Les réseaux

architecture des réseaux

Les modèles avec leurs protocoles et règles

l’adressage

Les adresses publiques, privées, qu’est-ce qu’une IP ?

le transfert

Les requêtes HTTP, HTTPS, www

le matériel

Serveur, routeur, box …

la sécurité

Pare feu, proxy, VPN, piratage adresse IP

Privé ou public, l’architecture d’un réseau se définit en 2 catégories

On distingue le « hardware » avec ses règles matérielles, qui sont appelées “normes”, et le « software » avec ses règles logicielles, qui sont appelées “protocoles”

Les modèles “tcp/ip” et “osi”

Ce sont les deux types d’architectures utilisées par tous les informaticiens réseaux

  • Le modèle “TCP/IP” (Transmission Control Protocol / Internet Protocol ) est constitué de 4 couches
  • Le modèle “OSI” (Open Systems Interconnection) est constitué de 7 couches
  • Dans la pratique, le modèle OSI est théorique, donc le modèle réellement utilisé est TCP/IP
  • Le protocole TCP sert au transport des données
  • Le protocole IP sert à savoir d’où viennent, et où vont les données, c’est l’adressage

principe

  • Les données sont “encapsulées”, c’est-à-dire mises en forme, de manière à pouvoir être reconnues et interprétées pour tous les types de serveurs
  • Elles circulent sur les réseaux par “paquets”, de serveur à serveur, en passant par beaucoup de routeurs
    Un paquet est constitué d’un entête et des données
  • Les routeurs acceptent de relayer des paquets qui ne leur sont pas destinés (couche 3)
    Un serveur fournit un service (couche 4), et utilisera la partie du paquet qui lui est réservé, et transmettra à nouveau le paquet vers un autre serveur
  • Toutes les consignes : accès au réseau, circulation sur l’internet, transport, et applications sont définis par plusieurs protocoles, ceux du modèle TCP/IP

l’accès au réseau – couche 1 du modèle tcp/ip

  • Le protocole « Ethernet » sert à l’acheminement des données par voie filaire des postes de travail jusqu’aux routeurs qui sont en fin de l’architecture locale
    Il répond à une norme internationale : ISO/IEC 802-3
  • Le protocole « Wifi » sert à l’acheminement des données par voie aérienne
    Idem que pour le protocole Ethernet, l’acheminement se fait jusqu’aux routeurs en fin d’architecture locale
    Il répond à une série de normes du groupe IEEE 802.11

le réseau (ou internet) – couche 2 du modèle tcp/ip

  • Le protocole IP sert à l’adressage des données
  • Le protocole « ICMP » (Internet Control Message Protocol) sert à la gestion des erreurs
  • Le protocole « DHCP » (Dynamic Host Configuration Protocol) sert à assurer la configuration automatique des paramètres IP des machines d’un réseau

le transport – couche 3 du modèle tcp/ip

  • Le protocole TCP, un des plus importants, sert à remettre en ordre les données, à faire circuler simultanément les informations provenant de sources différentes (“le multiplexage”), à vérifier le flot des données afin d’éviter une saturation, et à communiquer toutes les informations de façon sûre, grâce aux accusés de réception
    L’établissement d’une connexion TCP se fait en 3 temps :
    – La machine à l’origine de la demande établit une connexion avec une machine distante, avec le “flag” « SYN » (Synchronisation)
    – La machine réceptrice de la demande, accepte et envoie un accusé de réception, avec le “flag” « SYN ACK » (Synchronisation & Aknowledgment)
    – Enfin, la machine à l’origine de la demande, accepte et envoie un accusé de réception, avec le “flag” « ACK » seul
  • Le protocole «UDP » (User Datagram Protocol) est la version simplifiée du protocole TCP, il effectue moins de vérifications, dans le but d’être plus rapide, c’est donc une alternative à celui-ci
    Il est utilisé pour les requêtes DNS, les connexions VPN et le streaming audio et vidéo

l’application – couche 4 du modèle tcp/ip

  • Le protocole « HTTP » (Hypertext Transfer Protocol) sert au transfert des fichiers de requêtes
    Du côté “client”, c’est le navigateur qui gère la réception et transmission de ces fichiers de requêtes, par exemple lorsque l’on consulte un site web
  • Le protocole « FTP » (File transfert Protocol) sert, comme avec le HTTP, au transfert des fichiers de requêtes
    Ces transferts se font grâce un logiciel réservé à cet usage, et non par le navigateur, ce qui permet d’accéder directement aux espaces de stockage d’un serveur
  • Le protocole « POP » (Post Office Protocol) permet de récupérer les courriers électroniques situés sur un serveur de messagerie (emails)
  • Le protocole « SMPT » (Simple Mail Transfer Protocol) sert à envoyer les courriers électroniques vers un serveur de messagerie
  • Le protocole « SNMP » (Simple Network Management Protocol) sert aux administrateurs réseau à gérer les équipements du réseau, à superviser et à diagnostiquer les problèmes réseau et le matériel à distance
  • Les protocoles « SSH » (Secure Shell), “SSL” (Secure Sockets Layer), et “TLS” (Transport Layer Security), ce dernier étant le successeur de SSL, servent à imposer un échange avec clés de chiffrement, et vérifications par certificats d’authenticité
  • Le protocole « DNS » Domain Name System) sert à effectuer la résolution des noms de domaine, en trouvant l’adresse IP qui est associée

Le “protocole IP” (couche 2 du modèle TCP/IP) sert à l’adressage des paquets transmis

Un serveur a besoin de savoir d’où vient une requête, et où renvoyer le résultat de cette requête

les adresses “MAc” (Media Access Control)

  • Chaque carte réseau est identifiée grâce une adresse « MAC », attribuée par le fabricant de cette la carte, par exemple A8-A1-59-0A-C6-7E
  • Elle sert à identifier le matériel sur le réseau, concrètement ce n’est pas le PC qui est identifié, mais sa carte réseau
  • Chaque adresse MAC a une adresse IP correspondante, cette dernière servant au protocole d’adressage, et sa mise en forme pour que tout serveur puisse l’interpréter
    Le protocole “ARP” (Address Resolution Protocol) s’occupe de fournir les correspondances entre adresses IP et adresses MAC

les adresses ip

  • Un réseau local, ou réseau privé, est une infrastructure qui n’est pas directement connectée au web
    Ce peut être un seul ou plusieurs PC à la maison
    Ce peut être aussi un réseau privé d’entreprise ou de collectivité, avec des PC et des Serveurs
  • Chaque poste du réseau privé possède sa propre IP, elle est appelée “LAN” (Local Area Network)
  • L’ensemble des postes du réseau privé ne possède qu’une seule et même IP publique, elle est appelée “WAN” (Wide Area Network)
  • Les IP LAN sont attribuées statiquement par un routeur “DHCP” (Dynamic Host Configuration Protocol), elles sont fixes
    Les IP WAN sont attribuées dynamiquement, également par un routeur DHCP, elles sont variables
  • Le “FAI” (Fournisseur d’Accès Internet) attribue une IP WAN à sa Box internet, qui elle-même va attribuer plusieurs IP LAN, aux équipements internes de la Box (wifi, serveur “NAS”)
  • Elle va également attribuer une IP WAN unique pour l’ensemble des postes formant le réseau (même s’il n’y en a qu’un seul)
    Et autant d’IP LAN qu’il y a de postes sur le réseau local
    La Box internet sert de “passerelle” d’entrées-sorties
  • En réseau d’entreprise, ou de collectivité, l’ensemble du matériel (postes de travail, serveurs, switchs) est connecté, de la même manière, à une passerelle d’entrées-sorties
    Cette passerelle est équipée d’un “modem”, et ce peut être une Box internet ou un routeur satellitaire du type Vsat
  • Votre réelle IP WAN détectée (même cachée derrière un VPN) :
18.117.8.175
  • Les IP LAN & WAN se présentent sous forme ipv4
  • Une ipv4 se compose d’une série de 4 fois 3 chiffres, par exemple 138.199.16.54, qui sont 4 octets (de 8bits), donc une série de 32 bits, appelée “masque”
  • Elle est interprétée en binaire, mais affichée en décimal, pour simplifier la lecture et éviter les erreurs humaines, puisqu’en binaire cela s’écrit 10001010.11000111.10000.110110, pour cette même adresse
  • Les limitations vont de 1.0.0.1 à 255.255.255.255, puisqu’un octet peut avoir au maximum 255 combinaisons différentes
  • Cette IP est complétée par un masque de sous réseau, servant à multiplier le nombre de machines sur un réseau local
    Le plus souvent laissée à sa valeur par défaut 255.255.255.255, sauf dans une infrastructure d’un réseau local très dense
  • Ou sous forme ipv6
  • Les ipv4 arrivant à saturation, avec l’augmentation incessante des machines dans le monde, une nouvelle norme, en parallèle est venue pallier à ce problème, l’ipv6
    Les 2 sont utilisées conjointement, avec l’idée de supprimer l’ipv4 dans le futur, pour ne garder que l’ipv6
  • Une “ipv6” se compose d’une série de 8 fois 4 chiffres et lettres, elle est affichée en valeur hexadécimale, par exemple 2001:0620:0000:0000:0211:24FF:FE80:C12C, qui sont 8 octets (de 16 bits) en binaire, donc une série de 128 bits
  • Étant donné les nombres de combinaisons possibles, il ne semble pas y avoir de limites
  • L’IP LAN
  • Elle n’est jamais visible sur le web, seule l’IP publique l’est
  • Une IP privée commence toujours par un octet 192, 10, 172, 1, ou 255, qui sert à reconnaître qu’il s’agit d’un réseau local
  • Les 3 octets suivants identifient la machine
  • Le dernier octet distingue les machines les unes des autres
  • L’IP WAN
  • La gestion mondiale des IP publiques est faite par l’ « ICANN » (Internet Corporation for Assigned Names and Numbers), qui attribue les plages d’IP aux FAI mondiaux, et garde en réserve certaines plages pour des organismes du type armée, sécurité d’état …
  • Chaque FAI, à son tour délivre une adresse libre de cette plage à chacun de ses clients
  • Une IP WAN n’est jamais fixe, sauf si on en fait la demande, ce qui est fortement déconseillé d’un point de vue sécurité
  • 1ère façon, pour une IP LAN, sur un poste unique

Taper : cmd

Taper : ipconfig /all

  • L’adresse physique est l’adresse MAC de la carte réseau
  • L’adresse ipv4 est l’IP LAN
  • 2ème façon, pour les IP LAN et WAN, sur un poste unique
  • 3ème façon, pour une IP WAN, la même sur tous les postes

Beaucoup de sites en ligne donnent des infos détaillées : IP, localisation, type de navigateur et sa version …

  • 4ème façon, pour les IP LAN, de tous les postes du réseau local
  • Sélectionner la plage d’IP à parcourir
  • Les adresses actives seront affichées avec leurs identifications
  • “ASROCK” est le “nom de l’appareil” de Windows10, donné à un des PC
  • Si certaines adresses en cours d’utilisation apparaissent sans nom, c’est qu’il s’agit de matériel connecté, comme des prises domotiques wifi …
  • La commande utilisée par “Angry IP Scanner” est “ping” suivi de l’IP, qui envoie une requête à la carte, et attend sa réponse
    On peut effectuer cette commande manuellement pour toute adresse IP, qu’elle soit LAN ou WAN
  • C’est un excellent moyen pour chercher rapidement un problème sur le réseau, panne de matériel, câble débranché …

Le protocole HTTP (couche 4 du modèle TCP/IP) sert aux transferts des paquets de données

Un serveur a besoin de savoir comment envoyer les requêtes, quelles parties d’une requête lui sont attribuées, et ce qu’il doit en faire, après réception

PRINCIPE DE FONCTIONNEMENT

  • La mise en forme de la requête
  • Un internaute fait une recherche, ou entre directement une adresse dans la barre d’URL, par exemple automobile.fr, c’est le “hostname”
  • Ce hostname est composé du nom et de son extension : .com, .fr, .org, .edu, .gov, .net …
    D’un point de vue informatique, c’est la logique inverse, c’est-à-dire que l’extension est le niveau supérieur, et le nom de domaine est le niveau inférieur
    Le niveau supérieur est appelé « TLD » (Top Level Domain)
    Le nom absolu est le « FQDN » (Fully Qualified Domain Name), avec cet exemple “automobile”
  • Le hostname tapé directement dans la barre d’URL (ou le lien résultant d’une recherche), une fois lancé, devient une requête, https://www.automobile.fr
    Cette requête est automatiquement mise en forme par le navigateur
  • Le protocole HTTP est reformaté en HTTPS, en utilisant les protocoles SSH, SSL et TLS
    Le HTTPS est devenu une pratique adoptée par tous, depuis plusieurs années, elle consiste à chiffrer les données, ce qui n’est pas le cas en HTTP
    En effet, les données non chiffrées peuvent être interceptées par des pirates, et tout ce qui s’y trouve, y compris les mots de passe, qui peuvent être lus
    Cela nécessite toutefois que le gestionnaire du site ai bien configuré la redirection, car on trouve encore des sites non sécurisés, en http
  • Ainsi les requêtes entrées par l’internaute : http://www.automobile.fr ou www.automobile.fr seront automatiquement transformés en https://www.automobile.fr
  • Concernant le “www” (World Wide Web), il est parfois est présent, ou pas
    Par le passé, cet acronyme indiquait qu’il s’agissait d’un site web
    Il s’agit en réalité d’un sous-domaine de site web, et aujourd’hui plus besoin d’informer les utilisateurs, donc ce www ne devrait plus apparaître nulle part
    Tout comme avec le HTTP, redirigé en HTTPS, les gestionnaires devraient toujours utiliser la redirection 301 pour plus d’homogénéité et de confort, afin que ce www ne soit plus à entrer, ce qui n’est pas toujours le cas
  • Ainsi les requêtes faites par l’internaute sans le www, sur certains sites mal configurés, aboutissent malheureusement sur 2 types d’erreurs

Vérifier la disponibilité d’un nom de domaine :

  • Les transferts
  • Lorsque l’on entre un nom domaine dans l’URL, le navigateur envoie cette requête au serveur de notre FAI
  • Le serveur du FAI la renvoie à un serveur spécialisé, le serveur “DNS” (Domain Name System), sa seule fonction est d’établir une correspondance entre un nom de domaine et une adresse IP
    Le serveur DNS renvoie l’IP identifiée au serveur du FAI qui en a fait la demande
    Par exemple amazon.fr devient 52.95.120.39
  • Avec cette IP, il va pouvoir envoyer la requête que nous avons effectuée au serveur d’hébergement du site web, à savoir celui d’Amazon en France
  • La requête (une page web) retourne au alors serveur du FAI, qui, pour finir, la restitue à notre navigateur
  • Tout ce processus est évidemment très rapide, et dépend du débit de notre liaison internet (ADSL, fibre optique …) et de tous les serveurs intermédiaires (routeurs)
  • Encapsulation de paquets
  • Les échanges entre serveurs ne se font pas au “coup par coup”, mais en continu, par paquets
  • Chaque paquet est “encapsulé”, c’est-à-dire qu’il est composé d’un entête, avec tous ses protocoles (adressage, transport, sécurité …), d’autres vérifications de sécurité locales, et des données
  • A chaque niveau, le paquet de données change d’aspect, donc de nom
    – au niveau couche Application, il est appelé « message »
    – au niveau Transport, il est encapsulé, et appelé « segment »
    – au niveau Internet, il est appelé « datagramme »
    – au niveau Accès réseau, il est appelé « trame »
  • Une encapsulation prend donc cette forme :
    adresse MAC de destination / adresse MAC source / protocole internet (couche3) / entête (couche 3) / entête (couche 4) / données / CRC
  • Le “CRC” (Cyclic Redundancy Check) est un calcul mathématique correspondant à la trame, le CRC d’envoi et de réception doit être le même sinon apparaît un message d’erreur “bad CRC”
  • L’installation d’un réseau “torrent” “p2p” (peer to peer), du type “uTorrent”, n’est pas sans risques
    Un bon nombre de protocoles, liés au transport et à la sécurité sont différents, et véhiculent les requêtes en HTTP
    Ce qui ouvre les possibilités d’être facilement interceptées, soit par des organismes de contrôle (Arcom, ex Hadopi), et par des pirates y insérant des Malwares (cheval de Troie)
  • Changer son DNS
  • Comme pour le DHCP, le FAI attribue dynamiquement une adresse DNS à notre système, vers un serveur de son choix
  • Ce serveur DNS peut s’avérer lent et non sécurisé
    Le FAI pourra ainsi voir toutes les requêtes effectuées (sites consultés), ainsi que toutes les applications utilisées
    Certains fournisseurs de DNS vendent leurs données aux datas brokers, afin de cibler la publicité
    Selon l’emplacement du serveur DNS, on obtiendra de meilleures performances de connexion
    L’utilisation de certains serveurs DNS nous protégera également contre les attaques de sécurité telles que les ransomwares, le phishing, les logiciels malveillants …
  • Une 2ème IP est à configurer, servira de solution de remplacement si la 1ère est inaccessible
  • Autant de raisons pour choisir un autre serveur DNS, plus neutre
  • Google Public DNS
    Fiable, mais toujours le même problème avec la collecte de données …
    8.8.8.8 et 8.8.4.4
  • Open DNS
    Fourni par Cisco, le leader sur le marché des réseaux
    208.67.222.222 et 208.67.220.220
  • AdGuard DNS
    Très bon bloqueur de publicités
    176.103.130.130 et 176.103.130.132
  • Quad9
    Est également de bon niveau
    9.9.9.9
  • Cloudfare
    Est celui qui promet d’être le plus rapide et s’engage à ne pas revendre les données
    1.1.1.1 et 1.0.0.1

Suivant la version de Windows 10

Entrer : 1.1.1.1 et 1.0.0.1

Entrer : 2606:4700:4700:1111

les ports

  • Un port est l’adresse d’une application réseau sur une machine, il permet, lorsqu’il est ouvert, de laisser les applications communiquer avec internet
    On peut faire l’analogie avec les portes d’une maison, servant à entrer, sortir, ou bloquer la circulation
  • Ils sont sont codés en décimal sur 2 octets, donc “2 puissance 16” = 65536 ports d’applications disponibles
  • Notre navigateur est un client web qui fait toujours ses requêtes sur le port 80
  • Les ports réservés (pour les principaux) sont :
    80 HTTP
    21 FTP
    22 SSH (HTTPS)
    25 SMTP
    53 DNS
    63 whois
    110 POP3
  • Les attaques pirates, par intrusion du réseau, se font en utilisant un port ouvert (en écoute)
    Un scan des ports est alors pratiqué pour en trouver un mal sécurisé (faille de sécurité)

Taper : cmd

Taper : netstat -a -n -o

  • La première colonne indique le type de connexion TCP ou UDP
  • La 2ème, l’IP locale, et son port correspondant
  • La 3ème, l’IP distante, et son port correspondant
  • La 4ème, l’état de la connexion
    – “LISTENING” : socket ouvert, l’application et le port sont en écoute
    – “ESTABLISHED” : connexion établie
    – “FIN_WAIT” & “CLOSE_WAIT” : la connexion distante est en cours de fermeture
    – “TIME_WAIT” : en attente pour fermer la connexion définitivement
  • La 5ème, le “PID” (Process IDentifier) sert à identifier les processus si éventuellement deux processus ont le même nom
  • Identifier ensuite quelles sont ces connexions
  • Dans cet exemple Firefox a plusieurs connexions ouvertes, cela correspond aux différentes extensions installées

Ou autre méthode, plus rapide …

Surveillance de l’utilisation des ports

la mise en “cache”

  • Si l’on revient sur le processus de transfert des données, une procédure vient s’y ajouter, c’est la mise en “cache”
  • Un cache correspond à un stockage local de données reçues précédemment, dans des fichiers temporaires, la réponse du serveur est enregistrée localement dans le navigateur du visiteur
  • Cela permet l’amélioration des performances aussi bien du côté client, que du côté propriétaires de sites, grâce à la réduction du temps de réponse et à la diminution de la consommation de la bande passante
  • Un cache privé est un cache qui n’appartient qu’à un seul navigateur, par conséquent, tous les navigateurs non partagés ont des caches privés, puisque chaque utilisateur possède son propre historique de recherche
  • Un cache partagé est un cache qui a été mis en place à un plus haut niveau et qui a vocation à être utilisé par plusieurs utilisateurs
    Lorsqu’un utilisateur effectue une requête HTTP, elle n’arrive pas directement au serveur, elle passe généralement par de nombreux “proxies” (serveurs intermédiaires)
    Les proxies servent de filtres, si bien que plusieurs utilisateurs, via des navigateurs différents, peuvent consulter les mêmes données en cache
  • Il existe une grande variété d’architectures et de configurations de caches déployés sur le web, au sein de grandes organisations, telle que Google, des hiérarchies Nationales, ou Internationales de “caches de proxies », visant à pour économiser la bande passante transocéanique
  • Ainsi, même si une page web n’existe plus (site web fermé, par exemple), mais qu’elle est toujours référencée (indexée par le moteur de recherche), il est possible de la consulter en cache
  • Pour vider le cache DNS

Taper : cmd

Taper : ipconfig / flushdns

  • Pour visualiser l’emplacement du stockage de cache du navigateur (et supprimer les fichiers manuellement)

la vitesse de transmission & la bande passante

  • La vitesse de transmission va dépendre de beaucoup de paramètres liés au matériel
    Les critères s’appliquent à la distribution sur le réseau, bas débit (ADSL), ou haut débit (fibre optique), mais aussi aux performances de l’installation locale (câbles, cartes réseau, wifi …)
  • La bande passante est un filtre commercial appliqué par le FAI, en fonction de l’offre souscrite
    Concrètement elle pourra être bridée si l’offre souscrite est inférieure aux possibilités réelles
  • La vitesse de réception (ou “download”) est celle à laquelle les requêtes sont envoyées du serveur d’hébergement à la Box internet, puis au navigateur
  • La vitesse d’envoi (ou “upload”) est celle à laquelle les requêtes sont envoyées dans le sens inverse
  • La vitesse de réception est normalement toujours supérieure à celle d’envoi (ce qui n’est pas le cas avec cet exemple)
    Pour cela nous avons plus besoin d’alimenter le navigateur de ressources internet, que d’envoyer des données vers les serveurs
  • La latence est le temps de réponse, qui doit être le plus faible possible, le “ping”

Avec cet exemple, télécharger un film de 950 Mo prendra 950/330.5 (Mégabits/s) = 2.87s

Taper : ncpa.cpl / details


La vitesse indiquée (bande passante) est le maximum de livraison par le FAI, suivant le forfait commercial, ici 1 Gbits/s

Les performances d’un réseau reposent sur celles de ses équipements, pris individuellements, et collectivement

On distingue 2 groupes

Les équipements terminaux : postes de travail et serveurs

Et les équipements d’interconnexion : switchs et routeurs

  • Tous ces équipements ont une carte réseau pour pouvoir communiquer, à l’exception des switchs, qui n’en possèdent généralement pas (sauf exceptions)

La carte réseau


  • Elle est équipée d’un “modem” (modulateur-démodulateur) qui transforme les données logiques en signaux analogiques, ou l’inverse, pour le transport
  • Les données logiques sont le binaire informatique
  • Les signaux analogiques sont la lumière (pour les liaisons fibre optiques), le courant (pour les liaisons ethernet), ou les ondes électromagnétiques (pour les liaisons wifi)
  • Les 3 techniques sont accompagnées d’une norme générale correspondante, et de normes sous-jacentes (802.32, 802.34 …)
  • Le problème majeur des communications sans fil est la sécurité
    En Wifi, les messages transitent dans l’air, ce qui veut dire que potentiellement n’importe qui peut les lire
    Pour éviter ce désagrément, des mécanismes de chiffrement ont été mis en place, comme l’usage d’une clé de type WPA (Wifi Protected Access)
    Ce protocole a été renforcé au fil des ans, suite à différentes vulnérabilités face aux attaques pirates, la plus sûre actuellement étant WPA3

Le “switch”, ou commutateur

  • Il sert à connecter les câbles ethernet des postes d’un réseau privé, comme le fait une multiprise pour les prises électriques
  • Peut recevoir de 4 à 52 ports de connexions, avec ou sans carte réseau, programmable ou non
  • Ce n’est pas un équipement de stockage, seulement d’interconnexion
  • A la maison, cet équipement est indispensable si l’on ne veut pas utiliser le wifi
    Il faut le connecter juste derrière la Box internet, et redistribuer ainsi toutes les pièces de la maison en ethernet

Le routeur, ou passerelle

  • Il sert à connecter les réseaux entre eux, réseaux privés et réseau public
  • Comme la carte réseau, le routeur est équipé d’un “modem” (modulateur – démodulateur), qui transforme les données logiques en signaux analogiques, ou l’inverse, pour le transport
  • Les transports des signaux se font par voie filaire (ethernet), par ondes électromagnétiques (wifi et satellites), ou par lumière (fibre optique)
  • Internet est constitué d’une multitude de routeurs, comme une toile d’araignée
  • Lorsqu’une liaison entre 2 routeurs est défectueuse ou surchargée, le cheminement se fait immédiatement de manière différente, c’est “le routage”
  • Il est facile de visualiser ce routage
  • Reprenons l’exemple du site Amazon France, après un “ping” sur amazon.fr, l’IP DNS est 52.95.116.113
  • En tapant : tracert 52.95.116.113 nous auront les IP des routeurs successifs, en partant de notre IP privée, avec un maximum de 30 connexions (30 sauts)
  • On peut remarquer que certaines connexions ont posé problème, avec un “délai d’attente dépassé”

Le serveur

  • L’élément essentiel du stockage de masse, on le trouve à l’unité dans les petites structures, ou agencé dans en baies dans les “datas centers”
  • Les services les plus courants sont l’hébergement des ressources web, le courrier électronique, le partage de périphériques, les bases de données, la gestion de l’authentification et du contrôle d’accès …

La box internet

C’est le “couteau Suisse” du réseau, puisqu’elle est composée de tous les éléments regroupés en un seul boitier

  • Pour un complément d’information sur les réseaux …
  • Attention problème d’accès au site avec un VPN

Pour créer son propre réseau à la maison, et connecter ensemble la Box internet, les PC, et autres matériels …

Bien que les particuliers soient moins visés que les entreprises au niveau de la sécurité réseau, il faut rester vigilant

Bien connaître les failles, et leurs conséquences, permet de mener les actions nécessaires …

le pare feu

Son rôle est de bloquer tous les ports, et de laisser ouverts ceux qui sont nécessaires

Autoriser les applications à s’exécuter, et définir les règles et filtres, entrants et sortants

Le piratage avec une adresse ip

  • La Box internet utilise un pare-feu, et le protocole « NAT » (Networm Address Translation), qui sert a l’adressage de l’IP WAN vers les IP LAN
  • C’est donc l’IP WAN de la Box internet qui fait la requête aux différents serveurs web, et non l’IP LAN du poste de travail, ce procédé porte le nom de « mascarade IP », ainsi les IP LAN sont protégées
  • De plus, le pare-feu de la Box bloque, ou autorise les ports d’accès au système
  • Le piratage par intrusion sur le réseau privé est peu probable, car cela demande beaucoup de difficultés à un pirate, pour peu de profit, donc pas intéressant
  • Une autre possibilité est de tenter une intrusion par le wifi, en essayant de trouver le mot de passe de la clé de chiffrement
    Le pirate doit alors se trouver physiquement à proximité du domicile, ce qui risque de prendre beaucoup de temps pour une clé très sécurisée, en plus des raisons citées précédemment, cela est peu probable également
  • On peut en conclure que les IP LAN sont très sécurisées
  • Les machines “zombies”
  • Contrairement à l’IP LAN, l’IP WAN est accessible par tout le monde
  • Cette IP sert déjà à la géolocalisation, au ciblage d’envoi de pubs suite aux requêtes effectuées (visites de sites, cookies …), au pistage, à la censure (Netflix), ou encore au blocage sur certains site
  • Là-dessus peut s’ajouter l’intervention de pirates pour y installer un cheval de Troie
    Notre IP fera alors partie de listes visant à être utilisées pour une action malveillante, appelée “DDos” (Distributed Denial of service)
    La plupart des propriétaires d’ordinateurs zombies ne réalisent pas que leur système est employé de cette manière, car rien ne laisse paraître cet état
  • Le processus d’attaque consiste à utiliser toutes les machines zombies simultanément , en coordination avec des “botnets” (robots), pour ennoyer des requêtes en masse sur un site web
    Le très grand nombre de requêtes au même moment sature le serveur d’hébergement, rendant le site inaccessible, ce qui est tout à fait illégal et puni par la Loi
    On peut observer le même phénomène, cette fois légalement, lorsqu’il est fait la promotion d’un site dans un journal télévisé, de grande écoute, les téléspectateurs vont consulter le site, qui est surchargé, et ne répond plus !
  • Une autre utilisation des machines zombies sert à miner de la cryptomonnaie sans avoir à investir dans du couteux matériel, et donc en utilisant les ressources de millions de machines
  • Pour rappel, cette action est interdite et sévèrement punie par la Loi, et en aucun cas je n’encourage à participer, d’aucune manière, en cela !
  • Sur Tor il existe des sites qui vendent ce service DDos
  • Des listes d’adresses IP sont également revendues entre pirates
  • Comment est récupérée une IP WAN par un pirate ?
  • Sur les forums, réseaux sociaux … lorsqu’un internaute imprudent laisse apparaître volontairement son IP
  • Par un site web ayant eu une faille de sécurité, et dont les adresses emails, entre autres, ont été volées
    Ces adresses emails deviennent ensuite une cible pour l’envoi d’emails de phishing
  • Dans ces emails de phishing, très souvent les liens sont piégés, avec un enregistreur discret d’IP, ce sont les “Iploggers”
  • Ces liens cachés peuvent l’être sur une URL simple, à l’intérieur d’un document PDF, ou une photo
  • Dès que l’on clique sur le lien, qui aboutit généralement vers quelque chose de non inquiétant, comme “Linkedln”, l’enregistrement de l’IP est fait, et récupéré par le pirate
  • Il pourra ensuite installer son “Exploit” avec un autre outil, et tout cela sans éveiller l’attention

Le proxy

Un proxy, appelé aussi « serveur mandataire », est un serveur intermédiaire, positionné juste avant la passerelle d’entrées- sorties d’un réseau local, et internet, il participe à la sécurité de ce réseau en :

  • bloquant l’accès aux sites web enregistrés (liste noire), et aux logiciels malveillants
  • améliorant la réponse et les temps d’affichages des pages web, en les stockant en cache, à la place du navigateur
  • stockant les logs des sites visités, et des pages vues, permettant à l’administrateur du réseau de redéfinir la politique de sécurité du réseau, et d’intervenir auprès d’un utilisateur qui visite fréquemment des sites malveillants, ou sans rapport avec l’activité de l’entreprise
  • désactivant les cookies, les pop-ups, les bannières, les scripts, et les informations confidentielles en zone de saisie (identifiants et mots de passe)
  • masquant l’IP de l’utilisateur
  • Les serveurs proxies ne garantissent pas un anonymat à 100%, il est possible de retrouver notre adresse IP assez facilement (entêtes HTTP)
    De plus, les serveurs proxies gratuits ont mauvaise réputation car les propriétaires pourraient très bien espionner nos activités sans gêne

En conclusion, un proxy n’a pas un grand intérêt pour un particulier, ces serveurs sont plus réservés aux entreprises et aux institutions (collèges, lycées), qui ont des besoins de filtrage, il est quand même possible d’utiliser un proxy de manière ponctuelle, sans ne rien changer dans sa configuration du navigateur :

Pour prendre un exemple, le site du quotidien “Le monde” https://www.lemonde.fr/ , en accès normal, les cookies doivent être acceptés

En entrant l’URL du site dans “HMA”

  • Il est possible de choisir le serveur, ou de laisser en automatique
  • En de choisir les options : chiffrer l’URL et désactiver les cookies
    Attention, si on désactive les scripts, le site risque fortement d’être illisible, pas sur son contenu, mais sur sa mise en forme visuelle

L’accès est maintenant possible, n’importe où dans le monde, même sur un site bloqué

Le vpn

Un “VPN” (Virtual Private Network) est un réseau virtuel, qui permet de masquer notre adresse IP WAN, mais aussi de chiffrer les données

  • Le chiffrement se fait en AES-256, avec un handshake RSA 2048-bit, et une authentification HMAC SHA 256, pour la plupart
  • Les protocoles chiffrés sont le HTTP, le FTP et l’IMAP
  • Sans VPN notre IP est visible par tout le monde
  • Avec VPN notre IP peut être choisie dans n’importe quel pays du monde
  • Le VPN n’est pas un antivirus !
  • La plupart des services VPN enregistrent les vraies adresses IP des internautes (en tout cas celles utilisées pour visiter leur site) durant un certain temps, ce sont les « logs »
    Cela sert à réagir en cas de souci technique avec un compte, un serveur ou le service de manière générale, mais aussi à fournir ces informations sur demandes venant de la justice (ce que l’on appelle en France une “réquisition judiciaire”)
    Il est donc mieux de choisir un service VPN « no logs » qui n’enregistre aucune information, un surf anonyme supposé à « 100% »
  • Le protocole “WebRTC” (Web Real-Time Communication), utilisé sur certains sites web, permet de passer outre le serveur VPN, donc de désactiver l’anonymat
    Mais la contre-mesure est appliquée par certains fournisseurs VPN, en interdisant ce protocole
  • Ipleak permet de savoir s’il existe une fuite d’IP avec notre VPN
  • Il dresse la liste complète et détaillée des services : hostname, DNS, webrtc, scripts, extensions, traces, blacklists, navigateur …

Il y a 3 modes d’utilisation d’un VPN

  • En mode normal, c’est une extension ajoutée au navigateur , qui peut être activée ou désactivée très simplement
    Elle protège la navigation sur le web de surface
  • En mode “onion”, c’est l’application de bureau qui sera utilisée
    Elle protège la navigation sur Tor
  • En mode “peer to peer”, comme précédemment, avec l’application de bureau
    Elle protège spécifiquement ce type de transferts
  • Exemple avec “Nord VPN”
  • Après le paiement de l’abonnement, se connecter avec ses identifiants et installer l’extension correspondante dans le navigateur
  • Il suffit de choisir un pays de localisation virtuelle
  • Au besoin, on peut facilement se déconnecter
  • Dans les réglages il existe un bloqueur de WebRTC, donc le VPN sera toujours activé
  • Il y a aussi un bloqueur de Malwares intégré
  • Et une “Bypass list”, qui permet de ne pas utiliser le VPN, lorsqu’il est détecté comme un “botnet”, avec un accès interdit sur le site

Exemples d’accès refusé sur un site, suite à la détection du VPN

  • Le service VPN peut être installé également comme un programme classique, et l’on retrouve l’icône correspondante dans la barre des tâches, sur le bureau
  • Le principe est le même qu’avec l’extension du navigateur
  • La différence réside dans les 2 choix supplémentaires que sont “Onion Over VPN” et “P2P”
  • En effet il n’est pas envisageable d’activer des extensions dans Tor, ce qui annulerait le principe d’anonymat
  • On retrouve également les réglages, vus dans la version navigateur
  • Caractéristiques principales
  • Coût annuel d’environ 35€
  • Pas de conservation des logs, uniquement la date de connexion associée au compte est stockée (mais pas le serveur utilisé), donc pas de revente à des entreprises tierces
  • Pas de perte de débits (upload et download), ni de latence, quel que soit le pays choisi
  • Couverture mondiale, 42 pays (dont France, USA, Italie, Russie, Suède, Suisse …) avec plus de 550 serveurs
  • Utilisable pour 7 périphériques différents par abonnement (smartphones, tablettes, ordinateurs…), protection de toute la famille avec un seul abonnement
  • Lorsque le Block WebRTC ne fonctionne pas, il existe une alternative
  • Il existe des services VPN gratuits, avec des restrictions, ou payants, sans restrictions

Les points importants à vérifier avant de souscrire un abonnement sont :

  • Le pays où se situe le siège social, qui implique de suivre les Lois en vigueur du pays, notamment sur la conservation (ou pas) des logs
    Certains pays n’y sont pas soumis : Suisse, Panama
  • Un bloqueur WebRTC
  • Le coût annuel
  • Le nombre de périphériques autorisés
  • Celui-ci est un peu particulier car il utilise les adresses IP de chaque utilisateur comme vecteur, ainsi notre IP pourra servir à visiter des sites pas toujours recommandables …
  • Partage d’abonnement

Afin de réduire le coût d’un abonnement, il est possible d’opter pour cette solution 100% légale

  • VPN gratuit

Le seul VPN qui a l’avantage d’être gratuit, non limité, intégré au navigateur, mais l’inconvénient d’être lié a ce navigateur pas spécialement attractif d’un point de vue fonctionnalités

L’idée, peut être, est alors de l’utiliser en 2ème navigateur, si l’on ne veut pas investir, pas très pratique toutefois …

Vous avez aimé le contenu de cette page ?
[Total: 1]