Notre magasin

(/fax: 0032 (0)61/32.00.15

Rue Albert 1er, 7

B-6810 Pin - Chiny

Route Arlon - Florenville

Magasin informatique YBET à Chiny

Le cours HARDWARE Serveurs, réseaux et communication

FORMATIONS

Le MAGASIN YBET

PRODUITS et SERVICES

Formation INTERNET

Activités et présentation

MATERIEL INFORMATIQUE
Dictionnaire réseaux

Rayon d'action

Caisse enregistreuse TEC
Cours hardware Forum informatique YBET Au magasin

10. Connexion à distance par INTERNET, sécurité et communications

10.1. Risques (virus, intrusion, ...) - 10.2. Connexion INTERNET de base - 10.3. Différents points d'une connexion professionnelle - 10.4. Les firewall - 10.5. L'accès à distance - 10.6. Sauvegarde via INTERNET

Ce chapitre traite de la communication et sécurité entre les ordinateurs. Le plus courant concerne la connexion vers INTERNET (Firewall, VPN) mais également des prise de contrôle à distance de PC ou de réseau à partir d'un ordinateur connecté à une ligne téléphonique ou via INTERNET (partage de données), travail à distance, ... Toutes ces connexions peuvent être traitées en hardware ou en software, les 2 possibilités existent systématiquement. Nous verrons en détail les possibilités hardware. Ceci nous préparera à la suite du cours: architecture d'un réseau.

1. Les risques

Un bref rappel sur les risques de sécurité (virus, hacking, ...). Une explication plus complète sur les virus, adware, spyware, ... est reprise dans le cours Sécurité sur INTERNET

Au niveau anti-virus Hardware, certains routeurs et VPN incluent un anti-virus interne. D'autres appareils sont spécialisés: PANDA fabrique un modèle de ce type. L'avantage vient des mises à jour quotidiennes automatiques sur un seul noeud: le routeur d'entrée / sortie de la connexion Internet vers le réseau interne. Lorsqu'un virus est détecté dans un mail (quelque soit le type), le mail est directement renvoyé à l'expéditeur sans même passer sur le réseau interne ou le PC du destinataire. Le défaut reste les autres points d'entrée: disquettes, CD piratés, connexions à Internet via d'autres points (modem du portable par exemple). Les spyware, adware, dealer, ... utilisant le port 80 (navigation), ils ne sont pas détectés par les firewall hardware, mais bien par les anti-virus hardware.

1.1 Les intrusions, sécurité des PC

Les risques d'intrusions sont un sujet à la mode. Différentes méthodes d'intrusions vont être examinées.

La première méthode consiste à injecter un programme dans votre PC (via un mail par exemple). Ce programme serveur va réagir à toute demande d'un client (le programme de celui qui essaye l'intrusion) via un port TCP ou UDP. Les ports sont spécifiques à chaque trojan (aussi appelé cheval de Troie ou backdoor). Comme ces programmes sont facilement téléchargeables sur Internet, n'importe quel gamin est capable de les utiliser. Par contre, elle nécessite qu'un programme soit implanté dans votre ordinateur ou un PC du réseau: si le logiciel client n'est pas implanté dans le système, pas de risque.

La deuxième méthode utilise des failles de sécurité dans le fourbi Microsoft, que ce soit dans le système d'exploitation Windows, dans Internet Explorer, Outlook ou Office (toutes versions confondues). Cette solution est plus réservée aux professionnels. Ceci a permis à un site de tests de firewall d'ouvrir mon lecteur CD-ROM à distance. Avec un firewall software sur la station et le réseau protégé par un firewall hardware, je me sentait pourtant plutôt en sécurité. La solution consiste à suivre les SERVICE PACK de sécurité de Microsoft.

En troisième, de loin la plus sournoise, la méthode consiste à modifier des informations dans la trame TCP/IP d'un message correct pour que le PC (ou le routeur) attaqué croit que les informations proviennent effectivement du site demandé comme dans le schémas ci-dessous. Cette technique est appelée le spoofing. Pour parer à ces attaques, il faut impérativement que les trames soit toutes analysées avant la lecture par le navigateur.

Les buts sont multiples: vols d'informations et dans de nombreux cas, utilisé cet ordinateur comme relais pour d'autres attaques. La cible détecte alors l'attaque comme provenant du PC "hacké".

1.2. Les attaques par Déni de service distribué (Denial of Service -dDOS)

Encore un problème relevant de la sécurité sur INTERNET. Ce type d'attaque consiste à envoyer un maximum de requête sur un serveur web ou un routeur en un minimum de temps. L'appareil ne sachant plus suivre craque littéralement.

La méthode consiste à envoyer des multitudes de paquets ICMP echo-requets en modifiant l'adresse source de chaque paquet. Les commandes envoyées sont des multiples petits paquets de 64 Kb ou inférieur (souvenez-vous les paramètres de la commande PING). La cible ne peut plus répondre aux demandes de connexions car l'ensemble de la bande passante est limitée.

Ceci est la méthode du gamin gâté qui ne parvient pas à s'introduire dans un serveur, alors, il le plante. Par contre, c'est aussi une méthode beaucoup plus professionnelle pour stopper des serveurs Internet avec un maximum de commandes en même temps, le mieux reste d'utiliser un maximum d'ordinateurs pour l'attaque en utilisant ceux infectés par un trojan.

1.3 Déni de service station (tear drop, new tear, boink, ...)

Les attaques de type Teardrop, Newtear, Boink, ... sont quasiment identiques au déni de service ci-dessus sauf qu'elle ne s'attaque qu'aux ordinateurs (serveurs inclus) directement connectés ou même via un routeur. Ce type d'attaque vise les système Windows 32 bits (Win 95, 98, Me, XP (Pro), NT et 2000) mais également les systèmes d'exploitation Linux inférieur à 2.0.32. Apparemment, les Mac et systèmes Unix peuvent aussi être altérés par ces attaques. A part Windows 3.11 et DOS (mais comment aller sur INTERNET en DOS?), tous sont donc visés. L'attaque ne se fait plus sur un serveur, mais sur les stations connectées. Ce type d'attaque consiste à envoyer des packets TCP/IP qui se recouvrent appelé OOB = Out Of Band). L'ordinateur cible tente de reconstruire les informations et finalement, n'y arrivant pas, ceci provoque un plantage de la machine. En Windows, vous vous retrouvez avec une belle fenêtre bleue et vous n'avez d'autres choix que de redémarrer la machine.

1.4. Quelques précisions.

Anonyme sur Internet, pas si sûr. Déterminer votre adresse IP fournie par le fournisseur d'accès reste un jeu d'enfant. Un routeur protège votre adresse TCP/IP locale sur le réseau en n'indiquant que l'adresse extérieure. Dans le cas d'un partage de connexion via les programmes fourni avec les systèmes d'exploitation Microsoft, ce sont les adresses internes du réseau qui sont directement détectées. Pour le paramétrage des partages INTERNET. Toute intrusion, attaques de tout type demande d'abord au "hacker" de connaître l'adresse TCP/IP de la cible vis à vis d'INTERNET. Le sport pour lui est ensuite de connaître les adresses internes des stations PC ou autres du réseau. Tant que l'adresse Wan (Internet) est invisible, il ne peut rien. Forcément, elle est plus facile a détecter lorsque le réseau local est raccordé par adresse TCP/IP fixe sur INTERNET.

Dans le même ordre d'idées, votre système d'exploitation et votre navigateur Internet sont automatiquement envoyés par votre navigateur au site, idem pour la résolution de votre écran (dimension et nombre de couleurs)

Les serveurs Proxy sont des mémoires cache qui permettent d'accélérer les connexions. Le mécanisme est simple, lorsqu'une page vient d'être lue, le proxy la garde en mémoire. Si une demande sur cette page intervient rapidement, le proxy ne la télécharge pas d'INTERNET mais directement de sa mémoire. En plus, il est plus difficile de vous suivre à la trace puisque vous n'êtes pas toujours directement en contact avec les sites. Ces proxy peuvent être des boîtiers externes, inclus dans un PC dédié du réseau local (sous Linux par exemple) ou directement chez le fournisseur d'accès (à condition d'être configuré spécifiquement suivant les adresses fournies par votre provider). Différents sites (ou même entreprises) permettent d'utiliser leur site comme proxy, masquant la réelle adresse IP du visiteur: qu'ils soient gratuits ou payant, 99% % des visites sur un site est essentiellement pour provoquer des nuisances: fausses annonces, faux posts sur les forums, tentatives de hacking, vol du contenu, ... Ils sont systématiquement bloqués sur nos sites.

Les coockies sont de petits fichiers textes chargés sur votre PC. Ces cookies enregistrent vos préférences. Ceci permet par exemple d'arriver directement sur la version française de Google.be. Pas bien dangereux, mais ces cookies incluent souvent des informations tels que mots de passe (même s'ils sont souvent cryptés) ou la date de votre dernière visite sur un site. Quelques cookies permettent de vous suivre à la trace sur divers sites.

Le NAT (Network Adress Translation) sert de translation entre l'extérieur du réseau local (Internet) et les stations. Le routeur construit une table de correspondance d'adresses IP. De cette manière, l'extérieur ne sait pas déterminer l'adresse interne d'une station. A la réception de données par le routeur, celui-ci transfère les informations vers le véritable destinataire grâce à sa table.

2. Connexions INTERNET de base.

Le partage d'une connexion INTERNET permet de connecter plusieurs ordinateurs reliés en réseau TCP/IP simultanément avec un seul modem. Le partage professionnel se fait via un routeur, mais des partages plus simples utilisent directement un modem relié sur un PC. Le modem peut être normal, ISDN ou ADSL. De même, le type de modem peut être interne, externe série, externe USB ou même dans certains modem ADSL, relié via à une carte réseau. Dans les trois premiers cas, le partage peut se faire directement par le système d'exploitation (à partir de Windows 98 seconde édition). Dans le cas d'une liaison via carte réseau, le partage peut se faire via un routeur, via un logiciel de type WinGates. Cette solution est directement implantée dans les serveurs 2003 et 2008. Ces logiciels assurent également la sécurité des connexions. Dans ce dernier cas, le PC assurant le partage reçoit 2 cartes réseau. 

Dans le cas d'un partage simple via Windows, chaque ordinateur peut demander la connexion Internet, mais elle ne peut être coupée que sur le PC connecté à Internet. Ceci ne pose pas de problèmes en ADSL, mais attention aux communications téléphoniques en RTC ou ISDN (RNIS). Vous pouvez demander de couper la connexion INTERNET après un certain laps de temps d'inactivité par la commande option Internet dans. Sélectionnez la connexion (Ma connexion ci-dessous) et cliquez sur le bouton paramètres. Dans la fenêtre suivante, sélectionnez le bouton "avancé". Cochez la case Déconnecter si inactif pendant et tapez le nombre de minutes souhaitée.

Différents logiciels ou matériels vont néanmoins se connecter entre le réseau et INTERNET, soit pour assurer la sécurité, soit pour assurer la vitesse de connexion. Ces appareils (logiciels) assurent différentes fonctions de connexion.

3. Les différents points d'une connexion / partage INTERNET professionnel.

3.1. Partage de base

Avant de parler des appareils et solutions à mettre en oeuvre pour des connexions Internet professionnelles, analysons les différents problèmes possibles. Ceci nous permettra à terme de dessiner notre connexion plus facilement.

Dans le cas d'une connexion vers INTERNET, la première tâche est le partage. Ceci va permettre à plusieurs utilisateurs de se connecter sur Internet en même temps (navigation, mail, news, ...). Ceci passe nécessairement par une installation réseau. Dans ce cas, un ordinateur ou un appareil (généralement un simple PC sur lequel est connecté le modem doivent servir de liaison.

partage de connexion par windows

Selon le schémas ci-dessus, chaque station possède sa propre adresse TCP/IP (X.X.X.X.@station1 et X.X.X.X@station2). De même, le fournisseur d'accès fournit automatiquement une adresse TCP/IP à la connexion. Lors d'une demande d'affichage d'un site, référencé par une adresse TCP/IP propre, par exemple 238.128.128.128 que nous dénommerons par X.X.X.X@site. Lors de la demande d'affichage, la station 1 envoie à l'appareil de liaison son adresse propre (pour la réponse) et l'adresse du site qu'elle veut afficher (X.X.X.X@site). Le fournisseur d'accès et tous les composants du réseau Internet vont se débrouiller pour que les informations du site soit renvoyés à l'adresse TCP/IP Internet fournis par le fournisseur d'accès (X.X.X.X.@ISP) qui les renvoie à l'appareil de liaison. Celui-ci fera le transfert de sa propre adresse Internet vers l'adresse privée de la station 1. 

Le fonctionnement, quoique complexe de manière interne, n'est pas trop difficile à mettre en oeuvre avec les logiciels actuels. Cette méthode est utilisée par le partage de connexion Internet implantée dans Windows 98 SE et versions ultérieures. Cette solution n'est pas très sécurisée. Chaque adresse des PC connectés est visible d'INTERNET. Cette pratique est utilisée pour de petits partages de connexions INTERNET familiales en modem RTC ou en ADSL avec modem USB.

Cette solution est analysée en pratique dans la formation INTERNET

3.2. Partage via un logiciel spécialisé.

Cette solution de partage INTERNET utilise un PC relais entre le réseau et INTERNET. Le PC utilise 2 cartes réseaux. Une carte réseau est connectée vers le réseau interne, la deuxième carte réseau est connectée à un modem Ethernet RJ45. Le logiciel peut être Wingate, quelques solutions professionnelles (Symantec par exemple) ou une solution à base de Linux. Le PC relais doit rester connecté pour que la connexion INTERNET fonctionne.

Le logiciel assure différentes fonctions: NAT (Network Adress Translation), proxy (cache) et même pare-feu. Le firewall s'il est directement implanté (Linux) est de fonctionnalité identique à un firewall hardware. Vous pouvez également installer sur ce PC relais un firewall software.

schéma partage par logiciel proxy

Cette solution de partage logicielle fait partie des autres cours de deuxième année, notamment Linux.

3.3. Partage via un routeur simple.

shémas partage par routeur

L'utilisation d'Internet est tout à fait transparente pour le réseau. Le routeur reste connecté en permanence. Ceci cache le réseau interne (adresse des PC et périphériques) pour l'extérieur, mais n'empêche pas les risques d'intrusion. En effet, à part les adresses cachées (NAT), les stations sont directement connectées sur INTERNET. Un trojan sur une station communiquera à travers le réseau de manière complètement transparente. Il est même probable que le hacker ne s'apercevra qu'il est dans un réseau qu'au moment de la prise de contrôle du PC lorsqu'il aura accès à tous les partages de dossiers et périphériques.

Ceci donne un semblant de sécurité, guère plus. Cette solution est vue en pratique dans le cours partage Internet par routeur

3.4. Partage via routeur et firewall hardware.

schémas connexion routeur fiwewall hardware

Ce schéma représente presque la solution de sécurité idéale (le presque m'inquiète). Le routeur et le firewall peuvent être inclus dans le même boîtier. Le modem peut être intégré dans le routeur ou connecté entre celui-ci et INTERNET. Cette solution sera examinée dans un exercice du chapitre 17. Partage et connexion Internet via un routeur - firewall mode ADSL RJ45 Ethernet.

La sécurité ne repose pas sur le montage mais sur la manière de paramétrer le firewall. Ceci est valable pour toutes les solutions de sécurité firewall.

3.5. Le DMZ (DeMilitarized Zone).

Ceci est une utilisation particulière des firewall. Elle est utilisée avec un hébergement sur un serveur propre à l'entreprise ou en cas de leurre pour différentes attaques. Dans ce dernier cas on par le PC bastion. Son utilisation comme serveur proxy ou serveur de messagerie est également utilisée.

Shémas DMZ

Le firewall en contact avec Internet va laisser passer les informations sur le port TCP 80 (éventuellement 443) provenant de l'extérieur du site, ainsi que les informations provenant du site interne vers Internet. Dans le cas d'un serveur Web, le premier firewall évite les attaques extérieur. Les ports 20 et 21 par exemple pourront être fermés. Par contre, les informations provenant de l'extérieur passerons soit par le firewall extérieur, puis par le server DMZ (cas d'un PC bastion) puis par le deuxième firewall.

Ce n'est pas le niveau maximal de sécurité, mais le hacker se retrouve avec 2 voir 3 barrières à ouvrir.

4. Les Firewall (pare feu)

Les firewall protègent les installations informatiques des intrusions. Un firewall surveille les communications d'un PC vers Internet et vis versa. Pour cela, il analyse, bloque ou autorise les communications via les ports UDP et TCP.  Ceci est valable pour les connexions Internet, mais également entre différentes parties d'un réseau interne. Une large partie des "intrusions" sont orchestrées de l'intérieur de l'entreprise. Pensez par exemple à l'employé qui vient de recevoir son préavis, ...On retrouve 2 types de firewall: les firewall logiciels et les firewall hardware.

Le paramétrage des firewall logiciels ne fait pas partie de ce cours hardware, je ne m'y attarderai pas. 

Dans les applications INTERNET, pour faciliter les communications entre applications identiques, on utilise des ports tant en TCP qu'en UDP. Chaque port est spécifique à un type d'application. La navigation se fait par le port 80 et les news par le port 119 par exemple. Le paramétrage consiste à ouvrir des portes (ports) nécessaires aux applications normales en fonction des adresses de destination IP (en sortie) ou d'émission (adresses des sites). Dès ce moment, il me semble clair que toutes les autres doivent être fermées. Par définition, l'intrusion se fait toujours par l'entrée la plus faible de la protection du réseau. Ceci est similaire à la sécurité d'un bâtiment. Cela ne sert à rien de mettre des portes blindées partout, si la fenêtre de derrière reste ouverte en permanence. Pour la liste des ports à ouvrir, référez-vous au cours INTERNET: Classes d'adresse, ports TCP et UDP

4.1. Différence entre un firewall logiciel et hardware

Et non, les deux ne font pas exactement le même boulot. Dans un sens, ils sont complémentaires. Pour rappel, installer 2 firewall logiciels est dangereux et peut rendre chaque logiciel inefficace.

Un firewall logiciel vérifie et indique sur quels ports les programmes qui accèdent à INTERNET depuis votre PC (en TCP/IP et en UDP). De même, ils annoncent les ports sur lesquels rentrent (ou tentent de rentrer) des applications sur votre PC. Dans ce sens, sauf mauvaise configuration, ils sont efficaces. Par contre, ils n'analysent pas du tout les programmes courants (modifications des trames, ...), ni n'analysent encore moins les défaut de sécurité du système d'exploitation (différentes failles de sécurité Microsoft sur les systèmes d'exploitation, Internet Explorer, Outlook et même office). En vérifiant les programmes qui tentent des connexions Internet, ces programmes bloquent les spyware et les adware. Malheureusement, cette solution bloque généralement également la connexion INTERNET. La solution logicielle pour les enlever reste lavasoft par exemple. Un firewall software s'installe sur chaque PC (d'où un lourd travail d'administration), sur le serveur ou sur des PC dédiés. En plus, ces logiciels reconnaissent rarement les adresses extérieures (Internet) des adresses internes. Ces logiciels sont parfait pour la détection des trojans. S'ils les détectent, ils ne les suppriment pas. Ce rôle est dévolu aux anti-virus, même si les anti-virus ne considèrent pas les adware et spyware comme nuisible (ce sont des programmes commerciaux).

Un firewall hardware est placé entre INTERNET et le réseau. Dans ce sens, les intrusions (ou tentatives) à l'intérieur du réseau ne sont jamais analysées. Même si un firewall hardware n'est pas lié à Microsoft, ils ne protègent pas non plus des failles de sécurité des programmes et système d'exploitation. En analysant les trames de données, ils rejètent également les intrusions par bricolage des adresses. Par contre, même si tous les ports non utilisés sont fermés, les programmes qui utilisent les ports standards peuvent travailler sans problèmes. Un vers (trojan) qui utiliserait le port 80 ne sera en aucun cas bloqué, il est considéré comme une application tout à fait standard. Les spyware et adware utilisant le port 80 ne sont donc en aucun cas pris en compte par un firewall hardware. Quelques solutions logicielles utilisent cette méthode comme le firewall avancé de Vista ou Netfilter sous Linux géré par la commande iptables.

Les 2 protections ci-dessous sont généralement intégrées dans les firewall matériel:

Statefull Packet Inspection:
Permet au firewall de comparer un paquet de données entrant avec les paquets ayant précédemment été considérés comme "sains".

Content Filtering :
Permet notamment de contrôler les accès au Web par des filtres (basés sur des listes d'adresses Internet, des mots clés ou des plages horaires de connexion).

Une sécurité optimale serait donc un firewall hardware entre le réseau et Internet et un firewall logiciel sur chaque station. Néanmoins, les firewall interne dans le cas de réseaux lourds pose des problèmes au niveau utilisateur. A la moindre alerte (même inutile de type DHCP sur le port UDP 68), l'administrateur sera appelé (ou non ...) par l'utilisateur.

Actuellement différentes firmes fabriquent des cartes réseaux qui incluent un firewall hardware (Nvidia notamment) mais qui posent plus de problèmes qu'autre chose.

4.2. Les ports à ouvrir en TCP et en UDP, les plages d'adresses.

Chaque application est caractérisée par un port TCP et / ou UDP utilisé. Il est spécifique au type d'application Ceci facilite les communications puisqu'une application de type navigation utilisera d'office le port 80, que ce soit Microsoft Explorer, Netscape ou un autre. Les numéros de ports (tant en TCP qu'en UDP) varient de 0 à 65535 (216). IP détermine l'adresse du site ou du PC en communication. La combinaison port TCP/IP détermine donc le site et l'application.

Les principaux ports et services TCP à ouvrir sont repris dans les annexes de la formation INTERNET: Classes d'adresses, ports TCP et UDP

4.3. Méthode de détection d'un firewall hardware et fonctionnalités

Les firewall (pare  feu) analysent les trames, tandis que les firewall software analysent les applications. Cette analyse hardware est effectuée par un logiciel interne. La première partie filtre les combinaisons TCP IP pour envoyer ou non les informations vers le PC client du réseau. La deuxième partie va vérifier si l'information est effectivement  demandée par une station cliente en analysant les connexions PC - site Internet. 

La troisième application est appelée Statefull inspection. Ce terme est breveté par Checkpoint (un des leaders de la sécurité Internet) qui fabrique des firewall software mais dont la technologie est implantée dans divers firewall hardware. Le "State Full Inspection" est aussi appelé Firewall-1 ou à technologie de filtrage dynamique. Le firewall détermine si le client est bien connecté (active) sur INTERNET au moment de la réception du message. Pour cela, le firewall garde dans des tables de connexion les sessions actives. Dans le cas contraire, le message est purement bloqué.

Les firewall peuvent inclure également différentes options tel que le proxy. Un proxy est un espace disque dur sur lequel les pages couramment demandées sont stockées. Chaque fournisseur d'accès (FAI) utilise un proxy pour les connexions. Lors d'une demande, le proxy vérifie si la page n'est pas en mémoire. Dans le cas positif, la page est renvoyée à la demande sans téléchargement à partir du site. Ceci permet de gagner du temps lors des téléchargements. Cette solution est également utilisée dans quelques firewall ou routeur. Si l'utilisateur n'est pas en contact direct avec le site, son adresse IP ne pourra pas être analysée. Quoiqu'en disent certains sites, ce n'est pas vraiment une sécurité puisque les adresses à hacker sont souvent déterminées par un scannage des adresses sur INTERNET. Par contre, dans le cas des firewall qui ne renvoient pas les commandes PING, ceci permet à l'attaquant de déterminer que l'adresse est effectivement utilisée si le proxy n'est pas en fonction. Remarquez que l'utilisation ICQ ou MSN Messenger permet également de déterminer votre adresse TCP/IP encore plus facilement, la liste apparaît sur le site.

Le filtrage de sites est implanté dans la majorité des firewall hardware. Ceci permet de bloquer les accès sortant des adresses de sites ou même des adresses contenant un mot. Vous pouvez par exemple bloquer les sites dont le nom inclus sex, rencontre ou KAZAA.

5. L'accès à distance à un réseau

Cette application permet de se connecter à un réseau interne via une liaison téléphonique ou par INTERNET.

5.1. Prise de contrôle à distance et transferts de fichiers.

Dans le chapitre précédant, nous avons vu que les trojans de type Netburst permettent de prendre le contrôle à distance (entre autre) d'un PC via Internet. Cette solution semble facile mais permet à d'autres de prendre le contrôle aussi. Cette solution est donc tout à fait à proscrire.

La solution la plus communément utilisée fait appel à des logiciels de type PC Anywhere qui permettent de prendre la commande de PC via des modems analogiques ou ISDN, ou même l'ADSL (Internet). Cette solution est souvent utilisée pour de petites infrastructures de type indépendants, ou pour le dépannage des utilisateurs à distance dans le réseaux internes. De nombreuses tentatives d'attaques par INTERNET viennent de ce logiciel. Le paramétrage de PC Anywhere permet de changer le numéro de port pour l'accès à distance. Ce n'est pas la solution parfaite. En effet, pour une prise de contrôle à distance, il faut le numéro de port et le programme client. En changeant le numéro de port, l'administrateur suppose que le pirateur ne pourra prendre le contrôle. De l'autre côté, le pirateur par scannage d'adresses sur tous les ports, reçoit les logiciels qui répondent (même mal) sur un port. Il n'a plus qu'à essayer tous les programmes possibles sur ce port. La prise de contrôle se fait également par mot de passe (nettement conseillé).

Une autre solutions qui n'est utilisée que par certains programmes permettent de mettre en commun des ressources via l'accès réseau à distance.

Cette fonction nécessite l'installation d'un composant additionnel de Windows serveur: serveur d'accès réseau à distance et permet l'utilisation de fichiers sur des disques partagés. La connexion pour permettre l'entrée se fait également via un mot de passe et le démarrage de ce serveur d'accès à distance via la partie accès réseau à distance.

Certains programmes bureautiques (notamment Works de Microsoft) incluent également des fonctions de transferts de fichiers. Windows XP a également implanté une fonction de prise de commande à distance, en espérant qu'ici aussi il n'y ait pas de failles de sécurité.

5.2. Virtual Private Networks (VPN)

Les solutions ci-dessus ne permettent pas directement de se "connecter à un serveur réseau", mais de prendre le contrôle d'un PC qui lui se connecte au réseau. Ce sont des solutions logicielles. 

Les VPN (pour Virtual Private Networks) sont des appareils qui se connectent physiquement sur INTERNET ou entre le réseau et le routeur suivant les modèles. Les dernières versions des systèmes d'exploitation serveurs de Microsoft implantent des fonctionnalités équivalentes.

Les VPN créent entre un ordinateur et le réseau interne une liaison sécurisée et cryptée pour assurer le transfert des informations: appelé communément un tunnel. Lorsque la station demande via Internet une connexion sur le réseau interne, les 2 appareils se communiquent une clé logicielle qui servira au cryptage des informations. Le VPN crée alors une sorte de tunnel sécurisé sur Internet qui empêche toute forme de piratage. Cette solution est la seule utilisable pour une connexion via ADSL La connexion nécessite 3 choses:

  1. Un logiciel particulier sur le client (Réseau privé virtuel installé comme composant de Windows ou programme spécifique)
  2. Un matériel hardware de type VPN relié entre Internet et le réseau d'entreprise (éventuellement Windows 2000 ou XP)
  3. Une adresse INTERNET TCP/IP fixe ou du moins connue au moment de la connexion.

Les deux premières contraintes semblent faciles. Nous reparlerons de l'appareil. La troisième nécessite, soit un site INTERNET et donc un serveur propre relié sur INTERNET, même si la connexion doit se faire sur un autre serveur ou un abonnement spécifique permettant d'avoir une adresse INTERNET TCP/IP fixe. Dans le cas d'un abonnement ADSL normal, l'adresse change à chaque connexion et au maximum après quelques dizaines d'heures suivant le fournisseur d'accès. Les amateurs pourront néanmoins utiliser quelques solutions pour connaître l'adresse TCP/IP de la connexion à un moment donné sur des sites spécifiques par exemple et la communiquer via téléphone ou mail. Cette solution est peu envisageable pour une connexion 24h/24h. 

On distingue plusieurs modèles de VPN. La majorité des modèles hardware permettent uniquement un tunnel entre 2 installation réseau fixes. Ils ne permettent donc pas le travail à domicile (quoique sous-entendent les publicités). Les modèles plus chères permettent également le travail à distance. Le mode de cryptage peut être MPLS ou IP-Sec (IP Security). Le cryptage se fait uniquement entre les deux VPN. Certaines méthodes de tunnel, notamment Over Ip (à la différence de tunnel IP) permettent de faire transiter d'autres protocoles tel que IPX dans le tunnel.

Dans le cas de l'utilisation d'un VPN, vous ne pouvez pas sécuriser votre réseau en empêchant le partage des ressources via TCP/IP. Le VPN permet d'utiliser à distances toutes les ressources du réseau (fichiers, applications et périphériques de type imprimante) comme si vous étiez directement connectés sur le réseau.

Selon l'appareil (des solutions logicielles existent, notamment dans Win2003 serveur), le VPN va effectuer plusieurs tâches comme la détection d'intrusions, la fonction firewall ou le scan de virus.

Une passerelle (gateway) vers INTERNET (fonction de routeur INTERNET), une fonction de firewall pour bloquer les intrusions, un anti-virus intégré et la fonction VPN pour créer le tunnel Internet via, généralement le fonctionnement  est conforme aux spécifications de cryptage IPsec des stations clientes.

Le VPN va fournir une adresse locale à un PC connecté sur INTERNET. celui-ci va alors automatiquement s'intégrer dans le réseau. Attention, le paramétrage de ce type d'appareil au niveau VPN est généralement plus pointu puisqu'il permet par exemple d'accepter les données rentrantes sur une adresse mais de refuser les entrées sortantes.

Lorsque tous les niveaux sont résolus, vous pouvez directement relier deux réseaux internes via Internet. C'est actuellement la seule solution viable (sans lignes totalement dédiées et louées) pour ce genre d'applications. C'est également, du moins en Belgique dans les zones connectées à l'ADSL, la meilleure solution pour le télé-travail (le travail à partir de son domicile).

6. Sauvegarde sécurisée via Internet.

Cette méthode de backup pourrait être insérée dans la partie stockage et sauvegarde réseau, mais utilise les techniques de connexions à distance. Le principe est de créer un tunnel Internet entre votre serveur interne et un réseau distant constitué de serveurs, NAS ou de sauvegardes sur bandes pour sauver vos données. Le principal avantage: vous ne vous préoccupez plus de vos bandes, elles sont en principe en sécurité à l'extérieur de votre entreprise (un autre avantage). Le programme de gestion sauve automatiquement les données importantes en les compressant et les cryptant au préalable.

Différentes variantes de cette technique sont proposées. La première consiste à transférer systématiquement le contenu du disque dur sur la sauvegarde Internet. Malheureusement, les liaisons ADSL les plus rapides tournent à 12 Mb/s (divisez par 10 pour retrouvez une notation en byte ou octet). Pour sauver un disque dur de 20 GB de données, il faut donc 20.000.000 / 800 = 25.000 secondes, soit près de 7 heures. Le retour se fait encore plus lentement, à 512 kb/s maximum pour l'ADSL, soit 16 X plus lent. Pas très efficace.

La deuxième solution consiste à sauver sur différents supports les données de départ (CD, DVD, bandes) et à ne sauvegarder que les dossiers importants ou que les fichiers modifiés via le tunneling Internet. Cette méthode revient à une sauvegarde incrémentale ou différentielle avec leurs défauts respectifs. En cas de problème, on rapatrie par véhicule la sauvegarde de base et on récupère les fichiers sauvegardés plus tard. Ces systèmes peuvent sauver les données chaque jour dans des dossiers différents ou dans le même dossier (en écrasant les dossiers les plus anciens. La sauvegarde des données est compressée et cryptée au minimum à 128 bits, donc sécurisée et pratiquement impossible à récupérer sans les différentes clefs. Au niveau SECURITE, cette solution semble donc bonne.

Les défauts font néanmoins importants. La première vient de la sécurité des données (même si elles sont cryptées) puisque les données sont sur un site Internet qui ne vous appartient pas. Le deuxième problème vient du débit de transfert des données en émission (même compressées) et encore plus en réception. Comme le tunnelling nécessite un matériel ou un logiciel spécifique, vérifiez le coût effectif de cette solution de sauvegarde peu orthodoxe. Ce principe ne fonctionne qu'avec des serveurs réseaux travaillant en TCP/IP. Ce n'est pas forcément une solution intelligente pour la sauvegarde d'un serveur complet mais une manière de ne plus s'encombrer de la tâche sauvegarde pour de petites capacités.

Cette solution pourrait être également installée entre deux serveurs réseaux de la même entreprise mais distants en utilisant une liaison VPN. Ceci réduit le coût du prestataire mais demandes des connexions Internet par IP fixes et n'est envisageable que pour les grosses entreprises.

En complément:

La suite du cours Hardware 2 > Chapitre 11: Réseaux sans fils

< Chapitre 9: Sauvegarde spécifiques pour serveurs

Magasin informatique YBET en Belgique

Le cours "Hardware 1": PC et périphériques, le cours "Hardware 2": Réseau, serveur et communication.

© YBET informatique 2006 - 2015