Description d’une architecture

réseau d’entreprise

Identifier les composants d’une architecture réseau;

Cette activité vise les OS

Connaître les fonctions des différents composants
d’une architecture réseau;
 Réseau d'entreprise dans plusieurs emplacements physiques et géographiques.

Réseaux d’entreprise

Ferme Serveurs Ferme Serveurs

Ferme Serveurs
secondaires secondaires

LAN 2
Site Secondaire LAN 1
Siege
Succursale A

DMZ
Site Secondaire

Succursale B
LAN 3 Site Principal

INTERNET
Cœur de réseau
Site Secondaire
LAN 4

Ferme Serveurs
Télétravail secondaires
Succursale C

.
Source
Réseau « plat », sans sécurisation

source
 Pratiques de sécurisation avec un réseau simple

Le pare-feu empêche – certes – la connexion directe entre Internet et le réseau local (interne) mais :
• Au cas où le serveur Web présente une vulnérabilité, un hacker sur Internet peut potentiellement
prendre la main sur ce serveur ensuite rebondir sur le réseau interne.

Segmenter alors le réseau en différentes zones de criticité :

• Une DMZ : héberger tous les serveurs accessibles depuis Internet et uniquement ceux-ci; Ainsi, en de
faille dans le serveur Web, un hacker aurait plus de difficultés pour rebondir sur le réseau interne;
• Une zone destinée au serveurs « métier » de l’entreprise;
• Une zone pour les postes de travail filaires; NB : il ne sert à rien de segmenter le
réseau sans filtrer les flux car les zones
• Une zone pour les postes de travail Wifi des employés; peuvent communiquer entre elles.
• Une zone pour les postes de travail Wifi des visiteurs
• Une zone pour les postes de travail des administrateurs car ils ont besoin des connexions sécurisées
(SSh, Telnet,…) pour les tâches d’administration
Afin que cette segmentation soit efficace, faire passer tous les flux (y compris interne) par un deuxième
firewall interne pour autoriser les flux cibles.
 Pare-Feu ou Firewall

• Équipement en coupure entre deux (02) ou plusieurs réseaux ;

• Inspecte les paquets réseaux entrants et sortants d’un réseau à l’autre ;

• Implémente un mécanisme de filtrage basé sur des règles :

il ne transmet donc que les paquets réseaux qui respectent les règles
de filtrage implémentées dans la configuration du pare-feu.
Pare-Feu Frontal

LAN « plat » avec un firewall

source
DMZ & Filtrage de flux

LAN « segmenté » avec un deuxième firewall

source
Réseaux Wi-Fi distincts

Deux WLAN avec deux filtrages différents

source
 Proxy / Reverse Proxy

Proxy et Reverse Proxy en coupure pour les flux de/vers Internet

source
 Proxy / Reverse Proxy

Proxy et Reverse Proxy en coupure pour les flux de/vers Serveur Web

source
Télétravail

Télétravail avec un utilisateur nomade via Internet

source
 Description des Services réseau de base

Décrire les services réseau de base ou services Internet;

Cette activité vise les OS

Connaître le fonctionnement des services réseau de base
 Architecture n-tiers

Serveur Web 2
1
6 9

1 3’ 3’’
2 Serveur (s) d’application Serveur (s) d’application
5 8
Client
7
(Navigateur)
Exécution
Exploitation *.jsp
3’ Réponse Sql 6’
*.(html, php, jsp, …)
Jdk
4
*.(jsp, java, …) Requête Sql

Interprétation 5’
Compilation
3 Plugin (code PHP) 4’ *.(class, …)
SGBD
*.php *.java
Bases de données

Architecture Client / Serveur

 Architecture n-tiers : vue applicative
Apache (Linux)
2 Tomcat (Loadbalancing = +sieurs )
IIS (Windows)
1 Serveur Web

6 9

1 3’ 3’’
2 Serveur (s) d’application Serveur (s) d’application
5 8
Internet Explorer 7
Mozilla Firefox Runtime
Mapping *.jsp 6’
Google Chrome 3’ Jdk
Réponse Sql

*.(html, php, jsp, …)

Safari (Apple) 4
*.(jsp, java, …) Requête Sql

Langage Script 5’
3
Programmation Mysql
Plugin (s) 4’ *.(class, …)
*.php
Oracle
*.java
SqlServeur (Windows)
Architecture Client/Serveur PostgreSQL
Services réseaux de base

SMTP
Quelques ports de services
Service de Domaine : DNS
Nom de Domaine : DNS

country code Top Level Domain

(ccTLD)

Authority
(Domain)
FQDN: « Nom de domaine pleinement qualifié»
Servers or Domains Exemples : www.ucad.sn ftp.ucad.sn mail.ucad.sn
Fonctionnement du DNS

Root
«.»

2 3
TLD
1 www.seneweb.com ? 4 DNS « .seneweb.com » ?
« .com »

« 104.22.8.154 » 8 a.b.c.d 5
@IP : w.x.y.z
6
9

Auth..
7 « .seneweb.com »
Serveur Web. @IP: a.b.c.d
« 104.22.8.154 »
 Enregistrements d’un nom DNS

Zone de résolution directe : FQDN

? @IP Zone de résolution inversée : @IP
? FQDN
ucad.sn : nom de domaine 10.168.192.in-addr.arpa : nom de zone

TYPE TYPE
PTR : « PoinTeuR » vers le nom FQDN
NS: « l’adresse du serveur de noms»
192
A : « l’adresse IPv4 correspondante» .
168 192.168.10.0/24
AAAA : « l’adresse IPv6 correspondante» .
10
CNAME : « l’alias d’un FQDN» . 10.168.192.in-addr.arpa
MX : « un serveur de messagerie » 1 PTR ns.domaine.sn.
2 PTR www.domaine.sn.
….. : + sieurs autres enregistrements
Service d’attribution
d’adresses IP : DHCP
 Principe DHCP

Types de Message Fonction

DHCP DISCOVER Diffusion vers les serveurs DHCP disponibles

Host A DHCP Server

DHCP OFFER Serveur DHCP respond avec une offre contenant les paramètres IP.
DHCP Discover (Broadcast) ①
Client envoie une requête directement au Serveur DHCP don’t les paramètres IP sont
DHCP REQUEST retenus. Implicitement, le client decline les offres des autres serveurs DHCP répondant au
DCHP DISCOVER. DHCP Offer (Unicast) ②

DHCP ACK Server DHCP envoie sa réponse pour les paramètres IP. DHCP Request (Broadcast) ③

DHCP NAK Server DHCP indique au client qu’il ne confirme pas ses paramètres IP. DHCP ACK (Unicast) ④
DHCP RELEASE Le client libère les paramètres IP et informe le serveur DHCP

Attribution de paramètres IP.

Host A DHCP Server

DHCP Request (Unicast) DHCP Server

50% of lease ① Host A
period remains
DHCP Request (Unicast) ①
50% of lease
Host A DHCP Server
period remains
12.5% of lease DHCP Request (Broadcast) ②
period remains DHCP Release

DHCP ACK ②
DHCP ACK/NAK ③
Libération des paramètres IP
Renouvellement de bail
 Synchronisation DHCP et DNS

Echange DHCP
Serveur Web
« 104.22.8.154 » Root
Mise à jour DNS
«.»
Resolver DNS

9 2 3
« 104.22.8.154 » 8
D TLD
1 www.seneweb.com ?
4 DNS « .seneweb.com » ?
«.com »
PC1.domaine.sn
Client DHCP c « 192.168.10.1 » a.b.c.d 5
Serveur DNS @IP : w.x.y.z
PC1.domaine.sn a « 192.168.10.253 /24 » 6
@IP : « 192.168.10.1 /24 »
Gw : « 192.168.10.254»
Paramètres DHCP reçus DNS : « 192.168.10.253 »

Auth..
7 «.seneweb.com »
b Serveur DHCP @IP: a.b.c.d
Requêtes/Réponses DHCP « 192.168.10.250 /24 »
Service Web : HTTP
 HTTP : serveur Web

Invention du World Wide Web :

En 1989, Tim Berners-Lee proposa la création d'un système hypertexte sur internet. Initialement nommé Mesh,
il prit le nom de World Wide Web lors de sa mise en place en 1990. Bâti sur les protocoles TCP et IP, il consistait
en quatre éléments de base :
• Un format textuel pour représenter les documents hypertextes, l'HyperText Markup Language (HTML).
• Un protocole simple pour échanger ces documents, l'HypertText Transfer Protocol (HTTP).
• Un logiciel client pour exposer (et modifier) ces documents, le premier navigateur web nommé WorldWideWeb.
• Un serveur pour garantir l'accès au document, version initiale du httpd.

Version Vers un internet plus rapide et plus fiable

HTTP/0.9 Depuis 1990, La première version de HTTP, un simple protocole pour le transfert de données brutes sur l’Internet.

Tel que défini par la RFC 1945 [6], HTTP/1.0 améliorait le protocole en permettant que les messages soient au format de messages du style
HTTP/1.0 MIME, contenant des méta informations sur les données transférées et des modificateurs de la sémantique des demandes/réponses.

première version standardisée de HTTP, fut publié début 1997 RFC 2068. HTTP/1.1 dissipait des ambiguïtés et introduisait de
HTTP/1.1 nombreuses améliorations.
Basé initialement sur le protocole SPDY (Google), HTTP/2 est une amélioration majeure du protocole HTTP/1.1, mais il
HTTP/2 reste entièrement compatible avec son prédécesseur : la sémantique, les codes et méthodes HTTP restent inchangés.
 HTTP : serveur Web

HTTP permet un ensemble ouvert de méthodes et d’en-têtes qui indiquent l’objet d’une demande. Il se construit sur une discipline de
références fournies par l’identifiant universel de ressource (URI), comme une localisation (URL) ou un nom (URN) , pour indiquer la
ressource à laquelle une méthode est à appliquer. Les messages sont passés dans un format similaire à celui utilisé par la messagerie
Internet comme défini par les extensions multi-objets de messagerie Internet (MIME, Multipurpose Internet Mail Extensions).

Method = "OPTIONS"
| "GET"
| "HEAD"
| "POST"
| "PUT"
| "DELETE"
| "TRACE"
| "CONNECT"
| extension-method extension-method = jeton
Gestion des entêtes avec HTTP/2
Le premier chiffre du code d’état définit la classe de réponse. Les deux derniers chiffres n’ont aucun rôle de catégorisation.
Il y a 5 valeurs pour le premier chiffre.
– 1xx : Information - Demande reçue, poursuite du traitement
– 2xx : Succès – L’action a été bien reçue, comprise et acceptée
– 3xx : Redirection - Des actions ultérieures doivent être entreprises afin de bien mener la demande
– 4xx : Erreur client – La demande contient une mauvaise syntaxe ou ne peut pas être satisfaite
– 5xx : Erreur serveur - Le serveur a échoué à satisfaire une demande apparemment valide
 HTTP : Codes d’état des requêtes / réponses
Status-Code =
"100" : Continue
"101" : Changement de protocole
"200" : OK
"201" : Créé
"202" : Accepté
"203" : Informations non impératives
"204" : Pas de contenu
"205" : Rétablir le contenu
"206" : Contenu pariel
"300" : Choix multiples
"301" : Déplacement définitif
"302" : Trouvé
"303" : Voir un autre
"304" : Non modifié
"305" : Utiliser un mandataire
"307" : Redirection temporaire
"400" : Mauvaise demande "500" : Erreur interne du serveur
"401" : Non autorisé "501" : Non mis en œuvre
"402" : Paiement exigé "502" : Mauvaise passerelle
"403" : Interdit "503" : Service indisponible
"404" : Non trouvé "504" : Expiration de la passerelle
"405" : Méthode non admise "505" : Code d’extension de version HTTP non prise en
"406" : Pas acceptable charge code-d'extension = 3DIGIT Phrase-de-cause = *
"407" : Authentification du mandataire exigée
"408" : Expiration de la demande
"409" : Conflit
"410" : Parti
"411" : Longueur exigée
"412" : Echec de précondition
"413" : Entité de demande trop grande
"414" : URI de demande trop grand
"415" : Type de support non pris en charge
"416" : Gamme demandée non réalisable
"417" : Echec de l’attente
 HTTP/2 et SPDY

SPDY (prononcé « Speedy » pour rapide en anglais) est conçu pour transporter des pages
Web. SPDY est une proposition, conçue par Google, visant à augmenter les capacités du
protocole HTTP sans toutefois remplacer ce dernier. L'IETF, responsable (entre autres) du
développement de HTTP, l’a intégré dans HTTP/2 (publié en mai 2015).

SPDY a pour but de réduire le temps de chargement des pages en intégrant le multiplexage
et la priorisation des requêtes HTTP. SPDY intervient entre la couche TLS et HTTP :
 HTTP/2

Pour la partie HTTP/2 plain text, le

client propose un upgrade vers
HTTP/2 en spécifiant certains
paramètres comme le nombre
maximum de flux concurrents
supportés ou la taille maximum des
trames.

Si le serveur ne supporte pas

HTTP/2, il répond au client avec du
HTTP/1.1, sinon il bascule en HTTP/2
en notifiant le client avec un code
HTTP 101 Switching Protocols.
Service de transfert de
fichiers : FTP
 FTP : serveur de transfert de fichiers

Mis en place en 1971 et décrit en RFC 141 par MIT (Massachussetts Institute of Technology) ,
le protocole FTP est actuellement décrit dans le RFC 959.

FTP est un protocole de transfert de fichiers utilisant généralement les ports en TCP :
- 21 (Contrôle/commandes)
- 20 (Données/transfert).
Upload
Port 20

Client Réponse
Serveur
Port 21
201.250.3.1 /29
Requête

Port 20
Download
 FTP : Modes/Commandes

Mode actif : serveur initie la connexion tcp pour le transfert de fichiers

Mode passif : client initie la connexion tcp pour le transfert de fichiers

Commandes :

« GET » (non native) : télécharge un fichier du serveur

« PUT » (non native) : dépose un fichiers vers le serveur

« RETR » : télécharge un fichier du serveur

Port 21
« STOR » : dépose un fichiers vers le serveur

« MKD» : créer un répertoire

Port 20
« RMD » : supprime un répertoire

« HELP» : aide sur les commandes

FTP : logiciel client, Filezila
Services : SMTP, POP3, IMAP
(Messagerie électronique)
 Vue des protocoles de la messagerie électronique

MUA : Mail User Agent

MDA : Mail Delivery Agent
MTA : Mail Transfert Agent
MAA : Mail Access Agent
Internet SMTP
SMTP SMTP

Serveur SMTP DNS Serveur SMTP

MTA - MDA MTA - MDA
MailBox - MAA
SMTP IMAP

Server Web Server Web

SMTP POP / IMAP

HTTP HTTP
Client de Réception
messagerie Webmail
Client de Envoi
messagerie MUA
MUA Webmail
 Processus d’envoi/réception d’un courriel

SMTP (MTA) ne délivre pas lui-même les

messages dans les boîtes aux lettres

MDA (par exemple Postfix) se charge de gérer le

stockage des messages dans les boîtes aux lettres
et permet l’application de nombreux filtres (Antivirus,
AntiSpams, …) (Exemple avec Postfix : MailDrop et Procmail)

MAA authentifie l’utilisateur, lit le mail dans la boite aux

lettres et les protocoles POP et IMAP le récupère puis
le délivre au MUA.
 Architecture d’une messagerie électronique

mail.esp.sn
mail.ucad.edu.sn Internet
SMTP SMTP
Serveur SMTP
MAA SMTP
MTA
MDA MailBox DNS

MDA
Serveur SMTP
MailBox
SMTP
MTA MAA

IMAP
Server Web
SMTP POP / IMAP
Server Web

HTTP Messages entrants HTTP

Messages sortants
Client de Client de
Réception
messagerie messagerie
Envoi Webmail
Webmail
Alassane MUA Ibrahima MUA
 Serveur de messagerie sous Linux

SMTP-AUTH est une extension du protocole SMTP qui inclut une étape d’authentification explicitement sur le
serveur (ou relay) pour l’envoi des courriels.
SASL (Simple Authentication and Security Layer ou Couche d'authentification et de sécurité simple) est un cadre d'authentification et d'autorisation
standardisé par l'IETF
 SMTP : commandes & réponses
SMTP permet d’envoyer des messages textes ASCII vers des hôtes disposant un service de courrier.
• Est décrit dans les RFC 821. Les derniers RFC du protocole SMTP sont RFC 2821 et RFC 2822
• Utilise le port TCP 25 Codes de
réponses Fonctionnalités
Commandes Fonctionnalités
250 Action demandé est bien effectuée (Message OK)
HELO Requête de connexion de l’expéditeur
251 Utilisateur non local, le message sera retransmis
Début de la transaction, on indique l’adresse de
MAIL FROM : l’expéditeur Début de transfert du mail, terminer le flux par
354 ˂CRTL˃.˂CRTL˃
Permet de spécifier l’adresse du destinataire, 450
Action demandée est non effectuée, la boite aux
RCPT TO : cette commande peut être répétée pour lettre est inaccessible.
désigner plusieurs destinataires
451 Erreur pendant le traitement du message

Le récepteur interprétera toutes les données Action demandée est non effectuée, l’espace de
452 stockage est insuffisant.
suivantes (après DATA) comme le contenu du
DATA message jusqu’à ce qu’il reçoive la séquence Action demandée est non effectuée, la boite aux
550 lettres est inexistante.
˂CRTL˃. (point) ˂CRTL˃
Action demandée est non effectuée, la syntaxe
553 est erronée.
Demande au récepteur d’envoyer la réponse
QUIT OK et de refermer la connexion. 554 Echec de transmission du message
SMTP / MAILTO : exemple de dialogue

Commandes Arguments
HELO mail.esp.sn
HELO PC-Ibrahima

MAIL FROM : [email protected]

250 OK
RCPT TO : [email protected]
250 OK

RCPT TO : [email protected]
550 OK Utilisateur inconnu

DATA :
354 Saisissez le message à transmettre, terminez par ˂CRTL˃. ˂CRTL˃
message
message
message
˂CRTL˃. ˂CRTL˃
250 OK

QUIT
250 OK
 POP & IMAP

Clients : Microsoft Outlook, Outlook Web Access, Eudora; Thunderbird, Webmail, ….

Commandes
Fonctionnalités
POP
POP est décrit dans le RFC 1939 et utilise le
port TCP 110 . Il n’est utilisé que pour User nom Permet de spécifier le nom de la boite aux lettres à interroger.
télécharger les mails du serveur ver le MUA, PASS motpass
Transmission en clair du mot de passe
pour l’envoi des mails SMTP est utilisé. :
Le serveur POP3 renvoie une réponse +OK suivie des entêtes
TOP msg n
IMAP est décrit dans le RFC 1731. du message spécifié, puis les n premiers lignes du message
contrairement à POP, IMAP traite les mails Nom identifie la boite aux lettres, Digest est l’empreinte du mot
de passe chiffré en MD5. la méthode APOP protège la
directement sur le serveur sans les télécharger. APOP nom digest transmission dans les deux sens et ne transmet jamais le mot
Comme POP, l’envoi de mails est géré par de passe en clair.
SMTP. STAT Renvoie le nombre de messages en file d’attente sur le serveur
LIST Liste les messages en indiquant leurs numéros et les tailles
Webmail est interroge les boites aux lettres à RETR msg Récupère le message identifié par son numéro
travers IMAP. DELE msg Supprime le message identifié par son numéro
Le client a besoin seulement du navigateur Web. QUIT Ferme la connexion TCP

Le serveur POP répond simplement par OK ou –ERR si la commande a provoqué une erreur.
 FIN

Sources :

Pr Ibrahima NGOM, ESP/UCAD, [email protected]