1. Administration et
sécurité des réseaux
et des systèmes
LicenceAppliqué en Informatique
Semestre 5
Institut Supérieur d’Informatique et de Mathématiques de Monastir
Année universitaire: 2016 - 2017
2. Plan du module
• Introduc)on
• Chapitre 1: administra+on d’un système
Linux
• Chapitre 2: Administra+on du réseau sous Linux
• Chapitre 3 : Architectures réseaux et services 2
2016/2017
Mohamed
Kassab
–
ISIMM
4. Interfaces réseaux
• L'élément de base de la configura+on de réseau Linux est
l'interface
• Une machine sous Linux possède généralement plusieurs
interfaces.
• Elles sont nommées en fonc+on de leur type
• et numérotées dans l'ordre d'ac+va+on des pilotes de
périphériques
• et selon leur posi+on sur le bus physique de données.
• Les types d'interfaces les plus représentés sont :
• Lo: interface dite de loopback ;
• ethX : interface Ethernet de numéro X
• pppX: lien PPP numéro X
2016/2017
Mohamed
Kassab
–
ISIMM
4
5. Interfaces réseaux (suite)
• Les pilotes de périphériques sont très souvent disponibles sous forme de
modules du noyau. Ces modules peuvent être ac+vés de deux manières
différentes :
• le noyau charge le module de manière automa+que lorsqu'une commande
ifconfig fait référence à une interface qui n'est pas connue
• un alias doit exister dans le fichier /etc/modules.conf :
alias eth0 3c59x
• un script charge explicitement le module lors du démarrage du système.
• Si la procédure d'installa+on du système détecte une carte réseau, elle
configure un alias automa+quement.
• Les paramètres sont spécifiés dans le fichier modules.conf de ceXe
manière :
2016/2017
Mohamed
Kassab
–
ISIMM
5
Interfaces
Les pilotes de périphériques sont très souvent disponibles sous forme de modules
du noyau. Ces modules peuvent être activés de deux manières différentes :
- le noyau charge le module de manière automatique lorsqu'une commande
ifconfig fait référence à une interface qui n'est pas connue, un alias doit
exister dans le fichier /etc/modules.conf :
alias eth0 3c59x
- un script charge explicitement le module lors du démarrage du système.
Si la procédure d'installation du système détecte une carte réseau, elle configure
un alias automatiquement.
Les paramètres sont spécifiés dans le fichier modules.conf de cette manière :
alias eth0 ne
options ne io=0x220 irq=11
alias eth1 e1000
options e1000 Speed=1000 RxDescriptors=128
6. La commande ifcon&ig
• La commande ifconfig est u+lisée pour ac+ver et configurer
les interfaces.
• Op+on –a : permet d'afficher la liste détaillée des interfaces
réseau du système
2016/2017
Mohamed
Kassab
–
ISIMM
6
La commande ifconfig est utilisée pour activer et configurer les interfaces.
L'option -a permet d'afficher la liste détaillée des interfaces réseau du système :
# ifconfig -a
eth0 Lien encap:Ethernet HWaddr 00:20:ED:36:3C:EE
inet adr:192.168.200.200 Bcast:192.168.200.255 Masque:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:15356 errors:0 dropped:0 overruns:0 frame:0
TX packets:12392 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:100
RX bytes:1745320 (1.6 Mb) TX bytes:4365502 (4.1 Mb)
Interruption:10 Adresse de base:0x5f00
lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:929804 errors:0 dropped:0 overruns:0 frame:0
TX packets:929804 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:65622189 (62.5 Mb) TX bytes:65622189 (62.5 Mb)
La commande ifconfig
7. La commande ifcon&ig (suite)
• Les interfaces sont ac+vées ou désac+vées comme ceci :
• # ifconfig eth0 up
# ifconfig eth0 down
• Enfin, l'associa+on d'une configura+on IP à une interface se réalise
ainsi :
• # ifconfig eth1 192.168.200.1 netmask 255.255.255.0
broadcast 192.168.200.255
• Les paramètres netmask et broadcast sont op+onnels.
• S'ils ne sont pas fournis, la valeur du premier est déduite à par+r de la
classe du réseau configuré (A, B ou C),
• le second prend la plus grande valeur dans l'espace d'adresses IP défini
par l'adresse de l'interface et le masque de réseau.
2016/2017
Mohamed
Kassab
–
ISIMM
7
8. La commande ifcon&ig (suite)
• Il est possible de configurer plusieurs adresses IP sur une seule
interface physique
• il faut de créer des alias en u+lisant la nota+on « ethX:a » avec la
commande ifconfig
• Par exemple :
# ifconfig eth0:0 192.168.201.10
2016/2017
Mohamed
Kassab
–
ISIMM
8
9. le ?ichier interfaces
• La configura+on d’une interface avec ifconfig n’est pas
enregistrée sur le disque
• Et donc elle n’est pas conservée en cas de réini+alisa+on du
système (reboot).
• Pour enregistrer la conficgura+on de manière permanente, il
faut créer ceXe configura+on dans un fichier de configura+on.
• La configura+on des interfaces u+lisée lors de l’ini+alisa+on
du réseau est contenue dans le fichier /etc/network/
interfaces
• Le format de ce fichier est documenté dans la page de
manuel interfaces(5)
2016/2017
Mohamed
Kassab
–
ISIMM
9
11. le ?ichier interfaces (suite)
• Pour réini+aliser le réseau après un changement dans les
fichiers de configura+on, il faut faire :
2016/2017
Mohamed
Kassab
–
ISIMM
11
_ûKv JH;Qmv`2b- ?iiT,ffKH;Qmv`2bXQ`;
O f2i+fBMBiX/fM2irQ`FBM; bi`i
SQm` `ûBMBiBHBb2` H2 `ûb2m T`ĕb mM +?M;2K2Mi /Mb H2b }+?
O f2i+fBMBiX/fM2irQ`FBM; `2bi`i
RXkXR *QM};m`iBQM /2b BMi2`7+2b
G +QM};m`iBQM /2b BMi2`7+2b miBHBbû2 HQ`b /2 HǶBMBiBHBbiBQ
}+?B2` f2i+fM2irQ`FfBMi2`7+2bX
RXkXRX SQm` 2i?2`M2i biiB+
O +i f2i+fM2irQ`FfBMi2`7+2b
O +QM7B;m`iBQM /2 H^BMi2`7+2 HQ UQ#HB;iQB`2V
miQ HQ
12. Commandes ifdown ifup
• La commande ifup ac+ve ou réactualise la configura+on d'une
interface réseau ;
• La commande ifdown désac+ve une interface réseau.
2016/2017
Mohamed
Kassab
–
ISIMM
12
Pour Redhat comme pour Debian :
- la commande ifup active ou réactualise la configuration d'un
réseau ;
- la commande ifdown désactive une interface réseau.
Elles s'utilisent ainsi :
# ifup eth0
# ifdown eth0
Dans le cas de Debian, l'option -a permet de configurer toutes les i
réseau définies dans le fichier /etc/network/interfaces avec
auto.
Les commandes ifup et ifdown
13. Résolution des noms
• Le fichier de configura+on pour la résolu+on des noms via
DNS u+lise le fichier /etc/resolv.conf
• Le paramètre search indique les domaines qui seront u+lisés
comme suffixes de recherche. Chacun des paramètres
nameserver spécifie un serveur de noms DNS.
• Le fichier /etc/hosts con+ent des défini+ons de noms
sta+ques :
2016/2017
Mohamed
Kassab
–
ISIMM
13
Le fichier de configuration pour la résolution des noms via DNS utilise le
/etc/resolv.conf :
search luke.net
nameserver 192.168.200.1
nameserver 192.168.200.10
Le paramètre search indique les domaines qui seront utilisés comme su
recherche. Chacun des paramètres nameserver spécifie un serveur de n
DNS.
Le fichier /etc/hosts contient des définitions de noms statiques :
127.0.0.1 localhost.localdomain localhost
192.168.200.201 jack.luke.net jack
192.168.200.1 gw
Résolution des noms
Le fichier de configuration pour la résolution des noms via DNS utilise le fichier
/etc/resolv.conf :
search luke.net
nameserver 192.168.200.1
nameserver 192.168.200.10
Le paramètre search indique les domaines qui seront utilisés comme suffixes de
recherche. Chacun des paramètres nameserver spécifie un serveur de noms
DNS.
Le fichier /etc/hosts contient des définitions de noms statiques :
127.0.0.1 localhost.localdomain localhost
192.168.200.201 jack.luke.net jack
192.168.200.1 gw
Résolution des noms
14. Gestion des routes
• La ges+on des routes se fait avec la commande route.
• Pour afficher la table de routage sta+que, il est possible
d'u+liser l'une de ces deux commandes :
• Les adresses IP ne seront pas résolues si l'op+on -n (commune
aux deux commandes) est u+lisée.
2016/2017
Mohamed
Kassab
–
ISIMM
14
(c) 2004, Sébastien Namèche (sebastien@nameche.fr) - 61
La gestion des routes se fait avec la commande route.
Pour afficher la table de routage statique, il est possible d'utiliser l'une de ces deux
commandes :
# route
Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref Use Iface
192.168.200.0 * 255.255.255.0 U 0 0 0 eth0
default lucky.luke.net 0.0.0.0 UG 0 0 0 eth0
# netstat -r
Table de routage IP du noyau
Destination Passerelle Genmask Indic MSS Fenêtre irtt Iface
192.168.200.0 * 255.255.255.0 U 0 0 0 eth0
default lucky.luke.net 0.0.0.0 UG 0 0 0 eth0
Les adresses IP ne seront pas résolues si l'option -n (commune aux deux
commandes) est utilisée.
Routes statiques
(c) 2004, Sébastien Namèche (sebastien@nameche.fr) - 61
La gestion des routes se fait avec la commande route.
Pour afficher la table de routage statique, il est possible d'utiliser l'une de ces deux
commandes :
# route
Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref Use Iface
192.168.200.0 * 255.255.255.0 U 0 0 0 eth0
default lucky.luke.net 0.0.0.0 UG 0 0 0 eth0
# netstat -r
Table de routage IP du noyau
Destination Passerelle Genmask Indic MSS Fenêtre irtt Iface
192.168.200.0 * 255.255.255.0 U 0 0 0 eth0
default lucky.luke.net 0.0.0.0 UG 0 0 0 eth0
Les adresses IP ne seront pas résolues si l'option -n (commune aux deux
commandes) est utilisée.
Routes statiques
15. Gestion des routes (suite)
• Trois cas sont à considérer pour l'ajout de route :
• ajout d'une route vers une machine isolée :
# route add -host 10.20.30.1 gw 192.168.200.2
• ajout d'une route vers un réseau :
# route add -net 10.20.30.0 netmask 255.255.0.0 dev eth0
• ajout de la route par défaut :
# route add default gw gw.reseau.fr
• La cible d'une route peut être une passerelle (gw) ou une
interface (dev).
• Dans le premier cas, l'adresse IP ou le nom de la passerelle
peuvent être u+lisés.
• Voici comment supprimer une route :
# route del -net 10.20.30.0 netmask 255.255.0.0
2016/2017
Mohamed
Kassab
–
ISIMM
15
16. Gestion des routes (suite)
• Les routes sta+ques doivent être configurées « à la main »
dans le fichier /etc/network/interfaces :
2016/2017
Mohamed
Kassab
–
ISIMM
16
(c) 2004, Sébastien Namèche (sebastien@nameche.fr) - 64
Sous Debian les routes statiques doivent être configurées « à la main » dans le
fichier /etc/network/interfaces :
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet static
address 192.168.200.1
netmask 255.255.255.0
gateway 192.168.200.254
up route add -net 192.168.201.0 netmask 255.255.255.0 gw 192.168.200.50
up route add -host 192.168.202.1 dev eth0
down route del -net 192.168.201.0 netmask 255.255.255.0
down route del -host 192.168.202.1
Fichiers de configuration des routes – Debian
17. Diagnostic : connectivité IP
• ping u+lise le protocole ICMP pour vérifier la connec+vité
entre deux hôtes
• par défaut, ping envoie un paquet par seconde indéfiniment
• op7on -f (flood): permet d'envoyer au moins 100 'echo request'
par seconde
• fping est une variante qui permet de pinguer plusieurs cibles à
la fois
2016/2017
Mohamed
Kassab
–
ISIMM
17
Réseau
Réseau TCP/IP
TCP/IP
Diagnostic : connectivité IP
● ping utilise le protocole ICMP pour vérifier la
connectivité entre deux hôtes
– par défaut, ping envoie un paquet par
seconde indéfiniment
– l'option -f (flood) permet d'envoyer au moins
100 'echo request' par seconde
● fping est une variante qui permet de pinguer
plusieurs cibles à la fois
18. Diagnostic : connectivité IP
(suite)
• ping [-c nombre] [-f] [-s] adresse
• nombre : nombre de paquets à envoyer adresse : adresse IP
des+nataire
• -f : flood (au moins 1 paquet toutes les 10ms) -s : taille du paquet
en bytes
• fping [-c nombre] [-g] adresse
• nombre : nombre de paquets à envoyer
• adresse : adresse IP des+nataire
• -g : teste un subnet complet
2016/2017
Mohamed
Kassab
–
ISIMM
18
19. Diagnostic : routage
• Lorsqu'un routeur transmet un paquet d'une interface vers
une autre, il décrémente le champ TTL
• Si après la décrémenta+on, le TTL est à zéro, le routeur détruit
le paquet aver+t l'expéditeur
2016/2017
Mohamed
Kassab
–
ISIMM
19
Réseau
Réseau TCP/IP
TCP/IP
Diagnostic : routage
● Lorsqu'un routeur transmet un paquet d'une
interface vers une autre, il décrémente le
champ TTL
Réseau
Réseau TCP/IP
TCP/IP
Diagnostic : routage
● Si après la décrémentation, le TTL est à zéro, le
routeur détruit le paquet avertit l'expéditeur
● Les outils de la famille de traceroute
exploitent cette particularité du protocole
20. Diagnostic : routage (suite)
• Les ou+ls de la famille de traceroute exploitent ceXe
par+cularité́ du protocole
• user@x:~$ traceroute y
1: x (192.168.0.1) 0.188ms
1: a (192.168.0.254) 22.844ms
2016/2017
Mohamed
Kassab
–
ISIMM
20
Réseau
Réseau TCP/IP
TCP/IP
Diagnostic : routage
user@x:~$ tracepath y
1: x (192.168.0.1) 0.188ms
1: a (192.168.0.254) 22.844ms
21. Diagnostic : routage (suite)
• user@x:~$ traceroute y
1: x (192.168.0.1) 0.188ms
1: a (192.168.0.254) 22.844ms
2: b (84.31.2.45) 22.74ms
2016/2017
Mohamed
Kassab
–
ISIMM
21
Réseau
Réseau TCP/IP
TCP/IP
Diagnostic : routage
user@x:~$ tracepath y
1: x (192.168.0.1) 0.188ms
1: a (192.168.0.254) 2.84ms
2: b (84.31.2.45) 22.74ms
22. Diagnostic : routage (suite)
• user@x:~$ traceroute y
1: x (192.168.0.1) 0.188ms
1: a (192.168.0.254) 22.844ms
2: b (84.31.2.45) 22.74ms
3: c (212.27.55.126) 28.41ms
2016/2017
Mohamed
Kassab
–
ISIMM
22
Réseau
Réseau TCP/IP
TCP/IP
Diagnostic : routage
user@x:~$ tracepath y
1: x (192.168.0.1) 0.188ms
1: a (192.168.0.254) 2.84ms
2: b (84.31.2.45) 22.74ms
3: c (212.27.55.126) 28.41ms
23. Diagnostic : routage (suite)
• user@x:~$ traceroute y
1: x (192.168.0.1) 0.188ms
1: a (192.168.0.254) 22.844ms
2: b (84.31.2.45) 22.74ms
3: c (212.27.55.126) 28.41ms
4: d (193.251.240.45) 31.44ms
2016/2017
Mohamed
Kassab
–
ISIMM
23
Réseau
Réseau TCP/IP
TCP/IP
Diagnostic : routage
user@x:~$ tracepath y
1: x (192.168.0.1) 0.188ms
1: a (192.168.0.254) 2.84ms
2: b (84.31.2.45) 22.74ms
3: c (212.27.55.126) 28.41ms
4: d (193.251.240.45) 31.44ms
24. Diagnostic : routage (suite)
• user@x:~$ traceroute y
1: x (192.168.0.1) 0.188ms
1: a (192.168.0.254) 22.844ms
2: b (84.31.2.45) 22.74ms
3: c (212.27.55.126) 28.41ms
4: d (193.251.240.45) 31.44ms
5: y (194.199.76.199) 79.319ms reached
2016/2017
Mohamed
Kassab
–
ISIMM
24
Réseau
Réseau TCP/IP
TCP/IP
Diagnostic : routage
user@x:~$ tracepath y
1: x (192.168.0.1) 0.188ms
1: a (192.168.0.254) 2.84ms
2: b (84.31.2.45) 22.74ms
3: c (212.27.55.126) 28.41ms
4: d (193.251.240.45) 31.44ms
5: y (194.199.76.199) 79.319ms reached
25. Diagnostic : DNS
• Les commandes nslookup, dig et host sont u+lisées pour les
diagnos+cs DNS
• Nslookup possède un mode interac+f
• dig a une syntaxe plus souple, et permet d'effectuer plusieurs
requètes simultanées
• Nslookup et dig permeXent d'obtenir des réponses sur des
enregistrements précis :
• a (Address) : adresse IP de l'hôte
• mx (Mail eXchanger) : serveur de messagerie entrant pour le
domaine
• ns (Name Server) : serveur de nom pour le domaine
• ptr (Pointer) : résolu+on du nom depuis l'IP
2016/2017
Mohamed
Kassab
–
ISIMM
25
26. Diagnostic : DNS (suite)
• nslookup en ligne de commande
• nslookup [-type=type] nom
• (le type est a par défaut)
• Appelée sans argument, nslookup passe en mode interac+f
• server serveur : change le serveur DNS u+lisé
• set type=type : sélec+onne le type d'enregistrement voulu
• dig [@server] type nom [type nom] (le type est a par défaut)
• type : le type d'enregistrement voulu
• @server : serveur de nom à interroger
• -x permet d'effecuter une résolu+on
2016/2017
Mohamed
Kassab
–
ISIMM
26
27. Diagnostic : DNS (suite)
• Pariel la commande host permet d’interooger un serveur DNS
sur une machine
• Sa syntaxe est la suivante:
# host -t type nom_a_chercher DNSserveur
• type de la requête : NS, A, MX, CNAME
2016/2017
Mohamed
Kassab
–
ISIMM
27
28. Diagnostiquer les connexions
• La commande netstat permet d'obtenir la liste de toutes les
sockets ouvertes
• les connexion TCP ainsi que les sockets d'écoute UDP sont listés
par netstat
2016/2017
Mohamed
Kassab
–
ISIMM
28
Réseau
Réseau TCP/IP
TCP/IP
Diagnostiquer les connexions
● netstat permet d'obtenir la liste de toutes les
sockets ouvertes
– une socket est une descripteur de fichier
utilisé pour une communication entre
processus (IPC)
– les connexion TCP ainsi que les sockets
d'écoute UDP sont listés par netstat
netstat -tunap
| | | | |__liste les process
| | | |__liste même les sockets en écoute(all)
| | |__n'effectue pas la résolution de noms
| |__liste les sockets UDP
|__liste les sockets TCP