Please enable JavaScript.
Coggle requires JavaScript to display documents.
ADMINISTRATION RESEAU ET SERVICE (DNS (•l'ensemble constitue un FQDN :…
ADMINISTRATION RESEAU ET SERVICE
LE SERVICE DHCP
c'est un serveur qui fournit une adresse IP dynamique
PRINCIPES
pour qu'une machine puisse communiquer avec ses voisines, son adresse IP devait se trouver dans le même réseau que les autres machines.
Pour sortir du réseau local, il faut que notre machine connaisse l'adresse de la passerelle
fonctionnement
•Il faut configurer la carte réseau pour récupérer l’adresse IP
•la machine va chercher un serveur DHCP sur le réseau local.
•Mais on a dit qu'on avait besoin d'une adresse IP pour contacter les autres machines du LAN?????
•Oui c'est vrai, on ne peut pas envoyer de paquets IP
•nous avons une adresse MAC qui est liée à notre carte Ethernet.
•On peut donc envoyer des trames Ethernet.
•Nous allons utiliser l'adresse de broadcast!
elle est envoyée à l'adresse MAC ff:ff:ff:ff:ff:ff.
•lLatrame permettant de trouver un serveur DHCP est une trame "DHCPDISCOVER".
•les routeurs (qui délimitent les réseaux) séparent les domaines de broadcast.
•s'il y a un serveur DHCP sur le réseau, nous n'avons aucun moyen de connaître son adresse MAC.
•Une fois que notre serveur DHCP reçoit le DHCPDISCOVER, il va renvoyer une proposition.
•c'estun DHCPOFFER.
•Il va proposer une adresse IP, un masque ainsi qu'une passerelle par défaut et parfois un serveur DNS!
•Les deux derniers sont facultatifs, car ils ne sont pas fondamentalement indispensables au fonctionnement réseau de la machine.
•Le client (votre machine) répond par un DHCPREQUEST.
•Celui-ci est aussi envoyé en broadcast et sert à prévenir quelle offre est acceptée,
•Le serveur DHCP dont l'offre a été acceptée valide la demande et envoie un DHCPACK qui valide l'allocation du bail.
•lors d'un renouvellement, notre machine ne va pas refaire toute la procédure en commençant par un DHCPDISCOVER.
•On repart directement du DHCPREQUEST.
•Les serveurs DHCP conservent en mémoire les adresses qu'ils ont distribuées,
•associéesaux adressesMAC.
•Ainsi, vous constatez que vous conservez parfois très longtemps la même adresse IP.
•même si votre bail a sûrement été renouvelé plusieurs fois.
•Le serveur DHCP dont l'offre a été acceptée valide la demande et envoie un DHCPACK qui valide l'allocation du bail.
•le serveur DHCPécoute sur le port UDP 67.
•Par défaut, le rôle DHCP peut fonctionner en IPv4 et IPv6.
•Une étendueest une plage d’adresses IP assignées aux ordinateurs demandant une adresse IP dynamique.
•On peut fournir des options spécifiques de configuration aux équipements, avec des adresses MAC présentes dans une liste,
•enregistrer les adresses MAC de tous les appareils à un endroit et ne fournir une adresse IP que si l’adresse MAC se trouve dans la liste.
•Ainsi on maîtrise quels équipements accèdent à notre réseau.
•retarder les réponses du serveur.
•pratique lorsque vous avez plusieurs serveurs DHCP sur un même sous-réseau.
•Pour le choix de bail, il faut trouver un compromis.
•une attaque informatique connue porte justement sur la saturation des serveurs DHCP via la demande de nombreux baux.
•une durée trop courte ! Cela pourrait congestionner votre réseau en demandant à vos équipements de demander de renouveler leurs baux trop souvent,
•On a la possibilité de mettre en place des statistiques de façon automatique.
•l’occupationde notreétendue.
DNS
•c'est cette adresse IP qui permet aux machines de communiquer entre elles
Ce pendant, celavanous poser un petit problème.
Nous avonsbeau êtredes êtreshumainsavec unebonne mémoire,
notrecerveaun'estpas fait pour retenirdes sériesde chiffrescomme 104.20.55.240.
On aimeraitmieuxavoirà retenirdes nomscommewww.google.com
Il ne s'agitdoncpas d'un problèmetechnique,
Internet fonctionnetrèsbienavec des adressesIP,
maisun problèmede nommagepour permettreun accèssimplifiéà Internet pou rtous,
Ce systèmede nommageestle Domain Name System(DNS).
•Le DNS est un protocole indispensable au fonctionnement d'Internet.
•Non pas d'un point de vue technique, mais d'un point de vue de son utilisation.
•Il est inconcevable aujourd'hui d'utiliser des adresses IP en lieu et place des noms des sites web pour naviguer sur Internet.
•Se souvenir de 58.250.12.36 est déjà compliqué,
•mais quand vous surfez sur 40 sites différents par jour, cela fait quelques adresses à retenir.
•Un arbre avec des branches
•Une arborescence ordonnée
•Le système DNS, vous l'utilisez tous les jours quand vous naviguez sur Internet.
•Lorsque vous voulez accéder au Site du Zéro, le système DNS se charge de convertir (on parle de résolution) le nom du site web demandé en adresse IP.
•l'ensemble constitue un FQDN : FullyQualifiedDomain Name.
•Ce FQDN est unique.
•Par convention, un FQDN se finit par un point,
•Un nom de domaine se décompose en plusieurs parties. Prenons l'exemple suivant : www.google.fr
•Chaque partie est séparée par un point.
•On trouve l'extensionen premier ; on parle de Top LevelDomain(TLD).
•Il existe des TLD
TLD nationaux (fr, it, de, es, etc.)
les TLD génériques (com, org, net, biz, etc.).
•Comme vous le voyez, google.fr est un sous-domaine de fr.Le domaine frenglobe tous les sous-domaines finissant par fr
•On retrouve aussi le fameux "www", qui peut soit être un sous-domainede google.fr,
•Ici, www est le nom d'une machine dans le domaine google.fr.
•Chaque "partie" est appelée label
•au-dessus des TLD il y a la racine du DNS, tout en haut de l'arbre
•Ce point disparaît lorsque vous utilisez les noms de domaine avec votre navigateur, mais vous verrez qu'il deviendra très important lorsque nous configurerons notre propre serveur DNS.
•Le serveur DNS a un adresse passerelle
•Imaginez que vous entrez www.siteduzero.com dans votre navigateur.
•Lorsque vous entrez ce nom, votre machine doit commencer par le résoudre en une adresse IP.
deux moyens
•il connaît lui-même la réponse ;
•il doit la demander à un autre serveur, car il ne la connaît pas.
•La plupart du temps, votre serveur DNS est bien peu savant
•demande à un autre serveur de lui donner la réponse.
•chaque serveur DNS étant responsable d'un domaineou d'un petit nombre de domaines, la résolution consiste à aller chercher la bonne information sur le bon serveur.
•Pour obtenir cette résolution, notre serveur va procéder de façon rigoureuse et commencer par là où il a le plus de chance d'obtenir l'information,
•c'est-à-dire au point de départ de notre arborescence.
•Mais comme les serveurs racine ne sont pas responsables de ce domaine, ils vont le rediriger vers un autre serveur qui peut lui donner une information et qui dépend de la racine, le serveur DNS de com.
•Il demande ensuite au serveur DNS de coml'adresse IP de l’URL. Mais comme auparavant, le serveur comrenvoie l'adresse IP du serveur DNS qui dépend de lui,
•On dit qu'un serveur fournissant la résolution d'un nom de domaine sans avoir eu à demander l'information à quelqu'un d'autre fait autorité.
•Les serveurs DNS utilisent un système de cache pour ne pas avoir à redemander une information de façon répétitive,
•mais ils ne font pas autorité pour autant, car l'information stockée en cache peut ne plus être valide après un certain temps.
NFS/ SAMBA
NFS
•NFS est un protocole historique de partage de fichiers entre machines UNIX
•famille de systèmes d’exploitation dont Linux et Mac OS X font partie.
•Pour partager des fichiers avec Windows, le partage par Samba est plus adapté.
•On va voire NFS 4qui apporte beaucoup d’améliorations par rapport aux versions précédentes.
•Il utilise un port TCP unique et configurable
•les versions précédentes utilisaient plusieurs ports TCP, alloués dynamiquement,
•rendait difficile l’utilisation de NFS avec un pare-feu.
UTILISATION
•Pour qu’un fichier soit accessible sur votre réseau, un protocole doit être utilisé.
•Sous Linux, il s’agit majoritairement du NFS(Network File System).
•Sous Windows, il est possible d’utiliser ce protocole, mais il n’est pas aussi intégré au système que l’est le protocole SMB, aussi appelé CIFS.
•SMBpour Server Message Blocket CIFSpour Common Internet File System.
•NFS est prévu pour fonctionner sur un réseau local.
•On ne doit pas l’utiliser pour partager des fichiers sur internet
•Même dans ce cas, il y a souvent des solutions plus adaptées.
•le port par défaut alloué à NFSv4 et qu’il faudrait ouvrir est le port TCP 2049 entrant.
FONCTIONNEMENT
•NFS permetà un systèmede partagerdes répertoireset des fichiersavec d'autressystèmespar l'intermédiaired'un réseau.
•EnutilisantNFS, les utilisateurset les programmespeuventaccéderaux fichiers sur des systèmesdistantscommes'ilsétaientdes fichierslocaux.
•Les avantages
•Les pcs utilisentmoinsd'espacedisqueenlocal,
•les donnéesutiliséesencommunpeuventêtrestockéessur uneseulemachine (serveurde données)
•Les répertoirespersonnelspourrontse trouversur le serveurNFS et seront disponiblespar l'intermédiairedu réseau.
•Les périphériquesde stockagecommeles lecteursde disquettes, de CDROM, de disquettesZip® peuventêtreutiliséspar d'autresmachines sur le réseau.
•Celapourraréduirele nombrede lecteursde medias amoviblessur le réseau.
•NFS consiste en deux éléments principaux: un serveur et un ou plusieurs clients.
•Le client accède à distance aux données stockées sur la machine serveur.
•Sur le serveur, les “daemons” suivants doivent tourner:
•Nfsd:Le “daemon” NFS qui répond aux requêtes des clients NFS.
•Mountd:Le “daemon” de montage NFS qui traite les requêtes que lui passe nfsd.
•rpcbindCe « daemon » permet aux clients NFS de trouver le port que le serveur NFS utilise.
•Le client peut également faire tourner un “daemon” connu sous le nom de nfsiod.
•Le “daemon” nfsiodtraite les requêtes en provenance du serveur NFS.
•Ceci est optionnel, et améliore les performances, mais n'est pas indispensable pour une utilisation normale et correcte.
SAMBA
•Historiquement, les systèmes Windowsutilisent leur propre protocole de partage de fichiers : SMB/CIFS.
•Le logiciel Samba a été développé pour permettre aux systèmes UNIX (dont Linux et Mac OS X) d’utiliser également ce protocole.
•Comme il est plus facile d’utiliser Samba sous UNIX que de configurer NFS sous Windows, il est courant de préférer l’utilisation de Samba dans des environnements comportant des clients Windows.
SERVICE
•Historiquement, les systèmes Windowsutilisent leur propre protocole de partage de fichiers : SMB/CIFS.
•Le logiciel Samba a été développé pour permettre aux systèmes UNIX (dont Linux et Mac OS X) d’utiliser également ce protocole.
•Comme il est plus facile d’utiliser Samba sous UNIX que de configurer NFS sous Windows, il est courant de préférer l’utilisation de Samba dans des environnements comportant des clients Windows.
SMB
•Le protocole SMB, pour «Server Message Block» est utilisé principalement pour le transfert de données et la connexion avec des imprimantes, entre un serveur et un client sur un même réseau local.
•la majorité de vos partages réseauxet la connexion aux imprimantes réseauxse font via le protocole SMB(en plus de la pile TCP/IP).
VERSIONS
•De SMB 1.0 à SMB 2.0, le protocole a été profondément remanié :
•Le SMB 2.0 permet notamment l’échange de fichiers plus gros,
•les opérations asynchrones,
•l’utilisation du SHA-256plutôt que le MD5,
•les commandes sont plus «souples» et «simples»,
•De SMB 2.0 / 2.1 à SMB 3.0,
•les commandes sont plus «souples» et «simples»,
•un «transparent failover»(permet de reprendre un transfert interrompu sans action de la part de l’utilisateur)
•SMB Direct (dans Windows Server 2012/2012 R2) VSS pour les dossiers partagés
•utilisation via PowerShell désormais possible
•logs et compteurs de performances améliorés
•chiffrement complet (!)
FONCTIONNEMENT
•Le SMB est propriétaire.
•Il utilise lesports 139et 445.
•Il est possible de partager des données entre une machine Linux et un PC Windows, que ce soit avec Samba ou SMB
•les deux protocoles sont compatibles entre-eux
•On peut utiliser du SAMBA sur un Windows et inversement (partage SMB d’un Windows vers un Linux).
•Aujourd’hui, pour Windows 10 et Windows Server 2016, le protocole SMB en est à la version 3.1.1
SECURITE
Deux types
•protection par partage(dossier partagé)
•protection par utilisateur
•Vous pouvez attribuer des droits sur les dossiers en fonction des besoins,
•restreindre l’accès aux dossiers en fonction de la connexion de l’utilisateur.
•La protection par partage est en fait un mot de passe sur ce dossier partagé.
•La protection par utilisateur permet d’avoir une sécurité un peu plus fine : vous ajouter/enlever les droits selon l’utilisateur, sur le dossier concerné.
•Laisser les ports réseau ouverts pour que les applications puissent fonctionner présente un risque.
solutions
•Mettre en place un pare-feu ou uneprotection des terminauxpour mettre ces ports à l’abri des hackers.
•La plupart des solutions intègrent une blacklistpour bloquer les connexions effectuées depuis des adresses IP de hackers connues.
•Mettre en place unVPNpour chiffrer et protéger le trafic réseau.
•Mettre en place desVLANpour isoler le trafic réseau interne.
•Utiliser lefiltrage d’adresses MACpour empêcher les systèmes inconnus d’accéder au réseau. Cette tactique exige un important travail de gestion pour maintenir la liste à jour.
FTP
(CLIENT/SERVEUR
•FTP obéit à un modèle client/serveur,
•le client, envoie des requêtes auxquelles réagit l'autre, appelé serveur.
•En pratique, le serveur est un ordinateur sur lequel fonctionne un logiciel luimême appelé serveur FTP,
•qui rend publique une arborescence de fichiers similaire à un système de fichiers Unix
CLIENT
•Pour accéderà un serveurFTP, on utiliseun logicielclient FTP
•possédantuneinterface graphiqueouenlignede commande
•Client enlignede commande:ftp,Wget, Curl
interface graphique
•CuteFTP, FileZilla et FTP Expert (windows)
•Gftp, IE, Navigateur(souventavec extension)
•FireFTPextension pour Firefox
PROTOCOLE
deux types de connexions
•TCP
•Une connexion de contrôle initialisée par le client, vers le serveur (port 21en général),
•pour transmettre les commandes de fichiers (transfert, suppression de fichiers, renommage, liste des fichiers...).
•Une connexion de données initialisée par le client ou le serveur pour transférer les données requises (contenu des fichiers, liste de fichiers).
•Le protocole, qui appartient à la couche session du modèle OSI utilise une connexion TCP.
deux façons différentes
Mode actif
•c'est le client FTP qui détermine le port de connexion à utiliser pour permettre le transfert des données.
•Ainsi, pour que l'échange des données puisse se faire, le serveur FTP va initier la connexion de son port de données (port 20) vers le port spécifié par le client.
•C'est le numéro de port précédent le port de contrôle.
•Donc pour un serveur qui écoute sur le port 10021, ce sera par défaut 10020.
Mode passif
•le serveur FTP détermine lui même le port de connexion à utiliser pour permettre le transfert des données (data connexion)
•le communique au client.
•Dans le cas de l'existence d'un pare-feu devant le serveur FTP celui-ci devra être configuré pour autoriser la connexion de données.
L'avantage
est que le serveur FTP n'initie aucune connexion.
•Dans le cas des clients FTP sur un réseau local, ce mode est beaucoup plus sécurisé que le FTP en mode actif,
•le pare-feu ne devra laisser passer que les flux sortant vers internet pour permettre aux clients d'échanger des données avec le serveur.
•C'est pour cette raison que ce mode est qualifié de firewall-friendlyAdministrationSystème
SERVEUR
•VsFTPdest un serveur FTP conçu avec la problématique d'une sécurité maximale.
•Contrairement aux autres serveurs FTP (ProFTPd, PureFTPd, etc.), aucune faille de sécurité n'a jamais été décelée dans VsFTPd.
•Ce serveur est notamment utilisé à grande échelle par des entreprises
•La configuration par défaut de VsFTPdest très restrictive :
•Seul le compte anonyme est autorisé à se connecter au serveur
•En lecture seule
•Les utilisateurs ne peuvent accéder qu’à leur compte
HTTP/PROXY
HTTP
•Le service web est LE service d'Internet.
•C'est celui qui permet d'héberger des serveurs web,
text
•Le fonctionnementdu web s'appuiesur le protocoleapplicatif HTTP.
•Le principe du protocole HTTP est de transporter ces pages HTML, et potentiellement quelques informations supplémentaires.
•Le serveur web met donc à disposition les pages web qu'il héberge, et le protocole HTTP les transporte sur le réseau pour les amener au client.
FONCTIONNEMENT
•Les méthodes
•OPTIONS : demande les méthodes utilisables sur l’URI
•GET : demande les informations et les données de l’URI
•POST : envoie de données (ex : formulaire) traitées par l’URI
•HEAD : demande uniquement les informations sur l’URI
•PUT : enregistre le corps de la requête à l’URI
•DELETE : supprime les données pointées par l’URI
•TRACE : retourne ce qui a été envoyé par le client (’ echo)
LIMITES
•Le protocole Http n’est pas sécurisé
•‘s’ pour secured
•Combinaison de Http avec SSL ou TLS
•Vérification de l’identité d’un site par un certificat d’authentification
•Garantie confidentialité et intégrité des données envoyées par l’utilisateur (ex : formulaires)
•Port par défaut : 443.
NOMENCLATURE
•URL : Uniform Ressource Locator
•Spécification de la localisation d’une ressource de manière unique
•URN : Uniform Ressource Name
•Mécanisme de nommage des ressources
•urn:<Namespace>:<SpecificString>
•Namespace: identificateur de nommage (ex : isbn)
•SpecificString: chaîne de caractères spécifique désignant la ressource de manière unique
PROXY
Le proxy “classique”
•Il s’agit d’un relais pouvant servir de “filtre” ou de “firewall”
Le proxy cache
•Il archive les pages, lors d’une requête.
•S’il possède déjà la page, il la renvoie, sinon il va la chercher.
FONCTIONNEMENT
•le client effectue une requête (GET) via un proxy cache
•le proxy vérifie s’il dispose de la page demandée, si oui:
•le proxy vérifie la date d’expiration de l’URI (Expires)
•interroge le serveur de l’URI afin de comparer les dates de dernière modification de l’URI dans le cache de dernière modification de l’URI sur le serveur
•Utilisation des méthodes GET ou HEAD et des directives If-Modified-Sinceou Last-Modified
•si l’URI du cache est à jour alors le proxy retourne la ressource de son cache
•le proxy récupère la ressource du serveur, l’archive et la retourne au client.