Live Protocole supérieur Contrôle d’erreur entête

@ IP source

@ IP destination

Options éventuelles

Données
 Le protocole ARP
Utilisé pour trouver la correspondance entre une
adresse réseau et une adresse physique
 Émission: diffusion d’une requête contenant le type
d’@-physique (Ethernet =1)
 Réception: le même paquet complété avec l’@-
physique du destinataire
Dans le cas d’IP/Ethernet:
 chaque station gére un cache pour éviter la
multiplication des requêtes ARP. L’accés à ce cache
se fait par la commande « arp » (Unix, Win NT)
 Acquisition d’une @-IP
L’acquisition de l’ @IP d’une interface peut
se faire par:
 Configuration statique
 Interrogation d’un serveur d’adresses (DHCP)
 En fonction d’une donnée propre à l’interface
(ex: RARP qui nécessite la table de
correspondance des @-physiques)
 Les commandes ICMP
Les horloges de deux machines qui diffèrent de manière importante peuvent
poser des problèmes pour des logiciels distribués.

Une machine peut émettre une demande d’horodatage (timestamp request)

à une autre machine susceptible de lui répondre (timestamp reply) en
donnant l’heure d’arrivée de la demande et l’heure de départ de la réponse.

L’émetteur peut alors estimer le temps de transit ainsi que la différence

entre les horloges locale et distante.

Le champ de données spécifiques comprend l’heure originale (originate

timestamp) émis par le demandeur, l’heure de réception (receive
timestamp) du destinataire, et l’heure de départ (transmit timestamp) de la
réponse.
 Le protocole ICMP
Internet Control Message Protocol
TYPE 8 bits; type de message
CODE 8 bits; informations complémentaires
CHECKSUM 16 bits; champ de contrôle
HEAD-DATA en-tête datagramme + 64 premiers bits des données.
15 messages utilisés
 10 informations
Ping TYPE Message ICMP
Messages de routeurs 0 Echo Reply
Horodatage 3 Destination Unreachable
 5 erreurs 4 Source Quench
Destination inaccessible 5 Redirect (change a route)
Temps dépassé 8 Echo Request
Divers 11 Time Exceeded (TTL)
Redirection Parameter Problem with a Datagram
13 Timestamp Request
Utilisé par les outils applicatifs tels: 14 Timestamp Reply
ping et traceroute. 15 Information Request
(obsolete)
ICMP : les messages d’ erreurs
Lorsqu’une passerelle émet un message ICMP de type destination
inaccessible, le champ code décrit la nature de l’erreur :
 0 Network Unreachable
 1 Host Unreachable
 2 Protocol Unreachable
 3 Port Unreachable
 4 Fragmentation Needed and DF set
 5 Source Route Failed
 6 Destination Network Unknown
 7 Destination Host Unknown
 8 Source Host Isolated
 9 Communication with desination network administratively prohibited
 10 Communication with desination host administratively prohibited
 11 Network Unreachable for type of Service
 12 Host Unreachable for type of Service
 Rôle de la couche Transport

Couche transport
 Communication de bout en bout Transport
Abstraction de la structure du
réseau
Réseau
 Donnée  Message
 Multiplexage LLC
1 machine
n services MAC
1 service
n machines Couche Physique
 Les protocoles de transport

Couche transport
 TCP
Connecté
Messages remis dans le bon ordre
Aucun message perdu
Aucun message abîmé
 UDP
Non connecté
Rapide
Aucune garantie
 Le protocole TCP

Port Source Port Destination

Numéro de séquence

Numéro d’acks

Long Réservé Drapeaux Taille de fenêtre

Somme de contrôle d’erreurs Pointeur Urgent

Options
 Bilan
Une connexion TCP :
 Ouverture de connexion
Sychronisation
Acknowledge Synchronisation
 Envoi de trames selon fenêtre disponible
 Si accusé réception, décaler la fenêtre
 Si TimeOut, ré-envoyer le segment fautif
 Envoi trame de fin
 Assure un transfert de données fiable, service
garantie, Accuse réception de la trame de fin
 Entête UDP
Port Source Port Destination

Longueur Checksum

Données

Port Source/destination: numéro de port correspondant à l'application émettrice/destinatrice

du segment UDP.
Longueur: Ce champ précise la longueur totale du segment, en-tête comprise, or l'en-tête a
une longueur de 4 x 16 bits (soient 8 x 8 bits) donc le champ longueur est nécessairement
supérieur ou égal à 8 octets.
Somme de contrôle: Il s'agit d'une somme de contrôle réalisée de telle façon à pouvoir
contrôler l'intégrité du segment.
 Administration des serveurs
2 types de réseaux:
 Réseau d’égal à égal: réseau pour groupe de travail et conçu pour un
petit nombre de stations
Un nombre limité d’utilisateurs
Création et exploitation peu coûteuse
Pas de nécessité de serveur dédié ou de logiciel supplémentaire
 Inconvénients:
 aucun point central de gestion
 Si le # des users>10 un réseau d’égal à égal est un mauvais choix
 Ex: Windows for Workgroups, Win 95/98.
 Réseau client-serveur: gestion centralisée des utilisateurs, de la
sécurité et des ressources
Possibilité d’utiliser des serveurs dédiés pour fournir plus efficacement des
ressources précises aux clients
L’utilisateur peut avoir accès aux ressources autorisées à l’aide d’un ID
réseau et d’un mot de passe
 Inconvénients:
 Exploitation et maintenance exige du personnel formé
 Coût d’exploitation est plus élevé que les réseaux d’égal à égal
 Ex: Unix, Novell Netware et Win-NT/XP? WIN2K server.
 Domain Name System : DNS (1)
L’Internet est constitué de réseaux (dizaines de milliers)
Les réseaux sont constitués de sous-réseaux
Les sous-réseaux sont constitués de machines,
La technologie de base (TCP/IP) permet l’accès aux machines
par leur adresse IP,
Il est pratiquement devenu impossible aux humains de
connaître les adresses (IP) des machines auxquelles ils
veulent accéder.
Le système DNS permet d’identifier une machine par un nom
représentatif de la machine et du réseau sur lequel elle se
trouve.
Le système est mis en œuvre par une base de données
distribuée au niveau mondial.
 Domain Name System :DNS
Pourquoi un système de résolution des noms ?
 Communications sur l’Internet basées sur les adresses IP
 Communications «humaines» basées sur des noms
 Besoin d’un mécanisme pour faire correspondre des
adresses IP avec des noms d’hôtes => service DNS
Domain Name System (DNS)
 Base de données hiérarchique distribuée
DNS fournit un niveau d’adressage indirect entre un
nom d’hôte et sa localisation géographique
 Fonctionnalités du service DNS
Espace des noms de domaines = arborescence hiérarchique
 Arborescence indépendante de la topologie réseau et|ou de la
géographie
Architecture de stockage distribuée
 Zones affectées à des serveurs de noms dans l’arborescence
hiérarchique
 Serveurs de sauvegarde pour la redondance et la disponibilité
Administration répartie suivant la hiérarchie des noms
 Rôle le plus simple : client DNS ou ’Resolver’
Protocole client/serveur communicant sur le port n° 53
 Protocole UDP utilisé par les clients
 Protocole TCP préconisé pour les échanges entre serveurs
 Hiérarchie des noms de domaines
Arborescence limitée à 128 niveaux
Un domaine est un sous-ensemble de
l’arborescence
Aucune possibilité de doublon
 hôte : cooper, domaine : ups-tlse, gTLD : fr
 Fully Qualified Domain Name :
cooper.ups-tlse.fr
Conventions sur les noms de domaines
Top Level Domains (TLD)
 .com, .net, .org, .edu, .mil, .gov, .int, .biz
Geographical Top Level Domains (gTLD)
 .tn, .de, .fr, .uk, .jp, .au
Nom du Domain: chaque nœud possède
une étiquette (label): max 63 caract.
 Hôte: correspond à une machine
 DNS
Hiérarchie des serveurs
Serveurs «distribués» dans l’arborescence hiérarchique
 Un serveur ne maintient qu’un sous-ensemble de l’arborescence
 On parle d’autorité sur une zone : ’Authoritative Name Server’
Chaque serveur contient tous les enregsitrements d’hôtes dans
«sa» zone
 Enregistrement = Resource Record (RR)
Chaque serveur a besoin de connaître les autres serveurs
responsables des autres parties de l’arborescence
 Chaque serveur connaît la liste des ’Root Servers’
 Chaque ’Root Server’ connaît tous les TLDs et gTLDs
 Un serveur racine peut ne pas connaître le serveur qui a autorité sur
une zone
 Un serveur racine peut connaître un serveur intermédiaire à contacter
pour connaître le serveur qui a autorité sur une zone
 Exemple de requête DNS
Requête du poste Asterix : Adresse IP du site
www.stri.net ?
 Asterix contacte le serveur local Cooper.ups-tlse.fr
 Cooper.ups-tlse.fr contacte un serveur racine :
J.ROOT-SERVERS.NET
 J.ROOT-SERVERS.NET contacte un serveur du
domaine ’.net’ : G.GTLD-SERVERS.NET
 G.GTLD-SERVERS.NET contacte le serveur qui a
autorité sur la zone ’stri.net’ : full1.gandi.net
 Cooper.ups-tlse.fr renvoie la réponse vers Asterix
Gestion du cache
 Cooper.ups-tlse.fr conserve la réponse dans son
cache
 Cooper.ups-tlse.fr répond directement à toute
nouvelle requête DNS www.stri.net
 Installation (Win2K)

Démarrer -> Programmes -> Outils d'administration -> Configurer votre serveur.
 Installation

Panneau de configuration -> Ajout/suppression de programmes ->

Ajouter/Supprimer des composants Windows -> Services de mise en
réseau, cocher la case Système de nom de domaine (DNS) et
laisser faire.
 Configuration

Dans le menu "Démarrer" -> Programmes ->

Outils d'administration lancer "DNS"
 Configuration (.log)

Pour garder une trace de tout ce qui se passe au niveau de votre serveur.
 Configuration (test)

Vous pouvez tester le bon fonctionnement de votre serveur DNS et sa

récursivité si vous l'avez autorisé précédemment avec d'autre serveur DNS.
Dynamic Host Configuration Protocol

Objectif : obtenir automatiquement tous les

paramètres de configuration réseau
 @ IP
 Adresse de diffusion
 Masque réseau
 Passerelle par défaut
 Domaine DNS
 Adresse IP du serveur de noms DNS
Dynamic Host Configuration Protocol (DHCP)
 Service Internet => couche application
 RFCs 2131 et 2132 en 1997
 Communications sur les ports UDP 67 (client) et 68
(serveur)
 DHCP
L’ @ IP est allouée selon les critères suivants:
 Ne pas être déjà allouée à une autre station
 La même station reçoit toujours la même adresse
 Cette adresse est allouée pendant une période
déterminée (bail)
 Le client vérifie la validité de l’@ (ARP)
 Les Commandes DHCP
Client DHCP envoie une trame "DHCPDISCOVER", destinée à trouver un
serveur DHCP. Cette trame est un "broadcast", donc envoyé à l'adresse
255.255.255.255. N'ayant pas encore d‘@ IP, il fournit aussi son @ MAC
Le serveur DHCP qui reçoit cette trame va répondre par un
"DHCPOFFER". Cette trame contient une proposition de bail et la @-MAC
du client, avec également l‘@ IP du serveur.
Le client répond par un DHCPREQUEST au serveur pour indiquer qu’il
accepte l’offre
Le serveur DHCP Concerné répond définitivement par un DHCPACK qui
constitue une confirmation du bail. L'adresse du client est alors marquée
comme utilisée et ne sera plus proposée à un autre client pour toute la
durée du bail.
 Serveur DHCP
Le serveur DHCP maintient une plage d‘@ à distribuer à
ses clients. Il tient à jour une BD des @ déjà utilisées et
utilisées il y a peu (c.a.d que l'on récupère souvent la
même @, le DHCP ayant horreur des changements )
Lorsqu'il attribue une adresse, il le fait par l'intermédiaire
d'un bail. Ce bail a normalement une durée limitée
Après expiration du bail, ou résiliation par le client, les
informations concernant ce bail restent mémorisées
dans la BD du serveur pendant un certain temps. Bien
que l'adresse IP soit disponible, elle ne sera pas
attribuée en priorité à une autre machine. C'est ce qui
explique que l'on retrouve souvent la même adresse
d'une session à l'autre.
 Détails sur le bail
Dans le bail, il y a non seulement une @ IP pour le
client, avec une durée de validité, mais également
d'autres informations de configuration comme:
 L‘@ d'un ou de plusieurs DNS (Résolution de noms)
 L‘@ de la passerelle par défaut
 L‘@ du serveur DHCP
le client peut renouveler le bail, en s'adressant
directement au serveur qui le lui a attribué. Il n'y aura
alors qu'un DHCPREQUEST et un DHCPACK.
 Accès à distance Telnet
Protocole très utilisé pour l’accés à distance (tests d’application réparties,
tests de fonctionnement en mode manuel des protocoles HTTP, SMTP,..)
Permet de se connecter à une machine distante
Accès à distance Telnet:
 Le client Telnet transmet les caractères entrés sur le terminal local vers le serveur
distant
 Le fonctionnement est bidirectionnel: on supporte le même échange dans les 2
sens
 Ex: Client Telnet :
Telnet <site distant> <port>
Telnet 192.168.19.100 23 commande permet la création d’une connexion
TCP avec le serveur de la machine distante
Le serveur Telnet: Le serveur s’exécute sur la machine distante sinon le service n’est
pas disponible

Client Telnet Serveur Telnet

TCP TCP
IP IP
 SNMP (Simple Network Management
Protocol)
SNMP permet de:

 Visualiser une quantité impressionnante

d’informations concernant le matériel, les
connexions réseau, leur état de charge.
 Modifier le paramétrage de certains composants.
 Alerter l’administrateur en cas d’événement
grave.
 Le concept SNMP
Protocole d'administration de machine supportant TCP/IP
 Conçu en 87-88 par des administrateurs de réseau
Permet de répondre à un grand nombre de besoins :
 disposer d'une cartographie du réseau
 fournir un inventaire précis de chaque machine
 mesurer la consommation d'une application
 signaler les dysfonctionnements
Avantages :
 protocole très simple, facile d'utilisation
 permet une gestion à distance des différentes machines
 le modèle fonctionnel pour la surveillance et pour la
 gestion est extensible
 indépendant de l'architecture des machines administrées
 Le modèle SNMP
Une administration SNMP est composée de trois types
d'éléments:
 des agents chargés de superviser un équipement. On parle d'agent
SNMP installé sur tout type d'équipement.
 une ou plusieurs stations de gestion capable d'interpréter les
données
 une MIB (Management Information Base) décrivant les informations
gérées.
Un protocole activé par une API permet la supervision, le
contrôle et la modification des paramètres des éléments du
réseau.
Les fonctionnalités :
 get : permet à la station d'interroger un agent,
 get_next : permet la lecture de l'objet suivant d'un agent sans en
connaitre le nom
 set : permet de modifier les données d'un agent
 trap : permet de transmettre une alarme
 Fonctionnalités SNMP

Un protocole activé par une API permet la

supervision, le contrôle et la modification des
paramètres des éléments du réseau. Les
fonctionnalités:
 Get: permet à la station d’interroger un agent
 Get_next:permet la lecture d’un objet
 Set: permet de modifier les données d’un agent
 Trap: permet de transmettre une alarme
 Les commandes SNMP

• Les commandes get-request, get-next-request et set-request sont toutes

émises par le manager à destination d'un agent et attendent toutes une réponse get-
response de la part de l'agent.
• La commande trap est une alerte. Elle est toujours émise par l'agent à
destination du manager, et n'attend pas de réponse.
 Le Modèle SNMP
L'utilisation de SNMP suppose que tous les
agents et les stations d'administration
supportent IP et UDP.
Ceci limite l'administration de certains
périphériques qui ne supportent pas la pile
TCP/IP. De plus, certaines machines (ordinateur
personnel, station de travail, contrôleur
programmable, ... qui implantent TCP/IP pour
supporter leurs applications, mais qui ne
souhaitent pas ajouter un agent SNMP.
=> utilisation de la gestion mandataire (les proxies)
 La MIB (Management Information
Base)
MIB = Collection structurée
d’objets
 chaque noeud dans le
système doit maintenir une
MIB qui reflète l'état des
ressources gérées
 une entité d'administration
peut accéder aux ressources
du noeud en lisant les valeurs
de l'objet et en les modifiant.

L’arborescence MIB:
Les informations stockées dans la MIB
sont rangées dans une arborescence.
MIB dispose d'objets supplémentaires.
Elle constitue une branche du groupe
iso.org.dod.internet.mgmt.
 Groupe Commentaires
system Informations générales sur le système.

Informations sur les interfaces entre le systèmes et les sous-

interfaces
réseaux.

at Table de traduction des adresses entre internet et les sous-réseaux.

Informations relatives à l'implantation et à l'éxécution d'IP (Internet

ip
Protocol).

Informations relatives à l'implantation et à l'éxécution de ICMP

icmp
(Internet Control Message Protocol).

Informations relatives à l'implantation et à l'éxécution de TCP

tcp
(Transmission Control Protocol).

Informations relatives à l'implantation et à l'éxécution de UDP (User

udp
Datagram Protocol).

Informations relatives à l'implantation et à l'éxécution de EGP

egp
(Exterior Gateway Protocol).

Informations sur la transmission et sur les protocoles utilisés par

transmission
chaque interface.

snmp Informations relatives à l'implantation et à l'éxécution de SNMP.

 Object identifier
Les variables de la MIB-2 sont identifiées par le
chemin dans l'arborescence, noté de deux façons:
à l'aide des noms de groupes : iso.org.dod
à l'aide des numéros des groupes: 1.3.6.
Les identifiants sont définis à l'aide du langage SMI. Ex:

Notation par
Définition SMI Notation par nom
"point"
mgmt OBJECT IDENTIFIER ::=
{ internet 2 }
1.3.6.1.2 iso.org.dod.internet.mgmt

mib OBJECT IDENTIFIER ::= { mgmt 1 } 1.3.6.1.2.1 iso.org.dod.internet.mgmt.mib

interfaces OBJECT IDENTIFIER ::= iso.org.dod.internet.mgmt.mib.

1.3.6.1.2.1.2
{ mib 2 } interface
 Fonctions assurées

Primitives Descriptions
GetRequest le manager demande une information à l'agent

GetNextRequest le manager demande l'information suivante à l'agent

SetRequest le manager initialise une variable de l'agent

GetResponse l'agent retourne l'information au client

Trap interruption - l'agent envoie une information à un client

La sécurité des réseaux
 Introduction à la sécurité
La sécurité d'un réseau est un niveau de garantie
que l'ensemble des machines du réseau
fonctionnent de façon optimale et que les utilisateurs
possèdent uniquement les droits qui leur ont été
octroyés
Il peut s'agir :
 d'empêcher des personnes non autorisées d'agir sur le
système de façon malveillante
 d'empêcher les utilisateurs d'effectuer des opérations
involontaires capables de nuire au système
 de sécuriser les données en prévoyant les pannes
 de garantir la non-interruption d'un service
 Les causes d’insécurité
On distingue généralement deux types
d'insécurité :
 l'état actif d'insécurité: la non-connaissance par
l'utilisateur des fonctionnalités du système, dont
certaines pouvant lui être nuisibles (ex: la non-
désactivation de services réseaux non nécessaires
à l'utilisateur)
 l'état passif d'insécurité: lorsque l'administrateur
(ou l'utilisateur) d'un système ne connaît pas les
dispositifs de sécurité dont il dispose
 Le but des agresseurs
Les motivations des agresseurs que l'on appelle "pirates"
peuvent être multiples :
 l'attirance de l'interdit
 le désir d'argent (ex: violer un système bancaire)
 le besoin de renommée (impressionner des amis)
 l'envie de nuire (détruire des données, empêcher un système de
fonctionner)
Le but des agresseurs est souvent de prendre le contrôle
d'une machine afin de pouvoir réaliser les actions qu'ils
désirent. Pour cela il existe différents types de moyens :
 l'obtention d'informations utiles pour effectuer des attaques
 utiliser les failles d'un système

l'utilisation de la force pour casser un système
 Problèmes de sécurité
Les problèmes de sécurité des réseaux peuvent
être classés en 4 catégories:
 La confidentialité: seuls les utilisateurs autorisés
peuvent accéder à l’information
 L’authentification: avoir la certitude que l’entité avec
laquelle on dialogue est bien celle que l’on croit
 Non-répudiation: concerne les signatures
 Contrôle d’intégrité: comment être sûr que le
message reçu est bien celui qui a été envoyé (celui-ci
n’a pas été altéré et modifié)
 Attaques,services et mécanismes
L’administrateur doit tenir compte des 3 aspects de la
sécurité de l’information:
 Service de sécurité: pour contrer les attaques de sécurité et
améliorer la sécurité des SI
 Mécanisme de sécurité: pour détecter,prévenir ou rattraper
une attaque de sécurité
Usage des techniques cryptographiques
 Attaque de sécurité: une action qui compromet la sécurité de
l’information possédé par une organisation
Obtenir un accés non-autorisé, modifier,
 Menaces de sécurité
Attaques passives:
Capture de contenu de message et analyse de trafic
écoutes indiscrètes ou surveillance de transmission
Attaques actives:
Mascarade,
modifications des données,
déni de service pour empêcher l’utilisation normale ou la
gestion de fonctionnalités de communication
 Les services de sécurité
 Confidentialité des messages transmis: est la protection
contre les attaques passives
 Authentification des interlocuteurs: pour assurer que le
destinataire reçoive le msg d’origine émis par la source
 Intégrité et non répudiation des messages: assure que les
messages envoyés seront aussitôt reçus sans duplication ni
modification
 Non-répudiation: empêche tant l’expéditeur que le receveur
de nier avoir transmis un message. Ainsi que le message
envoyé a été bien reçu
 Disponibilité et contrôle d’accès (les personnes doivent
pouvoir s’échanger des messages): est la faculté de limiter
et de contrôler l’accès aux systèmes et aux applications
(droits d’accès)
Problématique
 Authentification
But: Bob veut prouver son identité à Alice
 rencontre physique : son apparence
 au téléphone : sa voie
 à la douane : son passeport
Intégrité des messages
 Signatures électroniques
 Le Hacking (attaques)
C’est l’ensemble des techniques visant à attaquer un réseau un site ou un
équipement
Les attaques sont divers on y trouve:
 L’envoie de bombe logiciel, chevaux de Troie
 La recherche de trou de sécurité
 Détournement d’identité
 Les changements des droits d’accès d’un utilisateur d’un PC
 Provocation des erreurs
Les buts d’un Hacker:
 La vérification de la sécurisation d’un système
 La vol d’informations, terrorisme (Virus), espionnage
 Jeux; pour apprendre
Les attaques et les méthodes utilisées peuvent être offensives ou passives:
 Les attaques passives consistent à écouter une ligne de communication et à interpréter
les données qu’ils interceptent
 Les attaques offensives peuvent être regrouper en :
 Les attaques directes: c’est le plus simple des attaques, le Hacker attaque directement sa
victime à partir de son ordinateur. Dans ce type d’attaque, il y a possibilité de pouvoir
remonter à l’origine de l’attaque et à identifier l’identité du Hacker
 Les attaques indirectes (par ruban): passif, cette attaque présente 2 avantages:
 Masquer l’identité (@ IP du Hacker)
 Éventuellement utiliser les ressources du PC intermédiaire
 Quelques définitions
Cryptage: encodage des informations. Il interdit
la lecture d’informations par des personnes non
autorisées, permettant de sécuriser les données
On distingue 2 procédés de cryptage:
 Procédés de transposition, qui modifie la succession
des caractères à l’aide d’un algorithme.
 Procédés de substitution, qui remplace les caractères
d’origine par d’autres prélevés dans une liste
 Règle ou clé de cryptage s’appelle Code
 Ex: PGP (Pretty Good Privacy): progr. Destiné au
cryptage des messages électroniques (conçu par
Philip Zimmermann 1991)
Cryptanalyse: analyse de données cryptées
 Cryptographie
Ensemble de processus de cryptage visant à
protéger les données contre l’accès non autorisés
Repose sur l’emploi des formules mathématiques et
des algorithmes complexes afin de coder
l’information
Il existe 2 systèmes de cryptographie:
 Les systèmes symétriques: la même clé utilisé pour coder
et décoder (DES: Data Encryption standard))
 Les systèmes asymétriques: la clé qui sert à coder est
différente de celle qui peut déchiffrer (RSA:Rivest Shamir
Adelmann 77)
 Principe de cryptage
Tout système de cryptage est composé d’un
algorithme de codage
La Crypt. nécessite 2 fonctions essentielles:
 Le message M est crypté par une fonction de
cryptage E(M)=C
 Le cryptogramme C est décrypté par le
destinataire par une fonction de décryptage
D(C)=M=D(E(M))
Application de la cryptographie
Commerce électronique
Protection de la confidentialité de correspondance
Protection des bases de données contre les
intrusions et la dé vulgarisation à des tiers non
autorisés
Transmission sécurisée des données sensibles à
travers les réseaux internationaux
 Preuve informatique: Identification et authentification
 Système de chiffrement
Système de chiffrement symétrique: la clé est
utilisée à la fois pour chiffrer et déchiffrer un
message
Système de chiffrement asymétrique: chaque
utilisateur possède son propre couple de clé
différente S et P
 La clé S est utilisée pour la procédure de chiffrement
de Message
 La clé P est dérivé de la clé S par une fonction
 La sûreté d’une clé dépend de sa longueur
 La fiabilité d’un système dépend de la puissance de
calcul mesurée mis en œuvre pour casser un code
 Algorithmes de cryptographie
Par substitution B R I Q U E S
 On change les lettres suivant
une règle précise (ex: A → D la 1 5 3 4 7 2 6
clé est : 3) T R A N S F E
Par Transposition R E Z U N M I
 La position des caractères est
modifiée. Pour crypter un L L I O N D E
message on l’écrit en colonne F R A N C S D
de taille fixe et on lit les
colonnes A N S M O N C
 Ex: Nombre de colonne ici 6 O M P T E Z E
 Texte crypté:
TRLFAOREFMDSNZOCAZIAS R O Z E R O S
PZTNU.. E P T A B C D
 Chiffrement à clé symétrique
Encryptage par substitution
 Époque romaine (Code de César)
Texte en clair : abcdefghijklmnopqrstuvwxyz
Texte crypté : mnbvcxzasdfghjklpoiuytrewq

Exemple :
Texte en clair: bob. i meat you. alice
Texte crypté: nkn. s hcmu wky. mgsbc
Difficulté ?
1026 combinaisons possibles.... mais par l'utilisation de règles
statistiques
on trouve facilement la clé ...
... naissance il y a 500 ans du chiffrement polyalphabétique
 Chiffrement à clé symétrique: DES

Data Encryption Standard (1977 par IBM)

Principe :
 découpe le message en clair en morceau de 64
bits auxquelles on applique une transposition
 clé de 64 bits (56 bits de clé + 8 bits de parité
impaire)
Difficulté ?
 concours organisé par RSA Data Security
1997 : 4 mois pour casser le code DES 56 bits
en brute force par des amateurs
1999 : 22 h pour casser DESIII
solution pour le rendre plus sur .... Passer
l'algorithme DES plusieurs fois sur le message avec
à chaque fois des clés différentes (ex : 3DES)
 Cryptographie à clé publique: RSA

Ron Rivest, Adi Shamir et Leonard Adleman (Développé en

1977 repose sur des fonctions math. De puissance et
exponentielles appliqués aux grands nombres)
Algorithme de sélection des clés :
 1) Sélection de 2 grands nombres premiers p et q (de 1024 bit par ex)
 2) Calculer n=pq et z=(p-1)(q-1)
 3) Choisir un e (e<n) qui n'a pas de facteur commun avec z. (e et z
premier entre eux)
 4) Trouver un d tel que ed-1 est exactement divisible par z (ed mod z =1)
 5) Clé public est : (n,e) Clé privé est : (n,d)
 RSA, chiffrement, déchiffrement
1) Clé public est : (n,e) Clé privé est : (n,d)
2) Alice veut envoyer un nombre m à Bob : c = me mod n
3) Bob reçoit le message c et calcule : m = cd mod n
Exemple :
p = 5, q = 7 donc n = 35 et z = 24
Bob choisit e = 5 et d = 29
ALICE : (chiffrement) m = 12 me=248832 c = me mod n = 17
BOB : (déchiffrement) c = 17
cd=481968572106750915091411825223072000
m = cd mod n = 12
Clé public est : (35, 5)
Clé privé est : (35, 29)
 Les virus

Qu’est ce qu’un virus?

 Un petit programme ou un élément
d'un programme, développés à des
fins nuisibles, qui s'installe
secrètement sur des ordinateurs et
parasite des programmes.
Les traces
 Les virus infectent des applications,
copient leur code dans ces
programmes. Pour ne pas infecté
plusieurs fois le même fichier ils
intègrent dans l’application infectée
une signature virale.
 Qu’est ce qu’un ver

Programme capable de se
copier vers un autre
emplacement par ses propres
moyens ou en employant
d'autres applications.
 Les bombes logiques
Les bombes logiques sont
programmées pour s'activer quand
survient un événement précis.
De façon générale, les bombes
logiques visent à faire le plus de dégât
possible sur le système en un minimum
de temps.
Les étapes de sécurité

Prendre des mesures

 Comment se protéger?

Pare-feu

Mises à jour de votre PC

Logiciels anti-virus
 Stratégies
Approche locale
 Poste client
Approche globale
 Poste serveur
Ces deux solutions sont complémentaires
et doivent faire appel à des moteurs
antiviraux de fournisseurs différents
Approche antivirale locale/globale
Mise à jour de la table de définitions de
virus sur chaque poste client
Solution automatique ou manuelle
(localement)
Serveur
antivirus
Requête de mise à jour planifiée
Téléchargement des mises à jour

En cas de mise à jour,

Notification aux clients présents
Interrogation du serveur
à chaque démarrage des clients
Puis téléchargement des mises à jour
 Serveur Symantec Client
Security

Un serveur Symantec Client Security peut envoyer des

mises à jour de configuration et des fichiers de
définitions de virus à des clients
SymantecClient security protége les ordinateurs sur
lesquels il s’exécute
Le programme client Symantec Client Security fournit
une protection antivirus, pare-feu et contre les intrusions
aux ordinateurs réseau et autonomes
Alert Management System2 (AMS2). AMS2 assure la
gestion des urgences et prend en charge les alertes
issues de serveurs et des postes de travail
 Les outils
Web Server
File Server

Web Server Workstation

Via Web Page Via Email

Anti Virus
Firewall
Intrusion Detection
Workstation Vulnerability Management

Workstation

Internet

Mail Server
Mail Gateway
 Firewall

Le pare-feu est un système permettant de

filtrer les paquets de données échangés avec
le réseau, il s'agit ainsi d'une
passerelle filtrante comportant au minimum
les interfaces réseau suivante :
 une interface pour le réseau à protéger
(réseau interne)
 une interface pour le réseau externe
Un système pare-feu contient un ensemble
de règles prédéfinies permettant :
 D'autoriser la connexion (allow) 
 De bloquer la connexion (deny) 
 De rejeter la demande de connexion sans
avertir l'émetteur (drop).
Contrôle d’accès: Les pare-feux
Un pare-feu isole le réseau de l’organisation du
reste de l’Internet en laissant pénétrer certains
paquets et en bloquant d’autres
Il existe 2 types de pare-feux:
 Filtrage simple des paquets
 Filtrage applicatif (niv. Application)
 Rôle du pare-feux
Les firewall protègent les installations informatiques des
intrusions
surveille les communications d'un PC vers Internet et vice
versa
Prévenir les attaques du type Denial Of Service
 Inondation des messages SYN avec des @IP d’origine factices, qui
paralyse l’hôte. Les tampons de l’hôte sont remplis de messages
factices, ce qui ne laissent plus de place pour les vrais messages
 Prévenir les modifications de données internes
Ex: changer la page Web de l’entreprise
 Empêcher les pirates d’accéder à des données sensibles,
 Analyser, bloquer ou autoriser les communications via les ports UDP
et TCP
 Filtrage de paquets
Le réseau interne est équipé d’une passerelle le
reliant à son FAI. On se faire le filtrage des paquets
Filtrage basé sur l’étude des en-tête de paquet
 @ IP d’origine et de destination
 Des types des messages ICMP
 Des datagrammes de connexion et d’inintialisation
utilisant les bits TCP SYN ou Ack
 Ex/ filtre les segments UDP et les connexions Telnet
(segment TCP avec Port 23). Évite toute intrusion
étrangère via une session Telnet.
Mise en place d'une passerelle d'application
(gateway) Serveur spécifique aux applications que
toutes les données d'applications doivent traverser
avant de quitter ou d'entrer dans le réseau
 Filtrage applicatif
Appelé aussi « passerelle applicative » ou proxy
le filtrage applicatif permet la destruction des en-têtes
précédant le message applicatif, ce qui permet de fournir un
niveau de sécurité supplémentaire.
En contrepartie, une analyse fine des données applicatives
requiert une grande puissance de calcul et se traduit donc
souvent par un ralentissement des communications, chaque
paquet devant être finement analysé.
Afin de limiter les risques le proxy doit nécessairement être
en mesure d'interpréter une vaste gamme de protocoles et
doit connaître les failles afférentes pour être efficace.
 Limitations des pare-feux
Usurpation d’identité (IP spoofing) le routeur est impuissant
face à ce type d’attaque
Si chaque application nécessite un traitement particulier Il faut
une passerelle par application Les client de ces applications
doivent pouvoir configurer les logiciels (ex: navigateur avec les
proxy)
Les filtres sont très grossiers: Les spyware et adware (des
progr. Commerciaux sont nuisibles ne sont pas détectés par les
anti-virus) utilisant le port 80 ne sont donc en aucun cas pris en
compte par un firewall hardware.
il est nécessaire d'administrer le pare-feu et notamment de
surveiller son journal d'activité afin d'être en mesure de détecter
les tentatives d'intrusion et les anomalies.
Les attaques: imitation malicieuse
Tout équipement connecté à un réseau injecte des
datagrammes IP
 @ IP de l'expéditeur + données de couche supérieure
Si l'utilisateur peut intervenir sur les logiciels ou son
système d'exploitation il peut inscrire une @ IP
factice (IP spoofing)
 permet au pirate responsable de DoS de dissimuler leur
identité car il est très difficile de remonter à la source
d'un datagramme portant une fausse @ IP
Contre-Mesure : (ingress filtering)
 les routeurs vérifient si l'@ IP des paquets entrant font
partie des @ IP accessibles via cette interface.
 Les attaques: Les DOS
Denial Of Service (DoS)
 rend un réseau, un hôte ou autre inutilisable pour ses
utilisateurs légitimes.
 basé sur la production d'un volume de données supérieur à
la capacité de traitement de l'entité ciblée. exemple :
SYN flooding avec des @ IP factices : accumulation d'un gd nb de
connexions partiellement ouvertes
envoie de fragments IP sans les fragments de terminaison
attaque smurf : envoie de paquets de requête d'échos ICMP en
masse
Distributed Denial of Service (DDos)
 Le pirate obtient un grand nombre de comptes utilisateurs
(sniffing ou brute force)
 Il installe et exécute un logiciel esclave au niveau de chaque
hôte qui attend les ordres en provenance d'un logiciel maître
 Puis le pirate ordonne à tous ses logiciels esclaves de lancer
une attaque DoS contre le même hôte ciblé
 Zone Démilitarisée DMZ
Il est nécessaire de mettre en place des
architectures de systèmes pare-feux permettant
d'isoler les différents réseaux de l'entreprise: on
parle ainsi de « cloisonnement des réseaux »
(isolation)
« zone démilitarisé » ( DMZ pour DeMilitarized
Zone) pour désigner cette zone isolée
hébergeant des applications mises à
disposition du public
 Architecture DMZ

Les serveurs situés dans la DMZ

sont appelés « bastions » en
raison de leur position d'avant
poste dans le réseau de
l'entreprise.
La DMZ possède donc un niveau
de sécurité intermédiaire, mais
son niveau de sécurisation n'est
pas suffisant pour y stocker des
données critiques pour
l'entreprise.
 Politique de sécurité

La politique de sécurité mise en oeuvre sur la

DMZ est généralement la suivante :
 Traffic du réseau externe vers la DMZ autorisé ;
 Traffic du réseau externe vers le réseau interne
interdit ;
 Traffic du réseau interne vers la DMZ autorisé ;
 Traffic du réseau interne vers le réseau externe
autorisé ;
 Traffic de la DMZ vers le réseau interne interdit ;
 Traffic de la DMZ vers le réseau externe refusé.
 NAT

Le principe du NAT consiste à réaliser, au niveau de

la passerelle de connexion à internet, une translation
entre l'adresse interne (non routable) de la machine
souhaitant se connecter et l'adresse IP de la
passerelle.
Le terme NAT représente la modification des
adresses IP dans l'en-tête d'un datagramme IP
effectuée par un routeur.
SNAT : @source du paquet qui est modifiée
(altérée)
DNAT : @destination qui est modifiée (altérée)
Network Address Translation: NAT
Fonctionnement du NAT:
 Translation des @IP de l’en tête
 Recalcul et vérification du checksum
 Recalcul et modification du checksum TCP
 NAT cache l’identité « réelle » des Hosts
 Tout paquet de données qui doit être translater doit passer par un
routeur NAT
 permet de sécuriser le réseau interne étant donné qu'il camoufle
complètement l'adressage interne. Pour un observateur externe au
réseau, toutes les requêtes semblent provenir de la même adresse IP.
 Les différents types de NAT

On distingue deux types différents de NAT:

NAT statique

NAT dynamique
 Principe de NAT
Le principe du NAT statique:
 consiste à associer une @IP publique à une @IP privée interne au
réseau. Le routeur (passerelle) permet donc d'associer à une @IP
privée (ex: 192.168.0.1) une @IP publique routable sur Internet et de
faire la traduction, dans un sens comme dans l'autre, en modifiant l‘@
dans le paquet IP.
 La translation d‘@-statique permet ainsi de connecter des machines du
réseau interne à internet de manière transparente
NAT dynamique
 permet de partager une @IP routable entre plusieurs machines en @
privé. Ainsi, toutes les machines du réseau interne possèdent
virtuellement, vu de l'extérieur, la même @IP. C'est la raison pour
laquelle le terme de « mascarade IP » (IP masquerading) est parfois
utilisé pour désigner le mécanisme de translation d'adresse dynamique.
 10.0.0.12/24 (@
interne)

10.0.0.12/24

193.22.35.42/24 (@ externe)

Internet
 Les avantages du NAT

La NAT statique a permis de rendre une

machine accessible sur Internet alors qu'elle
possédait une adresse privée.
la NAT statique permet de rendre
disponible une application sur Internet ( serveur
web, mail ou serveur FTP).
 Inconvénient

Le principe du NAT statique ne résout pas

le problème de la pénurie d'adresse
puisque n adresses IP routables sont
nécessaires pour connecter n machines
du réseau interne.
Avantages NAT Dynamique

Le NAT dynamique permet de partager une

adresse IP routable (ou un nombre réduit
d'adresses IP routables) entre plusieurs
machines en adressage privé.
NAT dynamique utilise la translation de port
(PAT - Port Address Translation)
Elle permet d’économiser les adresse IP. cela
permet de répondre au problème de pénurie
d'adresses.
Elle permet une sécurité accrue, car il n'existe
aucun moyen pour quelqu'un de l'extérieur,
d'accéder aux machines internes.
 Les inconvénients
Elle est donc utile pour partager un accès
Internet, mais pas pour rendre un serveur
accessible.
Toute application spécifiant l'adresse IP dans la
partie des données (et non pas dans l'en-tête)
ne fonctionne pas avec NAT
La NAT dynamique seule ne peut pas être
considérée comme une sécurité suffisante. Il est
indispensable d'utiliser un filtrage si l'on veut
obtenir un bon niveau de sécurité.
 Récapitulatif

Accès non autorisé Authentification

Confidentialité Chiffrement
Virus Antivirus
Intrusion Firewall
Modification Hachage
consiste à verrouiller les données à l’aide des
composants matériels: clipper-chips