Les réseaux - iutbayonne.univ-pau.frdalmau/documents/cours/reseaux/... · • Les données sont transmises sur le médium avec un bit de départ et ... – WMAN (Wireless Metropolitan

Principes de fonctionnement des réseaux (M. DALMAU, IUT de Bayonne) 1

Les réseaux

HTTP

TCPIP

SMTP

DNS

LAN

WAN

IEEE

ISOUIT ANSI

AFNOREthernet

MODEM

ADSL

WI-FI

Bluetooth

ICANAFNIC

IPv6

UDP

CORBARMI

DCOM

Client/serveur

URL

IMAP

POP3

Proxy

Pare-feu

cryptageComment s

Comment s’’y retrouver ?

y retrouver ?


Structure

�LAN (Local Area network) seul�LAN connectés à un WAN (Wide Area network)�LAN interconnectés directement ou via un WAN

Un réseau pour quoi faire ?

� Communiquer avec des sites distants� Partager des ressources� Augmenter graduellement l’infrastructure� Augmenter la fiabilité� Utiliser ou écrire des programmes répartis

Les réseaux


Problèmes

� Intrusion�Virus�Difficultés de gestion

� L’utilisateur ne voit rien !� Divers SE et protocoles� Toujours en évolution� Une petite modification peut provoquer beaucoup de problèmes

Les réseaux


Architecture des réseaux

Types de réseaux

� LAN (Local Area Network)� WAN (Wide Area Network)

Topologies

• Étoile

• Anneau

Architectures des réseaux


• Bus

• Partiellement ou totalement connecté

• Arbre

Architectures des réseaux


La normalisation, pourquoi ?

• Dispositifs hétérogènes

• Constructeurs différents

• Solutions par :– le matériel (câbles, cartes …)

– le logiciel (protocoles, applications …)

⇒ Nécessité d’une norme au niveau fonctionnel

La norme dit ce qui doit être fait pas comment cela doit être fait.


Les organismes de normalisation• IEEE (Institute of Electrical and Electronics Engineers) société internationale qui

contribue à l’ANSI (American National Standard Institute) et à l’ISO.

• ISO (International Standard Organisation) association privée de normalisation. Consultative auprès du conseil économique et social de l’ONU.

Domaines : technique, acoustique, cinéma, matériel de sport, audiovisuel, informatique.

La France y contribue au travers de l’AFNOR (Association française de NORmalisation)

• UIT (Union Internationale des Télécommunications) appartient à l’ONUDomaines : normalisation des équipements de liaison, réglementation maintenance et

développement des réseaux.

• ETSI (European Telecom Standard Institute) : définitions des équipements

• IETF (Internet Engineering Task Force) association qui normalise Internet

• Et d’autres : IFAC, CEI, CEN, ISSS, CEPT, ECMA, UER, EdiFrance, LCIE, CEF, UTE, CCT ….


Structuré en 7 couches (niveaux)

� Chaque couche est un niveau d’abstraction� Chaque couche offre des services à la couche supérieure en

masquant comment sont réellement réalisés ces services� Chaque couche d’une machine converse avec la couche

correspondante de l’autre machine� La fonction de chaque couche est standardisée� Les règles régissant la communication entre couches s’appellent

des protocoles� Les protocoles respectent des standards internationaux.

Le modèle OSI


Les 7 couches du modèle OSI

Physique

Liaison

Réseau

Transport

Session

Présentation

Application

HTTP

HTML

TCP

IP

Ethernet

WI-FI


Hiérarchie de protocoles

Physique

Liaison

Réseau

Transport

Session

Présentation

Application

Physique

Liaison

Réseau

Transport

Session

Présentation

Application

Machine A Machine B

Médium de transmission

Protocole de niveau 7







Information


Couche Physique (1)

Objectifs :• Transmission des données sous forme de signaux

électriques ou optiques• Limité à l'émission et la réception d'un bit ou d'un

train de bits continu• Conversion entre bits et signaux électriques ou

optiques. • En pratique réalisée par des circuits électroniques

spécifiques


Formes de transmissions

� Série: transmission bit à bit (un seul médium) � Parallèle : N bits d’un coup (N médiums)

Transmission en série

Les bits sont transmis les uns à la suite des autres La durée d’un bit est déterminée (θ)

}

Information transmise

← θ → ← θ → ← θ → ← θ → ← θ → ← θ → ← θ → ← θ → ← θ → ← θ →

⇒ Il est nécessaire d’avoir des horloges identiques entre l’émetteur et le récepteur.

1 0 0 0 1 1 0 0 1 0

Couche 1 : mode de transmission


Asynchrone

Médium de transmissionDonnées

Horloge

Données

Horloge

• Les données sont transmises sur le médium avec un bit de départ et un bit d’arrêt (synchronisation)

• L’horloge est estimée à l’arrivée• La vitesse (bits/s) est limitée par les erreurs d’estimation et les

recalages d’horloge nécessaires

Couche 1 :transmission en série

Emetteur01100101

Horloge

1011001010

Récepteur

HorlogeestiméeResynchronisation

01100101


Synchrone• Les données et l’horloge sont mélangées et transmises sur le médium• On les sépare à l’arrivée• Pas de limite de vitesse autre que celle du médium.• Méthode la plus utilisée

Médium de transmissionDonnées

Horloge

Données

Horloge

Couche 1 : transmission en série

Mélangeur01100101

Horloge

signal mélangeant

Séparateur 01100101données et horloge

Horloge


Niveau Physique

Médium de transmission

Câble coaxial

Paire Torsadée

âme

Fil conducteur

Isolant

Fibre optique

3 types multi-mode avec saut d’indices.multi-mode avec indice progrsssifmulti-mode

Air

� Signaux radio directs ou par satellite � Signaux lasers directs� Infrarouge

Téléphone

L’infrastructure transporte des signaux numériques mais les lignes qui desservent les habitations n’ont pas été prévues pour ça.

Couche 1 : supports de transmission

Paire torsadée

Câble coaxial


Fibre optique

3 types multi-mode avec saut d’indices. multi-mode avec indice progrsssif multi-mode Propagation de la lumière dans la fibre :

Fibre optique

Fibre optique

3 types : multimode à saut d’indicemutimode à indice progressifmonomode

Propagation de la lumière dans la fibre :



Vitesse de transmission :



Couche 1 : le réseau téléphonique

• Les lignes imposent des contraintes sur les signaux que l’on peut y faire passer (lignes analogiques)

⇒utiliser un MODEM (MOdulateur DEModulateur)Les modems convertissent un signal numérique en son

équivalent analogique (modulation) et vice versa (démodulation).

• Moduler un signal en : amplitude / phase / fréquence• Pour augmenter le débit on code plusieurs bits à la fois

(exemple : avec 4 valeurs de phase et 4 valeurs d’amplitude on peut coder 16 combinaisons => 4 bits)Méthode : kQAM (Quadrature Amplitude Modulation)

k indique le nombre de combinaisons.


Couche 1 : le réseau téléphonique1. Le modem simple est limité à 28800 bits/s (norme V34) on utilise de la

compression de données pour dépasser ce seuil (normes V90 ou V92) => gain statistique (56KB/s)

1. Le xDSL : utilise des fréquences plus élevées (jusqu’à 1,1MHz en ADSL1 et jusqu’à 2,2MHz en ADSL2) ce qui est possible à condition que la liaison analogique soit courte

� SDSL (Symmetric Digital Subscriber Line) R et E : 128K à 2Mb/s

� SHDSL (Single-pair High-speed DSL) R et E : 384K à 4,6Mb/s

� ADSL (Asymmetric Digital Subscriber Line) R : 2 à 8Mb/s E : 160 à 800Kb/s

� VDSL (Very High Digital Subscriber Line)R : 13K à 55,2Mb/s E : 1,5 à 6Mb/s.


Couche 1 : L’ADSL (norme UIT G992.1)

• Découpage de la bande passante en canaux de 4KHz que l’on utilise en parallèle :– Voix : 1 canal (O à 4KHz) = téléphone classique (filtre ADSL)– La bande 4 à 26KHz est laissée libre pour éviter les interférences

– Emission : 26 canaux– Réception : 230 canaux + les 26 d’émission si disponibles

Calcul : avec du 256QAM un canal permet de passer 8*4000=32Kb/s– en émission : 26*32 = 832Kb/s– en réception (maxi) : (230+26)*32 = 8Mb/s

• Fonctionnement : la qualité de chaque bande est mesurée en permanence et, sur celles qui présentent trop d’erreurs, on peut baisser la valeur du kQAM ou même ne pas les utiliser => on baisse le débit si la qualité de la ligne ne le permet pas.


Couche 1 : Le sans fil

• Catégories :– WPAN (Wireless Personal Area network) très faible

portée (ex : Bluetooth)

– WLAN (Wireless local Area network) portée de quelques centaines de mètres (ex : WI-FI)

– WMAN (Wireless Metropolitan Area network) portée de quelques kilomètres

– WWAN (Wireless Wide Area network) pour le cellulaire (ex : GSM, GPRS, UMTS).


Couche 1 : Le sans-fil

• Portée limitée• Très sensible aux parasites (radio ou infrarouge)• Mobilité => passage d’une borne à une autre• Problème de couverture• Puissance radio (WI-FI) limitée à 30 mW pour la santé (limitée à 2W pour

les téléphones portables !) => utiliser des méthodes solides.

P1

P2

P3

P1

B1

P3

P4

B 2

P5P6

• Topologies liées à la portée : point à point ou en étoiles (bornes)

P1 – P2P2 – P1 et P3P3 – P2

B1 : P1, P3, P6B2 : P4, P5, P6lien B1 B2 par fil


Le WI-FI (normes IEEE 802.11x)Mode de transmission

• FHSS (Frequency Hopping Spread Spectrum) : découper la bande passante en canaux et on passe régulièrement de l’un à l’autre => limiter les erreurs sur les canaux parasités

• DSSS (Direct Sequence Spread Spectrum) : émettre la même chose sur plusieurs canaux simultanément

• OFDM (Orthogonal Frequency Division Multiplexing) : le signal est découpé en composantes envoyées sur des canaux différents => si certains canaux marchent mal le signal est un peu déformé mais lisible).


Bluetooth (IEEE 802.15.1) Mode de transmission FHSS (Frequency Hopping Spread Spectrum) :

• On découpe la bande de fréquence en 79 canaux de 1MHz de largeur. On passe de l'un à l'autre 1600 fois/s (quanta de temps de 0,625ms) selon une séquence de bandes prévues à l'avance entre émetteur et récepteur (calculée en fonction des adresses physiques). Ceci permet de résoudre les problèmes de mauvaise réception : si on a un problème a un moment sur un canal on réémettra les données mal reçues au saut suivant donc sur un autre canal.

• L'émission se fait sur 1, 3 ou 5 quanta de temps et l'acquittement sur le quantum suivant.

• La taille des données max dans un paquet (de 5 quanta) est de 339 octets.

• On a donc 339 octets utiles pour une durée de 5+1 quanta (5 d'émission + 1 d‘ACK) donc sur une durée de 6*0,625ms. Ce qui fait un débit maximum de (339*8)/(6*0,625) = 723 Kb/s (d'où le 720 Kb/s annoncé).


Zigbee (IEEE 802.15.4)

• Créé en 2005 pour être une version allégée de Bluetooth (consommation moindre et quantité de code très inférieure).

• Vitesses : 250Kbps à 2,4 GHz, 40Kbps à 915MHz ou 20Kbps à 868MHz.• portée 10 à 75 m mais faible consommation.• 16 canaux de 5MHz en 2.4GHz, 10 canaux de 2MHz en 915MHz et un canal

en 868MHz.• Pas de garantie de délivrance de messages

• Mode de transmission DSSS (Direct Sequence Spread Spectrum) :On émet les infos sur plusieurs canaux simultanément => le récepteur reçoit la

même chose plusieurs fois et il peut fonctionner malgré les problèmes de réception. Pour plus de sécurité on utilise des codages redondants : chaque groupe de 4 bits est transmis sous la forme d'une séquence de 32 bits mais on n'utilise que 16 mots possibles pour pouvoir détecter les erreurs.


Couche Liaison (2)

Objectifs :• Gestion des communications entre machines

directement reliées entre elles par un support physique.

• Constitution des informations en trames• Délimitation de ces trames dans un flot de bits

continu.• Détection et parfois correction des erreurs de

transmission


Elle se subdivise en 2 sous-niveaux• MAC sous-niveau de Contrôle d’Accès au Médium.• LLC sous-niveau de Contrôle de Liaison Logique

MAC : Gestion de l’accès (partage) du support de transmission

• Dépend fortement du support

LLC : structuration de l’information en trames contenant :

• L’information à transmettre

• Des codes de contrôle

• Encapsulation (les données peuvent être une trame)

Liaison (couche 2)


Couche 2 : Liaison (niveau MAC)

synchrone

scrutation scrutation adaptative

centralisé

Jeton

décentralisé

accès contrôlés

CSMA/CD

accès aléatoires

Asynchrone

multiplexage temporel

voies dédiées voies allouées

multiplexage fréquenciel

Acces au média

Le temps est découpé. Une station ne peut émettre que durant son quantum de temps.

CSMA/CA


Jeton (Token)

Seul le possesseur du jeton peut transmettre. Quand une station désire transmettre :. Elle garde le jeton. Envoie ses informations. Reçoit un accusé de réception du destinataire. Fait circuler le jeton

Problèmes :Pb1 : Une station garde le jeton trop de tempsPb2 : Le jeton se perdPb3 : Plusieurs jetons

Reamarque : Le passage de témoins est déterministe. On connaît le temps maximum pour le transmettre (temps réel).

Couche 2 : Liaison (niveau MAC)Quelques protocoles d’accès au médium


Avec collisions

Lorsqu’une station désire transmettre :. Elle écoute le canal de transmission. S’il est occupé, elle attend qu’il soit libre. S’il est libre, elle transmet.

Ce protocole s’appelle CSMA (Carrier Sense Multiple Access) : accès multiple avec test de porteuse

Mais quand 2 stations transmettent simultanément parce que le canal paraît libre alors qu’il ne l’est pas (délai de propagation)

Solution : En cas de collision la transmission avorte immédiatement. Chaque station respecte un délai aléatoire avant de ré-émettre

Ce protocole s ’appelle CD (Collision Detection) Le protocole CSMA/CD est utilisé par Ethernet.

Il y a collisionIl y a collisionIl y a collisionIl y a collision


niveau MAC : cas du sans-fil

Dans un réseau classique si B et C reçoivent les messages de A alors B reçoit ceux de C (ils sont sur le même sous-réseau). De plus, selon la topologie (par exemple en étoile) quand A et B dialoguent C ne reçoit rien tandis que sur un bus C reçoit tout et l'ignore.

Dans un réseau sans fil tout message émis peut être capté par tout nœud à portée (diffusion) mais la visibilité des nœuds est différente car la puissance du signal radio décroît comme le carré de la distance., par exemple :

B A CB et C reçoivent les messages de A mais B ne reçoit pas ceux de C.

Conséquence : quand A et B dialoguent C reçoit ce que A émet mais pas ce que B répond. Si C émet en même temps il perturbe A mais pas B donc B continue àrecevoir les messages de A mais A ne reçoit plus les réponses de B.


Exemple : on a 4 nœuds A, B, C et D placés comme suit :

A B C D

B émet vers A, C veut émettre vers D. C capte ce que B émet donc conclut le médium est occupé et ne commence pas son émission.

Pourtant il pourrait émettre car son signal brouillerait la réception de B mais pas celle de A, or B n'est pas récepteur, tout au plus il ne pourrait pas écouter sa propre émission mais ce n'est pas gênant.

Solution possible : protocole RTS/CTS ou MACA (Medium Access with Collision Avoidance) adopté dans 802.11

Principe :

Quand A veut émettre vers B, il envoie un message RTS avec le nombre d'octets qu'il veut émettre.B répond par un message CTS avec ce même nombre.

Cet échange permet aux stations qui le reçoivent de savoir que le médium est occupé et pour combien de temps.

cas du sans-fil : Problème de visibilité des stations


Exemple :

C A B DE F

Etude de cas : A veut communiquer avec B => il lui envoie RTS

• Les nœuds à portée de A voient le RTS => ils savent être à portée de l'émetteur => ils attendent pour voir s'ils reçoivent le CTS de B.

– S'ils le reçoivent ils savent être à portée de l'émetteur ET du récepteur => ils ne peuvent rien faire. Le nombre d'octets indiqué dans le CTS leur permet de savoir combien de temps ils doivent attendre.

– Sinon ils savent être à portée de l'émetteur mais pas du récepteur => ils peuvent émettre en même temps. Mais l'émission de A peut brouiller le CTS en réponse à leur propre RTS !

• Les nœuds à portée de B mais pas de A voient le CTS mais pas le RTS => ils ne peuvent pas émettre. Le nombre d'octets indiqué dans le CTS leur permet de savoir combien de temps ils doivent attendre.

• Un nœud comme F qui n'est à portée ni de A ni de B ne voit ni le RTS ni le CTS, il peut donc émettre sans gêner personne.

• Un nœud à portée de B (par exemple D) peut ne pas voir le CTS de B parce que F émet et le brouille => il ne sait pas que A et B communiquent.

• Cas particulier : collision du RTS de A avec un autre (par exemple E) => ni A ni E ne reçoivent de CTS => ils réessaieront plus tard (délai aléatoire type CSMA/CD)

cas du sans-fil : Problème de visibilité des stations


Couche 2 : Liaison (Contrôle de liaison logique)

Structuration des données : constituées en trames.

Une trame est une succession de bits. Par exemple, la trame Ethernet :

préambule Début Trame

Adresse destinataire

Adresse origine

Type Données Remplis-sage

CRC

Préambule : 7 octets 10101010 (utilisé pour détecter les collisions)Début de la trame : 10101011Adresse physique : 6 octets, l’adresse de destinataire peut être de 3 types :

.unicast : une seule station

.multicast : toute les stations du sous réseau ou du groupe

.broadcast : toutes les stationsType: désigne le protocole de niveau supérieur (IP, ARP, RARP ...)Données : de 0 a 1500 octetsRemplissage: la trame ne doit pas être inférieure à 46 octets (parasites)CRC : permet de corriger les erreurs.



Gestion des erreurs :

Bit(s) changé(s) dans une trame :• Bit de parité permet de détecter, pas de corriger.• Checksum permet de détecter, pas de corriger.• CRC (Code de Redondance Cyclique) permet de corriger : le CRC-16

utilise le polynôme générateur (x16+x15+x2+1)

Trames perdues ou dupliquées :• On peut ne rien faire (vidéo) • Ou utiliser des protocoles élémentaires de retransmission• Souvent ces problèmes sont traités par les couches supérieures (4).



Commutation : La structuration des données permet la commutation de trames

• Le réseau est divisé en sous réseaux.• Un commutateur reçoit une trame et la dirige vers le bon sous

réseau en utilisant les champs d’adresses => évite des collisions

Contrôle de flux : le récepteur renvoie une trame d’acquittementRq : Le plus souvent le contrôle de flux n’est pas utilisé en couche

2 et laissé aux couches supérieures (3).


1. Envoi avec accusé

T1

ACK

ACK

NACK

T2

T2

T3

T3

Perte de T2

T3 a des erreurs

Retransmission de T2

Retransmission de T3

Délai

A B

Problème : Si le ACK de T1 se perd, A retransmet T1 et B l’aura deux fois (duplication).

Liaison (couche 2) : Contrôle de liaison logique

Contrôle de flux


2. Envoi continu

Le transmetteur envoie les trames successivement et le récepteur indique les trames possédant des erreurs (demande de réémission).

ou

Le transmetteur envoie les trames successivement et le récepteur accuse réception de plusieurs trames à la fois.

Liaison (couche 2) : Contrôle de liaison logique

Contrôle de flux


Couche Réseau (3)

Objectifs :– Définition d’adresses uniques

– Interconnexion de réseaux.

– Structuration en paquets

– Routage des paquets

– Contrôle de congestion


Un mécanisme d’identification de chaque machine du réseau est nécessaire :

� IPv4 utilise 4 octets (ex : 193.50.225.216) Rq : le nombre d’adresses possibles est très élevé (2564 = 4,3 milliards) mais la distribution des adresses fait que beaucoup sont inutilisées)

� IPv6 utilise 8 octetsRq : dans ce cas le nombre d’adresses (2568 = 1,8 1019 soit 18 milliards de milliards !) permet une distribution plus facile.

Couche 3 : Réseau (Adressage)


Exemple d ’ IP :

Le protocole ARP (Address Resolution Protocol) permet de trouver une adresse physique à partir d’une adresse IP.Nécessaire pour établir une communication car la trame correspondant àla couche 2 doit contenir l’adresse physique de la carte du destinataire.

Le protocole RARP (Reverse Address Resolution Protocol) permet de trouver une adresse IP à partir d’une adresse physique.Assez peu utilisé.

Couche 3 : Réseau (Adressage)


L’organisme IANA (Internet Assigned Number Authority) possède l’autoritépour choisir les adresses sur l ’Internet. C’est une branche de l’ICANN

(Internet Corporation for Assigned Names and Numbers) qui pilote des organismes locaux accrédités qui gèrent les noms locaux (AFNIC (.fr) ou GANDI (.com .org .net) en France)

DNS (Domain Name System) :• Base de Données Distribuée sur Internet. Elle fait une correspondance entre adresses IP et noms de machines.• Les adresses IP ainsi que les noms associés suivent une organisation hiérarchique :

machine.sous-domaine2.sous-domaine1.payskartxila. iutbayonne. univ-pau. fr216 . 225 . 50 . 193

l’adresse IP de cette machine est 193.50.225.216

Couche 3 : Réseau (Interconnexion de réseaux)


Couche 3 : Réseau (Structuration en paquets)

version lg entête Type de service (TOS) Longueur totaleidentification Flags offset de fragmentation

TTL protocole Contrôle de l’entête

Adresse IP de l'expéditeur

Adresse IP destinataire

options

données

- version : version du protocole IP- longueur de l’entête- type de service : indice de qualité de service- longueur totale : en octets (maxi 65535 octets)- identification : numéro de paquet

- Flags : indicateurs de fragmentation - offset de fragmentation- TTL (durée de vie) - protocole : indice du protocole de niveau supérieur- contrôle de l’entête : calculé sur l’entête

Un paquet peut être constitué d’une ou plusieurs trames de niveau 2


Méthodes d ’acheminement :

Statistiques� Elles utilisent des tables de routage qui ne varient pas dans le temps.

Dynamiques� Inondation� Hot potatoe� Adaptative (tables de routage modifiées dynamiquement)

Couche 3 : Réseau (Routage des paquets)


Tables fixes :

Le réseau est fixeLes trafics sont connus et fixes

Par exemple entre serveurs d’une salle machine


serveur A serveur B serveur D

serveur C

Route A-D :

En passant par C et B


Inondation :

• Sécurité (on veut être sûrs d’arriver)• On ne connaît pas les chemins a priori (découverte)


Hot potatoe :

• Statistique• On ne connaît pas les chemins a priori (pas de découverte)• Simple• Aucune garantie de temps


Tables de routage dynamiques :

Protocole RIP (Routing Information Protocol) :Minimise la longueur des chemins (limités à 15)

• Chaque nœud calcule la distance (nombre de relais à passer) qui le sépare de chaque sous-réseau qu’il peut atteindre

• Il diffuse cette information à ses voisins toutes les 30 secondes• Ils complètent et ajustent leurs tables de routage

Protocole amélioré IGRP (Interior Gateway Routing Protocol) :• On ajoute des informations de :

• bande passante• fiabilité• délai• charge



Service non orienté connexion

L’adresse du destinataire transite dans chaque paquet

Le cheminement de chaque paquet est indépendant, ils peuvent arriver dans le désordre

Note : IP est un protocole non orienté connexion.

A B

E

D

C

1

2

3

1

1

2

3



Service orienté connexion

L’adresse du destinataire transite uniquement dans des paquets d’établissement de connexionTous les paquets de la connexion suivent le même chemin et arrivent dans l’ordre.

A B

E

D

C

123

12

3



1. Éviter que le réseau ne se congestionne :• Contrôle global = limiter le nombre de paquets en circulation (tickets)• Contrôle avec réservation = avant d’émettre on établit un circuit virtuel (mode connecté) et on réserve la place

2. Résoudre les congestions :• Exclure les paquets qui transitent depuis longtemps (durée de vie)• Exclure les paquets qui ont parcouru trop de chemin : TTL (Time To Live) utilisé par IP

Remarque : le nœud qui détruit un paquet envoie un message à son émetteur qui pourra tenter de le réémettre plus tard.

Couche 3 : Réseau (Contrôle de congestion)


Couche 4 : Transport

Objectifs :– Gestion des communications de bout en bout

– Qualité de service

– Gestion de la transmission : corruption, pertes, réordonnancement, duplication


Service de transport

Le service transport offre des primitives pour :

- Établir une connexion- Répondre à une requête de connexion (oui ou non).- Confirmer la connexion.- Transmettre les données- Réaliser la déconnexion.

FacultatifFacultatifFacultatifObligatoireFacultatif.



Exemples de services de transport (TCP et UDP)

TCP et UDP utilisent le concept de port. Une application joint à l’adresse IP du destinataire un numéro de port qui

permet de préciser l’application avec laquelle elle veut dialoguer (ex : 193.50.225.216:80)

La machine qui reçoit un paquet TCP ou UDP utilise ce numéro de port pour savoir quelle est l’application destinataire (ex : serveur HTTP)

UDP (User Datagram Protocol)UDP n’établit pas de connexion et donc n’est pas fiable

- Possibilité de perte de paquets- Possibilité de duplication de paquets - Possibilité de paquets désordonnés.



TCP (Transmission Control protocol)

TCP établit une connexion et ainsi est fiable

La transmission se présente en 3 phases :• Établissement de la connexion (message SYN)• Echange fiable de données.

• Les données sont découpées en segments. • Lors de la transmission, chaque segment reçoit un accusé de réception. • Les segments arrivent avec un champ de contrôle d’erreur.• Les segments se réordonnent à la réception .

• Libération de la connexion (message FIN)



Octets émis avec ACK Octets émis mais non acquittés

Octets àémettre

Octets impossible à transmettre

Fenêtre actuelle

Octets émis acquittés

Nouvelle fenêtre(plus petite)

ACK reçu

Octets émis et acquittés

Octets émis non acquittés

Octets pouvant être émis

Octets impossible à émettre

Contrôle de flux par acquittement des segments (TCP)



Qualité de Service (QoS)

Le mode connecté permet de négocier la qualité de service lorsque la connexion est établie. Les paramètres de la qualité de service sont :

Lors de l'établissement de la connexion la couche 4 transmet les valeurs désirées et minimales pour ces paramètres, ensuite si la demande ne peut pas être satisfaite la connexion n'est pas faite.


• Temps pour ouvrir la connexion• Probabilité pour que la connexion se s’ouvre pas avant un certain délai.• Rendement• Temps de passage• Proportion de messages avec erreurs.• Probabilité pour que se produise un incident. • Temps pour fermer une connexion. • Probabilité pour qu’une connexion ne puisse pas être fermée avant un temps déterminé.• Protection contre l’intrusion.• Possibilité de donner des priorités à certains messages.• Liberté laissée à la couche transport de fermer une connexion en cas de problème.


Qualité de Service (QoS)

Dans le mode non connecté les paramètres sont :

• débit• délai• taux d'erreur • priorité de transmission



Couche 5 : Session

Objectifs :– Synchronisation des communications (quel

intervenant peut émettre à tel moment)

– Mécanisme de correction des erreurs de traitement par restauration d'un état antérieur connu.

– Quelques protocoles de la couche session : rsh, ssh, telnet.


� Permet de définir des transactions :• début de session• transfert d’informations• fin de session

pour pouvoir définir des points de synchronisation

� A l’ouverture de session on définit :• qui peut demander la fermeture• si le dialogue est unidirectionnel, bidirectionnel ou alterné

Par exemple l’accès à une BD peut se faire en alternat (requête/réponse …). La couche 5 peut alors interdire qu’une requête ne puisse être lancée tant que la réponse à la précédente n’est pas arrivée.

Couche 5 : Session


� RSH (Remote SHell) : permet une connexion à distance sur une machine

� SSH (Secure SHell) : version sécurisée (par cryptage) de RSH

� Telnet (TErminaL NETwork ) : connexion à tout type de service (très utile pour tester des serveurs et des services)

Remarque : pour des raisons de sécurité RSH et telnet sont souvent bannis des machines par les ingénieurs système et réseau.

Couche 5 : Session (exemples)


Rôles de la couche présentation :

• Mise en forme des fichiers, des requêtes, …HTML utilise des balises <xxx> </xxx>

• Utilisation d’un format normalisé que chaque machine comprend• Compression de données• Cryptage des données

Rq : la couche 6 est généralement liée (incluse) à la couche 7 (application)par exemple HTTPS correspond à une couche 7 de type HTTP (web) en

mode sécurisé c’est-à-dire avec une couche 6 qui fait du cryptage !

Couche 6 : Présentation


Il existe plusieurs modèles d’application :• HTML-HTTP (HyperText Markup Language - HyperText

Transfert protocol) utilisé par le Web• Java RMI (Remote Method Invocation) pour la

programmation en objets répartis en java• CORBA modèle d’objets répartis non lié à un langage de

programmation. Par exemple Java IIOP (Internet Inter Object Broker) utilise CORBA

• ActiveX – DCOM (Distributed Component Object Model) pour microsoft

• etc

Tous utilisent le modèle général client/serveur

Couche 7 : Application


Le client:� Propose l’interface avec l’utilisateur� Interroge le serveur à l’aide d’un langage commun� Communique avec le serveur� Analyse les réponses et les présente à l’utilisateur

Le serveur :� Répond aux requêtes�Réalise le service

Sa manière de fonctionner est transparente au client

Le modèle Client/Serveur




� Transparence de lieu� Transparence administrative (on peut changer un serveur sans modifier

les clients)� Le client prend en charge la relation avec l’utilisateur� Selon ses capacités, le client peut prendre en charge plus ou moins de

choses � Possibilité d’utiliser des clients ou des serveurs standards� Le serveur peut interroger d’autres services� Le serveur peut gérer la sécurité (authentification du client …)� Minimisation des échanges d’information

� Maintenance plus facile.

Principes :



Client

Serveur A

Serveur B

Serveur CServeur D

Le client interroge le serveur A

Le serveur A interroge les serveurs B et C

Le serveur C interroge le serveur D

Le client a les réponses de A, B, C, D mais ne connaît que A.

Exemple de fonctionnement


Avec TCP/IP, le client désigne le serveur par :-son adresse (numéro IP ou nom de machine) : désigne la machine A.-le numéro de port : désigne le programme serveur dans ma machine A.

Le mécanisme de programmation s’appelle sockets.

Las applications BOOTP, Telnet, Rlogin, FTP, NFS, SMTP, HTTP etc sont sur le modèle client/serveur.




Applications de l’Internet

Les ressources sur le web sont désignées par une URL (Uniform Ressource Locator). Une URL est constituée de trois parties :� un protocole (ftp, http, mailto, news, nntp, telnet ...) ≡ n° de port� une adresse ≡ nom ≡ adresse IP

� une désignation d’information ≡ localisation de ressource + options

Formats des URLs :

ftp://user.passwd@machine/path:type=carcar = d pour directory, i pour binary, a pour ASCII

http://machine/chemin?informationsmailto:[email protected]://user.passwd@machine/


Le mail : Fonctionne avec le protocole TCP sur le port n°25

Exemples d’applications de l’Internet

mail pour B

machine A

machine B

service SMTP

service SMTP

client SMTP

client SMTP

mail pour B

client POP ouIMAP

mail de B

Serveur X

Serveur Y

Protocoles mis en jeu :

• SMTP (Simple Mail

Transfert Protocol)

• IMAP (Internet Message

Access Protocol)

• POP (Post Office

Protocol)


mail pour B

machine A

machine B

service SMTP

service SMTP

client SMTP

client SMTP

mail pour B

client POP ouIMAP

mail de B

Serveur X

Serveur Y

Le mail

Cas possibles :1. Le serveur X n’identifie pas le destinataire (adresse mal écrite)

Il prépare un message d’erreur dans la BàL de A2. Le serveur X ne peut pas joindre le serveur Y (indisponible ou injoignable)

Il réessaye plusieurs fois plus tardS’il n’y parvient toujours pas il prépare un message d’erreur dans la

BàL de A3. Le serveur Y ne connaît pas B (adresse mal écrite) ou sa BàL est pleine ou

ce type de message est refusé (spam, taille …)Il indique l’erreur au serveur X et refuse le message => le serveur X

prépare un message d’erreur dans la BàL de A4. Le serveur Y accepte le message et le met dans la BàL de B

B ne verra son message que lorsqu’il se connectera au serveur Y.



HTTP (HyperText Transfert Protocol) : port 80

- Utilisé pour le web

- Fonctionne avec le protocole TCP

- Le serveur HTTP accepte 3 principaux types de questions :

• GET url : envoie l’information de cette URL

• HEAD url : n’envoie que l’entête de cette URL

• POST : permet d’envoyer des informations au serveur pour

un accès au mail, aux news ou pour envoyer le contenu d’un

formulaire.



HTTP : protocole2 types de messages :

-requêtes-réponses


requête HTTP : <commande><entêtes>[<données>]• La commande est de la forme : méthode<esp>URL<esp>version<rc>

méthode = GET ou HEAD ou POSTURL désigne la ressourceversion = version du protocole HTTP

• L’entête contient des champs et leur valeur sous la forme :Connexion : closeUser-Agent : mozilla/4.0etc

• Les données n’existent que pour POST.


HTTP : protocole (suite)


réponse HTTP : <état><entêtes><données>

• L’état est de la forme : version<esp>code<esp>message<rc>version = version du protocole HTTP code = code d’erreur (200=OK, 404=not found …)message = détail de l’erreur

• L’entête contient des champs et leur valeur en particulier :Content-Type : type mimeContent-Length : taille des donnéesetc

• Les données contiennent par exemple une page HTML, une image etc. selon le type mime précisé.


HTTP : protocole (types mime)


Plusieurs grandes catégories :

• application = tout format lié à une application (par exemple :

application/postscript , application/pdf , etc)

• image (par exemple : image/gif , image/jpeg , etc)

• texte (par exemple : text/plain , text/html , text/richtext , etc)

• vidéo (par exemple : video/mpeg , video/quicktime , etc)

• muliple = contenant plusieurs objets (par exemple :

multipart/x-zip , multipart/mixed (cas d’un mail avec texte+images) , etc).


HTTP : modes de connexion

2 modes de connexion :� non persistante :

1. le client envoie une requête de document2. le serveur envoie le document et coupe la connexion3. le client analyse le document et y trouve des références4. le client recommence les étapes 1 et 2 pour chaque référence

(éventuellement en parallèle)� persistante :

Le serveur maintient la connexion tant qu’il reçoit des requêtes du client (il utilise un délai pour se déconnecter).



DNS (Data Name Server) : port 53


Serveur de noms racine

Serveur de noms intermédiaire

Serveur de noms source autorisé

Serveur à atteindre

Serveur de noms local

demandeur

OU

OU

Permet d’obtenir une adresse IP à partir d’un nom de machine.

C’est une BD répartie selon le schéma suivant :


Serveur de noms racine

Serveur de noms intermédiaire

Serveur de noms source autorisé

Serveur à atteindre

Serveur de noms local

demandeur

OU

OU

Serveurs de noms locaux : chaque fournisseur d’accès à Internet (IUT) en a un dont l’adresse IP est connue des clients

DNS (Data Name Server) : principe de fonctionnement

Serveurs de noms racines : une douzaine dans le monde. ils sont consultés par les serveurs locaux quand ils n’ont pas la réponse

Serveurs de noms intermédiaires : spécialisés par domaines. Consultés par les serveurs racines quand ils n’ont pas la réponse

Serveurs de sources autorisés : consultés par les serveurs racines quand un serveur intermédiaire les y redirige

Dans certains cas, si le serveur local, après consultation du serveur racine, n’a pas la réponse, il peut rediriger le client directement vers un serveur intermédiaire ou de source autorisé.


Les réseaux pour le multimédia

Les applications MM sont sensibles aux délais, aux débits et àleur variation, en revanche elles acceptent des pertes d’information.– UDP est plus efficace que TCP– On compresse les données (MP3, MPEG, H261 …)– On compense la gigue par des tampons (temps légèrement différé)– RTSP (Real Time Streaming Protocol) établit 2 connexions : une

pour les flux et une pour le contrôle– RTP utile UDP mais ajoute des informations de temps et de type

de codage. Il est associé à RTCP pour le contrôle– H323 utilisé pour la visioconférence utilise TCP mais permet de

négocier le codage audio/vidéo entre les participants.


Menaces passives : ne modifient pas l’état = prélèvement d’infos

• par branchement

• par induction

• par faisceaux hertziens

• par satellite

• par rayonnement

Menaces actives : modifient l’état

• brouillage

• déguisement (modifier l’info ou se faire passer pour un autre).

Sécurité : les menaces


• Accès physique• mise sur écoute (facile avec le WI-FI)• intrusion dans un serveur

• Ingénierie sociale• vol de mots de passe• fichiers attachés

• Dialogue• interception de communication• usurpation d’identité• altération de messages

• Intrusion logique• prise de contrôle (utilise les trous de sécurité)• balayage (rechercher les point faibles)• saturation / déni de service• virus / vers.

Sécurité : les attaques


• Accès physiqueparfois difficile à détecter (WI-FI)

• Ingénierie socialeformer les personnes

• Dialogueutiliser des outils de cryptage et d’authentification

• Intrusion logiquemettre à jour les logiciels et systèmes (trous de sécurité)contrôle d’accès (firewall ou Intrusion Detection Systems)antivirus.

Sécurité : se protéger


Sécurité : méthodes d’attaque

Trois grandes étapes :1. Reconnaissance = obtenir des informations :

– sur le site de la victime– par téléphone– par des logiciels clients standard (whois, lookup, ping,

traceroute …)– par des logiciels clients spécifiques pour outrepasser

certaines protections– par des outils sur le Web (plus difficile d’identifier le

client).


Sécurité : méthodes d’attaque

Trois grandes étapes :2. Analyse les vulnérabilités :

– identifier le système d’exploitation pour en exploiter les défauts, connaître les n°s de port qu’il utilise etc.

– Scanner les ports pour trouver les ports ouverts (depuis l’extérieur ou par introduction d’un virus)

– identifier les services par les n°s de ports qu’ils utilisent ou par tentative de connexion

Quand on connaît le SE et les services on peut utiliser leurs points faibles.


Sécurité : méthodes d’attaqueTrois grandes étapes :3. Intrusion et attaque :

Il existe des outils que l’on peut utiliser sans les comprendre ou modifier (variantes) :

– Sniffers : capturent les trames qui circulent (on y trouve des mots de passe, des adresses etc.). Un sniffer est en général inefficace de l’extérieur => s’introduire sur une machine moins bien protégée pour l’y installer

– Détournement de session : laisser le client s’authentifier puis prendre sa place. En général l’outil est le spoofingd’adresse IP qui falsifie les adresses sur les trames => les réponses du serveur arrivent au faux client

– Découverte de mots de passe.


Sécurité : méthodes d’attaqueTrois grandes étapes :3. Intrusion et attaque (suite) :

– Saturation de mémoire : faire déborder des zones de mémoire utilisées par le système ou les services => planter le service ou introduire des informations ou du code pirate

– Déni de service : rendre des services inutilisables• par un message défectueux qui plante le service (par ex adresse

de destinataire = adresse d’expéditeur)• par salves de messages par exemple d’ouverture de session

En général la saturation est provoquée par plusieurs logiciels déclenchés en même temps.


Sécurité : méthodes d’attaqueTrois grandes étapes :3. Intrusion et attaque (suite) :

– Virus, vers et chevaux de Troie :• virus = codes s’attachant à un fichier ou un secteur du disque et qui se

recopient• vers = codes qui se propagent par le réseau• chevaux de Troie : programmes cachés dans un autreLes antivirus utilisent des signatures c’est à dire des suites d’octets connues

pour apparaître dans un virus• Les virus multiformes cryptent ou modifient leur code à chaque

reproduction => il faut autant de signatures que de formes possibles (difficile)

– Virus de macros : ce sont des codes cachés dans des macros => on ne sait pas qu’on les exécute.


Sécurité : les mots de passePoints faibles :

– mots de passe par défaut (certaines applications en proposent)– comptes oubliés avec un mot de passe = login– mots de passe trop simples– mots de passe qui passent en clair dans des trames– mots de passe sur un post-it !– mots de passe lus par-dessus l’épaule

Récupération des mots de passe :– par essai (dictionnaires + variantes). Le système peut bloquer au

bout de N essais => déni de service !!!!– par craquage : décrypter les mots de passe qui sont dans la machine

par exemple par essais.


Sécurité : outils de protection

Les antivirus (principes) :– Recherche de séquences d'octets caractéristiques

(signatures) d'un virus particulier ;

– Détection d'instructions suspectes dans le code d'un programme (analyse heuristique);

– Création de listes de renseignements sur tous les fichiers du système, en vue de détecter d'éventuelles modifications ultérieures de ces fichiers par un virus ;

– Surveillance des lecteurs de support amovible



Virus :– antivirus à jour sur les postes des clients, sur les

serveurs de fichiers, sur le mail et sur les proxys

– surveillance du comportement des logiciels (difficile à faire)

– sensibiliser les utilisateurs.


Services de sécurité� Authentification des entités (en début de connexion et pendant le transfert)� Contrôle d’accès (utilisation de mots de passe pour chaque ressource)� Confidentialité des données (chiffrement et contrôle de l’acheminement)� Intégrité des données (codes de contrôle d’erreurs, numérotation des

données, dates)� Non répudiation (signatures électroniques)

Moyens� Pare-feux� Proxys� Cryptage.



Pare-feu� Analyse des trames et filtrage (adresse exp, adresse dest, n° de port, contenu)� Modification des adresses des émetteurs (NAT)1, gestion d’une table de

translation qui change souvent� Protection contre la saturation par détection des trames d’ouverture de

session douteuses� Authentification par réseaux privés (il faut appartenir à ce réseau privé pour

pouvoir recevoir/émettre)

Proxy : Serveur qui fait le relais entre le client et le serveur final� Filtrage des commandes, des URL, des types mime� Tenue d’un journal� Contrôle de protocole (certains sont interdits)� Remplacement d’entêtes pour cacher des informations

� NAT1.

(1) NAT : n adresses internes → N adresses externes routables



Le cryptage

Principe : coder les informations pour que leur décodage soit impossible sans détenir :

• un algorithme de décodage• ou une clé

Il faut que :• les clés ne puissent pas être découvertes (clés aléatoires

générées par un algo connu => si on en trouve une on peut calculer les autres)

• Le logiciel de cryptage ne laisse pas de traces (fichier temporaire, zone de mémoire, temps de calcul lié à la clé …).



Méthodes de chiffrage :1. Avec clé secrète

Algorithme de chiffrage

Algorithmede

Décodage

Message MessageMessage

Chiffré

Clé Clé

A B

Les algorithmes ne sont pas secrets, seules les clés le sont

2. Avec clés publiques

Algorithmede chiffrage

Algorithmede

Décodage

Message MessageMessage

Chiffré

Clé publique de B Clé privée de B

A B

A ne connaît que la clé publique de B, il l’utilise pour chiffrer ses messages à destination de BB peut décoder avec sa clé privée que lui seul connaît.


Signature :L’émetteur met sa signature pour que le récepteur puisse vérifier :

Algorithmede codage

Algorithmede

codage

Message

Messagechiffréavec signature

Message

et signature

Clé publique de B

Clé privée de B

A

B

Algorithme

De signature

Clé privée de A

Algorithmede

vérificationde signature

Clé publique de A

Message

B peut vérifier que A a envoyé le message (le seul à pouvoir mettre une signature certifiée avec sa clé privée).


Authentification avec tiers (exemple de Kerberos)

Quatre entités :– Le client (C)

– Le serveur (S)

– le serveur d’émission de tickets (T)

– le serveur de clés (K)

Fonctionnement en trois étapes :– identification de C auprès de K

– C demande un ticket à T

– C et s dialoguent



Première étape :C s'identifie auprès du serveur de clés (K). Pour cela C utilise une clé secrète

KC également connue par K. C envoie son nom à K et lui indique le serveur de tickets T qui l'intéresse. Après vérification de l'identité de C, K lui envoie un ticket TT et une clé KT.

• Le ticket TT est chiffré par K avec la clé de T donc seul T peut le déchiffrer. Il contient notamment des informations sur C mais également la clé (KT) utilisée pour établir la communication entre C et T.

• La clé KT est chiffrée avec la clé KC de C pour que lui seul puisse la déchiffrer.

À ce stade, le client possède un ticket TT (qu'il ne peut pas déchiffrer) et une clé KT qu’il est le seul à pouvoir déchiffrer.



Deuxième étape :La deuxième étape est l'envoi par C d'une demande de ticket auprès de T.

Cette requête contient un identifiant (des informations sur le client ainsi que la date d'émission) chiffré avec la clé KT (qui a été donnée àC par le serveur de clés K). Elle contient également le ticket TT que C avait reçu de K et C ne pouvait pas déchiffrer.

• T déchiffre TT (qu’il est le seul à pouvoir déchiffrer). Il récupère le contenu du ticket (dont la clé KT) et peut ainsi déchiffrer l'identifiant que lui a envoyé le client et vérifier l'authenticité des requêtes.

• T peut alors envoyer à C un ticket d'accès au serveur (TS). Ce ticket est chiffré grâce à la clé secrète du serveur KS (seul S peut le déchiffrer).

• T envoie aussi à C une nouvelle clé de session KCS qui sera utilisée pour le dialogue entre C et S. Cette clé a été chiffrée à l'aide de la cléKT connue à la fois par T et C.



Troisième étape :

La troisième étape est le dialogue entre le client C et le serveur S.

• C déchiffre la clé KCS que lui a envoyé T grâce à le clé KT

• C génère un nouvel identifiant qu'il chiffre avec KCS et qu'il envoie à S accompagné du ticket d'accès au serveur (TS) que lui a envoyé T.

• Le serveur vérifie que le ticket est valide (il le déchiffre avec sa clésecrète KS) et autorise l'accès au service si tout est correct.

• Le dialogue entre C et se fera en utilisant la clé de cryptage KCS que seuls C et S connaissent.


C’est fini

Documents

Les réseaux - iutbayonne.univ-pau.frdalmau/documents/cours/reseaux/... · • Les données sont transmises sur le médium avec un bit de départ et ... – WMAN (Wireless Metropolitan