Le routage et la sécurité des réseaux

Algorithme de routage

Un algorithme est un ensemble de règles à appliquer dans un ordre déterminé de données afin d’effectuer un calcul numérique à un nombre fini d’étapes. C’est sur l’algorithme de routage qu’on se base pour remplir les tables de routage . Un algorithme de routage permet le calcul de route entre deux nœuds et la diffusion des informations nécessaires à ce calcul. Il existe plusieurs types d’algorithmes de routage, on peut citer l’algorithme de Bellman Ford ou à vecteur de distance et l’algorithme à état de liens ou de dijkstra, l’algorithme hiérarchique etc. Avec Bellman Ford, le vecteur de distance est constitué d’un couple de valeurs contenant l’adresse de destination et le coût pour l’atteindre. L’idée principale est que chaque nœud connaît la distance vers les nœuds adjacents et distribue cette information vers tous ses voisins. La métrique peut y être calculée en fonction du débit, du nombre de sauts, de la bande passante ; elle est déterminée par chaque routeur à chaque segment qui lui est directement raccordé. Au démarrage chaque routeur transmet une métrique nulle et informe au fur du temps ses voisins sur le routage tout en déterminant la métrique la plus faible proposée par ses voisins. Les tables de routage n’y sont modifiées que s’il y’a une nouvelle destination, que s’il y’a une destination plus faible qu’une entrée existante, que si la distance d’une destination via une passerelle voisine a changée.
Malgré sa simplicité, le principal défaut de cette algorithme est la lenteur de convergence. En effet la table de routage est transmise à chaque fois, cette excès d’information engendre l’altération des performances du réseau en raison de la bande passante utilisée pendant des périodes de temps très longues. Cependant l’algorithme de dijikstra tend à remplacer au fur et à mesure le vecteur de distance. Avec ce dernier, les routeurs ont une vue globale de la topologie du réseau et s’échangent des informations qui leur permettent de remplir leur table de routage.
Les routeurs doivent déterminer quels sont leurs voisins directement connectés. Ils transmettent des messages LSA(link state advertissement) et ceux-ci reçus doivent être retansmis. Les LSA contiennent plusieurs informations. L’algorithme de Dijkstra est plus récent et constitue la base de nombreux protocoles de routage tels que OSPF,IS-IS,… En effet, la dimension des tables de routage et l’importance du trafic croissent donc rapidement avec le nombre de nœuds. Pour résoudre ce problème, il faut alors faire appel à une organisation hiérarchique du réseau qui regroupe les nœuds en grappes reliés entre eux par un réseau de niveau supérieur. On voit que cette méthode réduit radicalement la taille des tables de routage. Ces derniers ne prennent en compte que les nœuds d’un groupe puisque tout paquet adressé à un nœud d’un autre groupe doit nécessairement transiter par le nœud faisant la liaison avec le groupe éloigné. L’inconvénient pour cette simplification de routage est évidemment une moins bonne optimisation du chemin parcouru par les paquets puisque ceux-ci doivent passer par des points de passage obligés.

Protocole de routage

Un protocole de routage permet au routeur la transmission des informations contenues dans leur table de routage. L’objectif d’un protocole de routage est d’optimiser, d’éliminer les boucles de routage, de stabiliser le réseau, de diminuer la consommation de la bande passante etc . On a les protocoles de routage à états de liens comme OSPF, les protocoles de routage à vecteur de distance comme RIP, les protocoles hiérarchiques etc.
Etude d’un protocole à état de lien : OSPF
OSPF signifie open shortest path first. C’est un protocole qui n’a pas de limite du point de vu nombre de routeurs et donc est applicable dans un réseau de grande taille. OSPF est favorable pour un environnement de cinquante routeurs et plus. La métrique qui y est utilisée se base sur la vitesse du lien. OSPF est un protocole qui n’envoie des informations que quand il est nécessaire, ceci diminue la consommation de ressources. Il choisit le chemin le plus court pour l’acheminement des paquets . Pour utiliser OSPF, il faut créer une base de données topologique et une base de données adjacente. Pour cette dernière, dans le but de découvrir ses voisins et d’établir une communication entre ses voisins, le routeur envoie des paquets hello à l’adresse multicast 224.0.0.5. Ce message contient des informations tels que l’identifiant du routeur émetteur, les voisins connus par ce routeur, le délai d’envoi qui permet de détruire le paquet en cas de non réponse de la part de l’émetteur, une priorité, un mot de passe d’authentification, un identifiant de zone car tous routeurs qui veulent communiquer doivent se situer sur le même segment de réseau appelé zone OSPF. Les routeurs qui reçoivent le message multicast ajoutent à leur base de données adjacente, le routeur émetteur et l’envoi ainsi un message unicast et le routeur émetteur l’enregistre dans la base de données adjacente. Les routeurs sont comparés par ordre de priorité. Concernant la base de données topologique, durant sa construction, il se produit un échange de paquet LSA(link state advertissment) entre routeur disposant la plus forte priorité ou DR(disignated router), le routeur de seconde forte priorité ou BDR(backup designated router)et les autres routeurs. On a ainsi l’établissement d’une relation maitre-esclave. Les paquets ainsi envoyés par le DR contient son identifiant ; si ce dernier est plus grand que celui du routeur qui reçoit le paquet, alors il sera désigné comme maître et dans le cas inverse sera esclave. Le routeur compare sa base de données à celle du routeur maître et si celle-ci contient plus d’informations, il envoie des paquets afin d’avoir des informations supplémentaires qu’il ajoute dans sa base de données. A ce stade, les routeurs contiennent tous les mêmes informations et la communication peut ainsi commencer. Le DR et le BDR constituent les représentants de tous les autres routeurs de leur zone par rapport aux autres zones.

Services de sécurité

La sécurité informatique vise d’une manière générale cinq principaux objectifs qui sont : L’intégrité : Elle permet de vérifier si les données entières n’ont pas été altérées durant la communication de façon fortuite ou intentionnelle à la suite d’une fraude active. C’est à dire que garantir l’intégrité des données assure au récepteur que les données reçues sont celles qui ont été émises.
Différentes questions se posent autour d’une intégrité. Peut-on détecter que des données ont été modifiées ? Si oui, peut-on récupérer les données initiales ? Sait-on détecter les données supplémentaires, insérées à tort ou délibérément ? Peut-on détecter les données manquantes et les récupérer ? Peut-on détecter que des données a priori correctes ne sont que des doublons de données déjà reçues ? Par ailleurs, l’intégrité possède une portée plus ou moins grande. Lorsque la communication a lieu en mode non connecté, seule la détection des modifications peut être mise en œuvre.
La disponibilité : L’objectif de la disponibilité est de garantir l’accès à un service ou à des ressources afin de permettre et de maintenir le bon fonctionnement du système.
La non-répudiation : La non-répudiation de l’information est la garantie qu’aucun des correspondants ne pourra nier d’avoir participé à la communication.
La non-répudiation de l’origine fournit au récepteur une preuve empêchant l’émetteur de contester l’envoi d’un message ou le contenu d’un message effectivement reçu. La non-répudiation de la remise fournit à l’émetteur une preuve empêchant le récepteur de contester la réception d’un message ou le contenu d’un message effectivement émis.
L’authentification : Elle consiste à assurer l’identité d’un utilisateur, c’est à dire de garantir à chacun des correspondants que son partenaire est bien celui qu’il croit être. Un contrôle d’accès peut permettre l’accès à des ressources réservées uniquement aux personnes autorisées. On distingue deux cas d’authentification simple et un cas d’authentification mutuelle :
L’authentification de l’entité distante qui assure que le récepteur est celui souhaité. Son action peut intervenir à l’établissement de la communication ou pendant le transfert des données. Son objectif principal est la lutte contre le déguisement également appelé usurpation d’identité (spoofing). L’authentification de l’origine. Elle assure que l’émetteur est celui prétendu. Le service est inopérant contre la duplication d’entité.
L’authentification mutuelle qui garantit que les deux entités émettrice et réceptrice se contrôlent l’une l’autre.
Le service d’authentification ne fonctionne pas dans un réseau en mode sans connexion. L’authentification nécessite un échange entre les deux partenaires.
La confidentialité : La confidentialité Consiste à assurer que seule les personnes autorisées ont accès aux ressource échangées. Garantir la confidentialité des données empêche une entité tierce de récupérer les données et de les exploiter. Seuls les utilisateurs autorisés doivent être en mesure de prendre connaissance du contenu des données . Un message ou un échange de messages a sa confidentialité garantie dès lors que tous utilisateurs non autorisés qui aurait pu le récupérer ne peut pas l’exploiter. Il n’est pas obligatoire de mettre en place des procédures pour empêcher cette récupération.

Attaques et mécanismes de sécurité 

Les équipements physiques peuvent faire l’objet de défaillance matérielle telle que la viellesse, l’usure…Ainsi pour lutter contre ça, l’achat d’équipement de qualité standard accompagnée d’une bonne garantie avec support technique est essentiel pour minimiser les délais de mise en fonction. Seule une forme de sauvegarde peut protéger les données. Aussi les logiciels installés dans ces équipements informatiques contiennent des bugs, pour se protéger de ceci, il faut toujours faire des copies des données et de mettre à jour les logiciels. Pour les banques, les sites informatiques, il va falloir prévoir la possibilité de basculer totalement et rapidement vers un site de secours qui doit contenir une copie de toutes les données. Dans le routage, des protocoles tels que DHCP(dynamic host control protocol) ne sont pas sécurisés car le pirate peut donner à un victime des paramètres de réseau qu’il contrôle. Pour parer cela, attribuer des adresses IP fixe. C’est aussi le cas de ARP(adress resolution protocol) où le pirate peut envoyer régulièrement des paquets ARP signalant un changement d’adresse mac aux deux extémités, ceci peut être évité avec ARP statique. Avec ICMP, un routeur peut émettre un ICMP redirect pour signaler un raccourci, le pirate peut dans ce cas demander de passer par lui. Pour y remédier, refuser les ICMP direct. Dans RIP , le pirate envoie une table de routage à un routeur indiquant un chemin à moindre coût et passant par un routeur qu’il contrôle, la solution est la nouvelle version de RIP qui intègre une identification des routeurs de confiance. Le pirate dans DNS par ip spoofing peut répondre le premier à la requête de la victime et par cache poisonning, il corrompt le cache d’un serveur DNS. La solution est de mettre en place un serveur proxy ,le vidange du cache régulier. L’utilisation de Nmap permet de savoir quels sont les ports qui sont en écoute pour pallier à certaines failles de sécurité. C’est un logiciel très complet et est une référence dans le domaine du scanning. Les dénnis de services empêchent le logiciel de fonctionner et ainsi de répondre aux requêtes demandées . L’utilisation de pare-feu dépend de sa configuration en essayant de limiter l’accès à son réseau à des utilisateurs connus qui utilisent une adresse IP statique, on peut aussi rejeter toutes les autres requêtes venant d’utilisateurs avec adresse IP non autorisée, on établit ainsi un filtre de niveau IP. Fermer tous les ports en écoute sur les différents serveurs et ouvrir ceux dont on a besoin. Filtrer ou rejeter les autres ports en écoute, empêcher toutes les connexions sortant sur les services non autorisées en définissant les services auxquels les serveurs et les clients peuvent y accéder (mail, web,http,…)configurer aussi les connexions depuis l’intérieur vers l’extérieur des services différents à ceux définis. Dans certains types d’attaques comme l’ARP poisonning, lorsqu’un échange doit s’établir entre deux machines, ces dernières s’envoient des requêtes avec adresse IP du récepteur associé à un champ vide pour son adresse physique, ce dernier envoie dans une réponse ARP son adresse physique. Si c’est un pirate qui envoie cette réponse, il donne son adresse physique correspondant à l’adresse IP du récepteur et tout le flux sera redirigé vers lui, on dit qu’il a empoisonné le cache ARP.
Pour s’en protéger, mettre en place un serveur DHCP avec une liste fermée de correspondance entre adresse physique et IP. Le man in the middle est l’homme du milieu qui intercepte et modifie le trafic entre l’émetteur et le destinataire.

Table des matières

Introduction Générale 
I LE ROUTAGE 
1 DEFINITION, CONCEPT, METRIQUE 
Introduction
1.1 Définition
1.2 Concept
1.3 La Métrique
Conclusion
2 ALGORITHMES ET PROTOCOLES DE ROUTAGE
Introduction
2.1 Algorithme de routage
2.2 Protocole de routage
Conclusion
3 PRATIQUE DE ROUTAGE
Introduction
3.1 Exemple1
3.2 Exemple2
3.3 Exemple3
Conclusion
II LA SECURITE DANS LE ROUTAGE 
4 DISPOSITIF ET ARCHITECTURE DE SECURITE 
INTRODUCTION
4.1 Services de sécurité
4.2 Politique de sécurité
4.3 Attaques et mécanismes de sécurité
Conclusion
5 VPN (VIRTUAL PRIVATE NETWORK) ET IPSEC (INTENET PROTOCOL SECURITY) 
INTRODUCTION
5.1 Architecture vpn :ipsec
5.2 Ipsec et ipv4
5.3 Ipsec et ipv6
Conclusion
Conclusion générale

Télécharger le rapport complet

Télécharger aussi :

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *