Ing

1
Ingénierie des réseauxAdministration système et
réseau

• Département Informatique
• I.U.T. Bordeaux I

2
1.Introduction
3
Rôle de l'administrateur Ses fonctions

• Installation du parc informatique
• Machines / Logiciels
• Réseau local
• Accès au réseau public
• Gérer les utilisateurs
• Création, expiration, limitations
• Guider et conseiller les utilisateurs
• Maintenir le bon fonctionnement du parc
  informatique
• Enrichir / Améliorer constamment l'environnement
• choisir de nouveaux équipements, configurer au
  mieux les machines, planifier
• l'évolution de son parc, installer et mettre à
  jour les nouveaux logiciels, participer
• à des développements
• Surveiller la sécurité du système

4
Niveaux d'administration

• Un parc de machines homogènes
• poste individuel peut être délégué à son
  propriétaire
• serveur forte responsabilisation sur la
  disponibilité des services
• distribution / mise en commun des ressources
• Un parc de machines hétérogènes
• s'efforcer de rendre l'ensemble intéropérable
  dans la transparence
• la complexité croît avec le taux d'hétérogénéité
• Un parc multi-site

5
Connaissances de l'administrateur

• Connaître ses systèmes dexploitation (Unix,
  Linux, Windows NT, Windows XP, MacOS)
• ses concepts, son architecture (processus,
  système de fichier)
• ses utilitaires / outils / langages
• langages de script, outils d'administration
  spécifiques (shell, awk, perl, sed, grep, find)
  
• ses forces et ses faiblesses
• Connaître les technologies réseaux
• Réseau local, réseau IP
• Protocole
• Sécurité
• Connaître l'environnement
• les équipements matériels, les produits logiciels
  
• les utilisateurs, leurs besoins
• s'entendre avec les autres administrateurs
  système
• Suivre l'évolution
• être en état permanent de veille technologique
  sur tous les domaines !

6
Organisation du module (IO4)

• Planning prévisionnel
• Semaines 1 et 2 Intro  Administration système
  et réseau 
  Routage IP Compléments
• Semaine 3 Administration système et réseau
  Services
• Semaines 4 et 5 Administration système et
  réseau Sécurité
• Semaine 6 Réseau local sans fil (WIFI)
• Semaine 8 Conférence grand public
• Évaluation - Devoir surveillé, sans document
  - TD

7
Plan de lIntroduction  Administration système
et réseau 

1. Introduction
2. Routage IP
3. Services TCP/IP
4. Déploiement et administration réseau
5. Réseau sans fil
6. Sécurité

8
2.Routage IP
9
Architecture TCP/IP (rappels)

• Niveaux physique (1) et liaison (2)
• type de lien physique coaxial, paire torsadée,
  modem, fibre optique, radio,
• type de couche liaison Ethernet, FDDI, ATM,
  RNIS, PPP, PPTP
• Niveau réseau (3)
• IP Internet Protocol
• ICMP Internet Control Message Protocol
• Niveau transport (4)
• UDP (User Datagram Protocol) non connecté, non
  fiable
• TCP (Transmission Control Protocol) connecté,
  fiable
• Ports Numéros désignant des services (ftp21,
  telnet23, smtp25, pop3110)
• Numéro IP port (socket) permet dadresser un
  service de façon non-ambiguë
• Niveau application (5)
• Des services définis par des protocoles (RFC
  Request For Comment) exploitant un (des)
  numéro(s) de port
• Exemples de services
• Connexion distante (RFC 854, port 23) telnet
• Un client telnet un serveur telnetd
  (telnet daemon)

10
Adresse IP dune machine

• Chaque machine a une adresse Internet (IP)
• Quatre entiers W.X.Y.Z de 0 à 255
• Des adresses de la forme 115.23.47.105
• 2564 4 294 967 296 adresses disponibles (en
  principe)
• Regroupés en deux parties (R,H)
• R numéro du réseau, H numéro d'une machine
  dans le réseau
• Plusieurs découpages possibles
• Numéros de réseaux répartis en classes (A, B, C,
  D, E)
• Numéros de réseaux gérés par lICANN (Internet
  Corporation for Assigned Names and Numeros)

11
Sous-réseau

• Permettre à une adresse de classe A, B ou C de
  faire référence à un ensemble de réseaux
• Exemple un réseau dune Université partitionné
  en plusieurs sous-réseaux à usage interne
• Nouveau découpage de ladresse machine (non
  visible à lextérieur)
• Masque de sous-réseau 255.255.252.0 ou /22

12
Routeur IP

• Table de routage avec
• Combinaison dadresses IP (réseau, 0)
• Combinaison dadresses IP (ce réseau,
  sous-réseau, 0)
• Combinaisons dadresse IP (ce réseau, ce
  sous-réseau, hôte)
• A la réception dun datagramme IP ? Recherche
  dune entrée dans la table de routage
• Si réseau distant expédié vers routeur suivant
  interface précisée
• Si hôte local au sous-réseau expédié
  directement vers le destinataire
• Si la destination ne figure pas routeur par
  défaut
• Adresses privées
• ? Tout le monde peut les utiliser, mais
  uniquement sur des réseaux privés (car
  inaccessibles de lextérieur)
• 172.16..,172.31..
• 192.168..
• 10...

13
Utilitaires

• arp, ping, traceroute, route, netstat
• gt ping google.ga
• gt traceroute google.ga
• gt ifconfig eth0 1.2.3.66 netmask 255.255.255.192
  up
• gt route add -net 1.2.3.64 netmask 255.255.255.192
  dev eth0
• gt route add default gw 1.2.3.65
• gt netstat r
• gt netstat a

14
NAT

• Adresses disponibles rares Solutions
• Migration sur IPv6 solution à long terme
  (adresse sur 128 bits)
• Traduction dadresses de réseaux NAT (Network
  Address Translation)
• NAT
• RFC 3022
• Principe
• Assigner une seule (ou peu d) adresse(s) à
  chaque organisation
• En interne, utilisation dadresses privées
• Dispositif NAT

15
IP V6

• Adresses sur 16 octects (4)
• Entête de 8 champs (13)
• Classe de trafic exigences temps réel
• Étiquette de flux pseudo-connexion
• Longueur des données
• Prochain en-tête
• En-tête facultatif
• Triplet (Type, Longueur, Valeur)
• Le dernier en-tête protocole transporté
• Limite de sauts
• Une meilleure gestion des options
• Authentification et confidentialité
• Améliorations de la qualité de service

16
IP Mobile

• Faciliter le travail itinérant
• Problème lié au routage IP utilisation de la
  partie réseau dune adresse (R,H)
• Objectif
• Utiliser son adresse depuis nimporte où
• Les paquets destinées aux machines mobiles ne
  doivent pas faire un détour par le réseau de
  domiciliation
• Solution Agent de domiciliation / Agent
  extérieur
• pour les sites
• autorisant ses hôtes à se déplacer
• / accueillant des hôtes mobiles

17
3.Services TCP/IP

• Remarques pas eu le temps daborder cette partie

18
RARP, BOOTP et DHCP

• IP -gt Mac ARP (Address Resolution Protocol)
• Mac -gt IP
• Utilisé au démarrage dune machine (par exemple)
• Solution 1 RARP (Reverse ARP)
• Nécessite un serveur RARP sur chaque réseau (les
  routeurs ne font pas suivre les diffusions)
• Solution 2 BOOTP (BOOTstraP)
• Utilise des messages UDP (transmis par les
  routeurs)
• Gestion manuelle des tables de correspondance
  IP-Ethernet
• Plus riches que RARP (masque réseau, adresse du
  routeur, des serveurs)
• Solution 3 DHCP (Dynamic Host Configuration
  Protocol)
• Attribue dynamiquement une adresse IP aux
  machines qui le demandent
• Le service DHCP fournit lensemble des paramètres
  nécessaires
• Ladresse peut être associée au numéro MAC de la
  carte pour éviter des connexions non souhaitées
• Bail

19
Résolution de noms

• Un réseau (darchitecture TCP/IP) n'utilise que
  les adresses IP, doù la nécessité
• dune correspondance nom symbolique lt-gt adresse
  IP
• dun mécanisme de résolution dun nom en adresse
  IP
• Invoquer une procédure appelée resolver
• Résolution localeFichier hosts une liste de
  correspondances/etc/hosts 127.0.0.1
  localhost 137.194.160.21 horla
• Résolution distanteEnvoi dune requête au
  serveur de noms (Domain Name Server)

20
DNS (Domain Name System)

• Rôle (entre autres) retrouver une adresse IP à
  partir dun nom de machine et réciproquement.
• Espace de noms du système DNS
• Schéma de nommage hiérarchique
• Notion de domaine
• Premier niveau (TLD Top Level Domain) 2 types
  génériques / nationaux ( 200)
• .com, .edu, .net, .org, .gov, .int,. mil
• .fr, .uk, .ca, .ch, .se, .ga, .jp
• Nouveaux domaines validés par lICANN depuis
  2000 .biz .info .name .pro
• Composé de sous-domaines ou dhôtes
• Nom de domaine absolu / relatif (labri.fr. /
  iut.u-bordeaux1)

21
NFS (Network File System)

• Objectif
• Initialement créé par Sun (1980), le Network File
  System permet le partage d'un système de fichiers
  sur un réseau.
• Principe
• Le serveur NFS
• exportation de tout ou dune partie de son
  système de fichiers,
• installation de restrictions d'accès.
• Le client NFS
• montage (en cours de session, au démarrage) dune
  arborescence exportée par le serveur
• Le fonctionnement repose sur les Remote Procedure
  Calls (RPCs)
• Indépendance des architectures (milieu
  hétérogène)
• Commandes
• mount, umount, exportfs, showmount

22
NIS (Network Information Services)

• Initialement créé par Sun et connu sous le nom de
  Sun Yellow Pages.
• Objectif dun service d'information sur le
  réseau.
• partager des informations dadministration entre
  différentes machines dun réseau
• mise en commun de fichiers de configuration
  (fichier de mots de passe, daliases de
  machines)
• centraliser la gestion des mots de passe
• permettre aux utilisateurs de se connecter de
  n'importe où
• faciliter l'administration !!!
• Inconvénient charge du réseau, problèmes de
  sécurité
• Principe
• maintient des informations de configuration
  communes à plusieurs machines
• base de données gérée par le serveur
• requête des clients NIS aux serveurs (au lieu
  d'utiliser ses propres fichiers de configuration)
• le fonctionnement repose essentiellement sur les
  Remote Procedure Calls (RPCs)
• Fonctionnalité
• changement de mot de passe

23
LDAP (Lightweight Directory Access Protocol)

• Le protocole X.500
• standard d'annuaire (CCITT et l'ISO)
• bonnes spécifications
• protocole visé ISO (plutôt que TCP/IP)
• LDAP
• une version allégée de X.500
• basée sur TCP/IP
• un protocole spécialisé dans la manipulation
  d'annuaires adapté aux réseaux et systèmes en
  exploitation sur une architecture TCP/IP (RFC
  2251-6).
• Objectif dun annuaire
• partager des bases d'informations sur le réseau
  (interne ou externe).
• Nature des informations
• coordonnées de personnes
• données systèmes

24
LDAP

• Ce protocole définit 5 modèles
• d'information le type de données contenues dans
  l'annuaire,
• de nommage comment l'information est organisée
  et référencée,
• fonctionnel comment on accède à l'information,
• de sécurité comment données et accès sont
  protégés,
• de duplication comment la base est répartie
  entre serveurs.
• Fonctionnalités
• Des commandes pour se connecter, se déconnecter, 
  rechercher, comparer, créer, modifier ou effacer
  des entrées.
• Des mécanismes de chiffrement (SSL) et
  d'authentification, couplés à des mécanismes de
  règles d'accès (ACL) permettant de protéger les
  transactions et l'accès aux données.
• Un protocole de communication serveur-serveur
  permettant à plusieurs serveurs
• d'échanger leur contenu
• de le synchroniser (replication service)
• de créer entre eux des liens permettant ainsi de
  relier des annuaires les uns aux autres (referral
  service).
• RFC2307 An Approach for Using LDAP as a Network
  Information Service

25
Courrier

• Le service le plus utilisé sur Internet.
• Plusieurs protocoles permettent de gérer le
  courrier sur le réseau
• transport de courrier le protocole SMTP (Simple
  Mail Transfer Protocol)
• transférer le courrier d'un serveur à un autre
• en mode connecté, port 25, RFC 821 (depuis avril
  2001 RFC 2821).
• relève de boîte aux lettres protocoles POP3
  (Post Office Protocol) ou IMAP (Interactive Mail
  Access Protocol).
• pour relever ou consulter les boîtes aux lettres.
  
• IMAP POP3 autres possibilités
• tous vos courriers et vos dossiers de messages
  restent sur le serveur.
• synchronisation des messages (exactement comme
  pour les newsgroups).
• Versions sécurisées
• Pb transmission l'authentification
  username/password en clair (sauf cas
  particuliers).
• ces protocoles disposent de versions sécurisées
  avec lextension STARTTLS définie par les RFC
  2487 (SMTP) et RFC 2595 (POP3) .
• pops (pop/ssl) et imaps (imap/ssl)
  authentification et le cryptage via SSL

26
News

• Objectif
• Échange des news ou forums de discussions
• Lire et poster des news
• Diffuser des news entre les serveurs
• Principe
• un utilisateur poste un article dans un groupe de
  news, il est dans un premier temps déposé sur le
  serveur de news auquel le poste client est relié.
  
• processus de diffusion pour certains groupes de
  news (relais)
• ce serveur va réexpédier cet article aux
  différents serveurs auxquels il est relié, qui
  eux-mêmes procéderont de la sorte.
• durée de conservation des nouvelles pour chaque
  groupe.
• réseau logique constitué des serveurs de news
  disséminés sur la planète Usenet.
• protocole d'échange des news ou forums de
  discussions NNTP (Network News Transfert
  Protocol), port 119.
• Accès contrôlés
• Serveurs
• Beaucoup despace disque
• Relayer le monde extérieur un abonnement à un
  fournisseur de news

27
SNMP (Simple Network Management Protocol)

• Objectif
• Permettre une administration distante ou locale,
  utilisé sur les réseaux de type Internet (à
  l'origine conçu pour les ponts et les routeurs)
• Connaître létat dun nœud du réseau
• Mesurer le trafic et les erreurs à distance
• Configurer à distance les nœuds du réseau
• Principe
• Station de gestion
• Agent sur chaque élément du réseau à gérer
  (station, serveur, switch, hub, routeur)
• Supervision et contrôle Un nœud du réseau est
  vu comme un ensemble de variables qui peuvent
  être lues et/ou modifiées.
• Un nœud avertit la station de gestion lors de
  certains événements
• Messages envoyés par les agents suite à une
  requête ou un événement
• SNMP est constitué de
• Un langage de définition des structures SMI
  (arbre numéroté, noeuds et feuilles)
• La définition des objets MIB à superviser
  (Management Information Base)
• Un protocole (SNMP RFC 1157, UDP, port 162,161)

28
World Wide Web et HTTP

• Organisation hypertexte et hypermédia
• Information découpée en pages, reliées par des
  liens
• URL Universal Resource Locator
• Un clic de souris pour naviguer
• Principe de linteraction
• On insère une zone réactive (texte, image ou
  partie d'image)
• On lui associe une action (appeler une autre
  page, envoyer un courrier, jouer un morceau de
  musique, lancer une vidéo)
• On signale la zone (commentaire, soulignement,
  changement de curseur)
• Protocole HTTP Hypertext Transfer Protocol
  (CERN 89)
• Langage HTML Hyper Text Mark-up Language

29
Le Web

• Serveurs
• De nombreux produits
• Apache
• Lotus Domino Web Server
• Microsoft I.I.S.
• Netscape Enterprise Server
• Oracle Web server
• Comment choisir ?
• Système dexploitation ?
• SGBD associé ?
• Performances ?

• Navigateurs
• Récents et efficaces
• Peu de produits
• Netscape Communicator
• Internet Explorer
• Opera, Mozilla,
• Outils de développement
• Simple éditeur de pages
• Gestionnaire complets de sites

30
HTTP le protocole

• Principes
• Le client se connecte sur le port HTTP du serveur
  (normalement 80)
• Il envoie une requête de la forme GET ltURLgt
• Le serveur retourne des données ASCII
• Le client interprète le texte et laffiche
• Limitations
• Protocole  sans état  pas de suivi de la
  connexion

31
Quelques diapos non utilisées
32
Types de réseau IP

• Grande taille (jusquà 16 millions de machines)
• Classe A 0.0.0.0 ? 127.255.255.255 128
  réseaux
• 24.77.141.24, machine 77.141.24 du réseau 24
• Taille moyenne (jusquà 65536 machines)
• Classe B 128.0.0.0 ? 191. 255.255.255 16384
  réseaux
• 147.210.8.200, machine n 8.200 du réseau
  147.210
• Petite taille (jusquà 256 machines)
• Classe C 192.0.0.0 ? 223. 255.255.255 2 097
  152 réseaux
• 208.148.44.1, machine n 1 du réseau 208.148.44
• Classe D 224.0.0.0 ? 239. 255.255.255
  multicast
• (envoi de datagrammes à un groupe dhôtes)
• Classe E 240.0.0.0 ? 255. 255.255.255
  réservées
• (pour une utilisation future)

33
Adresses particulières

• Adresse avec une partie comportant que des 1 ou 0
  
• 0 pour ce réseau ou cette machine
• 1 pour tous les hôtes
• Exemples
• ...255 adresse de diffusion (broadcast)
• 127.0.0.1 adresse de la machine locale
• Plus généralement

34
Enregistrement de ressource (Resource Records)

• Base de données répartie
• A chaque domaine, on associe un ensemble
  denregistrements de ressources fournissant des
  informations sur ce domaine
• Structure dun RR
• syntaxe ltnom_de_domainegt durée_de_vie
  classe lttypegt ltvaleurgt
• nom_de_domaine Clé
• durée_de_vie 60..86400 (secondes)
• classe généralement la valeur est IN (pour
  INternet)
• type - valeur
• A (address) adresse IP associée à un nom 4
  octets
• MX (mail exchanger) serveur de courrier -
• CNAME (canonical name) nom canonique nom de
  domaine
• NS (name server) serveur de nom gérant ce nom
  nom dun serveur de noms
• PTR (pointer) pointeur nom pour une adresse
  IP
• SOA (start of authority) serveur principal
  dune zone paramètres pour cette zone.

35
Le RR SOA

• Précise les conditions déchange entre serveur
  primaire et secondaire dune zone
• syntaxe ltnom_de_domainegt classe SOA ltvaleurgt
• Exemple
• zone IN SOA origin admin (serial, refresh, retry,
  expire, minimum)
• serial identificateur qui change à chaque
  modification de la zone (ajout de machine par
  exemple). Il indique au secondaire si la bd du
  primaire a été modifiée. Si cest le cas, le
  secondaire recopie la bd du primaire.
• refresh intervalle de temps entre 2
  vérifications du secondaire.
• retry délai dattente en cas déchec de la
  vérification avant un autre essai.
• expire après ce délai, en cas déchecs
  successifs de la vérification, le secondaire
  renonce à interroger le primaire. Il considère
  alors toutes ses informations comme obsolètes.
• minimum TTL par défaut des RR de la zone (durée
  de conservation en cache)

36
Serveur de nom et zone

• Gestion de cette base de données
• Approche centralisée
• Un seul serveur de nom
• Approche distribuée
• Base de données répartie
• Espace de noms DNS divisé en zones distinctes
• Chaque zone a un serveur de noms principal
  (primaire) et plusieurs serveurs de noms
  secondaires
• domaine/zone
• Domaine partie de larborescence des noms située
  en dessous dun nœud donné,
• Zone partie de larborescence gérée par un même
  serveur de nom.

37
Requête DNS

• Traitement dune requête DNS
• Le resolver reçoit une requête pour un nom de
  domaine
• Si pas de résolution possible localement
• Transmet cette requête à un serveur de nom local
  (envoie dun datagramme UDP contenant un nom à
  résoudre en adresse IP)
• Si le serveur de noms
• a autorité sur la zone qui contient le nom (la
  réponse est donc dans sa base de données), ou a
  la réponse en cache
• Il transmet lensemble des RR constituant la
  réponse au client.
• ne connaît pas la réponse.
• Si la requête nest pas récursive, il transmet au
  client une liste de serveurs supposés mieux
  informés.
• Si la requête est récursive, il interroge lui
  même les serveurs mieux informés et transmet la
  réponse au client.
• Remarque le serveur de noms dune zone connaît
  les serveurs ayant autorité
• sur la racine,
• les serveurs de ses zones filles.

38
Extrait dune base de données DNS
39
Fichiers et utilitaires

• Utilitaires
• nslookup
• dig (domaine information groper)
• host
• Fichiers
• /etc/resolv.conf
• domain emi.u-bordeaux.fr
• nameserver 147.210.13.1
• nameserver 147.210.8.187
• nameserver 147.210.253.1
• nameserver 147.210.245.1
• search emi.u-bordeaux.fr labri.u-bordeaux.fr
  u-bordeaux.fr
• /etc/named.conf sur un serveur

40

• extrait de /var/named/emi.hosts sur edwood sur un
  serveur
• La zone emi.u-bordeaux.fr de 147.210.12
• _at_ IN SOA edwood.emi.u-bordeaux.fr.
  chauvet.emi.u-bordeaux.fr. (
• 2002120513 Serial
  yymmjjhh
• 21600 Refresh 6
  heures
• 3600 Retry 1 heure
• 3600000 Expire 41
  jours et 16 heures
• 172800) Minimum 2
  jours
• IN NS edwood.emi.u-bordeaux.fr.
• IN NS donaser.labri.u-bordeaux.fr.
• IN NS neouvielle.enserb.u-bordeaux.fr.
• IN NS bxnms.u-bordeaux.fr.
• IN NS osiris.lip6.fr.
• IN NS dufy.aquarel.fr.
• 
  
• Les noms des hosts
• localhost IN A 127.0.0.1
• net IN A 147.210.12.0

41

• Trouver ladresse IP de sa machine le serveur
  de noms primaire du domaine emi.u-bordeaux.fr, et
  le nom de son responsable les serveurs de noms
  secondaires et le serveur de courrier de ce
  domaine.
• dig charlot.emi.u-bordeaux.fr
• charlot.emi.u-bordeaux.fr. 2D IN A
  147.210.12.152
• dig emi.u-bordeaux.fr soa
• emi.u-bordeaux.fr. 2D IN SOA edwood.emi.u-bordeaux
  .fr. chauvet.emi.u-bordeaux.fr. (
• 2002120513 serial
• 6H refresh
• 1H retry
• 5w6d16h expiry
• 2D ) minimum
• dig emi.u-bordeaux.fr ns
• emi.u-bordeaux.fr. 2D IN NS bxnms.u-bordeaux.fr.
• emi.u-bordeaux.fr. 2D IN NS osiris.lip6.fr.
• emi.u-bordeaux.fr. 2D IN NS dufy.aquarel.fr.
• emi.u-bordeaux.fr. 2D IN NS edwood.emi.u-bordeaux.
  fr.
• emi.u-bordeaux.fr. 2D IN NS donaser.labri.u-bordea
  ux.fr.
• emi.u-bordeaux.fr. 2D IN NS neouvielle.enserb.u-bo
  rdeaux.fr.

42

• Trouver tous les serveurs de noms du domaine
  u-bordeaux.fr.
• dig u-bordeaux.fr ns
• u-bordeaux.fr. 1d5h46m29s IN NS ns2.nic.fr.
• u-bordeaux.fr. 1d5h46m29s IN NS
  cnudns.cines.fr.
• u-bordeaux.fr. 1d5h46m29s IN NS
  bxnms.u-bordeaux.fr.
• Trouver les serveurs primaire et secondaires du
  domaine gov (organisations gouvernementales
  américaines)
• dig gov ns
• gov. 6h39m57s IN NS C3.NSTLD.COM.
• gov. 6h39m57s IN NS G3.NSTLD.COM.
• gov. 6h39m57s IN NS L3.NSTLD.COM.
• gov. 6h39m57s IN NS M3.NSTLD.COM.
• gov. 6h39m57s IN NS d3.NSTLD.COM.
• gov. 6h39m57s IN NS e3.NSTLD.COM.
• gov. 6h39m57s IN NS A3.NSTLD.COM.
• gov. 6h39m57s IN NS F3.NSTLD.COM.
• gov. 6h39m57s IN NS B3.NSTLD.COM.
• dig gov soa

43

• Trouver ladresse IP du serveur web
  www.google.fr.
• dig www.google.fr
• www.google.fr. 2h19m13s IN CNAME
  www.google.com.
• www.google.com. 3S IN A 216.239.33.100
• www.google.fr est un alias de www.google.com

44
World Wide Web et HTTP

• Voir cours architecture multi-niveaux