Technologies de l’Internet Module TR2 Laure Petrucci

(1)

Technologies de l’Internet

Module TR2

Laure Petrucci

IUT R&T Villetaneuse

18 janvier 2010

Laure Petrucci Technologies de l’Internet 18 janvier 2010 1 / 126

(2)

Plan du cours

1 Mod` eles en couches

2 TCP/IP — Internet

3 Filtrage — iptables

4 Noms de domaines — DNS

5 Transfert de fichiers — FTP

6 Gestion du courrier — SMTP

7 Annuaires — LDAP

8 RPC — Appels de proc´ edure ` a distance

(3)

Mod`eles en couches

1 Mod` eles en couches Architecture OSI

SDU, PDU et encapsulation

(4)

Mod`eles en couches Architecture OSI

Le mod` ele OSI (Open System Interconnection)

Un mod` ele normalis´ e

norme de l’ISO (International Standards Organisation) assurer une compatibilit´ e entre entit´ es h´ et´ erog` enes Une structuration en couches

Chaque couche :

assure un rˆ ole sp´ ecifique

dialogue avec les couches adjacentes de la mˆ eme entit´ e dialogue avec la couche de mˆ eme niveau de l’autre entit´ e

(5)

Mod`eles en couches Architecture OSI

Le mod` ele OSI (Open System Interconnection)

Un mod` ele normalis´ e

norme de l’ISO (International Standards Organisation) assurer une compatibilit´ e entre entit´ es h´ et´ erog` enes Une structuration en couches

Chaque couche :

assure un rˆ ole sp´ ecifique

dialogue avec les couches adjacentes de la mˆ eme entit´ e dialogue avec la couche de mˆ eme niveau de l’autre entit´ e

(6)

Mod`eles en couches SDU, PDU et encapsulation

Les couches du mod` ele OSI

Application 7.

Pr´ esentation Entit´ e A

6. Session 5.

Transport 4.

R´ eseau 3.

Liaison de donn´ ees 2.

Physique 1.

Application 7. Pr´ esentation

Entit´ e B

6. Session 5.

Transport 4.

R´ eseau 3.

Liaison de donn´ ees 2.

Physique 1.

PDU

7

PDU

6

PDU

5

PDU

4

PDU

3

PDU

2

PDU

1

SDU

6

Request Confirm Response Indication

(7)

Les couches du mod` ele OSI

Application 7.

Pr´ esentation Entit´ e A

6. Session 5.

Transport 4.

R´ eseau 3.

Liaison de donn´ ees 2.

Physique 1.

Application 7.

Pr´ esentation Entit´ e B

6. Session 5.

Transport 4.

R´ eseau 3.

Liaison de donn´ ees 2.

Physique 1.

PDU

7

PDU

6

PDU

5

PDU

4

PDU

3

PDU

2

PDU

1

SDU

6

Request Confirm Response Indication

(8)

Les couches du mod` ele OSI

Application 7.

Pr´ esentation Entit´ e A

6. Session 5.

Transport 4.

R´ eseau 3.

Liaison de donn´ ees 2.

Physique 1.

Application 7.

Pr´ esentation Entit´ e B

6. Session 5.

Transport 4.

R´ eseau 3.

Liaison de donn´ ees 2.

Physique 1.

PDU

7

PDU

6

PDU

5

PDU

4

PDU

3

PDU

2

PDU

1

SDU

6

PDU — Protocol Data Unit

PDU n : protocole d’´ echange entre deux couches de niveau n

Request Confirm Response Indication

(9)

Les couches du mod` ele OSI

Application 7.

Pr´ esentation Entit´ e A

6. Session 5.

Transport 4.

R´ eseau 3.

Liaison de donn´ ees 2.

Physique 1.

Application 7.

Pr´ esentation Entit´ e B

6. Session 5.

Transport 4.

R´ eseau 3.

Liaison de donn´ ees 2.

Physique 1.

PDU

7

PDU

6

PDU

5

PDU

4

PDU

3

PDU

2

PDU

1

SDU

6

SDU — Service Data Unit

SDU n : service fourni par la couche n ` a la couche n + 1

Request Confirm Response Indication

(10)

Les couches du mod` ele OSI

Application 7.

Pr´ esentation Entit´ e A

6. Session 5.

Transport 4.

R´ eseau 3.

Liaison de donn´ ees 2.

Physique 1.

Application 7.

Pr´ esentation Entit´ e B

6. Session 5.

Transport 4.

R´ eseau 3.

Liaison de donn´ ees 2.

Physique 1.

PDU

7

PDU

6

PDU

5

PDU

4

PDU

3

PDU

2

PDU

1

SDU

6

Request

Confirm Response Indication

(11)

Les couches du mod` ele OSI

Application 7.

Pr´ esentation Entit´ e A

6. Session 5.

Transport 4.

R´ eseau 3.

Liaison de donn´ ees 2.

Physique 1.

Application 7.

Pr´ esentation Entit´ e B

6. Session 5.

Transport 4.

R´ eseau 3.

Liaison de donn´ ees 2.

Physique 1.

PDU

7

PDU

6

PDU

5

PDU

4

PDU

3

PDU

2

PDU

1

SDU

6

Request

Confirm Response

Indication

(12)

Les couches du mod` ele OSI

Application 7.

Pr´ esentation Entit´ e A

6. Session 5.

Transport 4.

R´ eseau 3.

Liaison de donn´ ees 2.

Physique 1.

Application 7.

Pr´ esentation Entit´ e B

6. Session 5.

Transport 4.

R´ eseau 3.

Liaison de donn´ ees 2.

Physique 1.

PDU

7

PDU

6

PDU

5

PDU

4

PDU

3

PDU

2

PDU

1

SDU

6

Request

Confirm

Response Indication

(13)

Les couches du mod` ele OSI

Application 7.

Pr´ esentation Entit´ e A

6. Session 5.

Transport 4.

R´ eseau 3.

Liaison de donn´ ees 2.

Physique 1.

Application 7.

Pr´ esentation Entit´ e B

6. Session 5.

Transport 4.

R´ eseau 3.

Liaison de donn´ ees 2.

Physique 1.

PDU

7

PDU

6

PDU

5

PDU

4

PDU

3

PDU

2

PDU

1

SDU

6

Request Confirm Response Indication

(14)

Encapsulation

Message

Application Pr´ esentation

Session Transport Fragment R´ eseau Liaison

(15)

Encapsulation

Message Application

Pr´ esentation Session Transport Fragment R´ eseau Liaison

(16)

Encapsulation

Message Application Pr´ esentation

Session Transport Fragment R´ eseau Liaison

(17)

Encapsulation

Message Application Pr´ esentation

Session

Transport Fragment R´ eseau Liaison

(18)

Encapsulation

Message Application Pr´ esentation

Session Transport

Fragment R´ eseau Liaison

(19)

Encapsulation

Message Application Pr´ esentation

Session Transport Fragment

R´ eseau Liaison

(20)

Encapsulation

Message Application Pr´ esentation

Session Transport Fragment R´ eseau

Liaison

(21)

Encapsulation

Message Application Pr´ esentation

Session Transport Fragment R´ eseau Liaison

(22)

TCP/IP — Internet

2 TCP/IP — Internet Petit historique

Architecture du DoD (Internet) Structure d’un paquet IP Adresses IP

Routage internet

Table de routage Sous-adressage

Protocoles

ARP — Address Resolution Protocol

RARP — Reverse Address Resolution Protocol ICMP — Internet Control Message Protocol IGMP — Internet Group Management Protocol TCP — Transmission Control Protocol UDP — User Datagram Protocol

(23)

TCP/IP — Internet Petit historique

Petit historique

D´ evelopp´ e par le DARPA (Defence Advanced Research Project Agency), ` a la demande du DoD (Department of Defense) am´ ericain.

1970 : interconnexion des r´ eseaux am´ ericains d´ eveloppement/coordination assur´ es par :

1979 – 1983 : ICCB (Internet Control and Configuration Board) 1983 – 1989 : IAB (Internet Activities Board)

1989 – . . . : IRTF (Internet Research Task Force) et IETF (Internet Engineering Task Force)

pas de norme, mais des RFC (Request For Comments)

(24)

TCP/IP — Internet Architecture du DoD (Internet)

Architecture Internet

Application 7.

Pr´ esentation Architecture OSI

6. Session 5.

Transport 4.

R´ eseau 3.

Liaison de donn´ ees 2.

Physique 1.

Internet

Processus

Hˆ ote ` a hˆ ote Internet

Acc` es r´ eseau

(25)

Protocoles

Processus

Telnet, FTP, SMTP, NFS, SNMP, Ping, . . . Hˆ ote ` a hˆ ote

TCP, UDP, ICMP

Internet

IP, ARP, RARP

Acc` es r´ eseau

FDDI, X25, Xerox Ethernet, IEEE 802 (couches LLC et MAC), Arpanet, . . .

(26)

Protocoles

Processus

Telnet, FTP, SMTP, NFS, SNMP, Ping, . . . Hˆ ote ` a hˆ ote

TCP, UDP, ICMP Internet

IP, ARP, RARP

Acc` es r´ eseau

FDDI, X25, Xerox Ethernet, IEEE 802 (couches LLC et MAC), Arpanet, . . .

(27)

Protocoles

Processus

Telnet, FTP, SMTP, NFS, SNMP, Ping, . . . Hˆ ote ` a hˆ ote

TCP, UDP, ICMP Internet

IP, ARP, RARP Acc` es r´ eseau

FDDI, X25, Xerox Ethernet, IEEE 802 (couches LLC et MAC), Arpanet, . . .

(28)

Protocoles

Processus

Telnet, FTP, SMTP, NFS, SNMP, Ping, . . . Hˆ ote ` a hˆ ote

TCP, UDP, ICMP Internet

IP, ARP, RARP Acc` es r´ eseau

FDDI, X25, Xerox Ethernet, IEEE 802 (couches LLC et MAC), Arpanet, . . .

(29)

TCP/IP — Internet Structure d’un paquet IP

Structure d’un paquet IP

v. IP (4) lg. entˆ ete (4) DSCP (6) ECN (2) lg. tot. en octets (16)

Identification (16) 0 DF MF offset (13)

Dur´ ee de vie — TTL (8) protocole (8) ctrl. erreur entˆ ete (16) Adresse IP ´ emetteur (32)

Adresse IP destinataire (32) Options ´ eventuelles bourrage ´ eventuel pour les options

Donn´ ees

Les tailles des champs sont en nombre de bits.

v. IP : version du protocole (IPv4, IPv6)

lg entˆ ete : longueur de l’entˆ ete en paquets de 4 octets.

DSCP (Differenciated Service Code Point) : permet aux routeurs de traiter au mieux le paquet.

ECN (Explicit Congestion Notification) : gestion de congestions DF (Don’t Fragment) : pas de fragmentation

MF (More Fragments) : il y a d’autres fragments

Offset : position du fragment dans le message, en nombre de blocs de 8 octets

(30)

Options

Copie (1) Classe (2) Num´ ero (5) param` etres ´ eventuels

Copie

1 impose ` a une passerelle de recopier le champ options dans tous les fragments

Classe

0 : datagramme ou supervision r´ eseau 2 : mesures et mise au point

1, 3 : r´ eserv´ es

Num´ ero

Signification de l’action. Par exemple, pour la classe 0 :

0 : fin de la liste des options 3 : routage approximatif 7 : enregistrement de la route 9 : routage exact

(31)

Options

Copie (1) Classe (2) Num´ ero (5) param` etres ´ eventuels

Copie

1 impose ` a une passerelle de recopier le champ options dans tous les fragments

Classe

0 : datagramme ou supervision r´ eseau 2 : mesures et mise au point

1, 3 : r´ eserv´ es

Num´ ero

Signification de l’action. Par exemple, pour la classe 0 :

0 : fin de la liste des options 3 : routage approximatif 7 : enregistrement de la route 9 : routage exact

(32)

TCP/IP — Internet Adresses IP

Carat´ eristiques de l’adressage IP

addresses uniques (dans le monde) 4 octets :

repr´ esent´ es en d´ ecimal s´ epar´ es par des points

premiers octets : num´ ero de r´ eseau

derniers octets : adresse locale de l’entit´ e sur le r´ eseau

194.254.173 | {z }

num´ ero r´ eseau .

adresse locale z}|{ .123

(33)

Carat´ eristiques de l’adressage IP

addresses uniques (dans le monde) 4 octets :

repr´ esent´ es en d´ ecimal s´ epar´ es par des points

premiers octets : num´ ero de r´ eseau

derniers octets : adresse locale de l’entit´ e sur le r´ eseau

194.254.173 | {z }

num´ ero r´ eseau .

adresse locale z}|{ .123

(34)

Classes d’adresses

Classe A (grands r´ eseaux) :

0 num.

r´ eseau adresse locale Classe B (r´ eseaux moyens) :

1 0 num. r´ eseau adresse locale Classe C (petits r´ eseaux) :

1 1 0 num. r´ eseau ad. locale

Classe D (utilis´ e par IGMP) :

1 1 1 0 code IGMP

(35)

Adresses particuli` eres

octets de l’adresse locale ` a 0 : nom de r´ eseau

octets de l’adresse locale ` a 255 : adresse de diffusion sur le r´ eseau 127.0.0.1 : bouclage local

num´ ero de r´ eseau 169.254 : adresses

link-local

pour l’autoconfiguration

adresses priv´ ees

(36)

Obtention de num´ ero de r´ eseau

Les demandes sont g´ er´ ees par une autorit´ e centrale, l’IANA (Internet Address Network Authority) qui les distribue au NIC (Network Information Center) et au RIPE (R´ eseaux IP Europ´ eens).

Peu de num´ eros sont encore disponibles. On contourne le probl` eme en utilisant le m´ ecanisme de translation d’adresse (NAT).

(37)

Gestion des adresses sous Unix

Adresses num´ eriques et symboliques

adresses symboliques faciles ` a retenir. Ex : machine.iutv.univ-paris13.fr

correspondance adresse num´ erique ↔ adresse symbolique : dans le fichier /etc/hosts

dans la base de donn´ ees d’un serveur NIS g´ er´ ees par un serveur de noms (DNS)

(38)

TCP/IP — Internet Routage internet

Routage dans internet

Hˆ ote

table de routage simplifi´ ee pas de relai des paquets Routeur (passerelle, gateway)

2 interfaces r´ eseau relai des paquets :

table de routage

peut d´ ecider qu’un paquet ne peut pas ˆ etre d´ elivr´ e

(39)

Routage dans internet

Hˆ ote

table de routage simplifi´ ee pas de relai des paquets Routeur (passerelle, gateway)

2 interfaces r´ eseau relai des paquets :

table de routage

peut d´ ecider qu’un paquet ne peut pas ˆ etre d´ elivr´ e

(40)

Structure d’une table de routage

Destination Gateway Netmask Flags Interface

. . . . . . . . . . . . . . .

Destination : adresse IP de destination

Gateway : adresse du prochain routeur ` a emprunter pour atteindre l’adresse, si n´ ecessaire

Netmask : masque (pour le sous-adressage) Flags :

U (in Use) : ligne op´ erationnelle G (Gateway) : chemin vers un routeur H (Host) : chemin vers un hˆ ote

Interface : interface r´ eseau sur laquelle envoyer le paquet

(41)

El´ ´ ements d’une table de routage

Destination Gateway Netmask Flags Interface

127.0.0.0 — 255.0.0.0 U lo0

194.254.173.17 — 255.255.255.255 UH eth0

194.254.173.0 — 255.255.255.0 U eth0

default gw.iutv.univ-paris13.fr 0.0.0.0 UG eth0

boucle locale : interface lo (localhost) adresse hˆ ote (ex : 194.254.173.17)

r´ eseau local sur lequel le paquet est envoy´ e si le

et

binaire de l’adresse de l’hˆ ote destinataire et du masque est ´ egal ` a la destination acc` es ` a un routeur par d´ efaut

(42)

Sous-adressage

Pourquoi ?

num´ ero de r´ eseau attribu´ e ` a une organisation subdivision en sous-r´ eseaux (par ex. d´ epartements) Sous-adressage

D´ efinition d’un masque binaire sur la partie adresse locale

Par exemple, l’hˆ ote 182.33.200.35 fait partie du sous-r´ eseau de masque 255.255.240.0 du r´ eseau 182.33.0.0, c’est-` a-dire 182.33.192.0, car :

182.33.200.35 1011 0110.0010 0001.1100 1000.0010 0011 et 255.255.240.0 1111 1111.1111 1111.1111 0000.0000 0000

= 182.33.192.0 1011 0110.0010 0001.1100 0000.0000 0000

(43)

NAT — Network Address Translation

utilisation d’adresses priv´ ees sur le r´ eseau local seul le routeur est connu de l’ext´ erieur

le routeur traduit les adresses priv´ ees

(44)

TCP/IP — Internet Protocoles

ARP — Address Resolution Protocol

Objectif

Trouver une adresse MAC ` a partir d’une adresse IP Pourquoi ?

Besoin d’adresses MAC Ethernet Comment ?

Une machine A veut obtenir l’adresse MAC d’une machine B : A envoie un paquet ARP.request(MAC _A ,IP _A ,0,IP _B ) B r´ epond par un paquet ARP.reply(MAC _B ,IP _B ,MAC _A ,IP _A )

(45)

RARP — Reverse Address Resolution Protocol

Objectif

Trouver une adresse IP ` a partir d’une adresse MAC Pourquoi ?

red´ emarrage d’une station sans disque stations rarement utilis´ ees

Comment ?

diffusion de l’adresse MAC

un serveur RARP renvoie l’adresse IP correspondante

(46)

ICMP — Internet Control Message Protocol

Objectif

Contrˆ oler les erreurs sur le r´ eseau Pourquoi ?

r´ eponse ` a un routage rat´ e

test de l’´ etat d’une station distante test du d´ elai de r´ eponse

acheminement de messages d’erreur Commandes Unix

ping, traceroute, tracepath

Commandes windows ping, tracert

(47)

IGMP — Internet Group Management Protocol

Objectif

Diffusion de messages ` a un groupe multicast Pourquoi ?

g´ erer des groupes de stations synchronisation d’horloges

Comment ?

une station s’associe ` a un groupe en envoyant une requˆ ete (groupe, interface)

le routeur multicast diffuse sur les interfaces Unicast 6= Multicast 6= Broadcast

(48)

TCP — Transmission Control Protocol

Objectif

Fournir un service de transport fiable Comment ?

ind´ ependant des protocoles inf´ erieurs connexions bi-directionnelles

processus serveurs et processus clients

communication identifiable de mani` ere unique par : adresse source

port source adresse destination port destination

(49)

Structure d’un segment TCP

port source (16) port destination (16) num´ ero de s´ equence (32)

num´ ero d’acquittement (32)

Lg. entˆ ete (4) r´ eserv´ e (4) drapeaux (8) taille fenˆ etre (16) checksum (16) pointeur urgent (16)

Options ´ eventuelles Donn´ ees

Drapeaux

CWR, ECE (Congestion Window Reduced) : gestion de la congestion URG (urgent) : utilisation du pointeur urgent

ACK (acknowledgement) : utilisation du num´ ero d’acquittement, ou r´ eponse ` a l’ouverture de connexion

PSH (push) : demande de transmission des donn´ ees ` a la couche sup´ erieure RST (reset) : r´ einitialisation de la connexion

SYN (synchronise) : synchronisation des num´ eros de s´ equence et ´ etablissement de la connexion

FIN (finished) : demande de fermeture de la connexion

(50)

Structure d’un segment TCP

port source (16) port destination (16) num´ ero de s´ equence (32)

num´ ero d’acquittement (32)

Lg. entˆ ete (4) r´ eserv´ e (4) drapeaux (8) taille fenˆ etre (16) checksum (16) pointeur urgent (16)

Options ´ eventuelles Donn´ ees

Drapeaux

CWR, ECE (Congestion Window Reduced) : gestion de la congestion URG (urgent) : utilisation du pointeur urgent

ACK (acknowledgement) : utilisation du num´ ero d’acquittement, ou r´ eponse ` a l’ouverture de connexion

PSH (push) : demande de transmission des donn´ ees ` a la couche sup´ erieure RST (reset) : r´ einitialisation de la connexion

SYN (synchronise) : synchronisation des num´ eros de s´ equence et ´ etablissement de la connexion

FIN (finished) : demande de fermeture de la connexion

(51)

UDP — User Datagram Protocol

Protocole tr` es simple sans connexion sans acquittement

utilisation des num´ eros de ports

(52)

Filtrage —iptables

3 Filtrage — iptables Notion de parefeu

Diff´ erents types de filtrage Utilisation d’iptables

(53)

Filtrage —iptables Notion de parefeu

Parefeu (firewall)

Objectif

parer ` a des attaques, prot´ eger des intrusions Pourquoi ?

Machine connect´ ee en permanence ⇒ pas de surveillance

large bande passante

pas de changement d’adresse IP

Comment ?

filtrage des donn´ ees ´ echang´ ees avec le r´ eseau disposer d’au moins 2 interfaces

r´ eseau interne r´ eseau externe

en g´ en´ eral une machine d´ edi´ ee ou un mat´ eriel sp´ ecifique

(54)

Parefeu (firewall)

Objectif

parer ` a des attaques, prot´ eger des intrusions Pourquoi ?

Machine connect´ ee en permanence ⇒ pas de surveillance

large bande passante

pas de changement d’adresse IP Comment ?

filtrage des donn´ ees ´ echang´ ees avec le r´ eseau disposer d’au moins 2 interfaces

r´ eseau interne r´ eseau externe

en g´ en´ eral une machine d´ edi´ ee ou un mat´ eriel sp´ ecifique

(55)

Parefeu (firewall)

Objectif

parer ` a des attaques, prot´ eger des intrusions Pourquoi ?

Machine connect´ ee en permanence ⇒ pas de surveillance

large bande passante

pas de changement d’adresse IP Comment ?

filtrage des donn´ ees ´ echang´ ees avec le r´ eseau disposer d’au moins 2 interfaces

r´ eseau interne r´ eseau externe

en g´ en´ eral une machine d´ edi´ ee ou un mat´ eriel sp´ ecifique

(56)

Fonctionnement

R` egles de filtrage

Le filtrage ob´ eit ` a un ensemble de r` egles permettant de : autoriser la connexion (allow)

bloquer la connexion (deny)

rejeter la demande de connexion sans pr´ evenir l’´ emetteur (drop) Politique de fonctionnement

Plusieurs politiques peuvent ˆ etre appliqu´ ees :

autorisations explicites uniquement : tout ce qui n’est pas autoris´ e est par d´ efaut interdit ⇒ contraignant

interdictions explicites uniquement : tout ce qui n’est pas interdit est autoris´ e ⇒ peu sˆ ur

(57)

Fonctionnement

R` egles de filtrage

Le filtrage ob´ eit ` a un ensemble de r` egles permettant de : autoriser la connexion (allow)

bloquer la connexion (deny)

rejeter la demande de connexion sans pr´ evenir l’´ emetteur (drop) Politique de fonctionnement

Plusieurs politiques peuvent ˆ etre appliqu´ ees :

autorisations explicites uniquement : tout ce qui n’est pas autoris´ e est par d´ efaut interdit ⇒ contraignant

interdictions explicites uniquement : tout ce qui n’est pas interdit est autoris´ e ⇒ peu sˆ ur

(58)

Filtrage —iptables Diff´erents types de filtrage

Filtrage simple (stateless packet filtering)

Analyse de l’entˆ ete de chaque datagramme circulant entre les diff´ erents r´ eseaux

⇒ IP source, IP destination, type (TCP, UDP, . . . ), port Blocage/autorisation selon le port utilis´ e

ports standard : de 0 ` a 1023 (25=smtp, 80=http, . . . )

bloquer les ports non indispensables (23=telnet, connexion non s´ ecuris´ ee)

autoriser les ports correspondant ` a des services indispensables (22=ssh, connexion s´ ecuris´ ee)

(59)

Filtrage dynamique (statefull packet filtering)

Pourquoi ?

filtrage simple : examen individuel des paquets beaucoup de communications bas´ ees sur TCP ⇒

mode connect´ e

obtention dynamique d’un num´ ero de port ⇒ impossible de connaˆıtre le num´ ero a priori

Comment ?

suivi des ´ echanges de messages

r` egles de filtrage appliqu´ ees en fonction des paquets pr´ ec´ edents

`

a partir du moment o` u une connexion est accept´ ee, les autres paquets du mˆ eme dialogue sont automatiquement accept´ es

(60)

Filtrage dynamique (statefull packet filtering)

Pourquoi ?

filtrage simple : examen individuel des paquets beaucoup de communications bas´ ees sur TCP ⇒

mode connect´ e

obtention dynamique d’un num´ ero de port ⇒ impossible de connaˆıtre le num´ ero a priori

Comment ?

suivi des ´ echanges de messages

r` egles de filtrage appliqu´ ees en fonction des paquets pr´ ec´ edents

`

a partir du moment o` u une connexion est accept´ ee, les autres paquets du mˆ eme dialogue sont automatiquement accept´ es

(61)

Filtrage applicatif (proxy)

pr´ esence de failles dans les applications utilis´ ees

adapt´ e ` a l’utilisation des protocoles et des ports sp´ ecifique ` a chaque application

(62)

Filtrage —iptables Utilisation d’iptables

Choix d’iptables

Avantages :

utilisation plus simple que sur des mat´ eriels d´ edi´ es (comme l’IOS des routeurs CISCO)

filtrage dynamique

gratuit, disponible sur Linux

(63)

Tables d’iptables

filter (table par d´ efaut)

Pr´ ecise le filtrage des paquets. Chaˆınes : OUTPUT, INPUT et FORWARD nat

Effectue la translation d’adresses ; utilis´ ee lors de la cr´ eation d’une nouvelle connexion. Chaˆınes : PREROUTING, OUTPUT et POSTROUTING

mangle

Modification sp´ ecialis´ ee des paquets. Chaˆınes : PREROUTING, OUTPUT, INPUT, FORWARD et POSTROUTING

raw

Evite de tracer la connexion. Chaˆınes : ´ PREROUTING et OUTPUT

(64)

Chaˆınes

Notion de chaˆıne

liste ordonn´ ee de r` egles politique par d´ efaut Types de chaˆınes

INPUT : appliqu´ ee aux paquets destin´ es ` a des sockets locales FORWARD : appliqu´ ee aux paquets rout´ es par le parefeu

OUTPUT : appliqu´ ee aux paquets paquets g´ en´ er´ es localement, avant routage

PREROUTING : modification des paquets entrants POSTROUTING : modification des paquets sortants

(65)

Chaˆınes

Notion de chaˆıne

liste ordonn´ ee de r` egles politique par d´ efaut Types de chaˆınes

INPUT : appliqu´ ee aux paquets destin´ es ` a des sockets locales FORWARD : appliqu´ ee aux paquets rout´ es par le parefeu

OUTPUT : appliqu´ ee aux paquets paquets g´ en´ er´ es localement, avant routage

PREROUTING : modification des paquets entrants POSTROUTING : modification des paquets sortants

(66)

Cibles (target) d’iptables

Actions ` a effectuer :

DROP : d´ etruire le paquet

REJECT : d´ etruire le paquet et renvoyer un paquet ICMP ACCEPT : accepter le paquet

LOG : tracer le paquet dans les logs cibles d´ efinies par l’utilisateur

(67)

Exemple d’ajout de r` egle de filtrage

iptables -A FORWARD

| {z }

(1)

-s 1.1.1.1

| {z }

(2)

-p tcp

| {z }

(3)

--dport 80

| {z }

(4)

--syn

| {z }

(5)

-j DROP

| {z }

(6)

1

ajouter une r` egle ` a la chaˆıne FORWARD, qui, pour tous les paquets traversant le routeur

2

dont l’adresse IP source est 1.1.1.1

3

qui encapsulent des segments du protocole TCP

4

dont le port destination est 80

5

qui ont le drapeau SYN (ouvertures de connexion),

6

a pour effet de d´ etruire le paquet

(68)

Exemple de politique par d´ efaut

iptables -P FORWARD DROP

La politique pour la chaˆıne FORWARD, utilis´ ee par d´ efaut si aucune r` egle ne s’applique, est de d´ etruire le paquet.

(69)

Exemple de cr´ eation d’une cible utilisateur

1

Cr´ eation d’une nouvelle cible appel´ ee LOGDROP : iptables -N LOGDROP

2

Ajout ` a la cible LOGDROP d’une r` egle tra¸ cant le paquet : iptables -A LOGDROP -j LOG

3

Ajout ` a la cible LOGDROP d’une r` egle d´ etruisant le paquet : iptables -A LOGDROP -j DROP

(70)

Suivi de connexion

Utiliser -m state pour utiliser le module state pour pouvoir tester l’´ etat du paquet par rapport ` a la connexion.

Etats des paquets ´

NEW : paquet correspondant ` a un nouvel ´ echange INVALID : le paquet ne peut pas ˆ etre identifi´ e

ESTABLISHED : paquet faisant partie d’une communication ´ etablie RELATED : paquet pour une nouvelle communication reli´ ee ` a une autre d´ ej` a en cours

(71)

Noms de domaines — DNS

4 Noms de domaines — DNS Principes g´ en´ eraux L’espace de noms

Serveurs de noms de domaine R´ esolution d’adresse

Fichiers de configuration R´ esolution inverse Format des messages

(72)

Noms de domaines — DNS Principes g´en´eraux

Pourquoi le DNS (Domain Name System) ?

adresses IP difficiles ` a retenir, peu explicites outil pour effectuer de la r´ esolution d’adresses :

symbolique → IP IP → symbolique

facilit´ e de gestion et de structuration des adresses symboliques.

(73)

Noms de domaines — DNS Principes g´en´eraux

Composants du DNS

Le syst` eme de noms de domaines comporte : un espace de noms de domaines :

structure hi´ erarchique garantit l’unicit´ e des noms

un ensemble de serveurs de noms distribu´ e

des clients permettant de

r´ esoudre

des noms de domaines en interrogeant les serveurs

(74)

Noms de domaines — DNS L’espace de noms

Une structure arborescente

.

ca com edu gov fr

cnrs inria

www

univ-paris13

www iutv

www-gtr net

racine TLD (Top Level

Domain)

Sont associ´ es ` a un nœud un ensemble de Resource Records (RR)

un nom (63 octets maximum)

Nom de domaine d’un nœud chemin du nœud ` a la racine, en utilisant le s´ eparateur .

(75)

Une structure arborescente

.

ca com edu gov fr

cnrs inria

www

univ-paris13

www iutv

www-gtr net

racine TLD (Top Level

Domain) Sont associ´ es ` a un nœud

un ensemble de Resource Records (RR)

un nom (63 octets maximum)

Nom de domaine d’un nœud chemin du nœud ` a la racine, en utilisant le s´ eparateur .

(76)

Une structure arborescente

.

ca com edu gov fr

cnrs inria

www

univ-paris13

www iutv

www-gtr net

racine TLD (Top Level

Domain) Sont associ´ es ` a un nœud

un ensemble de Resource Records (RR)

un nom (63 octets maximum)

Nom de domaine d’un nœud chemin du nœud ` a la racine, en utilisant le s´ eparateur .

(77)

Une structure arborescente

.

ca com edu gov fr

cnrs inria

www

univ-paris13

www iutv

www-gtr net

racine TLD (Top Level

Domain) Sont associ´ es ` a un nœud

un ensemble de Resource Records (RR)

un nom (63 octets maximum)

Nom de domaine d’un nœud chemin du nœud ` a la racine, en utilisant le s´ eparateur .

(78)

Adressage hi´ erarchique

Fully Qualified Domain Name (FQDN) : adresse symbolique se termine par un .

contient uniquement des lettres, chiffres, -

insensible ` a la casse : pas de diff´ erenciation des majuscules et minuscules

codage :

longueur de l’´ etiquette (1 octet) code ASCII de l’´ etiquette 00 : point final

(79)

Noms de domaines — DNS Serveurs de noms de domaine

Serveurs de noms

Rˆ ole

Etablir la ´ correspondance entre nom de domaine et adresse IP Domaine/sous-domaine

domaine : sous-arborescence ayant pour origine le nom du domaine sous-domaine : domaine inclus dans un autre

Responsabilit´ es

unicit´ e des noms ` a un mˆ eme niveau

zone de responsabilit´ e : partie descriptive d’un nœud, incluse dans un domaine

autres zones du domaine d´ el´ egu´ ees ` a d’autres serveurs un serveur peut g´ erer plusieurs zones (

faire autorit´ e

)

(80)

Serveurs de noms

Rˆ ole

Etablir la ´ correspondance entre nom de domaine et adresse IP Domaine/sous-domaine

domaine : sous-arborescence ayant pour origine le nom du domaine sous-domaine : domaine inclus dans un autre

Responsabilit´ es

unicit´ e des noms ` a un mˆ eme niveau

zone de responsabilit´ e : partie descriptive d’un nœud, incluse dans un domaine

autres zones du domaine d´ el´ egu´ ees ` a d’autres serveurs un serveur peut g´ erer plusieurs zones (

faire autorit´ e

)

(81)

Serveurs de noms

Rˆ ole

Etablir la ´ correspondance entre nom de domaine et adresse IP Domaine/sous-domaine

domaine : sous-arborescence ayant pour origine le nom du domaine sous-domaine : domaine inclus dans un autre

Responsabilit´ es

unicit´ e des noms ` a un mˆ eme niveau

zone de responsabilit´ e : partie descriptive d’un nœud, incluse dans un domaine

autres zones du domaine d´ el´ egu´ ees ` a d’autres serveurs un serveur peut g´ erer plusieurs zones (

faire autorit´ e

)

(82)

Autres serveurs

Serveur secondaire (slave)

prend le relai en cas de panne assurer la r´ epartition de charge Serveur relai (forwarder)

relaie les demandes vers un autre serveur garde l’information en cache

permet de limiter la charge du serveur primaire

(83)

Autres serveurs

Serveur secondaire (slave)

prend le relai en cas de panne assurer la r´ epartition de charge Serveur relai (forwarder)

relaie les demandes vers un autre serveur garde l’information en cache

permet de limiter la charge du serveur primaire

(84)

Autorit´ e

Un serveur :

fait autorit´ e pour une zone dans un domaine.

connaˆıt et fait autorit´ e pour toutes les correspondances de sa zone.

connaˆıt et d´ eclare les responsables des sous-domaines de son domaine.

ne peut faire autorit´ e que s’il se d´ eclare comme tel et que le serveur de niveau sup´ erieur le d´ eclare aussi comme tel.

(85)

Noms de domaines — DNS R´esolution d’adresse

R´ esolution statique

Utilisation du fichier /etc/hosts.

#Adresse IP adresse symbolique alias 127.0.0.1 localhost

192.16.1.2 machine.domaine.fr machine 192.16.1.1 serveur.domaine.fr serveur

(86)

Algorithme de r´ esolution

Modes de recherche

r´ ecursif : la r´ esolution se propage enti` erement de serveur en serveur it´ eratif : un serveur renvoie l’adresse du prochain serveur ` a contacter Etapes de r´ ´ esolution

le client contacte son serveur DNS local NS ₁ : sur le port 53, dans un datagramme UDP

contenant la demande, par exemple aaa.bbb.ccc.fr la demande est en g´ en´ eral r´ ecursive

si NS 1 fait autorit´ e ou l’adresse est en cache : r´ eponse imm´ ediate sinon : recherche du plus grand suffixe connu (bbb.ccc.fr, ccc.fr, fr ou . ) avec un RR de type NS (par exemple NS ₂ )

mode r´ ecursif : NS

₁

demande ` a NS

₂

d’effectuer toute la r´ esolution mode it´ eratif : NS

1

r´ epond l’adresse de NS

2

` a contacter

(87)

Algorithme de r´ esolution

Modes de recherche

r´ ecursif : la r´ esolution se propage enti` erement de serveur en serveur it´ eratif : un serveur renvoie l’adresse du prochain serveur ` a contacter Etapes de r´ ´ esolution

le client contacte son serveur DNS local NS ₁ : sur le port 53, dans un datagramme UDP

contenant la demande, par exemple aaa.bbb.ccc.fr la demande est en g´ en´ eral r´ ecursive

si NS 1 fait autorit´ e ou l’adresse est en cache : r´ eponse imm´ ediate sinon : recherche du plus grand suffixe connu (bbb.ccc.fr, ccc.fr, fr ou . ) avec un RR de type NS (par exemple NS ₂ )

mode r´ ecursif : NS

₁

demande ` a NS

₂

d’effectuer toute la r´ esolution mode it´ eratif : NS

1

r´ epond l’adresse de NS

2

` a contacter

(88)

Noms de domaines — DNS Fichiers de configuration

Service et r´ esolution de noms

/etc/nsswitch.conf

Configuration des bases de donn´ ees syst` eme et du service de noms hosts files dns

indique qu’il faut chercher les adresses des hˆ otes d’abord dans les fichiers locaux puis sur le DNS.

/etc/resolv.conf

Configuration de la r´ esolution de noms :

nameserver IP serveur de noms : serveur de noms ` a interroger search liste de domaines : liste de domaines dans lesquels chercher des noms d’hˆ otes

(89)

Service et r´ esolution de noms

/etc/nsswitch.conf

Configuration des bases de donn´ ees syst` eme et du service de noms hosts files dns

indique qu’il faut chercher les adresses des hˆ otes d’abord dans les fichiers locaux puis sur le DNS.

/etc/resolv.conf

Configuration de la r´ esolution de noms :

nameserver IP serveur de noms : serveur de noms ` a interroger search liste de domaines : liste de domaines dans lesquels chercher des noms d’hˆ otes

(90)

/etc/named.conf

Options options {

directory "/var/named"; }

directory chemin : r´ epertoire dans lequel se trouvent les fichiers de configuration de zone

recursion yes/no : mode r´ ecursif ou it´ eratif (d´ efaut : yes) D´ efinition des zones

zone "p13.fr" { type master;

file "p13.fr"; }

type master/forward/... : type de zone master : le serveur a autorit´ e

forward : transf´ erer toutes les requˆ etes ` a d’autres serveurs file nom de fichier : fichier de configuration de la zone

(91)

/etc/named.conf

Options options {

directory "/var/named"; }

directory chemin : r´ epertoire dans lequel se trouvent les fichiers de configuration de zone

recursion yes/no : mode r´ ecursif ou it´ eratif (d´ efaut : yes) D´ efinition des zones

zone "p13.fr" { type master;

file "p13.fr"; }

type master/forward/... : type de zone master : le serveur a autorit´ e

forward : transf´ erer toutes les requˆ etes ` a d’autres serveurs file nom de fichier : fichier de configuration de la zone

(92)

Resource Records

nom de domaine [TTL] [classe] type RR donn´ ees

Types de RR

A : associe un nom ` a une adresse IP CNAME : d´ efinit un alias sur un nom

TXT : texte sans signification particuli` ere (description du domaine, commentaire)

NS : nom du serveur responsable

SOA (Start Of Authority) : d´ ebut d’une zone d’autorit´ e MX : d´ eclaration d’un serveur ou relai de mail

PTR : r´ esolution inverse . . .

(93)

Resource Records

nom de domaine [TTL] [classe] type RR donn´ ees

Types de RR

A : associe un nom ` a une adresse IP CNAME : d´ efinit un alias sur un nom

TXT : texte sans signification particuli` ere (description du domaine, commentaire)

NS : nom du serveur responsable

SOA (Start Of Authority) : d´ ebut d’une zone d’autorit´ e MX : d´ eclaration d’un serveur ou relai de mail

PTR : r´ esolution inverse . . .

(94)

Configuration de zone

$ORIGIN p13.fr.

Domaine par d´ efaut

$TTL 3D

@ IN SOA dns.p13.fr. root.dns.p13.fr. 2007092101 24H 6H 3W 1D NS dns.p13.fr.

TXT "le domaine de p13" MX 10 mail

MX 20 dns dns A 150.10.0.1 mail A 150.10.0.2 iutv NS dns.iutv dns.iutv A 150.10.0.3

D´ eclaration d’un sous-domaine et de son serveur de noms

(95)

Configuration de zone

$ORIGIN p13.fr.

$TTL 3D

TTL de 3 jours (3 days) par d´ efaut

@ IN SOA dns.p13.fr. root.dns.p13.fr. 2007092101 24H 6H 3W 1D

NS dns.p13.fr.

TXT "le domaine de p13" MX 10 mail

MX 20 dns dns A 150.10.0.1 mail A 150.10.0.2 iutv NS dns.iutv dns.iutv A 150.10.0.3

D´ eclaration d’un sous-domaine et de son serveur de noms

(96)

Configuration de zone

$ORIGIN p13.fr.

$TTL 3D

@ IN SOA dns.p13.fr. root.dns.p13.fr. 2007092101 24H 6H 3W 1D

@ : remplace le nom de domaine par $ORIGIN IN : classe internet

SOA : Start of Authority

adresse mail de l’administrateur avec @ remplac´ e par un . num´ ero de version : pour mettre ` a jour les caches. . . Refresh : d´ elai d’interrogation du num´ ero de version Retry : d´ elai d’attente avant de refaire un refresh rat´ e

Expire : dur´ ee de vie des donn´ ees si aucun refresh n’a pu avoir lieu negTTL : dur´ ee de vie des r´ eponses n´ egatives

NS dns.p13.fr.

TXT "le domaine de p13" MX 10 mail

MX 20 dns dns A 150.10.0.1 mail A 150.10.0.2 iutv NS dns.iutv dns.iutv A 150.10.0.3

D´ eclaration d’un sous-domaine et de son serveur de noms

(97)

Configuration de zone

$ORIGIN p13.fr.

$TTL 3D

@ IN SOA dns.p13.fr. root.dns.p13.fr. 2007092101 24H 6H 3W 1D NS dns.p13.fr.

Le serveur responsable

TXT "le domaine de p13" MX 10 mail

MX 20 dns dns A 150.10.0.1 mail A 150.10.0.2 iutv NS dns.iutv dns.iutv A 150.10.0.3

D´ eclaration d’un sous-domaine et de son serveur de noms

(98)

Configuration de zone

$ORIGIN p13.fr.

$TTL 3D

@ IN SOA dns.p13.fr. root.dns.p13.fr. 2007092101 24H 6H 3W 1D NS dns.p13.fr.

TXT "le domaine de p13"

Commentaire

MX 10 mail MX 20 dns

dns A 150.10.0.1 mail A 150.10.0.2 iutv NS dns.iutv dns.iutv A 150.10.0.3

D´ eclaration d’un sous-domaine et de son serveur de noms

(99)

Configuration de zone

$ORIGIN p13.fr.

$TTL 3D

@ IN SOA dns.p13.fr. root.dns.p13.fr. 2007092101 24H 6H 3W 1D NS dns.p13.fr.

TXT "le domaine de p13"

MX 10 mail MX 20 dns

d´ eclaration de serveur/relai de mail

dns A 150.10.0.1 mail A 150.10.0.2

iutv NS dns.iutv dns.iutv A 150.10.0.3

D´ eclaration d’un sous-domaine et de son serveur de noms

(100)

Configuration de zone

$ORIGIN p13.fr.

$TTL 3D

@ IN SOA dns.p13.fr. root.dns.p13.fr. 2007092101 24H 6H 3W 1D NS dns.p13.fr.

TXT "le domaine de p13"

MX 10 mail MX 20 dns dns A 150.10.0.1 mail A 150.10.0.2

Association adresse symbolique ↔ IP

iutv NS dns.iutv dns.iutv A 150.10.0.3

D´ eclaration d’un sous-domaine et de son serveur de noms

(101)

Configuration de zone

$ORIGIN p13.fr.

$TTL 3D

@ IN SOA dns.p13.fr. root.dns.p13.fr. 2007092101 24H 6H 3W 1D NS dns.p13.fr.

TXT "le domaine de p13"

MX 10 mail MX 20 dns dns A 150.10.0.1 mail A 150.10.0.2 iutv NS dns.iutv dns.iutv A 150.10.0.3

D´ eclaration d’un sous-domaine et de son serveur de noms

(102)

Noms de domaines — DNS R´esolution inverse

R´ esolution inverse

Pseudo-domaine in-addr.arpa. avec des adresses invers´ ees.

Exemple

L’adresse 192.16.1.1, de classe C est dans le domaine 1.16.192.in-addr.arpa.

qui est lui-mˆ eme dans 16.192.in-addr.arpa.

(103)

Noms de domaines — DNS R´esolution inverse

Configuration de zone inverse

$ORIGIN 10.150.in-addr.arpa.

$TTL 3D

@ IN SOA dns.p13.fr. root.dns.p13.fr. 2007092101 24H 6H 3W 1D NS dns.p13.fr.

TXT "le domaine de p13"

1.0 PTR dns 2.0 PTR mail 3.0 PTR dns.iutv

adresses locales inverses des machines

(104)

Noms de domaines — DNS Format des messages

Format des messages

Datagrammes UDP d’au plus 512 octets.

TransID Flags requests responses authoritative additional

2 2 2 2 2 2

S1 Qname Qtype Qclass

S2 Qname Qtype Qclass TTL lg. donn´ ees IP S1 : RRs de requˆ ete

S2 : RRs de r´ eponse

S3 : RRs pointant vers un autre NS S4 : RRs suppl´ ementaires

Qname : nom de domaine = suite de (longueur d’´ etiquette,

´

etiquette), et 00 pour terminer

Qtype : 0001 = A, 0002 = NS, 0005 = CNAME, 000C = PTR, 000F=MX

Qclass : 0001 = IN

(105)

Noms de domaines — DNS Format des messages

Drapeaux

QR Opcode AA TC RD RA 000 RCODE

1 b 4 b 1 b 1 b 1 b 1 b 3 b 4 b

QR : Query = 0, Response = 1

OpCode : Standard Query = 0, Inversed Query = 1, Status Request

= 2

AA : Authoritative Answer (r´ eponse d’un NS) TC : Truncated, si le message est trop long RD : Recursion Demanded

RA : Recursion Available

RCode : Response code = 0 s’il n’y a pas d’erreur

(106)

Transfert de fichiers — FTP

5 Transfert de fichiers — FTP G´ en´ eralit´ es

FTAM — File Transfer, Access and Management FTP — File Transfer Protocol

Principes g´ en´ eraux de FTP Les diff´ erents processus Commandes de FTP

(107)

Transfert de fichiers — FTP Généralités

G´ en´ eralit´ es

Objectifs

´

echange de fichiers

modification et lecture de fichiers ` a distance

cr´ eation et maintenance des param` etres de fichiers distants Mise en œuvre

FTAM (File Transfer, Access and Management) : norme ISO 8571-1 structure de fichiers virtuels ⇒ gestion transparente de l’arborescence acc` es s´ ecuris´ e

FTP (File Transfer Protocol) : simple, utilis´ e sur internet

(108)

Transfert de fichiers — FTP Généralités

G´ en´ eralit´ es

Objectifs

´

echange de fichiers

modification et lecture de fichiers ` a distance

cr´ eation et maintenance des param` etres de fichiers distants Mise en œuvre

FTAM (File Transfer, Access and Management) : norme ISO 8571-1 structure de fichiers virtuels ⇒ gestion transparente de l’arborescence acc` es s´ ecuris´ e

FTP (File Transfer Protocol) : simple, utilis´ e sur internet

(109)

Transfert de fichiers — FTP FTAM — File Transfer, Access and Management

Fonctionnalit´ es de FTAM

Op´ erations sur les fichiers

cr´ eation, suppression de fichier s´ election, d´ es´ election de fichier acc` es s´ ecuris´ e avec mot de passe

lecture, modification des propri´ et´ es de fichiers ouverture en lecture ou en ´ ecriture

fermeture d’un fichier

Op´ erations sur le contenu des fichiers lecture des donn´ ees

recherche de donn´ ees

insertion, remplacement, suppression, ajout en fin de fichier

(110)

Transfert de fichiers — FTP FTAM — File Transfer, Access and Management

Fonctionnalit´ es de FTAM

Op´ erations sur les fichiers

cr´ eation, suppression de fichier s´ election, d´ es´ election de fichier acc` es s´ ecuris´ e avec mot de passe

lecture, modification des propri´ et´ es de fichiers ouverture en lecture ou en ´ ecriture

fermeture d’un fichier

Op´ erations sur le contenu des fichiers lecture des donn´ ees

recherche de donn´ ees

insertion, remplacement, suppression, ajout en fin de fichier