[HELICOM]

Que se passe-t-il lorsque vous êtes connecté à internet ?

Tout d’abord deux termes souvent employés méritent une définition claire : l’adresse IP et le port de connexion ou session.Un petit exemple vous aidera à comprendre ces deux concepts : le standard téléphonique de votre entreprise. Admettons que le numéro de téléphone de votre entreprise, en l’occurence le standard, est le 01 66 77 12 00. Vous disposez d’un standard qui permet de joindre directement un employé, la sélection s’effectuant sur les 2 derniers chiffres du numéro. Ainsi

01 66 77 12 00 est le standard,
01 66 77 12 05 est le numéro de Jean Dupond, au service Commandes
01 66 77 12 23 est le numéro de Francois Martin, au service Livraisons, etc. On peut donc dire que
01 66 77 12 permet d’accéder à votre entreprise (son adresse)
05 est le service Commandes (port Commandes)
23 est le service Livraisons (port Livraisons).
Et bien maintenant, il est facile d’expliquer ce que sont l’adresse IP et le port : l’adresse IP permet d’accéder à votre entreprise, le port permet d’accéder à un service au sein de votre entreprise. Un service sur internet est donc constitué avant tout d’un couple adresseIP - port. Une adresse IP a le format x.x.x.x où x vaut entre 0 et 255. Un port est un chiffre de 0 à 65535.

Lorsqu’une session TCP/IP s’établie entre deux machines, chacune d’elle dispose d’une adresse IP et d’un port. Celle qui est à l’origine de la demande de session s’appelle la machine cliente (plus simplement, le client). Celle qui reçoit la demande s’appelle la machine serveur (serveur). On parlera alors de l’adresse IP du client ou celle du serveur. De même on parlera de port client et port serveur. Les ports serveurs sont des ports de services préétablis. Il représentent la tranche de 0 à 1023, laissant ainsi le reste aux ports clients (cela n’est pas aussi systématique, loin de là, mais ne compliquons pas les choses). Un petit exemple concret ?

Votre machine possède l’adresse IP 123.10.120.4. Elle désire récupérer votre courrier sur un SERVEUR de messagerie, à l’adresse 193.1.1.2. Pour cela, elle doit faire appel au service POP (n° 110) du serveur. Un session s’établira donc entre la machine 120.10.120.4 port 9382 (chiffre saisi au hasard, mais il est forcément supérieur à 1023 ; c’est le protocole TCP/IP de votre machine qui le choisira) et la machine 193.1.1.2 port 110. Chacune disposant d’une paire adresse-port, elle peuvent communiquer.
Quelques ports officiels ?
25 = SMTP (ce que l’on appelle communément le courrier sortant)
110 = POP3 (ce que l’on appelle communément le courrier entrant)
80 = HTTP (c’est le service utilisé par votre navigateur internet pour surfer le net !)
443 = HTTPS (le même mais sécurisé et donc chiffré, ce qui est un sujet à part entière !)
53 = DNS (il s’agit de la résolution de nom, comme on va le voir ci-dessous).
Ces ports ne sont que des "points d’entrée" à des services. Un service peut être vu comme un programme qui doit réaliser un certain nombre de choses pour un client. Pour cela, il est nécessaire que le client et le service (sur le serveur) parlent le même "langage". Lorsqu’une machine "parle SMTP" son correspondant doit aussi parler SMTP. Nous n’aborderons pas ici des variantes de langage, appelées versions, mais il faut savoir que les langages , protocolaires, sont régis par règles (Request For Comment ou RFC) qui font office de normes à respecter par les développeurs des programmes clients et serveurs (on y décrit le vocabulaire, en autre).

Avant d’aborder un exemple concret, il nous faut vous parler de la notion de "domaine internet". Admettons que la raison sociale de votre entreprise soit MABOITE et que vous exposiez une machine sur internet, avec l’adresse 123.10.120.4. Pour vous trouver, l’adresse serait peu aisée à retenir ! De ce fait, le domaine permet d’utiliser un NOM plutôt qu’un suite de chiffres et de points ! Ainsi, lors de l’enregistrement du domaine et de "l’ouverture" de votre machine sur internet, l’association suivante va s’effectuer :
adresse IP 123.10.120.4 <--------> maboite.fr ... ce qui est complètement FAUX !

En effet une adresse IP ne peut identifier un domaine : elle identifie une machine. Donc l’association sera plutôt

adresse IP 123.10.120.4 <--------> rt1.maboite.fr car votre machine aura un ptit nom : rt1 (par exemple, bien sûr). Cela explique de ce fait la convention du www, préfixe de tout service web qui se respecte. Le www correspondant au nom du serveur web pour le domaine en question. Mais il ne s’agit que d’une convention et rien ne vous empêche de nommer le serveur autrement.

La connaissance de l’un (nom ou adresse) en connaissant l’autre (adresse ou nom) s’appelle une résolution (de nom ou d’adresse selon le sens) et est effectuée par un service internet spécialisé, le Domain Name Service (DNS, dont le numéro de port est 53 ). Le réseau internet est "truffé" de serveurs DNS, communiquant entre eux avec un mode question-réponse (je sais ou je sais pas et va voir ailleurs !). Mais restons en là, car on pourrait passer des journées à parler de ce sujet passionnant qu’est le DNS.
Maintenant, regardons la figure suivante

La liaison entre votre machine rt1.maboite.fr (123.10.120.4) et votre fournisseur d’accès (FAI) peut être de deux types :

soit vous disposez d’un abonnement de type DSL (ex. ADSL), ou d’un abonnement RNIS à connexion permanente ou d’une ligne louée : dans ce cas votre machine est connectée en permanence à internet.
soit vous disposez d’un simple modem analogique (ex. 56K) ou d’un abonnement RNIS standard : dans ce cas vous êtes connectés uniquement pendant un laps de temps, nécessaire au transfert des données (cas de la figure ci-dessus).
Prenons le premier cas et la figure ci-dessous

L’accès à internet est partagé entre les différentes machines de votre entreprise. La machine rt1 du domaine maboite.fr est devenue maintenant un équipement réseau permettant aux différents composants de communiquer (fonction switch, voire hub) et de partager une même adresse IP officielle (vue d’internet) avec toutes les machines du réseau local désirant "discuter" sur internet (fonction routeur). D’où son nom de passerelle (ou gateway en anglais).
Vous avez remarqué que les adresses des stations de travail commencent par 10. Cet type d’adresses IP n’est pas utilisable sur internet ; ces adresses à l’inverse des adresses officielles, sont utilisées uniquement pour la communication des machines dans un réseau local (ou des réseaux locaux). Il existe 3 tranches d’adresses ainsi réservées à un usage local :

10.0.0.0 à 10.255.255.255
192.168.0.0 à 192.168.255.255
172.16.0.0 à 172.31.255.255
Sans entrer des les détails, il faut noter que le réseau local possède une adresse. Dans la plupart des petites structures, on emploie un réseau dit de classe C : pour MABOITE, le réseau local (LAN) a l’adresse 10.1.1.0 . Les machines de ce réseau peuvent avoir la tranche d’adresses 10.1.1.1 à 10.1.1.254. La dernière adresse possible, 10.1.1.255 est ce qu’on appelle l’adresse de broadcast qui permet d’envoyer des informations à toutes les machines de ce même réseau.
Mais comment le routeur / switch peut-il partager une seule adresse IP officielle avec toutes les machines du réseau local de votre entreprise ? Et bien, en utilisant le Network Address Translation ou NAT. Succinctement, comment ça marche ?
Regardons la figure suivante :

La machine de François, à l’adresse 10.1.1.1, ouvre session web, port 80 (en rouge) sur le serveur cool.geo.com, dont l’adresse est 194.120.12.222. Son port local est 9855. Le demande d’ouverture de session arrive au routeur / switch qui doit transférer la demande à cool.geo.com.
Le problème, c’est que l’adresse de la machine de François n’est pas une adresse officielle et le routeur doit opérer une translation d’adresse : il va mettre sa propre adresse internet (123.10.120.4) à la place de l’adresse source 10.1.1.1, les ports restant inchangés (les adresse altérées sont soulignées en rouge). Lorsque cool.geo.com reçoit la requête, il voit dans l’adresse destination sa propre adresse et dans l’adresse source celle du routeur switch. C’est à ce routeur qu’il répondra en envoyant une acceptation de session avec comme adresse source, la sienne 194.120.12.222, et comme adresse de destination celle du routeur de maboite.fr, 123.10.120.4 tout en conservant les ports. Ce dernier fait l’association adresse source+port (9855) destination grâce à une table interne (en réalité plus que ça !) en déduit que l’acceptation est pour la machine de François et met l’adresse de la machine de François en lieu et place de l’adresse de destination.
Le même scénario est effectué pour jean (session en bleu). Il ne s’agit là que d’un mode de fonctionnement de NAT. _ D’autres changent aussi les ports source...
Le rôle du routeur switch est donc de faire pour chaque échange un écrasement d’adresse source pour une information sortante et un écrasement d’adresse destination pour une information entrante. Tout cela n’est bien sûr possible qu’en utilisant une table internet conservant en mémoire les informations nécessaires aux restitutions.
Dans le dernier schéma, nous avons évoqué des échanges d’informations comme les demandes d’ouverture de session et son accord. Toutes les sessions commencent par une négociation (début de session), la session par elle même (transfert d’informations utilisateur) et une fin de session. Toutes ces données sont véhiculées dans des "paquets". Chaque paquet contient une entête (header en anglais) contenant toutes les informations nécessaires à l’acheminement de ce paquet .
Maintenant que vous êtes un peu plus familiarisé avec internet et conscient de l’immensité du sujet, vous pouvez déjà vous rendre compte des possibilités qu’offre une liaison permanente de type ADSL, par exemple, avec une adresse IP fixe que vous fournit votre FAI : vous êtes présent en permanence sur internet et donc, EN PERMANENCE ... sujet à des attaques de type intrusion ayant des buts divers, du simple défit au véritable carnage endommageant le contenu des machines sans parler des pertes d’informations, très exposé aux virus, dont les actions sont rarement amicales : destruction de fichiers, espionnage et récupération de données stratégiques.
Pour faire face à ce genre d’inconvénients, souvent graves, la mise en place d’une protection efficace est nécessaire.
Pour cela, il existe deux principaux composants :

le pare-feu (ou firewall en anglais), dont le but est de filtrer tous les entêtes de paquets (voir ci-dessus) pour déterminer leur cohérence dans le flux. Comme nous l’avons vu dans la dernière figure, François et Jean sont à l’initiative de la session : ils la demandent, ils n’acceptent pas une demande entrante. Le pare-feu pourra effectivement bloquer toute demande d’ouverture de session venant de l’extérieur. Seules certaines demandes d’ouverture provenant du LAN de l’entreprise seront prises en compte.
l’antivirus, qui agit lui, après regroupement des paquets (un document attaché de type Word représente un certain nombre de paquets !). Le fichier résultant est analysé (scan en anglais) afin de déterminer s’il est sain, ou au contraire s’il contient un ou des virus. Dans ce cas, il tentera de les éradiquer, et en cas d’échec mettra le fichier en quarantaine, avant suppression.
Ces deux composants peuvent résider sur une même machine (comme sur FullGuard) ou bien totalement séparés. Notre solution FullGuard s’appuie sur un système d’exploitation Unix très sécurisé et peu sensible lui-même aux virus qu’il doit combattre.
Pour terminer, vous trouverez ci-dessous un schéma d’implantation de notre solution FullGuard et ses principales caractéristiques.

Voila, avant tout bravo d’être parvenu à la fin de ce document (qui nous l’espérons ne vous a pas trop dérouté) et nous espérons qu’il vous aura apporté un petit peu de lumière sur internet. N’hésitez pas à nous contacter pour nous donnez votre opinion ou même pour obtenir des informations complémentaires.
Pour terminer, nous serions satisfaits de connaître votre avis sur cette petite page d’information :