Mon réseau

Mon réseau d’entreprise

5.1 Techniques d’accès

Précédent   Suivant

5.1.1 Objectifs

Il ls’agit d’étudier les techniques permettant de connecter une entreprise à un réseau numérque public. Pour cela, nous allons étudier les aspects mis en œuvre dans un boîtier d’accès à Internet. Les composants sont :

  • 1. connexion au réseau d’opérateur ;

  • 2. routeur d’accès ;

  • 3. réception et distribution dvb ;

  • 4. point d’accès WiFi :

  • 5. téléphonie privée.

Les notes de cours sont disponibles

5.1.1.1 Connexion au réseau d’opérateur

La connexion à un réseau d’opérateur peut se faire de multiples façons.

La méthode historique, c’est l’utilisation d’un câble téléphonique à quatre paires. Une de ces paires est utilisée pour véhiculer le signal de téphonie analogique ou numérique (rnis).

L’utilisation de ce câble a été étendue pour offrir un service dsl qui permet d’obtenir des débits plus élevés pour la plupart des abonnés.

Actuellement, les opérateurs mettent en place des fibres optiques permettant d’augmeneter le débit.

Pour les grandes entreprises, il y a d’autres méthodes d’accès dont la technologie est similaire : paire de cuivre ou fibre optique.

Les méthodes de facturation sont très fluctuantes. Elles peuvent intégrer des qualités de services. Il est ainsi possible d’avoir un contrat qui précise les débits garantis ou le temps de rétablissement après une panne.

La connexion à l’opérateur repose donc sur deux éléments :

  • 1. la pose d’une liaison physique ;

  • 2. une paire d’équipements actifs compatibles pour assurer la liaison de données.

La liaison physique peut être un câble (optique ou cuivre) ou une connexion sans fil (Hertzien, laser). Ce tuyau transporte un signal analogique qui représente un signal numérique.

Les équipements actifs sont placé, l’un chez l’opérateur, l’autre chez l’abonné. La technologie dépend de l’époque et du service demandé. Plusieurs terminologies sont utilisées :

  • etcd : Équipement Terminal de Circuit de données ;

  • dce : Data Circuit terminal Equipment ;

  • modem : modulateur - demodulateur.

Les deux premiers sigles sont normatifs, traduction l’un de l’autre. Le grand public utilise plutôt le mot modem. Ces équipement assurent la conversion du signal numérique utilisé par les ettd, Équipements Terminal de Traitement de Données (dte : Data Terminal Equipement), en un signal analogique qui sera transmis à distance. Un exemple d’ettd, c’est l’ordinateur personnel connecté au modem d’accès.

Les box Internet sont composées d’un modem adsl ou ftth relié à un ordinateur linux embarqué qui assurera les fonctions de routage, point d’accès…

Les techniques de transmission utilisées sont très dépendantes de la couche physique. Plus les débits sont élevés, plus la partie traitement du signal et transmission est complexe. Le principe général est toujours le même.

5.1.1.2 routeur d’accès

L’utilisation d’un routeur d’accès permet de partager la laison opérateur avec un nombre quelconque d’équipements numériques. Ce routeur peut être interne au boîtier d’accès ou externe.

Le routeur d’accès peut être un équipement conçu pour cet usage, professionnel ou grand public. Certains équipements permettent (parfois avec l’autorisation du fabricant) d’utiliser un système d’exploitation libre, par exemple OpenWRT.

(image)Le routeur d’accès sera très sollicitié par les attaquants. Il est donc recommandé d’avoir confiance dans son système d’exploitation. Certains systèmes, comme Debian ou OpenBSD, traitent sérieusement la sécurité : ils listent sur leur page d’accueil les alertes de sécurité dès qu’elles sont connues. Les mises à jour sont rapiement diffusées, il faut mettre son système à jour souvent, au moins une fois par jour.

(image) L’utilisation d’un boîtier privatif dont la propagande vante la sécurité permet de pouvoir ne pas assumer la responsabilité d’une agression réussie.

5.1.1.3 DVB : Digital Video Broadcasting

La télévision numérique est in élément essentiel pour les opérateurs télécoms. La télévision est mainenant uniquement diffusée en nuérique. Les standards évoluent, principalement avec l’augmentation de la taille des images.

Elle peut être diffusée par les antennes terrestres tnt, par les satellites, par le câble de télévision ou par la connexion Intenet. Le standard est le même quelque soit la méthode de transmission.

5.1.1.4 point d’accès WiFi

La partie point d’accès WiFi est traitée dans le module : technologies sans fil.

5.1.1.5 téléphonie privée

La partie téléphonie privée est traitée dans d’autres modules. Certaines box fournissent un service d’ipbx. Les boîtiers grand public permettent de connecter un téléphone analogique.

5.1.2 Compétences visées
5.1.3 Mise en œuvre

(image) Les positions de Travaux pratiques ne conviennent pas à tous les tps. Les étudiants arrivant en retard ne pourront que s’installer sur une position disponible.

Trois parties seront détaillées dans ce module : la liaison longue distance ; la partie routeur - firewall ; la télévision numérique.

Il y a quatre types de positions :

  • 1. deux Positions équipées d’un OLT FTTH :
    Près du mur et de la porte

  • 2. Près de la fenêtre :
    Ces positions sont configurées pour les TP DVB. Le Pc le plus près de la fenêtre est muni d’une clef usb TNT reliée à un câble d’antenne coaxial.

  • 3. Autres positions ;
    près du mur, loin de la porte Les deux positions restantes permettent de faire les TP Gnuradio.

  • 4. (en TD) accès à vladivostok :
    Uniquement les questions outils.

Les modems sont utilisés pour relier deux équipements numériques à longue distance. Les sujets portent sur la manipulation des modems, la mise en place d’instrument de mesure en ligne et l’établissement d’une liaison IP.

Il s’agit d’étudier la transmission de la télévision numérique. Il faut donc être capable de décoder le protocole DVB, de lister les multiplex et les chaînes transmises. Enfin, il faut rediffuser les chaînes en activant le routage multicast.

Le routeur permet de séparer les sous-réseaux à l’intérieur d’une entreprise, il permet d’assurer l’intercommunication et d’interdire ou d’autoriser certaines communications. En Gnu-Linux, l’activation du routage unicast est élémentaire, le firewall repose principalement sur iptables.

Il est possible d’avoir un accès à distance.

  • 1. Il faut passer par Thorin

  • 2. Puis se connecter sur la machine désirée

  • 3. La plupart des manipulations peuvent se faire en ssh

  • 4. Pour avoir plusieurs terminaux, vous pouvez :

    • (a) utiliser screen

    • (b) utiliser plusieurs connexions ssh (le fichier .ssh/config est votre ami)

    • (c) Utiliser les connexions graphiques (voir xlogo dans la documentation de X-Window) et utiliser xterm &

  • 5. pour le graphique, vous pouvez :

    • (a) Utiliser les connexions graphiques (voir xlogo dans la documentation de X-Window)

    • (b) utiliser vnc x11vnc (le fichier .ssh/config est votre ami)

5.1.4 La notation du module

Le module se déroule sous forme de mini-projet en séances de TP. Les étudiants doivent réaliser dix étapes. Chacune de ces étapes est sanctionnée par une note immédiate de deux points. Le module est donc noté sur 20.

Chaque étudiant choisit l’ordre dans lequel faire les étapess à valider. Quand un étudiant est prèt, il peut valider une étape en appelant l’enseignant et en faisant la présentation adaptée. L’étape sera validée en une seule fois. Si l’étudiant hésite (peut être n’a t’il pas de notes manuscrites ?), alors l’enseignant repart ; la validation devra être refaite depuis le début. Le texte décrivant les éléments à valider de l’étape choisie doit être affiché à l’écran, avec la ou les fenêtres utiles.

À l’exception des étapes le nécessitant, les machines virtuelles seront utilisées uniquement à travers une connexion ssh.

Il est important de valider les éléments le plus rapidement possible. Le manque de temps lors de la dernière séance ne sera pas une excuse.

Les étapes validées sont affichées dans la salle TP. En quittant la salle, l’étudiant est d’accord avec l’affichage. En cas de retard d’affichage pendant la séance, n’hésitez pas à le rappeler à l’enseignant.

Les étapes à valider sont :

  • 1. Outils Réseaux : outils de mise au point 5.1.4.1 ;

  • 2. Radio logicielle : utilisation de GnuRadio (pas seulement pour la radio)5.1.4.2 :

  • 3. FTTH : Initiation FTTH5.1.4.3 ;

  • 4. DVB : Initiation 5.1.4.4 ;

  • 5. DVB : Analyse dvb5.1.4.5 ;

  • 6. DVB : analyse des émissions5.1.4.6 ;

  • 7. DVB : Analyseur professionnel ?? ;

  • 8. DVB : Multicast5.1.4.8 ;

  • 9. routage5.1.4.9 :

  • 10. firewall5.1.4.10 :

5.1.4.1 Outils

Il s’agit, ici de faire un retour sur les techniques d’analyse réeau et d’ajouter des possibilités d’analyse simple de transmission. Pour la partie tshark, il faut pouvoir limiter l’affichage. Donc, filtrer sur les adresses IP, les ports utilisés ou les protocoles.

Il faut (au moins trois terminaux pour chaque question :

  • 1. un terminal pour générer le paquet ;

  • 2. un terminal pour montrer que le filtre fonctionne ;

  • 3. un autre terminal pour montrer que le paquet existe (l’inverse du précédent).

Pour chaque filre, il faut donc générer un paquet qui est affiché par le filtre, et un paquet qui n’est pas affiché par le filtre. Le terminal de contrôle montre que les paquets qui ne sont pas affichés existent bien.

Évitez d’utiliser les ports trop chargés comme les ports 22 et 80 !. Au semestre 2, nous avons montré comment créer un serveur sur un port choisi avec netcat et génerer le trafic désiré.

  • 1. filtrer un port ;

  • 2. filtrer une adresse IP ;

  • 3. filtrer un port et une adresse IP ;

  • 4. filtrer un port et pas une adresse IP ;

  • 5. en utilisant un filtre approprié, montrer comment fping détecte un ordinateur du réseau local (sans passer par un routeur) ;

  • 6. en utilisant un filtre approprié, montrer comment nmap en mode utilisateur détecte un ordinateur du réseau local ;

  • 7. en utilisant un filtre approprié, montrer comment nmap en mode administrateur détecte un ordinateur du réseau local.

Pour prouver que votre filtre fonctionne, il faut lancer un paquet qui sera affiché et au moins un qui ne sera pas affiché.

Pour les trois dernières question, il faut montrer l’échange qui montre comment la détection est réalisée.

Pour vous faciliter la vie, vous devriez utiliser la commande netcat :
netcat adresseIP portTCP

5.1.4.2 Radio Logicielle

Il s’agit de commencer à utiliser gnuradio pour l’étude du traitement du signal ou se connecter à un hackrf pour recevoir (et potentiellement) émettre des signaux.

Installer les paquets utiles pour l’utilisation du hackrf.28.2.3.

  • Avec osmocom, affichez le signal généré par une télécommande radio (votre clef d’automobile, par exemple) ;

  • GnuRadio : ajoutez deux signaux sinusoidaux (amplitude et fréquence différente), affichez les représentations temporelles et spectrales ;

  • Connectez GnuRadio à un HackRF, affichez les représentations temporelle, fréquentielle et waterfall de la télécommande.

5.1.4.3 FTTH

Il faut vérifier que les équipement sont sous tension. Sinon, demander à l’enseignant de les allumer. Le matériel est décrit au chapitre 22. La position de TP doit être réglée avec un pool d’adresse vide. Si les téléphones ou d’autres équipements obtiennent une adresse, alors demandez à l’enseignant d’arrêter le service.

  • 1. Décrire les connecteurs réseau (sur le boîtier et sur l’écran)

  • 2. Identifier l’adresse MAC du port de gestion (fping et ip neighbour sont vos amis.

  • 3. Régler l’adresse IP par le DHCP (Réseau : 10.133.X.0, X=selon l’ID de l’étudiant). Il faut ajouter une adresse à la carte réseau physique de la station et modifier la configuration de dnsmasq.

  • 4. Le login est ubnt le mot de passe ne doit pas être modifié.

  • 5. lister les ONU, identifier leurs capacités réseaux ;

  • 6. régler un ONU avec un SSID (votre nom de famille) ;

  • 7. connecter un téléphone sur ce SSID

  • 8. à l’aide de tshark montrer comment le téléphone considère qu’il a une connexion Internet ;

  • 9. à l’aide de dnsmasq, masquez cette adresse (modifier /etc/hosts).

5.1.4.4 Initiation DVB

C’est le premier contact avec le dvb, voir : 24. La capture w_scan dure une dizaine de minutes. L’utilisation du fichier fr-Marseille permet de réduire à environ trois minutes. En 2020, il y a un bug qui oblige à relancer plusieurs fois le scan en modifiant le fichier source. Il est sûrement plus pratique de lancer le scan complet.

  • 1. Montrer le périphérique dans l’arborescence des fichiers ;

  • 2. Fichier channels.conf pour tzap ;

  • 3. Trouver la relation entre canal et fréquence TNT sur le site du CSA ;

  • 4. Vérifier la liste des canaux sur le site du CSA

  • 5. Sur le compte-rendu : liste des multiplex, fréquence, liste des chaînes.

5.1.4.5 Analyse DVB

  • 1. Utiliser la zapette sur le multiplex d’ARTE ;

  • 2. Véfifier le ber ;

  • 3. liste des PID ;

  • 4. Liste les avis ITU-T (montrer sur wikipedia leur utililité) ;

  • 5. Pour une chaîne montrer :

    • (a) les pids

    • (b) La vidéo

    • (c) les flux audio

5.1.4.6 DVB : analyse des émissions

Nous allons fouiller ici dans les données transmises pour obtenir des informations utiles pour les spectateurs.

PIDs : liste des programmes, serviceID d’Arte,

  • 1. Liste des programmes (au sens du dvb) ;

  • 2. serviceID d’Arte ;

  • 3. débits des PID (max et min) ;

  • 4. afficher les deux prochaines emissions de France5.

Il faut regarder pour tous les PID leur débit. Chaque PID a un débit différent. Laisser la capture tourner sur un grand nombre de paquets permet d’affiner la précision de la mesure.

5.1.4.7 DVB : Analyseur PRO

L’analyseur PRO est le type d’instrument utilisé par les antennistes. Son prix était de 2 500€. Nous allons le manipuler et comparer ses informations avec ce que nous fournit une clef tnt à 5€

  • 1. Montrer la liste des chaînes et leur fréquence dans le compte rendu précédent ;

  • 2. montrer par rtl-power le waterfall de la bande tnt

  • 3. Analyseur PRO :

    • (a) Spectre tnt ;

    • (b) pour un multiplex :

      • i. numéro de canal,

      • ii. fréquence,

      • iii. niveau de puissance,

      • iv. largeur de bande,

      • v. liste des services,

      • vi. constellations : combien de points ?

spectre TNT ; pour une fréquence de multiplex montrer le numéro de canal, la fréquence et le niveau de puissance, largeur de bande ; liste des services d’un multiplex, constellation,

5.1.4.8 DVB

  • 1. activation de mumudvb sur un multiplex ;

  • 2. afficher une chaîne dans la machine virtuelle de l’autre PC ;

  • 3. activer / desactiver le routage multicast ;

  • 4. débit d’une chaîne sur le réseau iftop.

Diffusion Vidéo : mise en évidence du routage multicast, charge d’une chaîne sur le réseau, affichage avec routage.

5.1.4.9 Routage

Pour ces éléments, il faut mettre en évidence les actions, c’est à dire montrer avec tshark ou tcpdump l’influence d’une commande : « Là le paquet passe ; là il ne passe pas ».

Il faut donc avoir :

  • 1. un routeur - firewall : votre station

  • 2. un ordinateur interne : une machine virtuelle, branchée sur le switch vde2 ;

  • 3. un (ou plusieurs) ordinateur externe : le parc Osaka - Hong-Kong.

Il n’est pas obligatoire d’avoir une machine virtuelle complètement installée. Après la configuration du réseau, le second terminal permet d’utiliser les commandes nc ou ping.

  • 1. Vérifier si le noyau route actuellement ;

  • 2. activer / desactiver le routage (avec tshark) ;

  • 3. Montrer le nouveau fichier de configuration présenté utilisé par Trixie, comme expliqué dans les notes d’installation ;

  • 4. Ajouter une route pour la machine virtuelle de l’autre PC.

5.1.4.10 Firewall

Les règles de firewall s’effectuent sur le routeur uniquement.

  • 1. Montrer avec tshark l’effet des politiques DROP, ACCEPT ;

  • 2. Montrer l’effet de la règle REJECT ;

  • 3. autoriser un port ;

  • 4. autoriser une adresse destination ;

  • 5. activer la masquerade ;

  • 6. changer l’adresse et le port de destination.

Pour prouver que votre filtrage fonctionne, il faut lancer un paquet qui sera affiché et au moins un qui ne sera pas affiché.

Précédent   Suivant