Réseau d'ordinateurs


Le terme générique « réseau » définit un ensemble d'entités (objets, personnes, etc.) interconnectées les unes avec les autres. Un réseau permet ainsi de faire circuler des éléments matériels ou immatériels entre chacune de ces entités selon des règles bien définies.

  • réseau (en anglais network) : Ensemble des ordinateurs et périphériques connectés les uns aux autres. Notons que deux ordinateurs connectés ensemble constituent à eux seuls un réseau minimal.
  • mise en réseau (en anglais networking) : Mise en oeuvre des outils et des tâches permettant de relier des ordinateurs afin qu’ils puissent partager des ressources en réseau.

Selon le type d'entité concernée, le terme utilisé sera ainsi différent :

  • réseau de transport: ensemble d'infrastructures et de disposition permettant de transporter des personnes et des biens entre plusieurs zones géographiques
  • réseau téléphonique: infrastructure permettant de faire circuler la voix entre plusieurs postes téléphoniques
  • réseau de neurones: ensemble de cellules interconnectées entre-elles
  • réseau de malfaiteurs: ensemble d'escrocs qui sont en contact les uns avec les autres (un escroc en cache généralement un autre!)
  • réseau informatique: ensemble d'ordinateurs reliés entre eux grâce à des lignes physiques et échangeant des informations sous forme de données numériques (valeurs binaires, c'est-à-dire codées sous forme de signaux pouvant prendre deux valeurs : 0 et 1)

Les présents articles s'intéressent bien évidemment aux réseaux informatiques.

Il n'existe pas un seul type de réseau, car historiquement il existe des types d'ordinateurs différents, communiquant selon des langages divers et variés. Par ailleurs ceci est également dû à l'hétérogénéité des supports physiques de transmission les reliant, que ce soit au niveau du transfert de données (circulation de données sous forme d'impulsions électriques, de lumière ou d'ondes électromagnétiques) ou bien au niveau du type de support (câble coaxial, paires torsadées, fibre optique, etc.).

Les différents chapitres s'attachent à décrire les caractéristiques des supports physiques de transmission, ainsi que la manière dont les données transitent sur le réseau.

Comment sont organisés les chapitres relatifs aux réseaux

La section réseau du site CommentÇaMarcheest divisée en plusieurs chapitres :

  • Le chapitre Initiation aux réseaux décrit ce qu'est un réseau et les différents types de réseaux qui existent
  • Le chapitre Transmission de données traite de la façon selon laquelle les données sont transmises sur le support
  • Le chapitre Equipements réseau décrit les différents type d'équipements présents au niveau d'une entreprise et permettant d'interconnecter les ordinateurs
  • Le chapitre Protocoles explique comment l'information circule (au niveau logique) sur les réseaux, et en particulier sur Internet
  • Le chapitre Technologies énumère les différents moyens physiques qui existent pour faire transiter des informations
Dans la section Pratique, le chapitre Internet utile donne des informations permettant d'apprendre à utiliser Internet!

Intérêt d'un réseau

Un ordinateur est une machine permettant de manipuler des données. L'homme, en tant qu'être communiquant, a rapidement compris l'intérêt qu'il pouvait y avoir à relier ces ordinateurs entre-eux afin de pouvoir échanger des informations.

Un réseau informatique peut servir plusieurs buts distincts :

  • Le partage de ressources (fichiers, applications ou matériels, connexion à internet, etc.)
  • La communication entre personnes (courrier électronique, discussion en direct, etc.)
  • La communication entre processus (entre des ordinateurs industriels par exemple)
  • La garantie de l'unicité et de l'universalité de l'accès à l'information (bases de données en réseau)
  • Le jeu vidéo multijoueurs

Les réseaux permettent aussi de standardiser les applications, on parle généralement de groupwarepour qualifier les outils permettant à plusieurs personnes de travailler en réseau. Par exemple la messagerie électronique et les agendas de groupe permettent de communiquer plus efficacement et plus rapidement. Voici un aperçu des avantages qu'offrent de tels systèmes :

  • Diminution des coûts grâce aux partages des données et des périphériques,
  • Standardisation des applications,
  • Accès aux données en temps utile,
  • Communication et organisation plus efficace.
Aujourd’hui, avec internet, on assiste à une unification des réseau. Ainsi, les intêrêts de la mise en place d'un réseau sont multiples, que ce soit pour une entreprise ou un particulier.

Similitudes entre types de réseaux

Les différents types de réseaux ont généralement les points suivant en commun :

  • Serveurs : ordinateurs qui fournissent des ressources partagées aux utilisateurs par un serveur de réseau
  • Clients : ordinateurs qui accèdent aux ressources partagées fournies par un serveur de réseau
  • Support de connexion : conditionne la façon dont les ordinateurs sont reliés entre eux.
  • Données partagées : fichiers accessibles sur les serveurs du réseau
  • Imprimantes et autres périphériques partagés : fichiers, imprimantes ou autres éléments utilisés par les usagers du réseau
  • Ressources diverses : autres ressources fournies par le serveur

Les différents types de réseau

On distingue généralement les deux types de réseaux suivants :

Ces deux types de réseau ont des capacités différentes. Le type de réseau à installer dépend des critères suivants :
  • Taille de l’entreprise
  • Niveau de sécurité nécessaire
  • Type d’activité
  • Niveau de compétence d’administration disponible
  • Volume du trafic sur le réseau
  • Besoins des utilisateurs du réseau
  • Budget alloué au fonctionnement du réseau (pas seulement l’achat mais aussi l’entretien et la maintenance)

Liens sponsorisés


Ce document intitulé « Réseaux - Introduction » issu de Comment Ça Marche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
 

Un réseau informatique est constitué d'ordinateurs reliés entre eux grâce à des lignes de communication (câbles réseaux, etc.) et des éléments matériels (cartes réseau, ainsi que d'autres équipements permettant d'assurer la bonne circulation des données). L'arrangement physique, c'est-à-dire la configuration spatiale du réseau est appelé topologie physique. On distingue généralement les topologies suivantes :

  • topologie en bus
  • topologie en étoile
  • topologie en anneau
  • topologie en arbre
  • topologie maillée

La topologie logique, par opposition à la topologie physique, représente la façon dont les données transitent dans les lignes de communication. Les topologies logiques les plus courantes sont Ethernet, Token Ring et FDDI.


Topologie en bus

Une topologie en bus est l'organisation la plus simple d'un réseau. En effet, dans une topologie en bus tous les ordinateurs sont reliés à une même ligne de transmission par l'intermédiaire de câble, généralement coaxial. Le mot « bus » désigne la ligne physique qui relie les machines du réseau.

topologie en bus

Cette topologie a pour avantage d'être facile à mettre en oeuvre et de posséder un fonctionnement simple. En revanche, elle est extrêmement vulnérable étant donné que si l'une des connexions est défectueuse, l'ensemble du réseau en est affecté.

Topologie en étoile

Dans une topologie en étoile, les ordinateurs du réseau sont reliés à un système matériel central appelé concentrateur (en anglais hub, littéralement moyen de roue). Il s'agit d'une boîte comprenant un certain nombre de jonctions auxquelles il est possible de raccorder les câbles réseau en provenance des ordinateurs. Celui-ci a pour rôle d'assurer la communication entre les différentes jonctions.

topologie en étoile

Contrairement aux réseaux construits sur une topologie en bus, les réseaux suivant une topologie en étoile sont beaucoup moins vulnérables car une des connexions peut être débranchée sans paralyser le reste du réseau. Le point névralgique de ce réseau est le concentrateur, car sans lui plus aucune communication entre les ordinateurs du réseau n'est possible.

En revanche, un réseau à topologie en étoile est plus onéreux qu'un réseau à topologie en bus car un matériel supplémentaire est nécessaire (le hub).

Topologie en anneau

Dans un réseau possédant une topologie en anneau, les ordinateurs sont situés sur une boucle et communiquent chacun à leur tour.

topologie en anneau>

En réalité, dans une topologie anneau, les ordinateurs ne sont pas reliés en boucle, mais sont reliés à un répartiteur (appelé MAU,Multistation Access Unit) qui va gérer la communication entre les ordinateurs qui lui sont reliés en impartissant à chacun d'entre-eux un temps de parole.

répartiteur

Les deux principales topologies logiques utilisant cette topologie physique sont Token ring(anneau à jeton) et FDDI.

Les différents types de réseaux

On distingue différents types de réseaux (privés) selon leur taille (en terme de nombre de machines), leur vitesse de transfert des données ainsi que leur étendue. Les réseaux privés sont des réseaux appartenant à une même organisation. On fait généralement trois catégories de réseaux :

  • LAN (local area network)
  • MAN (metropolitan area network)
  • WAN (wide area network)

Il existe deux autres types de réseaux : les TAN (Tiny Area Network) identiques aux LAN mais moins étendus(2 à 3 machines) et les CAN (Campus Area Network) identiques au MAN (avec une bande passante maximale entre tous les LAN du réseau).

Les LAN

LAN signifie Local Area Network (en français Réseau Local). Il s'agit d'un ensemble d'ordinateurs appartenant à une même organisation et reliés entre eux dans une petite aire géographique par un réseau, souvent à l'aide d'une même technologie (la plus répandue étant Ethernet)..

Un réseau local est donc un réseau sous sa forme la plus simple. La vitesse de transfert de données? d'un réseau local peut s'échelonner entre 10 Mbps (pour un réseau ethernet par exemple) et 1 Gbps (en FDDI ou Gigabit Ethernet par exemple). La taille d'un réseau local peut atteindre jusqu'à 100 voire 1000 utilisateurs.

En élargissant le contexte de la définition aux services qu'apportent le réseau local, il est possible de distinguer deux modes de fonctionnement :

  • dans un environnement d'"égal à égal" (en anglais peer to peer), dans lequel il n'y a pas d'ordinateur central et chaque ordinateur a un rôle similaire
  • dans un environnement "client/serveur", dans lequel un ordinateur central fournit des services réseau aux utilisateurs

Les MAN

Les MAN (Metropolitan Area Network) interconnectent plusieurs LAN géographiquement proches (au maximum quelques dizaines de km) à des débits importants. Ainsi un MAN permet à deux noeuds distants de communiquer comme si ils faisaient partie d'un même réseau local.

Un MAN est formé de commutateurs ou de routeurs interconnectés par des liens hauts débits (en général en fibre optique).

Les WAN

Un WAN (Wide Area Network ou réseau étendu) interconnecte plusieurs LANs à travers de grandes distances géographiques.

Les débits disponibles sur un WAN résultent d'un arbitrage avec le coût des liaisons (qui augmente avec la distance) et peuvent être faibles.

Les WAN fonctionnent grâce à des routeurs qui permettent de "choisir" le trajet le plus approprié pour atteindre un noeud du réseau.

Le plus connu des WAN est Internet.

Les LAN

LAN signifie Local Area Network (en français Réseau Local). Il s'agit d'un ensemble d'ordinateurs appartenant à une même organisation et reliés entre eux dans une petite aire géographique par un réseau, souvent à l'aide d'une même technologie (la plus répandue étant Ethernet).

Un réseau local représente un réseau sous sa forme la plus simple. La vitesse de transfert de données d'un réseau local peut s'échelonner entre 10 Mbps (pour un réseau ethernet par exemple) et 1 Gbps (en FDDI ou Gigabit Ethernet par exemple). La taille d'un réseau local peut atteindre jusqu'à 100 voire 1000 utilisateurs.

En élargissant le contexte de la définition aux services qu'apportent le réseau local, il est possible de distinguer deux modes de fonctionnement :

  • dans un environnement d'« égal à égal » (en anglais peer to peer, noté P2P), dans lequel la communication s'établit d'ordinateur à ordinateur sans ordinateur central et où chaque ordinateur possède un rôle similaire.
  • dans un environnement « client/serveur », dans lequel un ordinateur central fournit des services réseau aux utilisateurs.

Réseau métropolitain (MAN)

Les MAN (Metropolitan Area Network, réseaux métropolitains) interconnectent plusieurs LAN géographiquement proches (au maximum quelques dizaines de kilomètres) à des débits importants. Ainsi, un MAN permet à deux noeuds distants de communiquer comme si ils faisaient partie d'un même réseau local.

Un MAN est formé de commutateurs ou de routeurs interconnectés par des liens hauts débits (en général en fibre optique).


Réseau étendu (WAN)

Un WAN (Wide Area Network ou réseau étendu) interconnecte plusieurs LANs à travers de grandes distances géographiques de l'ordre de la taille d'un pays ou d'un continent.

Les débits disponibles sur un WAN résultent d'un arbitrage avec le coût des liaisons (qui augmente avec la distance) et peuvent être faibles.

Les WAN fonctionnent grâce à des routeurs qui permettent de "choisir" le trajet le plus approprié pour atteindre un noeud du réseau.


Le concept de réseau privé virtuel

Les réseaux locaux d'entreprise (LAN ou RLE) sont des réseaux internes à une organisation, c'est-à-dire que les liaisons entre machines appartiennent à l'organisation. Ces réseaux sont de plus en plus souvent reliés à Internet par l'intermédiaire d'équipements d'interconnexion. Il arrive ainsi souvent que des entreprises éprouvent le besoin de communiquer avec des filiales, des clients ou même du personnel géographiquement éloignées via internet.

Pour autant, les données transmises sur Internet sont beaucoup plus vulnérables que lorsqu'elles circulent sur un réseau interne à une organisation car le chemin emprunté n'est pas défini à l'avance, ce qui signifie que les données empruntent une infrastructure réseau publique appartenant à différents opérateurs. Ainsi il n'est pas impossible que sur le chemin parcouru, le réseau soit écoutépar un utilisateur indiscret ou même détourné. Il n'est donc pas concevable de transmettre dans de telles conditions des informations sensibles pour l'organisation ou l'entreprise.

La première solution pour répondre à ce besoin de communication sécurisé consiste à relier les réseaux distants à l'aide de liaisons spécialisées. Toutefois la plupart des entreprises ne peuvent pas se permettre de relier deux réseaux locaux distants par une ligne spécialisée, il est parfois nécessaire d'utiliser Internet comme support de transmission.

Un bon compromis consiste à utiliser Internet comme support de transmission en utilisant un protocole d'"encapsulation" (en anglais tunneling, d'où l'utilisation impropre parfois du terme "tunnelisation"), c'est-à-dire encapsulant les données à transmettre de façon chiffrée. On parle alors de réseau privé virtuel (noté RPV ou VPN, acronyme de Virtual Private Network) pour désigner le réseau ainsi artificiellement créé.
Ce réseau est dit virtuel car il relie deux réseaux "physiques" (réseaux locaux) par une liaison non fiable (Internet), et privé car seuls les ordinateurs des réseaux locaux de part et d'autre du VPN peuvent "voir" les données.

Le système de VPN permet donc d'obtenir une liaison sécurisée à moindre coût, si ce n'est la mise en oeuvre des équipements terminaux. En contrepartie il ne permet pas d'assurer une qualité de service comparable à une ligne louée dans la mesure où le réseau physique est public et donc non garanti.

Fonctionnement d'un VPN

Un réseau privé virtuel repose sur un protocole, appelé protocole de tunnelisation (tunneling), c'est-à-dire un protocole permettant aux données passant d'une extrémité du VPN à l'autre d'être sécurisées par des algorithmes de cryptographie.

Réseau privé virtuel (VPN)

Le terme de "tunnel" est utilisé pour symboliser le fait qu'entre l'entrée et la sortie du VPN les données sont chiffrées (cryptées) et donc incompréhensible pour toute personne située entre les deux extrémités du VPN, comme si les données passaient dans un tunnel. Dans le cas d'un VPN établi entre deux machines, on appelle client VPN l'élément permettant de chiffrer et de déchiffrer les données du côté utilisateur (client) et serveur VPN (ou plus généralementserveur d'accès distant) l'élément chiffrant et déchiffrant les données du côté de l'organisation.

De cette façon, lorsqu'un utilisateur nécessite d'accéder au réseau privé virtuel, sa requête va être transmise en clair au système passerelle, qui va se connecter au réseau distant par l'intermédiaire d'une infrastructure de réseau public, puis va transmettre la requête de façon chiffrée. L'ordinateur distant va alors fournir les données au serveur VPN de son réseau local qui va transmettre la réponse de façon chiffrée. A réception sur le client VPN de l'utilisateur, les données seront déchiffrées, puis transmises à l'utilisateur ...

Les protocoles de tunnelisation

Les principaux protocoles de tunneling sont les suivants :

  • PPTP (Point-to-Point Tunneling Protocol) est un protocole de niveau 2développé par Microsoft, 3Com, Ascend, US Robotics et ECI Telematics.
  • L2F (Layer Two Forwarding) est un protocole de niveau 2 développé par Cisco, Northern Telecom et Shiva. Il est désormais quasi-obsolète
  • L2TP (Layer Two Tunneling Protocol) est l'aboutissement des travaux de l'IETF (RFC 2661) pour faire converger les fonctionnalités de PPTP et L2F. Il s'agit ainsi d'un protocole de niveau 2 s'appuyant sur PPP.
  • IPSec est un protocole de niveau 3, issu des travaux de l'IETF, permettant de transporter des données chiffrées pour les réseaux IP.

Le protocole PPTP

Le principe du protocole PPTP (Point To Point Tunneling Protocol) est de créer des trames sous le protocole PPP et de les encapsuler dans un datagramme IP.

Ainsi, dans ce mode de connexion, les machines distantes des deux réseaux locaux sont connectés par une connexion point à point (comprenant un système de chiffrement et d'authentification, et le paquet transite au sein d'un datagramme IP.

le protocole PPTP

De cette façon, les données du réseau local (ainsi que les adresses des machines présentes dans l'en-tête du message) sont encapsulées dans un message PPP, qui est lui-même encapsulé dans un message IP.

Le protocole L2TP

Le protocole L2TP est un protocole standard de tunnelisation (standardisé dans un RFC) très proche de PPTP. Ainsi le protocole L2TP encapsule des trames protocole PPP, encapsulant elles-mêmes d'autres protocoles (tels que IP, IPX ou encore NetBIOS).

Le protocole IPSec

IPSec est un protocole défini par l'IETF permettant de sécuriser les échanges au niveau de la couche réseau. Il s'agit en fait d'un protocole apportant des améliorations au niveau de la sécurité au protocole IPafin de garantir la confidentialité, l'intégrité et l'authentification des échanges.

Le protocole IPSec est basé sur trois modules :

  • IP Authentification Header (AH) concernant l'intégrité, l'authentification et la protection contre le rejeu. des paquets à encapsuler
  • Encapsulating Security Payload (ESP) définissant le chiffrement de paquets. ESP fournit la confidentialité, l'intégrité, l'authentification et la protection contre le rejeu.
  • Security Assocation (SA) définissant l'échange des clés et des paramètres de sécurité. Les SA rassemblent ainsi l'ensemble des informations sur le traitement à appliquer aux paquets IP(les protocoles AH et/ou ESP, mode tunnel ou transport, les algo de sécurité utilisés par les protocoles, les clés utilisées,...). L'échange des clés se fait soit de manière manuelle soit avec le protocole d'échange IKE (la plupart du temps), qui permet aux deux parties de s'entendre sur les SA.


Intranet

Un intranet est un ensemble de services internet (par exemple un serveur web) internes à un réseau local, c'est-à-dire accessibles uniquement à partir des postes d'un réseau local, ou bien d'un ensemble de réseaux bien définis, et invisibles (ou inaccessibles) de l'extérieur. Il consiste à utiliser les standards client-serveur de l'internet (en utilisant les protocoles TCP/IP), comme par exemple l'utilisation de navigateurs internet (client basé sur le protocole HTTP) et des serveurs web (protocole HTTP), pour réaliser un système d'information interne à une organisation ou une entreprise.

Système intranet/extranet

Un intranet repose généralement sur une architecture à trois niveaux, composée :

  • de clients (navigateur internet généralement) ;
  • d'un ou plusieurs serveurs d'application (middleware): un serveur web permettant d'interpréter des scriptsCGI, PHP, ASP ou autres, et les traduire en requêtes SQL afin d'interroger une base de données ;
  • d'un serveur de bases de données.

De cette façon, les machines clientes gèrent l'interface graphique, tandis que les différents serveurs manipulent les données. Le réseau permet de véhiculer les requêtes et les réponses entre clients et serveurs.

architecture 3-tier

Un intranet possède naturellement plusieurs clients (les ordinateurs du réseau local) et peut aussi être composé de plusieurs serveurs. Une grande entreprise peut par exemple possèder un serveur web pour chaque service afin de fournir un intranet composé d'un serveur web fédérateur liant les différents serveurs gérés par chaque service.

L'utilité d'un intranet

Un intranet dans une entreprise permet de mettre facilement à la disposition des employés des documents divers et variés; cela permet d'avoir un accès centralisé et cohérent à la mémoire de l'entreprise, on parle ainsi de capitalisation de connaissances. De cette façon, il est généralement nécessaire de définir des droits d'accès pour les utilisateurs de l'intranet aux documents présents sur celui-ci, et par conséquent une authentification de ceux-ci afin de leur permettre un accès personnalisé à certains documents.

Des documents de tous types (textes, images, vidéos, sons, ...) peuvent être mis à disposition sur un intranet. De plus, un intranet peut réaliser une fonction de groupware très intéressante, c'est-à-dire permettre un travail coopératif. Voici quelques unes des fonctions qu'un intranet peut réaliser :

Ainsi, un intranet favorise la communication au sein de l'entreprise et limite les erreurs dues à la mauvaise circulation d'une information. L'information disponible sur l'intranet doit être mise à jour en évitant les conflits de version.

Avantages d'un intranet

Un intranet permet de constituer un système d'information à faible coût (concrètement le coût d'un intranet peut très bien se réduire au coût du matériel, de son entretien et de sa mise à jour, avec des postes clients fonctionnant avec des navigateurs gratuits, un serveur fonctionnant sous Linux avec le serveur web Apache et le serveur de bases de données MySQL).

D'autre part, étant donné la nature "universelle" des moyens mis en jeu, n'importe quel type de machine peut être connectée au réseau local, donc à l'intranet.

Mise en place de l'intranet

Un intranet doit être conçu selon les besoins de l'entreprise ou de l'organisation (au niveau des services à mettre en place). Ainsi, l'intranet ne doit pas être conçu par les seuls informaticiens de l'entreprise mais selon un projet prenant en compte les besoins de toutes les parties prenant de l'entreprise.

Pour ce qui est de la mise en place matérielle, il suffit de mettre en place un serveur web (par exemple une machine fonctionnant sous Linux avec le serveur web Apache et le serveur de bases de données MySQLou bien un serveur sous wWindows avec le serveur web Microsoft Internet Information Server). Il suffit ensuite de configurer un nom de domaine pour le serveur (par exemple intranet.votre_entreprise.com. Il est à noter l'existence de CMS (systèmes de gestion de contenu) permettant de gérer la publication des pages par une équipe de rédacteurs.

Extranet

Un extranet est une extension du système d'information de l'entreprise à des partenaires situés au-delà du réseau.

L'accès à l'extranet doit être sécurisé dans la mesure où cela offre un accès au système d'information à des personnes situées en dehors de l'entreprise.

Il peut s'agir soit d'une authentification simple (authentification par nom d'utilisateur et mot de passe) ou d'une authentification forte (authentification à l'aide d'un certificat). Il est conseillé d'utiliser HTTPS pour toutes les pages web consultées depuis l'extérieur afin de sécuriser le transport des requêtes et des réponses HTTPet d'éviter notamment la circulation du mot de passe en clair sur le réseau.

Un extranet n'est donc ni un intranet, ni un site internet. Il s'agit d'un système supplémentaire offrant par exemple aux clients d'une entreprise, à ses partenaires ou à des filiales, un accès privilégié à certaines ressources informatiques de l'entreprise par l'intermédiaire d'une interface Web.


Introduction à la notion de groupware

On désigne par le terme de "Groupware" (en français Collectique) les méthodes et les outils logiciels (appelés collecticiels ou plus rarement synergiciels) permettant à des utilisateurs de mener un travail en commun à travers les réseaux.

Ainsi le terme GroupWare renvoie à des applications diverses et variées concourant à un même but : permettre à des utilisateurs géographiquement éloignés de travailler en équipe. Le travail en équipe peut se concrétiser par le partage d'information, ou bien la création et l'échange de données informatisées. Il s'agit pour la plupart du temps d'outils de messagerie (instantanée ou non), ainsi que d'applications diverses telles que :

  • agenda partagé
  • espace de documents partagés
  • outils d'échange d'information (forums électroniques)
  • outil de gestion de contacts
  • outils de workflow
  • conférence électronique (vidéoconférence, chat, ...)
  • ...

Firewall (pare-feu)

Chaque ordinateur connecté à internet(et d'une manière plus générale à n'importe quelréseau informatique) est susceptible d'être victime d'une attaque d'un pirate informatique. La méthodologie généralement employée par lepirate informatiqueconsiste à scruter le réseau (en envoyant des paquets de données de manière aléatoire) à la recherche d'une machine connectée, puis à chercher une faille de sécurité afin de l'exploiter et d'accéder aux données s'y trouvant.

Cette menace est d'autant plus grande que la machine est connectée en permanence à internet pour plusieurs raisons :

  • La machine cible est susceptible d'être connectée sans pour autant être surveillée ;
  • La machine cible est généralement connectée avec une plus large bande passante ;
  • La machine cible ne change pas (ou peu) d'adresse IP.

Ainsi, il est nécessaire, autant pour les réseaux d'entreprises que pour les internautes possédant une connexion de type câble ouADSL, de se protéger des intrusions réseaux en installant un dispositif de protection.

u'est-ce que la sécurité d'un réseau ?

La sécurité d'un réseau est un niveau de garantie que l'ensemble des machines du réseau fonctionnent de façon optimale et que les utilisateurs desdites machines possèdent uniquement les droits qui leur ont été octroyés.

Il peut s'agir :

  • d'empêcher des personnes non autorisées d'agir sur le système de façon malveillante
  • d'empêcher les utilisateurs d'effectuer des opérations involontaires capables de nuire au système
  • de sécuriser les données en prévoyant les pannes
  • de garantir la non-interruption d'un service

Les causes de l'insécurité

On distingue généralement deux types d'insécurité  :

  • l'état actif d'insécurité, c'est-à-dire la non-connaissance par l'utilisateur des fonctionnalités du système, dont certaines pouvant lui être nuisibles (par exemple la non-désactivation de services réseaux non nécessaires à l'utilisateur)
  • l'état passif d'insécurité, c'est-à-dire lorsque l'administrateur (ou l'utilisateur) d'un système ne connaît pas les dispositifs de sécurité dont il dispose

Le but des agresseurs

Les motivations des agresseurs que l'on appelle communément "pirates" peuvent être multiples :

  • l'attirance de l'interdit
  • le désir d'argent (violer un système bancaire par exemple)
  • le besoin de renommée (impressionner des amis)
  • l'envie de nuire (détruire des données, empêcher un système de fonctionner)

Procédé des agresseurs

Le but des agresseurs est souvent de prendre le contrôle d'une machine afin de pouvoir réaliser les actions qu'ils désirent. Pour cela il existe différents types de moyens :

  • l'obtention d'informations utiles pour effectuer des attaques
  • utiliser les failles d'un système
  • l'utilisation de la force pour casser un système

Comment se protéger ?

 

  • se tenir au courant
  • connaître le système d'exploitation
  • réduire l'accès au réseau (firewall)
  • réduire le nombre de points d'entrée (ports)
  • définir une politique de sécurité interne (mots de passe, lancement d'exécutables)
  • déployer des utilitaires de sécurité (journalisation)

Qu'est-ce qu'un pare-feu?

Un pare-feu (appelé aussi coupe-feu, garde-barrière ou firewall en anglais), est un système permettant de protéger un ordinateur ou un réseau d'ordinateurs des intrusions provenant d'un réseau tiers (notamment internet). Le pare-feu est un système permettant de filtrer les paquets de données échangés avec le réseau, il s'agit ainsi d'une passerelle filtrantecomportant au minimum les interfaces réseau suivante :

  • une interface pour le réseau à protéger (réseau interne) ;
  • une interface pour le réseau externe.

Pare-feu

Le système firewall est un système logiciel, reposant parfois sur un matériel réseau dédié, constituant un intermédiaire entre le réseau local (ou la machine locale) et un ou plusieurs réseaux externes. Il est possible de mettre un système pare-feu sur n'importe quelle machine et avec n'importe quel système pourvu que :

  • La machine soit suffisamment puissante pour traiter le traffic ;
  • Le système soit sécurisé ;
  • Aucun autre service que le service de filtrage de paquets ne fonctionne sur le serveur.

Dans le cas où le système pare-feu est fourni dans une boîte noire « clé en main », on utilise le terme d'« appliance ».

Fonctionnement d'un système pare-feu

Un système pare-feu contient un ensemble de règles prédéfinies permettant :

  • D'autoriser la connexion (allow) ;
  • De bloquer la connexion (deny) ;
  • De rejeter la demande de connexion sans avertir l'émetteur (drop).

L'ensemble de ces règles permet de mettre en oeuvre une méthode de filtrage dépendant de la politique de sécurité adoptée par l'entité. On distingue habituellement deux types de politiques de sécurité permettant :

  • soit d'autoriser uniquement les communications ayant été explicitement autorisées :
    "Tout ce qui n'est pas explicitement autorisé est interdit".
  • soit d'empêcher les échanges qui ont été explicitement interdits.

La première méthode est sans nul doute la plus sûre, mais elle impose toutefois une définition précise et contraignante des besoins en communication.

Le filtrage simple de paquets

Un système pare-feu fonctionne sur le principe du filtrage simple de paquets (en anglais « stateless packet filtering »). Il analyse les en-têtes de chaque paquet de données (datagramme) échangé entre une machine du réseau interne et une machine extérieure.

Ainsi, les paquets de données échangée entre une machine du réseau extérieur et une machine du réseau interne transitent par le pare-feu et possèdent les en-têtes suivants, systématiquement analysés par le firewall :

  • adresse IP de la machine émettrice ;
  • adresse IP de la machine réceptrice ;
  • type de paquet (TCP, UDP, etc.) ;
  • numéro de port (rappel: un port est un numéro associé à un service ou une application réseau).

Les adresses IP contenues dans les paquets permettent d'identifier la machine émettrice et la machine cible, tandis que le type de paquet et le numéro de port donnent une indication sur le type de service utilisé.

Le tableau ci-dessous donne des exemples de règles de pare-feu :

Règle Action IP source IP dest Protocol Port source Port dest
1 Accept 192.168.10.20 194.154.192.3 tcp any 25
2 Accept any 192.168.10.3 tcp any 80
3 Accept 192.168.10.0/24 any tcp any 80
4 Deny any any any any any

Les ports reconnus(dont le numéro est compris entre 0 et 1023) sont associés à des services courants (les ports 25 et 110 sont par exemple associés au courrier électronique, et le port 80 au Web). La plupart des dispositifs pare-feu sont au minimum configurés de manière à filtrer les communications selon le port utilisé. Il est généralement conseillé de bloquer tous les ports qui ne sont pas indispensables (selon la politique de sécurité retenue).

Le port 23 est par exemple souvent bloqué par défaut par les dispositifs pare-feu car il correspond au protocole Telnet, permettant d'émuler un accès par terminal à une machine distante de manière à pouvoir exécuter des commandes à distance. Les données échangées par Telnet ne sont pas chiffrées, ce qui signifie qu'un individu est susceptible d'écouter le réseau et de voler les éventuels mots de passe circulant en clair. Les administrateurs lui préfèrent généralement le protocole SSH, réputé sûr et fournissant les mêmes fonctionnalités que Telnet.

Le filtrage dynamique

Le filtrage simple de paquets ne s'attache qu'à examiner les paquets IP indépendamment les uns des autres, ce qui correspond au niveau 3 du modèle OSI. Or, la plupart des connexions reposent sur le protocole TCP, qui gère la notion de session, afin d'assurer le bon déroulement des échanges. D'autre part, de nombreux services (le FTP par exemple) initient une connexion sur un port statique, mais ouvrent dynamiquement (c'est-à-dire de manière aléatoire) un port afin d'établir une session entre la machine faisant office de serveur et la machine cliente.

Ainsi, il est impossible avec un filtrage simple de paquets de prévoir les ports à laisser passer ou à interdire. Pour y remédier, le système de filtrage dynamique de paquetsest basé sur l'inspection des couches 3 et 4 du modèle OSI, permettant d'effectuer un suivi des transactions entre le client et le serveur. Le terme anglo-saxon est « stateful inspection » ou « stateful packet filtering », traduisez « filtrage de paquets avec état ».

Un dispositif pare-feu de type « stateful inspection » est ainsi capable d'assurer un suivi des échanges, c'est-à-dire de tenir compte de l'état des anciens paquets pour appliquer les règles de filtrage. De cette manière, à partir du moment où une machine autorisée initie une connexion à une machine située de l'autre côté du pare-feu; l'ensemble des paquets transitant dans le cadre de cette connexion seront implicitement acceptés par le pare-feu.

Si le filtrage dynamique est plus performant que le filtrage de paquets basique, il ne protège pas pour autant de l'exploitation des failles applicatives, liées aux vulnérabilités des applications. Or ces vulnérabilités représentent la part la plus importante des risques en terme de sécurité.

Le filtrage applicatif

Le filtrage applicatif permet de filtrer les communications application par application. Le filtrage applicatif opère donc au niveau 7 (couche application) du modèle OSI, contrairement au filtrage de paquets simple (niveau 4). Le filtrage applicatif suppose donc une connaissance des protocoles utilisés par chaque application.

Le filtrage applicatif permet, comme son nom l'indique, de filtrer les communications application par application. Le filtrage applicatif suppose donc une bonne connaissance des applications présentes sur le réseau, et notamment de la manière dont elle structure les données échangées (ports, etc.).

Un firewall effectuant un filtrage applicatif est appelé généralement « passerelle applicative » (ou « proxy »), car il sert de relais entre deux réseaux en s'interposant et en effectuant une validation fine du contenu des paquets échangés. Le proxy représente donc un intermédiaire entre les machines du réseau interne et le réseau externe, subissant les attaques à leur place. De plus, le filtrage applicatif permet la destruction des en-têtes précédant le message applicatif, ce qui permet de fournir un niveau de sécurité supplémentaire.

Il s'agit d'un dispositif performant, assurant une bonne protection du réseau, pour peu qu'il soit correctement administré. En contrepartie, une analyse fine des données applicatives requiert une grande puissance de calcul et se traduit donc souvent par un ralentissement des communications, chaque paquet devant être finement analysé.

Par ailleurs, le proxy doit nécessairement être en mesure d'interpréter une vaste gamme de protocoles et de connaître les failles afférentes pour être efficace.

Enfin, un tel système peut potentiellement comporter une vulnérabilité dans la mesure où il interprète les requêtes qui transitent par son biais. Ainsi, il est recommandé de dissocier le pare-feu (dynamique ou non) du proxy, afin de limiter les risques de compromission.

Notion de pare-feu personnel

Dans le cas où la zone protégée se limite à l'ordinateur sur lequel le firewall est installé on parle de firewall personnel (pare-feu personnel).

Ainsi, un firewall personnel permet de contrôler l'accès au réseau des applications installées sur la machine, et notamment empêcher les attaques du type cheval de Troie, c'est-à-dire des programmes nuisibles ouvrant une brêche dans le système afin de permettre une prise en main à distance de la machine par un pirate informatique. Le firewall personnel permet en effet de repérer et d'empêcher l'ouverture non sollicitée de la part d'applications non autorisées à se connecter.

Les limites des firewalls

Un système pare-feu n'offre bien évidemment pas une sécurité absolue, bien au contraire. Les firewalls n'offrent une protection que dans la mesure où l'ensemble des communications vers l'extérieur passe systématiquement par leur intermédiaire et qu'ils sont correctement configurés. Ainsi, les accès au réseau extérieur par contournement du firewall sont autant de failles de sécurité. C'est notamment le cas des connexions effectuées à partir du réseau interne à l'aide d'un modem ou de tout moyen de connexion échappant au contrôle du pare-feu.

De la même manière, l'introduction de supports de stockage provenant de l'extérieur sur des machines internes au réseau ou bien d'ordinateurs portables peut porter fortement préjudice à la politique de sécurité globale.

Enfin, afin de garantir un niveau de protection maximal, il est nécessaire d'administrer le pare-feu et notamment de surveiller son journal d'activité afin d'être en mesure de détecter les tentatives d'intrusion et les anomalies. Par ailleurs, il est recommandé d'effectuer une veille de sécurité (en s'abonnant aux alertes de sécurité des CERT par exemple) afin de modifier le paramétrage de son dispositif en fonction de la publication des alertes.

La mise en place d'un firewall doit donc se faire en accord avec une véritable politique de sécurité.

Produits relatifs

NetGear ProSafe VPN Firewall  NetGear ProSafe VPN Firewall 8 FVS114 sur Cdiscount
Caractéristiques techniques de NetGear ProSafe VPN Firewall 8 FVS114
Routeur
Donnez votre avis
72.05 €
Cdiscount
3Com OfficeConnect ADSL Wireless  3Com OfficeConnect ADSL Wireless 54 Mbps 11g Firewall Router sur PriceMinister
Caractéristiques techniques de 3Com OfficeConnect ADSL Wireless 54 Mbps 11g Firewall Router
Routeur
Donnez votre avis
73.00 €
PriceMinister
TRENDnet Wireless N-Draft Firewall  TRENDnet Wireless N-Draft Firewall Router sur Actualis.com
Caractéristiques techniques de TRENDnet Wireless N-Draft Firewall Router
Routeur
Donnez votre avis
86.39 €
Actualis.com
firewall Plus de produits sur « firewall »



Ajouter un commentaire

Vous utilisez un logiciel de type AdBlock, qui bloque le service de captchas publicitaires utilisé sur ce site. Pour pouvoir envoyer votre message, désactivez Adblock.

Créer un site gratuit avec e-monsite - Signaler un contenu illicite sur ce site