Ter Nantes Eh 200611

© Horlait, Fdida - 2006 - 1 -

Réseaux : la synthèse

1ère Partie: Techniques Réseaux Le monde Internet

Eric [email protected]


Plan

• TCP-IP: Introduction• Multicast – IP Mobile• IP version 6• Le transport• Internet• La qualité de service• La boucle locale• Les applications• Le Web• Sécurité• Gestion de réseaux• Voix sur IP


TCP-IP: origine

• Commutation de paquets• Approche « informatique » vs « télécom »• Expérimentations de chercheurs• Approche intégrée: des applications aux outils techniques• Approche de complémentarité par rapport à l’existant• Déploiement rapide• Devient standard de fait• Internet• Le Web• Les évolutions nécessaires


Réseau 1

BA

Réseau 2

Réseau 3

Réseau 4

P1

P2

C

DE G

F

P1

Px

Interconnexion de réseaux

• Les réseaux d'entreprise

• Les passerelles• Les protocoles• Les adresses• Approche DoD• Le monde TCP-IP


Réseau R1

Protocole d'accès à R1

Protocole IP

Réseau R2

Protocole d'accès à R2

Protocole IP

R1 R2

Protocole IP

Machine A Machine DPasserelle

Architecture TCP-IP

Applicationsstandards


Transport Transport




Architecture TCP-IP: adressage

• Adressage hiérarchique– 32 bits

– Réseau / Machine

• Classes d'adresses

• Adresses de groupes

• Écriture standard– 132.227.61.27

Réseau Machine

32 bits

0 <7 bits>

10 <14 bits>

110 <21 bits>

1110 <28 bits>

A

B

C

D


Un réseau InternetUn réseau Internet

• L'environnement Internet• Stations (adresse MAC/PHY, adresses IP, Noms)• Routeurs (adresses MAC/PHY, adresses IP)• Réseaux hétérogènes (ATM, Radio, Ethernet,

Satellite, X25, etc.)

Routeur-a

Routeur-b

Routeur-c

Réseau-1

Réseau-2

Réseau-3

Réseau-4Réseau-5


Principe du routage

• Déterminer une route (séquence de routeurs) de la source vers la destination.

• Facteur d’echelle->– Plusieurs niveaux de routage– Interne (un seul AS)– Externe (plusieurs AS)

• Protocole de routage: recherche d’un chemin de coût minimum dans un graphe valué

A

ED

CB

F

2

2

13

1

1

2

53

5

• “bon” chemin:– Chemin de coût

minimum– Coût = délai, $, etc..


Exemple : Algorithme de Dijsktra

1 Initialisation: 2 N = {A} 3 Pour tout noeud v 4 si v adjacent à A 5 alors D(v) = c(A,v) 6 sinon D(v) = infini 7 8 Boucle 9 trouver w non dans N tel que D(w) est minimum 10 ajouter w à N 11 maj D(v) pour tout v adjacent à w et non dans N: 12 D(v) = min( D(v), D(w) + c(w,v) ) 13 /* nouveau coût de v est soit l’ancien coût de v soit le coût14 minimum du chemin connu vers w plus le coût de w vers v */ 15 jusqu’à inclure tous les noeuds dans N


Exemple de l’algorithme de Dijkstra’s

Pas012345

début NA

ADADE

ADEBADEBC

ADEBCF

D(B),p(B)2,A2,A2,A

D(C),p(C)5,A4,D3,E3,E

D(D),p(D)1,A

D(E),p(E)infini2,D

D(F),p(F)infiniinfini

4,E4,E4,E

A

ED

CB

F

2

2

13

1

1

2

53

5


La couche réseau de l’Internet

Tableroutage

Protoc de routage•acheminement•RIP, OSPF, BGP

Protocole IP•adressage•format des paquets•Contrôle

Protocole ICMP•Report erreurs•signalisation

Couche Transport : TCP, UDP

Couche liaison

Couche physique

CoucheRéseau


Adresses MAC et adresses IP

Adresse IP sur 32-bits (IPv4)• Adresse réseau• Utilisée pour acheminer le datagramme IP vers sa

destination (plan d’adressage IP)

Adresse MAC ou physique • Utilisée pour acheminer un datagramme d’une interface

vers une autre interface physiquement connectée sur le même réseau

• Adresse MAC 48 bit (pour la plupart des LANs) en “dur” dans la ROM de l’adapteur


Adresses MAC

Chaque carte (“adapter”) possède une adresse MAC uniqueChaque interface réseau possède une adresse IP


AdresseMAC R

AdresseMAC E

AdresseIP E

AdresseIP R IP payload

datagramme

Adresses MAC et IP

Trame

Adresse TrameSource, Destination

Adresse DatagrammeSource, Destination


ARP & RARPARP & RARP

• ARP permet de trouver l'adresse NIC d'une adresse IP donnée

• RARP est l'inverse de ARP

Routeur-a

Réseau--2Réseau-1

208.0.0.1

208.0.0208.0.0.4

222.0.0.3

222.0.0.9

222.0.0

208.0.0.2

222.0.0.208002B00EE0B

08002B00FA06

Destinataire (Host-y)Adresse IP (208.0.0.4)

ARP Adresse Physique08002B00FA06


• Encapsulation IP

PHY1

MAC @AA:...:23

IP @129.215.4.1

PHY1

MAC @01:...:76

PHY2

MAC @00:...:38

IP @192.41.34.3Rés Rés

Relai

PHY2

MAC @03:...:54

LAN A LAN B

Réseau LAN A LAN B PONT au lieu de RouteurDestination MAC 01:...:76 00:...:38 00:...:38Source MAC AA:...:23 03:...:54 AA:...:23Destination IP 192.41.34.3 192.41.34.3192.41.34.3Source IP 129.215.4.1 129.215.4.1129.215.4.1

Illustration de ces principes


En - tête

Données

Ver IHL

Adresse SourceAdresse destination

Options

Service Total length

ChecksumProtocolTTLOffsetIdentification F

Le protocole IP v4


Plan



IP multicast

• Adresses de classe D

• Interface de programmation simple• Impact important sur le routage• Reste « best effort » sur la sémantique• Correspondance avec les réseaux support• Cohabitation multicast/unicast


Diffusion IP Multicast

Traffic MulticastUn seul paquet transite pour n destinations

Economie de la bande passante

Routeurs

multicast !

Routeurs

unicast !


IP-Mobile : motivation

• Miniaturisation • Prolifération des communications sans fil

(infrarouge, radio, téléphone cellulaire)• La promesse : « anywhere, any time,

network access », le réseau est la base de données ; accès instantané aux serveurs


IP-Mobile : problématique


IP-Mobile : Pourquoi ?

• Une seule adresse• Mobilité sur tout le réseau Internet• Connectivité continue pendant l’exécution d ’une

application• Facile et économique• Localisation indépendante de l’accès à la

ressource


Définitions

• Mobile node : Adresse IP constante• Home agent : serveur• Foreign agent : serveur• IP address• Care of address• Re-addressing


Protocole

Internet gf

LD

Source Destination

f : fonction de ré-adressageg : fonction inverse


Tunneling


Encapsulation


Optimisation de la route

• triangle routing• peu optimal• optimisation de la route

HAFA

CA

1

2

3

4

encapsulation


Smooth HandoffsHome Agent

Foreign AgentAncien

Foreign Agent

Mobile Node

INTERNET


Plan



Evolution IP v6

• Taille du réseau, nombre de machines– Croissance exponentielle– Gestion des adresses– Manque de hiérarchie des adresses

• Evolution v6– Adresses de 128 bits– Compatibilité v4, adresses locales, opérateurs,

multidestination– Gestion de ressources possible


Ce qu’est IP version 6

IP v4

ICMP

IGMP

Mcast

IPsec

Mobilité

Auto Conf

IP v6

ICMP v6


Le 6-bone

http://www.cs-ipv6.lancs.ac.uk/ftp-archive/6Bone/Maps/all6bone.gif


Pourquoi IPv6?

• Applications consommatrices d’adresses

– Mobilité– Ouverture d’INTERNET

• Désignation unique des utilisateurs• Connectivité permanente• Plus de NAT• Les problèmes de transition• De l’Asie vers l’Amérique en passant

par l’Europe


Plan



Le niveau transport

• TCP– Fiabilité– Contrôles d'erreur, de flux, d'ordre

• UDP– Vérification des erreurs

• Autres protocoles– Applications spécifiques (haut débit)


En - tête

Données

Numéro de séquenceAcquittement

Options

Port destPort source

FenêtreDonnées URGChecksum

Drapeaux

TCP: élément de protocole


Contrôle de flux Internet

8

16

12

4


Contrôle de flux Internet

8

16

12

4


Données

Port destPort sourceChecksumLongueur

UDP: transport minimal

• Sans connexion• Remise si correct• Pas d'ordre• Pas de correction

d'erreurs• Mode client/serveur


Plan



Taille de l’Internet: 439 286 364 en juillet 2006

Source: http://www.isc.org

Taille de l'Internet

0

50000000

100000000

150000000

200000000

250000000

300000000

350000000

400000000

450000000

500000000

janv-

93

janv-

94

janv-

95

janv-

96

janv-

97

janv-

98

janv-

99

janv-

00

janv-

01

janv-

02

janv-

03

janv-

04

janv-

05

janv-

06

Date

No

mb

re d

e m

ach

ines


Taille de l’Internet: 439 286 364 en juillet 2006

Source: http://www.isc.org

Variation annuelle de taille

0,0%

20,0%

40,0%

60,0%

80,0%

100,0%

120,0%

140,0%

jan

v-9

4

ma

i-9

4

sep

t-9

4

jan

v-9

5

ma

i-9

5

sep

t-9

5

jan

v-9

6

ma

i-9

6

sep

t-9

6

jan

v-9

7

ma

i-9

7

sep

t-9

7

jan

v-9

8

ma

i-9

8

sep

t-9

8

jan

v-9

9

ma

i-9

9

sep

t-9

9

jan

v-0

0

ma

i-0

0

sep

t-0

0

jan

v-0

1

ma

i-0

1

sep

t-0

1

jan

v-0

2

ma

i-0

2

sep

t-0

2

jan

v-0

3

ma

i-0

3

sep

t-0

3

jan

v-0

4

ma

i-0

4

sep

t-0

4

jan

v-0

5

ma

i-0

5

sep

t-0

5

jan

v-0

6

ma

i-0

6

Date

Va

ria

tio

n


Le monde Internet

• Connexion isolée "privée"

• Connexion à l'INTERNET

INTERNET

Opérateur

Accès personnel

Réseau d'accès


Exemple de GIX


Exemple de GIX: PARIX

• Cogent• UUNet - Europe• KPN• Cable & Wireless - Europe• Telia - Europe• AFNIC• AT&T GNS - EMEA• NTT Verio• France Telecom - Domestic IP Backbone• Tiscali• PSINET• Level 3 - Europe• Beyond the Network• Savvis• Easynet• T-Online - France• Fluxus• France Telecom - OpenTransit• Teleglobe• Telecom Italia Sparkle - Seabone• UPC

• Wide Project m-root-servers• Viatel• Colt - France• Cegetel• Versatel • 21st Century Communications -

Interoute• Claranet• Cegedim• Completel• Liberty Surf Telecom• Nerim• Ldcom• IKOULA• Yacast• KPGCOM• Cyrealis• Ovanet• BSO Communication• MCI


Plan



Internet, pas de signalisation

Datagramme

Problèmes de QoS

Paquet avec l’adressecomplète du destinataire


X.25, ATM, …signalisation

Circuit virtuel ou chemin

342

342

7878 9

9

421

4211 2

34

12

3

4

1

23

4

342, 1 – 3, 78

78, 1 – 3, 9

9, 2 – 4, 421


Évolution

Signalisation

Pas de signalisation

2000

Réseautéléphonique

Internet générationTelecom MPLS-GMPLS-NGN

Internetpremière génération

X.25

ArpanetCyclades

ATM

Internetsecondegénération- DiffServ

GSM GPRS UMTS

Wi-Fi WiMAX

Internet fixe-mobileambiantsécurisé

1970

Relaisde trames


Routage et commutation

Routage

Commutation

1- Surdimensionnement

2- Surdimensionnementpriorité haute et contrôle deflux dans les routeurs

3- MPLSSignalisation distribuée

4- NGNNext Generation Network


La qualité de service et IP

• Le « best effort » seul est insuffisant• Plusieurs approches sont possibles:

– Surdimensionnement– Adaptation du comportement des applications– Réservation de ressources dans le réseau– Adaptation du comportement du réseau

• Les outils– Les infrastructures: Commutation Ethernet, ATM, etc.– RTP/RTCP– INTSERV et RSVP– DIFFSERV

• Signalisation globale?


Gestion des ressources par protocole

• Le réseau d’entreprise– Outil de signalisation : RSVP– Mécanismes de gestion (débit, délai)

• Le réseau d’opérateur– agrégation de trafics– services différenciés

• Adaptation applicative– Ce qui est utilisé aujourd’hui (RTP/RTCP)

• Commutation, QoS routing


IP et QoS: approche applicative

• Hypothèse– Les applications vivent avec un réseau sur lequel

aucune modification n’est possible

• Adaptation– Modification du comportement des applications en

fonction du comportement du réseau (exemple, modification des codages)

– L’application est en prise la plus directe possible avec le réseau: RTP

– Besoin d’un mécanisme d’observation: RTCP– Synchronisation des horloges


Approche INTSERV

• INTegrated SERVices• Trois types de profils:

• Best effort– Le service classique

• Controlled load– Le réseau se comporte comme un réseau best effort peu

chargé

• Guaranteed– Garantie de débit, délai et gigue

• Signalisation - réservation


Classification des trafics

• A l’entrée d’un réseau, les trafics sont triés et étiquetés

• Chaque routeur traite alors les paquets en fonction de leur classe

Routeur extérieurRouteur interne

• Tri et étiquetage• Conversion de signalisation (e.g. de ou vers RSVP)• Administration


Les priorités de DiffServ

Classes CCCDD0

EF 101110

AF 11 AF 43 001010 - 100110

BE 000000

AF11 001010

AF12 001100

AF13 001110

AF21 010010

AF31 011010

AF41 100010

AF22 010100

AF23 010110

AF32 011100

AF33 011110

AF42 100100

AF43 100110


Plan



-

ADSL

ADSL

F

F

F

F

Modem34

STB

modem1

DSLAM

STB

ADSL

ADSL

F

F

F

F

Modem34

STB

modem1

DSLAM

STB

ADSL

ADSL

F

F

F

F

Modem34

STB

modem1

DSLAM

STB

ADSL

ADSL

F

F

F

F

Modem34

STB

modem1

DSLAM

STB

Serveur

Réseaulargebande

Le réseau d’accès avec fil


La fibre optique

• La fibre optique FITL (Fiber In The Loop)– jusqu’au quartier FTTQ– jusqu’au trottoir FTTC– jusqu ’au bâtiment FTTB– jusqu’à la prise FTTH


PON (Passive Optical Network)

OLT: Optical Line Terminaison ONU : Optical Network Unit

APONATM PON

EPONEthernet PON

GPONGigabit PON


EPON : Ethernet Passive Optical Network

• FTTC– Chaque set-top-box est connectée directement sur l’ONU

• FTTH– Partage de la capacité de la fibre optique entre les différentes

set-top-box sur une ONU


Le CATV

• Le CATV– le modem câble– le multimédia– problème de la voie d’accès montante (utilisateur vers

terminal)– technique d’accès

• IEEE 802.14• Docsis


CATV

Fréquence Amérique

Fréquence Europe

5 42 50 850 MHz

5 60 65 850 MHz

1 2 3 N 1 2 3 4 M

Bandes montantes Bandes descendantes


La boucle locale électrique


xDSL• Le spectre est découpé en trois

parties– 0 et 4 kHz, pour la parole

téléphonique – 4 et 100 kHz, pour la voie

montante – 100 kHz et 1,1 MHz pour la voie

descendante.• Division en sous-bandes de 4,3

kHz capables de transporter jusqu’à 16 bits

• ADSL : 32 ou 64 Kbit/s par sous-bande– sens montant: pour 20 sous-

bandes = 640 ou 1280 Kbit/s.– sens descendant: pour 256 sous-

bandes = 8,2 ou 16,4 Mbit/s


Réseaux d’accès

• Les paires métalliques + modem xDSL (x Data Subscriber Line)

– ADSL (Asymmetric Digital Subscriber Line) • 1,5 Mbit/s pour 6 km,

2 Mbit/s pour 5 km,

6 Mbit/s pour 4 km,

9 Mbit/s pour 3 km,

13 Mbit/s pour 1,5 km,

26 Mbit/s pour 1km,

52 Mbit/s pour 300 mètres.

– SDSL (Symmetric DSL).

– HDSL (High-bit-rate DSL) et

– VDSL (Very-high-bit-rate DSL)• Téléphone et Télévision sur xDSL


Architecture protocole ATM

LAC : L2TP Access Concentrator


DSL Triple play

Document provenant de la Revue Alcatel


QOS dans les accès xDSL

Document provenant de la Revue Alcatel

High Speed InternetClassification des flots

High Speed Internet

Classification

IntégrationVidéo et voix

High Speed Internet VLANHigh Speed Internet

VLAN


Réseau domestique

• Set-top-box très haut débit• Connexion des machines de l’utilisateur

– Téléphonique– CE Consumer Electronic– Micro-ordinateur portable ou non


Réseau domestique

• Le transport– Ethernet

– PLC (Power Line Communication)– Sans fil

• UWB• Wi-Fi

• Les grands standards– UPnP: Universal Plug&Play– DLNA: Digital Living Network Alliance


PLC

• Homeplug– Intel, Motorola, Linksys, Sony, Sharp, Samsung, Intellon…

– Homeplug 1.0• Best effort, débit: 14 Mbit/s mais 7 Mbit/s réel

• 4 classes de service

• Technique d’accès du type Wi-Fi

– Homeplug AV• Pour des services temps réel, 180 Mbit/s dont 100 utile

• Classes de service pour la QOS

• UPA : Universal Powerline Association– DS2, Ambiant, Corinex, Ascom, EDF, Schneider Electric…


UPnP Universal Plug&Play

• Membres– Leaders: Microsoft, Intel, Philips, HP, Siemens

– 800 compagnies

• Universal Plug and Play ?– Une technologie qui permet la communication des données

entre n’importe quelle machine sous le contrôle d’un équipement du réseau domestique

– Le Forum UPnP développe des DCP (device control protocols) qui décrivent des méthodes standards pour l’interaction entre machines:

• Les protocoles utilisés : UDP, TCP, HTTP, SSDP, SOAP

• Description XML


Digital Living Network Alliance

• 250 membres, 21 « Promoter Members »• Convergence des industriels des

télécommunications, du CE (Consumer Electronic) et de l’informatique PC

• Fournir des formats de base communs– Pour assurer l’interopérabilité des médias

• Développer des liaisons entre les organismes de normalisation s’occupant des médias

• Permettre des tests de compatibilité


Plan



Utilisation de l’INTERNET

• Une application majoritaire: le WEB dans les années 90– 90% des connexions– 60% à 70% des octets

• Le reste:– Transfert de fichiers– Messagerie– Signalisation, routage, gestion

• Dans l’intranet– Identique en grandes masses

• Demain?– Voix sur IP?– Peer to Peer (Pair à pair) autour de 25% des octets en

2003


GOV

EDU

ARPA

COM

MIL

ORG

UK

FR

CA

...

LIP6

[email protected]

Applications: DNS

• Problème de gestion des noms

• Organisation hiérarchique (1983)

• Syntaxe et application

• Les requêtes


Domaines récents

• Annonce de l’ICANN (novembre 2000):• aero – Société Internationale de Télécommunications

Aéronautiques SC, (SITA) • .biz – JVTeam, LLC • .coop – National Cooperative Business Association, (NCBA) • .info – Afilias, LLC • .museum – Museum Domain Management Association, (MDMA) • .name – Global Name Registry, LTD • .pro – RegistryPro, LTD


Réseau TCP-IP

Application

Terminal

Applications: Telnet

• Gestion de terminaux• Options pour diverses

émulations– VT100, 3270, Minitel– Authentification

• Transparence• Performances?


Réseau TCP-IP

Système de fichiers

Utilisateur

Applications: FTP

• Transfert de fichiers• Types de données

– Caractères– Octets binaires– Compression

• Transfert tiers• Protection des accès


En-tête

Corps 1

Corps 1

Corps 3

Corps 2

Corps 1

Définition

Applications: SMTP

• Messagerie• Transfert d'informations• Structure des messages

– RFC 822– MIME (RFC 1521-1522)

• Codage de transfert• Les protocoles

– SMTP– POP3– IMAP4


Applications: NFS

• Partage de fichiers sur un réseau

• Gestion "à la UNIX"• Echanges contrôlés par UDP• Modèle client/serveur (RPC)• Large disponibilité• Précautions d'emploi


Le peer to peer

• Abandon du client/serveur• Les ressources sont à l’extérieur du réseau• Les ressources ne sont pas toujours

disponibles• Les ressources ne sont pas toujours connues• Exemple d’applications:

– Partage de fichiers: Napster, Gnutella, KazaA– Instant messaging– Partage de temps CPU: Seti@home

• 25% du trafic au moins en 2003


Exemple de Napster

• Un serveur• Le client se connecte au serveur pour échanger

des listes de fichiers• Choix du fichier et de sa localisation• Téléchargement ensuite• Fin en juillet 2001


Gnutella

• Présenté par AOL en 2000 puis passé en domaine public

• Distribution par inondation (7 voisins à chaque fois, détection de boucles, 10 niveaux seulement)

• Nœuds « bootstrap »• Difficile à « débrancher »


KazaA

• Plus de 3 millions de « peers » connectés avec plus de 3 000 To de données disponibles

• Téléchargement parallèle avec optimisation• Notion de « super nœud » dont la liste est livrée avec le logiciel• Lors d’une connexion à un super nœud, mise à jour de la liste et

choix de 5 voisins « optimaux » (performances évaluées par ping )

• Le modèle économique:– La société Fastrack aa développé le logiciel à Amsterdam et l’a

licencié à des éditeurs (music city/Morpheus par exemple)– Fin de la licence– Aujourd’hui, la société détenant le logiciel (Sharman network) est

au Vanuatu et le code est déposé en Estonie….


Plan



La Saga HTML

• Le travail de l’ISO sur la structuration des documents: SGML

• Un utilisateur: le CERN• Les DTD• HTML est une DTD• Les évolutions: interactions,

exécution• D-HTML• XML, comme synthèse?• Le travail du W3C

– LCS/MIT, Keio Univ., INRIA


Le Web: interactions

• A l’origine serveur vers client

• Les réponses du client

• CGI: Common Gateway Interface 1 2 3 4

1- requête2- page3- paramètres4- résultats


Le Web: interactions

• Accès aux données sur d’autres serveurs• Une véritable architecture d’applications• Séparation de la visualisation, de la

présentation et du calcul

Serveur Web

Base dedonnées

HTTP

JDBCODBCNSAPIISAPI


Java

• Origine de SUN

• Langage orienté objet (type C++)• Sécurité du code• Sécurité de l’exécution• Interprétation/compilation• Indépendance de la plate-forme matérielle


Java: exécution

Matériel

Système d’exploitation

Client Web

Visualisation

Protocole HTTP

Machine virtuelle


Les outils Java

• D ’abord, le JDK!• Java Cryptography Extension (JCE)• Java DataBase Connector (JDBC)• Jave Beans / Java RMI• Java Communications• Java InfoBus• Java Media Framework• Java Telephony• Systèmes d’exploitation, TR, etc.


L'architecture « complète »

Protocole IP

ICMP/IGMP

Autres

TCPUDP

...

Ethernet Token Ring Réseaux m X25

PPP, SLIP FR, ATM FDDI

FTP, SMTP, Telnet, DNS, HTTP,

etc.

Applicationsde gestion(routage)

ClientServeur(NFS)

Applications dérivéesde l’ISO (SNMP,

LDAP)

Représentation des données

Applicationscoopératives

(multicast,multimedia,

etc.)

ISO

RTP/RTCPRSVP DHCP

SécuritéMobilité


Synthèse sur TCP/IP

• Une architecture d’expérimentation devenue opérationnelle• Une expérience de trente ans• Une architecture unifiée pour le poste de travail, pour le réseau

d’entreprise, pour le réseau local• Des évolutions nécessaires pour le passage à l’échelle: IPv6, QoS• Prise en charge constante de l’aspect utilisateur• Une application modèle d’environnement distribué: le Web• Une idée d’indépendance des infrastructures vues de l’utilisateur• Une idée d’indépendance des applications vues de l’interface• Une idée d’indépendance des systèmes vus des applications


Plan



La sécurité dans les réseaux• D'où viennent les problèmes?

• Distribution des informations et des machines.

• Réseaux mondiaux: Nombre d’utilisateurs élevé, utilisateurs inconnus.

• Réseaux locaux: 80% des « attaques »

• Commerce et paiement: Le paradoxe du nombre et de la confiance!

• Les techniques• Cryptographie principalement

• L’information se protège et se transmet facilement, pour la confiance, les choses sont plus délicates

• Les limites réglementaires et/ou techniques• Besoin de contrôle des autorités.

• Problèmes douaniers / Lieu et méthode de taxation.

• Comment exercer réellement un contrôle?


La sécurité: les méthodes

• Une trilogie « vitale »:– Audit

• Analyse des besoins, des risques

– Les outils techniques• Cryptographie

– Contrôle• Logiciels ou matériels de surveillance

• Une seule étape vous manque … et tout est dépeuplé!

© Horlait, Fdida - 2006 - 100 -

•Un utilisateur quelconque •se connecte sur Internet

•Il récupère le code d’un •« exploit »

•Il le compile et l’exécute

•Il est root

Une attaque directe UNIX

© Horlait, Fdida - 2006 - 101 -

• Un utilisateur quelconque se connecte sur Internet• Il récupère le programme « sechole.exe »• Il l’exécute • Son compte est ajouté au groupe Administrators

Une attaque directe NT

© Horlait, Fdida - 2006 - 102 -

Attaque des mots de passe

• Versions codées disponibles dans le systèmes• Algorithmes connus• Utilisation de dictionnaires• Règles mnémotechniques• Essais pour trouver UN MOT DE PASSE

© Horlait, Fdida - 2006 - 103 -

La sécurité: filtrage

RouteurFirewall

INTERNET

Sécurité renforcée

DMZ (Zone Démilitarisée)

MailWebDNS

FTPTelnetX

© Horlait, Fdida - 2006 - 104 -

Chiffrement - 1

• Algorithmes symétriques– RC-4, RC-5– DES, 3-DES

Clef Partagée

abc abc#!&$ #!&$

© Horlait, Fdida - 2006 - 105 -

Alice

clef privée clef publique

Bob

Chiffrement - 2

• Pas de secret partagé, seulement l ’algorithme• Génération des clés• Algorithmes asymétriques à cause des clés

– RSA• Chiffrement, Authentification, Intégrité

• Problème de la distribution des clés et des performances• Exemples:

Alice

clef privéeclef publique

Bob

abc abc#!&$ #!&$

abc abc#!&$ #!&$

© Horlait, Fdida - 2006 - 106 -

Chiffrement - 3

Clef privée

Clef publique

=

hash

Message

Digest

Signature

Message Signature

hash

Digest Digest

© Horlait, Fdida - 2006 - 107 -

IPSec

IP HDR ESP DATA

authentification + chiffrement

IP HDR AH

authentification

IP HDR

authentification

chiffrement

DATA

DATAIP HDRESPAH

• Chiffrement• ESP: Encapsulated

Security Protocol

• Authentification• AH: Authentication

Header

• VPN• Virtual Private

Network

© Horlait, Fdida - 2006 - 108 -

Qu’est-ce qu’un VPN IP?

© Horlait, Fdida - 2006 - 109 -

SSL (Secure Socket Layer)

Développé par Netscape fondé sur un algorithme de type RSA

2 phases : Authentification serveur et client Echange de donnée

Notions importante : •Certificat X509 (authentification)•Clé publique / clé privée• Algorithme de cryptage (RC2, RC4 , DES etc..)

TCP/IP

FTPSMTPSSL

HTTP SET

© Horlait, Fdida - 2006 - 110 -

Sécurité - réglementation

• Avant 1986 (décret loi du 14/4/1939)

• Décret 86-250 du 18/2/1986

• Loi du 29/12/90 - décret 92-1358...– SCSSI

• Loi de Juillet 1996• DCSSI

• Simple déclaration pour l'authentification et l'intégrité des messages

• Demande d'autorisation pour le reste

• DCSSI, 18 rue du Dr Zamenhof

• 92131 ISSY LES MOULINEAUX

© Horlait, Fdida - 2006 - 111 -

Sécurité -Réglementation

• Loi de Juillet 1996– Libéralisation de l’authentification– Utilisation du cryptage possible

• Tiers de confiance (Key Escrow)• Algorithmes possibles?

– Organisation de l’INTERNET– Les décrets d’applications (fin 96?)– Parus en février-mars 1998!

• Valeur probante de la signature électronique Août 99• Loi du 13 mars 2000

– portant adaptation du droit de la preuve aux technologies de l’information et relative à la signature électronique

– Force probante de la forme électronique des documents, de la signature électronique

© Horlait, Fdida - 2006 - 112 -

Coordination des utilisateurs

© Horlait, Fdida - 2006 - 113 -

CERT en France

© Horlait, Fdida - 2006 - 114 -

CERT en France

© Horlait, Fdida - 2006 - 115 -

La signature électronique

• Loi n° 2000-230 du 13 mars 2000– J.O. n° 62 du 14 mars 2000 page 3968,– adaptation du droit de la preuve aux technologies de

l’information et relative à la signature électronique.

• Article1316-3 du code civil devient: – « L’écrit sur support électronique a la même force

probante que l’écrit sur support papier »

© Horlait, Fdida - 2006 - 116 -

Synthèse sécurité

• La notion de sécurité « réseau » n’existe pas• Il faut apprécier les risques• Les systèmes et les réseaux participent conjointement et de façon

indissociable à la sécurité du système d’information• Sur le plan technique:

– Les firewalls: algorithmique modifiant le traitement des protocoles– La cryptographie: modifiant les applications– L’algorithmique des applications (ex: OTP)– Les protocoles: installation de services de sécurité dans les protocoles (ex:

IPSec)– L’intégration de sécurité dans le logiciel (ex: Java)

• Sur le plan réglementaire:– Situation nationale et internationale différente (!)– Aspects de la sécurité liés au commerce électronique

© Horlait, Fdida - 2006 - 117 -

Plan


© Horlait, Fdida - 2006 - 118 -

Gestion de réseaux

• Administration ISO• Démarche de convergence ISO-TCP/IP• Création de SNMP• SNMP v2• CMIP• SNMP v3

– Une synthèse des besoins– Aspect dynamique des fonctions/services– Environnement d’exécution

© Horlait, Fdida - 2006 - 119 -

Gestion de réseau: modèle ISO

• Les domaines fonctionnels:– Gestion des configurations– Gestion des performances– Gestion des fautes– Gestion des ressources– Gestion de la sécurité

• Pour quoi faire?– Echelle des temps– Surveillance, contrôle, mesure, dépannage

© Horlait, Fdida - 2006 - 120 -

LME

LME

LME

LME

LME

LME

LME

A

P

S

T

R

L

P

SMAE

?

GetSet

ActionCreateDelete

Event-reportMIB

Description

Gestion des réseaux: modèle ISO

© Horlait, Fdida - 2006 - 121 -

$ ping -c 10 hera.ibp.frPING hera.ibp.fr (132.227.61.135): 56 data bytes64 bytes from 132.227.61.135: icmp_seq=0 ttl=254 time=2.5 ms64 bytes from 132.227.61.135: icmp_seq=1 ttl=254 time=2.5 ms64 bytes from 132.227.61.135: icmp_seq=2 ttl=254 time=3.8 ms64 bytes from 132.227.61.135: icmp_seq=3 ttl=254 time=2.4 ms64 bytes from 132.227.61.135: icmp_seq=4 ttl=254 time=2.4 ms64 bytes from 132.227.61.135: icmp_seq=5 ttl=254 time=2.4 ms64 bytes from 132.227.61.135: icmp_seq=6 ttl=254 time=2.8 ms64 bytes from 132.227.61.135: icmp_seq=7 ttl=254 time=2.5 ms64 bytes from 132.227.61.135: icmp_seq=8 ttl=254 time=2.7 ms64 bytes from 132.227.61.135: icmp_seq=9 ttl=254 time=2.5 ms

--- hera.ibp.fr ping statistics ---10 packets transmitted, 10 packets received, 0% packet lossround-trip min/avg/max = 2.4/2.6/3.8 ms

Gestion des réseaux: TCP-IP• Méthodes simples

© Horlait, Fdida - 2006 - 122 -

$ ping -c 10 mozart.ee.uts.edu.auPING mozart.ee.uts.edu.au (138.25.40.35): 56 data bytes64 bytes from 138.25.40.35: icmp_seq=0 ttl=223 time=689.9 ms64 bytes from 138.25.40.35: icmp_seq=1 ttl=223 time=780.0 ms64 bytes from 138.25.40.35: icmp_seq=2 ttl=223 time=793.5 ms64 bytes from 138.25.40.35: icmp_seq=3 ttl=223 time=758.5 ms64 bytes from 138.25.40.35: icmp_seq=4 ttl=223 time=676.1 ms64 bytes from 138.25.40.35: icmp_seq=5 ttl=223 time=640.1 ms64 bytes from 138.25.40.35: icmp_seq=8 ttl=223 time=1076.1 ms64 bytes from 138.25.40.35: icmp_seq=9 ttl=223 time=921.0 ms

--- mozart.ee.uts.edu.au ping statistics ---10 packets transmitted, 8 packets received, 20% packet lossround-trip min/avg/max = 640.1/791.9/1076.1 ms

Gestion des réseaux: TCP-IP• Méthodes simples

© Horlait, Fdida - 2006 - 123 -

$ traceroute sophia.inria.fr traceroute to sophia.inria.fr (138.96.32.20), 30 hops max, 40 byte packets 1 mercure-gw.ibp.fr (132.227.72.1) 1 ms 1 ms 1 ms 2 hera.ibp.fr (132.227.61.135) 2 ms 2 ms 2 ms 3 kerbere.ibp.fr (132.227.60.3) 4 ms 4 ms 4 ms 4 r-jusren.reseau.jussieu.fr (134.157.252.254) 125 ms 10 ms 92 ms 5 r-rerif.reseau.jussieu.fr (192.44.54.1) 4 ms 33 ms 34 ms 6 danton1.rerif.ft.net (193.48.58.121) 31 ms 12 ms 15 ms 7 stlamb3.rerif.ft.net (193.48.53.49) 16 ms 28 ms 32 ms 8 stamand1.renater.ft.net (192.93.43.115) 206 ms 136 ms 47 ms 9 lyon1.renater.ft.net (192.93.43.89) 360 ms 30 ms 33 ms10 marseille.renater.ft.net (192.93.43.73) 32 ms 49 ms 32 ms11 marseille1.r3t2.ft.net (192.93.43.49) 36 ms 24 ms 17 ms12 sophia1.r3t2.ft.net (193.48.50.33) 32 ms 24 ms 28 ms13 inria-sophia.r3t2.ft.net (193.48.50.50) 26 ms 33 ms 36 ms14 193.48.50.170 (193.48.50.170) 46 ms 31 ms 27 ms15 sophia-gw.inria.fr (193.51.208.1) 33 ms 45 ms 29 ms16 t8-gw.inria.fr (138.96.64.250) 23 ms 39 ms 26 ms17 sophia.inria.fr (138.96.32.20) 38 ms 33 ms 27 ms

Gestion des réseaux: TCP-IP

• Méthodes simples

© Horlait, Fdida - 2006 - 124 -

Centrede gestion

Systèmegéré

Requête

Alarme

PROXYSystème

géré

Gestion de réseaux: SNMP

• Primitives simples• Structuration des

réseaux• Limitations

– nombre– sécurité

• Logiciels "hyperviseurs"

© Horlait, Fdida - 2006 - 125 -

sysDescrsysObjectIDsysUpTimesysContactsysNamesysLocationsysServices

Description libre du systèmeIdentification logiciel agentTemps depuis activationNom d'un administrateurNom du systèmeEmplacement physiqueServices offerts (niveaux)

Gestion de réseaux: SNMP

• Structure de la MIB– 171 objets définis dans la MIB II

• Exemple du groupe system

© Horlait, Fdida - 2006 - 126 -

La gestion politique

• Notion de règles politiques– Statiques ou dynamiques– Définies par l’organisation, par l’individu, par l’opérateur

de réseau– Pour prendre des décisions

• Contrôle d’accès• Gestion de QoS

© Horlait, Fdida - 2006 - 127 -

Modèle de gestion politique

Stockage des règles

PDP

Prise de décision

PEP

Mise en œuvre dela décision

LDAP COPS

© Horlait, Fdida - 2006 - 128 -

Synthèse gestion des réseaux

• Une tâche complexe aux facettes multiples• Accès à l’information détenue dans le

réseau d’où le besoin d’un protocole• Le protocole n’est que le point de départ• Autres fonctions vitales: analyse,

modélisation, etc.• Du point de vue technique: un standard de

fait aux évolutions nécessaires

© Horlait, Fdida - 2006 - 129 -

Plan


© Horlait, Fdida - 2006 - 130 -

Modèle économique

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

An 1 An 2 An 3 An 4

Internet vs Téléphone

Internet

Téléphone

Hypothèse: Téléphone 15%, Internet 300%

© Horlait, Fdida - 2006 - 131 -

La disponibilité

32 s/an99.9999%6

Téléphone5 min/an99.999%5

53 min/an99.99%4

Bon ISP?8.8 h/an99.9%3

3.65 j/an99%2

36.5 j/an90%1

© Horlait, Fdida - 2006 - 132 -

La voix sur IP

• Transmission d’une information isochrone• Problème de maîtrise des délais et de la gigue• Expérimentations nombreuses• Produits opérationnels

• Architecture normalisée H323 – le standard• Utilisation de RTP/RTCP pour le contrôle de la qualité de

service• MGCP (Media Gateway Control Protocol) pour la

localisation des outils de conversion• Développement de SIP (session initiation protocol) à l’IETF

– Développement dynamique de services• Les acteurs: l’informatique d’abord; les

télécommunications aujourd’hui; les opérateurs demain?

© Horlait, Fdida - 2006 - 133 -

Les codages de la voix

3

-

-

4.8

DOD 1016(2)

4.13.6-3.83.9/3.74.04.2Qualité MOS(*)

202030100.125Trame

(ms)

15.42.516/18220.1Complex. MIPS

12.2136.3/5.3864Débit

(kbps)

GSM06.60

(1996)

GSM (3)

06.10

(1988)

G 723.1(4)/(2)

G.729(2)G.711Standard

1 Mean Opinion Scores2 CELP: Code Excited Linear Predictive3 RLP-LTP: Regular Pulse Excited with Long Term Prediction4 MP-MLQ: Multipulse Maximum Likelihood Quantization

© Horlait, Fdida - 2006 - 134 -

Architecture de protocoles

• Le cadre général actuel est H323 de l’ITU-T intégrant voix - données - audio sur réseaux de données

– Intègre RTP/RTCP

• SIP à l’IETF• La Convergence

H.2

25

Rés

eau

H.245

Q.931Contrôle

T.120Données

Voix

Vidéo

G.7xx

H.26x

© Horlait, Fdida - 2006 - 135 -

Exemple de téléphone IP (Cisco)

© Horlait, Fdida - 2006 - 136 -

Applications coopératives

• Netmeeting de Microsoft

• Architecture d’application adaptative

• Respect des normes• Indépendant des

applications partagées

© Horlait, Fdida - 2006 - 137 -

Synthèse multimédia

• Le problème du codage est globalement traité• Une approche « informatique » pour un problème

« télécom »• Les contraintes de gestion du temps et la qualité

de service• Une application aujourd’hui: la voix et l’un de ses

dérivés, la téléphonie• L’intégration dans le Web, clé du succès?

Documents

Ter Nantes Eh 200611