Cours sur les Techniques de base du réseau informatique

7. Equipements d’interconnexion :

Un réseau local sert à interconnecter les ordinateurs d’une organisation, toutefois une organisation comporte généralement plusieurs réseaux locaux, il est donc parfois indispensable de les relier entre eux. Dans ce cas, des équipements spécifiques sont nécessaires.

Lorsqu’il s’agit de deux réseaux de même type, il suffit de faire passer les trames de l’un sur l’autre. Dans le cas contraire, c’est-à-dire lorsque les deux réseaux utilisent des protocoles différents, il est indispensable de procéder à une conversion de protocole avant de transférer les trames. Ainsi, les équipements à mettre en oeuvre sont différents selon la configuration face à laquelle on se trouve.

Donc l’interconnexion de deux réseaux d’architecture différente nécessite un équipement d’interconnexion spécifique dont la dénomination varie suivant les différentes couches où différentes modifications d’en-tête doivent être apportées. Les principaux équipements matériels mis en place dans les réseaux locaux, c’est ainsi que sont définis :

• Le répéteur (Repeater) ou le boîtier d’interconnexion permet de regénérer un signal, et n’apporte que des adaptations de niveau physique.
• Le concentrateur (Hub) Sert à la diffusion de la connexion et permet de connecter entre eux plusieurs hôtes.
• Le commutateur (Suitch) relier divers éléments tout en segmentant le réseau, et rediriger la connexion, dispose d’une mémoire.
• Le pont (bridge) relier des réseaux locaux de même type, fonctionne dans la couche liaison du modèle OSI ;
• Le routeur (Router) qui agit au niveau de la couche réseau ; relier de nombreux réseaux locaux de telles façon à permettre la circulation de données d’un réseau à un autre de la façon optimale.
• La passerelle (gateway) relier des réseaux locaux de types différents, et peut apporter des modifications jusqu’au niveau transport et éventuellement sur les couches supérieures.
• Le Firewall pour la sécurité.

√Equipements utilisateurs :

√Les équipements et les couches OSI :

  Equipement de la couche physique :

On trouve dans cette couche :

-       L’étude des interfaces de connexion (fonction) : interface analogique V24 et numérique X21.

-       L’étude des modems

-       Les antennes paraboliques

-       Les multiplexeurs et concentrateurs(HUB)

-       Les nœuds de commutation.

-       Interface standard vue en cours (V24).

  Equipement de la couche liaison de données:

Pont ; commutateur (Switch) ; Commutateur Fast Ethernet Gigabits & ATM;  Point d’accès et Carte réseau

Equipement de la couche Réseau : Routeur, passerelle

     7.1.Le Répéteur:

Les Hub sont utilisés en Ethernet base 10 et base 100. L’Hub est le concentrateur le plus simple. Ce n’est pratiquement qu’un répétiteur (c’est son nom en Français). Il amplifie le signal réseau pour pouvoir le renvoyer vers tous PC connectés. Toutes les informations arrivant sur l’appareil sont donc renvoyées sur toutes les lignes. Dans le cas de réseaux locaux importants par le nombre de PC connectés ou par l’importance du flux d’informations transférées, on ne peut utiliser des HUB: dès qu’un PC communique, tout les ordinateurs l’entendent et quand chacun commence à transmettre, les vitesses de transmissions chutent. Les HUB sont caractérisés par un nombre de connexion: 4, 5, 8, 10, 16, 24, …

Suivant la version et le modèle, ils intègrent quelques particularités de connexion spécifiques à l’appareil.

• Hubs base 10: nombre de connexion suivant le modèle, port inverseur (celui-ci permet de connecter deux Hubs entre eux, évitant l’utilisation d’un câble RJ45 croisé), une connexion coaxial. Par connexion, on retrouve une led signalant la connexion à une carte et une led de collision par canal ou pour tous les ports.
• Hubs base 100: nombre de connexion suivant le modèle, port inverseur, pas de connexion coaxial. Par connexion, on retrouve une Led signalant la connexion à une carte et une led de collision par canal ou pour l’ensemble. Cette dernière signale l’état de l’ensemble des connexions. De plus, pour les versions 10/100, on retrouve deux LED pour chaque canal (base 10 et base 100)

Selon la norme, le nombre maximum de HUB en cascade (raccordés port à port, par de types empilables) est limité à 4 entre 2 stations pour le 10 base T et à 2 pour le 100 base T. Ceci est lié au temps de propagation maximum d’un signal ETHERNET avant sa disparition et au temps de détection des collisions sur le câble. Il se pourrait que la collision ne soit pas détectée à temps et que la deuxième station émettrice envoie le message en pensant que la voie est libre. Ceci n’existe pas pour les switch qui enregistrent les trames avant de les envoyer.

Le répéteur est un équipement qui permet d’outrepasser la longueur maximale imposée par la norme d’un réseau. Pour se faire il amplifie et régénère le signal électrique. Il est également capable d’isoler un tronçon défaillant (Câble ouvert par exemple) et d’adapter deux médias Ethernet différents (par exemple 10base2 vers 10baseT). Cette dernière utilisation qui est la principale actuellement.

Il sert à raccorder deux segments de câbles ( deux segments de bus Ethernet par exemple ) ou deux réseaux identiques qui constitueront alors un seul réseau logique. Il a pour fonction :

-          La répétition des bits d’un segment sur l’autre ;

-          La régénération du signal pour compenser l’affaiblissement

-          Le changement du support physique (paire torsadée et câbles coaxial par exemple)

Le répéteur n’aura aucune fonction de routage ni de traitement des données, ni d’accès au support.

Le débit de retransmission est le même que le débit de réception. La trame n’est modifiée en aucune façon lors de la traversée du répéteur.

le but du  répéteur est de régénérer et de synchroniser  les signaux réseau au niveau du bit. Ils peuvent ainsi parcourir une plus longue distance dans le média.

     7.2.Le Concentrateur (Hub) :

De la même façon, le Hub est un équipement passif qui permet, notamment sur les réseaux Ethernet, de connecter en paires torsadées les stations de réseau.

Exemple d’un concentrateur  commercialisé:

 

     7.3.Le commutateur (Switch) :

En recevant une information, un switch décode l’entête pour connaître le destinataire et ne l’envoie uniquement vers le port Ethernet associé. Ceci réduit le trafic sur le câblage réseau par rapport à un HUB. A la différence, les informations circulent toutes sur tout le câblage avec les hub’s et donc vers toutes les stations connectées. Les switch travaillent sur le niveau 1 et 2 du modèle OSI (3 pour certains modèles mangeables et même pseudo 4), pour seulement les couches 1 dans le cas du HUB’S. Le niveau 3 du modèle OSI détermine les routes de transport. Les switch remplacent de plus en plus les HUB’S. Les prix deviennent pratiquement équivalents.

La majorité des switchs peuvent utiliser le mode Full duplex. La communication est alors bidirectionnelle, doublant le taux de transfert maximum.  Cette fonction n’est jamais implantée dans les HUB. Le Switch vérifie automatiquement si le périphérique connecté est compatible full ou half duplex. Cette fonction est souvent reprise sous le terme “Auto Negociation”.

Les modèles actuels sont souvent Auto MDI/MDIX. Ceci signifie que le port va détecter automatiquement le croisement des câbles pour la connexion Ethernet. Dans le cas des HUB, un port muni d’un bouton poussoir, reprend la fonction manuellement. Vous pouvez néanmoins utiliser des câbles croisés pour relier des concentrateurs entre eux.

L’utilisation des switch permet de réduire les collisions sur le câblage réseau. Pour rappel, lorsqu’un périphérique souhaite communiquer, il envoie un message sur le câblage. Si un autre périphérique communique déjà, deux messages se retrouvent en même temps sur le réseau. Le premier reprend son message au début et le deuxième attend pour réessayer quelques millisecondes plus tard.

 

Exemple d’un commutateur commercialisé :

1 : Ports Ethernet permettent de connecter des ordinateurs et des routeurs via un câble droit, ou de connecter d’autres commutateurs et concentrateurs via un câble croisé.

2 : Ports Uplink : pour assurer une liaison avec d’autres commutateurs ou concentrateurs

1 : Connexion d’alimentation

2 : Port console permet de relier directement un ordinateur à un routeur afin d’une configuration, d’une récupération des mots de passe, des téléchargements des logiciels via le protocole X-modem ou d’autre tâches administratives.

3 : Entrée CC : pour une alimentation en courant continu

4 : AUI : (Attachement  Unit Interface) :à commutation unique , il s’utilise pour la connexion à des réseaux à fibre optique ou des réseaux existants de type 10Base2 et 10Base5.

√Fonctionnement d’un switch :

Au démarrage, un switch va construire une table de correspondance adresse MAC – numéro de port de connexion. Cette table est enregistrée dans une mémoire interne des switchs. Par exemple pour un D-link DSS-16+ (16 ports), elle est de 8000 entrées (stations). Par contre, pour un modèle de gamme inférieure (D-Link DES -1024D de 24 ports) elle est également de 8000 entrées, pour la majorité des switchs 5 ports, elle varie de 512 à 1000 entrées. Ceci ne pose pas de problèmes pour un petit réseau interne mais bien pour de gros réseaux. De toute façon, le nombre de PC maximum connectés est limité par la classe d’adresse IP utilisée. Lorsqu’une nouvelle carte réseau est connectée sur un de ses ports, il va adapter sa table.

Voyons maintenant ce qui se passe lorsqu’un PC (PC1) communique vers un autre PC (PC2) connecté sur le même switch. Le message de départ incluant l’adresse de destination, le switch va retrouver directement dans sa table l’adresse du PC2 et va rediriger le message sur le port adéquat. Seul le câblage des 2 ports (PC1 et PC2) va être utilisé. D’autres PC pourront communiquer en même temps sur les autres ports.

Dans le cas ou le réseau utilise 2 switch’s. Le PC1 envoie le message avec l’adresse de destination sur le switch1 sur lequel il est raccordé. Celui-ci va vérifier dans sa table si l’adresse de destination est physiquement raccordée sur un de ses ports. Dans notre cas ce n’est pas le cas. Le switch va donc envoyer un message spécial (une adresse MAC FF.FF.FF.FF.FF.FF, appelée broadcast) sur tous ses ports pour déterminer sur quel port se trouve l’ordinateur de destination. Ce broadcast passe généralement sur tout le réseau. En recevant le broadcast, le switch 2 va vérifier dans sa table si l’adresse de destination est dans sa table. Dans notre cas, elle est présente. Il va donc renvoyer un message au switch 1 signifiant que le message est pour lui. Le switch 1 va donc diriger le message vers le port connecté au switch 2. Le switch 1 va mémoriser dans sa table l’adresse du PC2 et le port Ethernet associé. Ceci ne pose pas trop de problèmes tant que la capacité de la table du switch 1 est suffisante.

Voyons maintenant quelques cas plus complexes. Lorsqu’une adresse MAC non connectée en direct est placée dans la table, le switch va la garder pendant un certains temps. Si une nouvelle demande vers cette adresse est reçue, le port de destination est retrouvé dans la table. Par contre, si le délai entre les demandes est trop long (généralement 300 secondes), l’entrée de la table est effacée et le processus de broadcast est de nouveau activé. Forcément, si la table est trop petite (cas des Switch avec un faible nombre de ports sur un réseau très important), l’entrée MAC dans la table peut-être effacée prématurément.

Ces particularités de tables réduites dans les switch de bas de gamme avec 1 faible nombre de ports pose de gros problèmes dans les réseaux. Ceci implique que pour l’utilisation de petits switchs (4-8 ports), le nombre de switch relié entre eux pour une connexion entre 2 PC est limitée. J’ai déjà eut le problème dans un réseau de 30 PC. Dès que l’usine démarrait, les communications réseaux s’effondraient. Le remplacement de switch par des HUB pour les stations les plus éloignées a résolu le problème mais on aurait pu réduire le nombre de concentrateurs pour les remplacer par 1 ou 2 switch de plus grosse capacité.

√Types de switchs :

La technologie d’un switch est étroitement liée au type de donnée, à la topologie du réseau et aux performances désirées.

• Store and Forward: plus courant, stocke toutes les trames avant de les envoyer sur le port adéquat.
• Le mode Cut Through analyse uniquement l’adresse Mac de destination, puis redirige le flot de données sans aucune vérification sur le message.
• Le mode Cut Through Runt Free est dérivé du Cut Through. Lorsqu’une collision se produit sur le réseau, une trame incomplète (moins de 64 octets) appelée Runt est réceptionnée par le switch.
• Le mode Early Cut Through (également appelé Fragment Free chez CISCO) est également dérivé du Cut Through. Ce type de switch transmet directement les trames dont l’adresse de destination est détectée et présente dans la table d’adresse du switch
• Le mode Adaptive Cut Through se distingue surtout au niveau de la correction des erreurs. Ces commutateurs gardent la trace des trames comportant des erreurs.

√Différence entre un HUB et un Switch :

HUB	SWITCH
Les informations envoyées d’un PC vers un autre (ou une imprimante) sont envoyées à tous les PC qui décodent les informations pour savoir si elles sont destinées.	Les informations envoyées d’un équipement réseau vers un autre ne transitent que vers le destinataire. Si un autre PC envoie des informations vers l’imprimante, les deux communications peuvent donc se faire simultanément.
hub	switch
La bande passante totale est limitée à la vitesse du hub. Un hub 100 base-T offre 100Mbps de bande passante partagée entre tous les PC, quelque soit le nombre de ports	La bande passante totale est déterminée par le nombre de ports sur le Switch. i.e. Un Switch 100 Mbps 8 ports peut gérer jusqu’à 800Mbps de bande passante.
Ne supporte que les transferts en “half-duplex” ce qui limite les connections a la vitesse du port. Un port 10Mbps offre une connexion a 10Mbps.	Les Switchs qui gèrent les transferts en mode “full-duplex”offrent la possibilité de doubler la vitesse de chaque lien, de 100Mbps à 200Mbps par exemple.
Le prix par port réseau est quasiment équivalent.

 

     7.4. Le pont :

 

Lorsqu’une station du réseau A veut transmettre des trames vers une station du réseau B, les en-têtes de la trame MAC sont décodés par le pont qui les modifie de façon à les rendre compatibles avec les normes ou les contraintes du réseau B.

Les principales fonctions du pont sont :

* Ponts simples :

-          assurer la conversion du format de la trame et adapter sa longueur ;

-          filtrer les trames en fonction de l’adresse du destinataire ;

-          positionner certains bits (tels que les bits A et C de la trame Token Ring).

*Ponts routeurs (ou ponts transparents) assurent en plus quelques fonctions de routage:

-          établissement par apprentissage de la table de routage (mémorisation des numéros de station, de réseau et de port au fur et à mesure des transmissions) ;

-          filtrage entre les trafics locaux et les trafics inter réseaux ;

-          contrôle de flux lorsque les débits des réseaux sont différents.

Les ponts comme les routeurs sont généralement administrés par un terminal ou un PC connecté et utilisant un protocole standard d’administration tel SNMP (Simple Network Management Protocol).

 

     7.5.Le Routeur :

Les hubs et switchs permettent de connecter des appareils faisant partie d’une même classe d’adresse en IP ou d’un même sous réseau (autres protocoles).

Le routeur est pratiquement un ordinateur à lui tout seul. Celui-ci décode les trames et reconnaît des parties s’informations des entêtes et peuvent ainsi transmettre les informations sur d’autres routeurs qui reconduisent les informations vers les destinataires.

Un routeur réunit des réseaux au niveau de la couche réseau (couche 3), il permet de relier 2 réseaux avec une “barrière” entre les deux. En effet, il filtre les informations pour n’envoyer que ce qui est effectivement destiné au réseau suivant. L’utilisation la plus courante est la connexion de multiples stations vers INTERNET. Les données transitant sur le réseau local (non destinées à Internet) ne sont pas transmises à l’extérieur. De plus, les routeurs permettent en partie de cacher le réseau. En effet, dans une connexion Internet par exemple, le fournisseur d’accès donne une adresse TCP/IP qui est affectée au routeur. Celui-ci, par le biais d’une technologie NAT / PAT (Network adress translation / port adress translation) va rerouter les données vers l’adresse privée qui est affectée au PC.

Les routeurs sont paramétrables et permettent notamment de bloquer certaines connexions. Néanmoins, ils n’assurent pas de sécurité au niveau des ports TCP ou UDP. Ils sont utilisés pour interfacer différents groupes de PC (par exemple les départements) en assurant un semblant de sécurité. Certains switch de manageables peuvent en partie être utilisés pour cette fonction tant que le réseau reste dans la même classe d’adresses. La principale utilisation en PME est le partage d’une connexion Internet, mais d’autres existent comme réseau sous Win98 et suivant ou appareils spécifiques. Pour renseignements complémentaires pour le partage Internet, Les routeurs ne servent pas qu’à connecter des réseaux à Internet, ils permettent également de servir de pont (Bridge en anglais) pour se connecter à un réseau d’entreprise. Les connections futures pour ce genre d’application sécurisées vont plutôt pour les VPN via INTERNET. Nous verrons ceci dans le chapitre 10: Connexions distantes

Il n’est pas possible de relier directement 2 réseaux en branchant 2 cartes réseaux dans un PC central, sauf en utilisant un logiciel de liaison proxy (passerelle) de type Wingate.

Un serveur DHCP (Dynamic Host Configuration Protocol) peut être implanté de manière software (Windows 2000 par exemple) ou dans un routeur. Cette possibilité permet d’attribuer automatiquement les adresses IP à chaque station dans une plage d’adresse déterminée (dans la même classe d’adresse).

Le routeur est la première unité que vous utiliserez qui fonctionne au niveau de la couche réseau du modèle OSI, également appelée couche 3. Travailler au niveau de la couche 3 permet au routeur de prendre des décisions selon des groupes d’adresses réseau (classes), par opposition aux adresses MAC individuelles utilisées dans la couche 2. Les routeurs peuvent aussi connecter différentes technologies de couche 2, telles qu’Ethernet, Token Ring et FDDI. En raison de leur capacité d’acheminer les paquets en fonction des informations de couche 3, les routeurs sont devenus le backbone d’Internet et exécutent le protocole IP.

Le rôle du routeur consiste à examiner les paquets entrants (données de couche 3), à choisir le meilleur chemin pour les transporter sur le réseau et à les commuter ensuite au port de sortie approprié. Sur les grands réseaux, les routeurs sont les équipements de régulation du trafic les plus importants. Ils permettent à pratiquement n’importe quel type d’ordinateur de communiquer avec n’importe quel autre dans le monde ! Tout en remplissant ces fonctions de base, les routeurs peuvent aussi exécuter de nombreuses autres tâches qui seront traitées dans de prochains chapitres.

Le symbole utilisé pour un routeur (remarquez les flèches orientées vers l’intérieur et l’extérieur) indique ses deux fonctions principales – la sélection des chemins et la commutation des paquets vers la meilleure route. Un routeur peut avoir plusieurs types différents de port d’interface.

Ils relient les paquets ou datagrammes  entre deux réseaux distincts. Les en-têtes des paquets sont analysés et adaptés aux normes et aux contraintes du réseau sur lequel la trame est retransmise (figure ci-dessus). Pour cela, le routeur doit assurer les fonctions de routage, de contrôle de flux et de gestion de connexion (ouverture, maintien et fermeture).Le rôle du routeur est également d’optimiser les transmissions entre réseaux ou sous réseaux en déterminant la route la plus rapide pour acheminer le paquet à destination ainsi que le format le plus approprié en fractionnant éventuellement le paquet source.

Les routeurs ne sont pas capables d’apprendre les adresses comme les ponts, ils doivent tenir compte des différents protocoles réseau à gérer, certains non routables.

1 : Emplacement réseau (RNIS ou Ethernet)

2 : Emplacement d’interface WAN avec doubles cartes d’interfaces séries

3 : Port Fast Ethernet 0/1 : ils sont utilisés pour fournir une connectivité entre des réseaux locaux Ethernet 10BaseT et 100BaseTX

4 : Emplacement d’interface WAN avec carte d’interface série : donne la possibilité d’installer des cartes WAN spécifiques

5 : Port Fast Ethernet 0/0 : ils sont utilisés pour fournir une connectivité entre des réseaux locaux Ethernet 10BaseT et 100BaseTX

6 : Port console pour établir une session de configuration sur le routeur en utilisant un terminal ou un PC

7 : Port auxiliaire est utilisé de la même manière que le port console, mais il assure le contrôle du flux et peut être raccordé à un modem commuté (asynchrone ) ;

8 : Port d’alimentation

     7.6.Le Firewall :

Notions préliminaires

Un coupe-feu est un système qui applique une politique de contrôle d’accès entre deux réseaux. En fait, ce mécanisme filtre le trafic (principalement entrant) afin de bloquer les paquets dangereux (ou potentiellement dangereux). Plusieurs techniques peuvent être utilisées comme le filtrage des paquets, les passerelles actives, la vérification du contenu des paquets, etc.
Lorsque Internet a été inventé, la performance des transmissions de données a été privilégiée au dépend de la sécurité. Or aujourd’hui il faut compter avec un nombre croissant d’apprentis pirates qui passent leur temps à scruter les ordinateurs des autres dans l’espoir d’y déceler une faille, afin de provoquer un plantage ou de tenter une intrusion.
Un firewall permet de s’en prémunir, en filtrant les données entrantes et sortantes. Alors pour la tranquillité de vos connexions, n’hésitez plus.

Qu’est-ce qu’un pare-feu?

Un pare-feu (appelé aussi coupe-feu, garde-barrière ou firewall en anglais), est un système permettant de protéger un ordinateur ou un réseau d’ordinateurs des intrusions provenant d’un réseau tiers (notamment internet). Le pare-feu est un système permettant de filtrer les paquets de données échangés avec le réseau, il s’agit ainsi d’une passerelle filtrante comportant au minimum les interfaces réseaux suivantes :

• une interface pour le réseau à protéger (réseau interne) ;
• une interface pour le réseau externe.

Le système firewall est un système logiciel, reposant parfois sur un matériel réseau dédié, constituant un intermédiaire entre le réseau local (ou la machine locale) et un ou plusieurs réseaux externes.

Il est possible de mettre un système pare-feu sur n’importe quelle machine et avec n’importe quel système pourvu que :

• La machine soit suffisamment puissante pour traiter le trafic ;
• Le système soit sécurisé ;
• Aucun autre service que le service de filtrage de paquets ne fonctionne sur le serveur.

Dans le cas où le système pare-feu est fourni dans une boîte noire « clé en main », on utilise le terme d’« appliance ».

Rôle d’un Firewall : (pare-feu)

Chaque ordinateur connecté à internet (et d’une manière plus générale à n’importe quel réseau informatique) est susceptible d’être victime d’une attaque d’un pirate informatique. La méthodologie généralement employée par le pirate informatique consiste à scruter le réseau (en envoyant des paquets de données de manière aléatoire) à la recherche d’une machine connectée, puis à chercher une faille de sécurité afin de l’exploiter et d’accéder aux données s’y trouvant.

Cette menace est d’autant plus grande que la machine est connectée en permanence à internet pour plusieurs raisons :

• La machine cible est susceptible d’être connectée sans pour autant être surveillée ;
• La machine cible est généralement connectée avec une plus large bande passante ;
• La machine cible ne change pas (ou peu) d’adresse IP.

Ainsi, il est nécessaire, autant pour les réseaux d’entreprises que pour les internautes possédant une connexion de type câble ou ADSL, de se protéger des intrusions réseaux en installant un dispositif de protection.

Protection par un firewall :
L’idéal est de pouvoir surveiller chaque paquet de données entrant ou sortant, en examinant ses données de contrôle : c’est ce que permet un firewall, également appelé pare-feu. Comme la surveillance s’exerce au niveau TCP/IP, les paquets hostiles ou simplement indésirables sont bloqués avant même que l’information originelle ne soit reconstituée.
Il convient simplement de configurer au préalable votre firewall, afin de lui dire ce qu’il doit laisser passer et ce qu’il doit bloquer : ce sont les règles de filtrage. Vous pouvez ainsi interdire l’accès à certains sites depuis votre ordinateur, ou empêcher l’envoi sur internet d’informations confidentielles définies à l’avance. Réciproquement, vous pouvez décider de bloquer la réception de données envoyées par certains serveurs, par exemple un serveur de mails utilisé par des spammers, ou encore de refuser les paquets contenant certains mots-clés.

Fonctionnement d’un système pare-feu :

Un système pare-feu contient un ensemble de règles prédéfinies permettant :

• D’autoriser la connexion (allow) ;
• De bloquer la connexion (deny) ;
• De rejeter la demande de connexion sans avertir l’émetteur (drop).

L’ensemble de ces règles permet de mettre en oeuvre une méthode de filtrage dépendant de la politique de sécurité adoptée par l’entité. On distingue habituellement deux types de politiques de sécurité permettant :

• soit d’autoriser uniquement les communications ayant été explicitement autorisées :

"Tout ce qui n'est pas explicitement autorisé est interdit".

• soit d’empêcher les échanges qui ont été explicitement interdits.

La première méthode est sans nul doute la plus sûre, mais elle impose toute fois une définition précise et contraignante des besoins en communication.

Le filtrage simple de paquets :

Un système pare-feu fonctionne sur le principe du filtrage simple de paquets (en anglais « stateless packet filtering »). Il analyse les en-têtes de chaque paquet de données (datagramme) échangé entre une machine du réseau interne et une machine extérieure.

Ainsi, les paquets de données échangées entre une machine du réseau extérieur et une machine du réseau interne transitent par le pare-feu et possèdent les en-têtes suivants, systématiquement analysés par le firewall :

• adresse IP de la machine émettrice ;
• adresse IP de la machine réceptrice ;
• type de paquet (TCP, UDP, etc.) ;
• numéro de port (rappel: un port est un numéro associé à un service ou une application réseau).

Les adresses IP contenues dans les paquets permettent d’identifier la machine émettrice et la machine cible, tandis que le type de paquet et le numéro de port donnent une indication sur le type de service utilisé.

Le tableau ci-dessous donne des exemples de règles de pare-feu :

Règle	Action	IP source	IP destinataire	Protocol	Port source	Port destinataire
1	Accept	192.168.10.20	194.154.192.3	tcp	any	25
2	Accept	any	192.168.10.3	tcp	any	80
3	Accept	192.168.10.0/24	any	tcp	any	80
4	Deny	any	any	any	any	any

Les ports reconnus (dont le numéro est compris entre 0 et 1023) sont associés à des services courants (les ports 25 et 110 sont par exemple associés au courrier électronique, et le port 80 au Web). La plupart des dispositifs pare-feu sont au minimum configurés de manière à filtrer les communications selon le port utilisé. Il est généralement conseillé de bloquer tous les ports qui ne sont pas indispensables (selon la politique de sécurité retenue).

Le port 23 est par exemple souvent bloqué par défaut par les dispositifs pare-feu car il correspond au protocole Telnet, permettant d’émuler un accès par terminal à une machine distante de manière à pouvoir exécuter des commandes à distance. Les données échangées par Telnet ne sont pas chiffrées, ce qui signifie qu’un individu est susceptible d’écouter le réseau et de voler les éventuels mots de passe circulant en clair. Les administrateurs lui préfèrent généralement le protocole SSH, réputé sûr et fournissant les mêmes fonctionnalités que Telnet.

Le principe d’un coupe-feu est de se placer entre votre réseau et, typiquement, l’Internet. Il peut aussi être entre votre ordinateur et l’Internet. Le coupe-feu examine chaque paquet qui veut entrer dans votre réseau ou votre ordinateur. Avant de le laisser entrer, il examine le paquet afin de décider s’il doit le laisser passer ou non. Cette décision est basée sur différents critères qui sont habituellement configurables par le gestionnaire du coupe-feu.

Chaque paquet IP a un en-tête qui donne des informations sur sa source, sa destination et le protocole qui devra le traiter. Le protocole nous indique si le paquet s’adresse à TCP, UDP, ICMP, etc. Chacun de ces protocoles a un en-tête inclus dans les données du paquet. Cet en-tête contient les numéros de port et bien d’autres informations. On se base sur ces informations pour décider si un paquet doit entrer ou non.

     7.7. Le proxy : (Facultatif)

Un proxy est une machine intermédiaire entre les ordinateurs d’un réseau local et le web. Son rôle principal est de permettre aux ordinateurs du LAN d’accéder à Internet par son intermédiaire, elle peut aussi servir de cache, c’est-à-dire qu’elle garde en mémoire les pages les plus souvent visitées pour pouvoir les fournir plus rapidement, on l’appelle alors serveur proxy cache. Si votre navigateur est configuré de manière à travailler avec le serveur proxy de votre fournisseur d’accès, lorsque vous demandez une page, votre navigateur interroge d’abord le proxy (opération peu longue car le proxy est une des première machine à laquelle vous êtes raccordé). de plus la majeure partie des serveurs proxy mettent automatiquement les pages à jour.

Enfin, ce proxy peut servir de firewall, c’est-à-dire un système qui filtre les informations en ne laissant par exemple passer que les ports choisis pour des raisons de sécurité.

Termes de recherche utilisés:

• technique de reseau informatique
• cours sur role de hub informatique
• base réseau informatique
• technique reseau informatique
• cour reseaux
• branchement prise rj45 male
• comment brancher prise rj45 murale
• les bases du réseau informatique
• cours de reseau de base
• Port réseau carte Ethernet de face

Pages: 1 2 3 4 5 6 7