Embed Size (px)
Citation preview
Editions ENI
Réseaux informatiquesNotions fondamentales
(Protocoles, Architectures, Réseaux sans fil, Virtualisation, Sécurité, IP v6, ...)
(5ième édition)
CollectionRessources Informatiques
Extrait
135
Chapitre 3Transmission des données
couche PhysiqueTransmission des données couche Physique1. Rôle d'une interface réseau
Dans un premier temps, nous allons examiner les paramètres qui permettentde configurer les périphériques d'un PC et plus particulièrement une carteréseau.
1.1 Principes
L'interface réseau fait office d'intermédiaire entre l'ordinateur et le support detransmission. Elle peut être un simple composant soudé à la carte mère oubien une carte réseau (NIC - Network Interface Card) à part entière. Dans ce der-nier cas, elle est installée dans un connecteur d'extension (slot). Son rôle estde préparer les données à transmettre avant de les envoyer et d'interprétercelles reçues. Pour cela, elle contient un émetteur-récepteur.
Le lien entre la carte et le système d'exploitation réseau est assuré par le pilote(driver) périphérique. Ce composant logiciel correspond à la couche Liaison dedonnées du modèle OSI.
© E
diti
ons
ENI -
All
righ
ts r
eser
ved
136Notions fondamentales
Réseaux informatiques
1.2 Préparation des données
La couche physique met en forme les données (bits) à transmettre sous formede signaux. Les échanges entre l'ordinateur et la carte s'effectuent via le bus dela machine en parallèle. La carte réseau va donc sérialiser les informationsavant de transmettre les signaux sur le support physique.
2. Options et paramètres de configurationTout point d'entrée/sortie sur un réseau doit être identifié afin que la tramesoit reçue (acceptée) par le bon périphérique. Une carte réseau ou un port série,doivent avoir un numéro qui doit permettre de les repérer au plus bas niveau(du modèle OSI).
2.1 Adresse physique
Sur un réseau local de type Ethernet (le plus courant, que nous aborderonsplus tard), c’est une adresse physique sur six octets, qui permet d'identifierl'interface réseau. Les trois premiers octets de cette adresse sont attribués parl'IEEE pour identifier le constructeur du matériel (ex. 00AA00 pour leconstructeur Intel et 00A024 pour 3Com). Les trois octets restants sont laissésà la disposition du constructeur, qui doit faire en sorte de vendre des cartes, detelle manière qu'aucune n'ait la même adresse physique, sur le même réseau deniveau 2.
137Transmission des données couche PhysiqueChapitre 3
Une adresse MAC va soit identifier une carte réseau unique (I=0), soit êtreassociée à un ensemble de cartes (G=1). Cette adresse pourra être unique glo-balement (U=0) ou simplement unique sur un périmètre limité (L=1).
Remarque
Théoriquement, rien n'empêche le système d'exploitation réseau de travailleravec des adresses physiques différentes de celles du constructeur. Parexemple, sous Windows, en accédant aux Propriétés de la carte réseau, il estpossible d'imposer une nouvelle adresse physique différente de celle propo-sée par défaut. Il suffit alors de valider, et la nouvelle adresse MAC devienteffective immédiatement !
Affichage des propriétés avancées d'une carte réseau sous Windows
© E
diti
ons
ENI -
All
righ
ts r
eser
ved
138Notions fondamentales
Réseaux informatiques
Remarque
La commande ipconfig /all sous Windows ou ifconfig -a sous UNIX/Linux per-met de le vérifier.
Cette adresse est utilisée chaque fois qu'une station, ou plutôt sa carte réseau,a besoin d'émettre une trame vers une autre carte réseau. Il est néanmoinspossible d'envoyer un paquet non pas à une, mais à plusieurs cartes en rempla-çant l'adresse unique du destinataire par une adresse multiple (souvent uneadresse de diffusion, soit FFFFFFFFFFFF, c'est-à-dire tous les bits des six octetsmis à 1).
Ainsi, toute adresse référençant plusieurs hôtes verra son bit de poids fort (leplus à gauche) à '1' (ex. FFFFFF.FFFFFF), à '0' dans le cas contraire (ex.00AA00.123456).
Par exemple, lorsqu'une carte réseau effectue une requête Address ResolutionProtocol (ARP), elle envoie une diffusion sur son réseau de niveau 2, c'est-à-direque le destinataire physique de la trame émise est "Tout le monde", FF-FF-FF-FF-FF-FF, comme ci-dessous :
Identification d'une adresse de diffusion (niv. 2)
Une adresse attribuée par l'IEEE verra son deuxième bit de poids fort à '0',tandis qu'une valeur '1' précisera que l'adresse correspond à une adresse nonnormalisée.
139Transmission des données couche PhysiqueChapitre 3
Par exemple, en Token Ring, l'adresse d'un hôte était constituée comme suit :
Adressage physique Token Ring
Remarque
Historiquement, il était possible de créer des groupes en Token Ring (G=1).
Remarque
La liste exhaustive des préfixes d'adresses MAC attribués aux constructeurs(OUI - Organizationally Unique Identifiers) peut être consultée à partir de l'URLsuivante : http://standards.ieee.org/regauth/oui/index.shtml
2.2 Interruption
Tout périphérique du PC est relié au microprocesseur par une ligne dédiée, ouligne d'interruption (IRQ - Interrupt ReQuest). Lorsque le périphérique a besoindu microprocesseur pour travailler, il lui envoie un signal par cette ligne(tension électrique qui passe à l'état bas). Il existe en tout seize lignesd'interruptions (2 fois 8 lignes en cascade). Certaines lignes sont attribuées pardéfaut et d'autres sont disponibles pour recevoir les périphériquessupplémentaires. Le microprocesseur gère ces lignes par ordre de priorité : plusle numéro de l'interruption est faible, plus la priorité est élevée.
Remarque
Grâce à la technique du Plug and Play, qui permet la détection de la carteet l’affectation automatique de ses paramètres, il n’est plus vraiment utileaujourd’hui de connaître ces informations.
© E
diti
ons
ENI -
All
righ
ts r
eser
ved
140Notions fondamentales
Réseaux informatiques
2.3 Adresse d'entrée/sortie
Un périphérique interrompt le microprocesseur chaque fois que des informa-tions ont besoin d'être échangées. Ces informations sont reçues ou envoyéespar une porte d'entrée/sortie localisée à une adresse particulière : l'adresse d'en-trée/sortie. Cette adresse pointe sur une plage d'au plus 32 octets, qui va per-mettre de stocker des données, mais aussi des informations indiquant quoifaire de ces données.
2.4 Adresse de mémoire de base
Il s'agit d'une adresse de mémoire volatile dont le rôle est de faire un tampon(buffer), lors de la réception ou l'émission de trame sur le réseau.
Cette adresse doit être un multiple de 16, elle est donc souvent écrite en hexa-décimal sans le '0' final qui est sous-entendu.
2.5 Canal Direct Memory Access (DMA)
Dans la plupart des cas, les périphériques dépendent du microprocesseur pourtransférer des informations de leur tampon vers la mémoire vive ou en sensinverse. Ainsi, il existe des périphériques qui disposent d'un canal particulierpour pouvoir échanger directement des informations avec la mémoire vive duPC, sans avoir recours au microprocesseur (dans un deuxième temps).
Certains périphériques, notamment des cartes réseau disposent d'un canalDMA, de 1 à 7.
2.6 Bus
Toutes les données échangées entre les périphériques et l'ordinateur passentpar des bus de données. Pendant longtemps, cet échange était surtout effectuéà travers des voies parallèles, et la vitesse de transmission dépendait beaucoupde sa largeur, par exemple 16, 32 ou 64 bits. Les nouvelles technologies de busprivilégient des solutions de transferts en série, dans lesquels les bits sont
Editions ENI
Maintenance et dépannage d’un PC en réseau
(4ième édition)
CollectionRessources Informatiques
Extrait
329
Chapitre 8Connexion Internet
Connexion Internet1. Introduction à Internet ExplorerDans ce chapitre, nous allons expliquer quelques traits essentiels d’InternetExplorer. Par ailleurs, nous indiquerons comment utiliser Windows Mail pourmigrer dans cette application vos précédents paramètres de messagerie. Nousnous intéresserons ensuite au fonctionnement du Pare-feu Windows etapprendrons quelles sont les meilleures stratégies pour se débarrasser d’un vi-rus ou d’un spyware.
2. Le mode protégé dans Internet ExplorerSignalons que cette fonctionnalité n’existe que depuis Windows Vista. Elle estsource de nombreuses difficultés. Examinons chacune de ses particularités.
2.1 Les niveaux d’intégrité
Ils sont au nombre de quatre :
– Système : s’applique aux composants systèmes et non aux applications.
– Élevé : s’applique aux processus qui s’exécutent avec des privilèges d’admi-nistrateur.
© E
diti
ons
ENI -
All
righ
ts r
eser
ved
330d’un PC en réseau
Maintenance et dépannage
– Moyen : s’applique aux processus qui s’exécutent dans l’environnementqui est défini par défaut.
– Faible : utilisé par Internet Explorer et Windows Mail quand ils sont exé-cutés en mode protégé.
Le niveau de privilège ne peut être modifié une fois que le processus est lancé.L’interface utilisateur d’isolation des privilèges induit trois conséquences :
– Tout objet "sécurisable" créé par un processus hérite du même niveau d’in-tégrité que celui du processus "parent".
– Un processus ne peut accéder à une ressource dont le niveau d’intégrité estplus élevé que le sien.
– Un processus ne peut envoyer un message fenêtré à un processus de niveaud’intégrité plus élevé.
2.2 Fonctionnement du mode protégé
L’interface utilisateur d’isolation des privilèges (User Interface Privilege Isolationou UIPI) empêche les processus d’utiliser les APIs utilisateur en mode d’inté-grité élevée. De cette façon, toute installation silencieuse de programmes oumodification de données sensibles est interdite. Quand Internet Explorers’exécute en mode protégé, il se voit donc alloué un niveau d’intégrité faible.De ce fait, il ne peut passer des opérations d’écriture dans les objets possédantun niveau d’intégrité plus élevé.
En mode protégé, Internet Explorer peut simplement modifier les objets pla-cés dans les emplacements suivants :
– \Documents and Settings\%USER PROFILE%
– \Local Settings\Temporary Internet Files
– \Local Settings\Temp
– \Local Settings\History
– \%USER PROFILE%\Favorites
– \%USER PROFILE%\Cookies
331Connexion InternetChapitre 8
Le schéma de fonctionnement obéit à ce principe :
– Internet Explorer se lance en mode protégé.
– Le mécanisme d’intégrité (UIPI) s’active automatiquement.
– Le processus IEInstall.exe (Niveau d’intégrité élevé) servira aux opérationsnécessitant des privilèges d’administrateur.
– Le processus IEUser.exe (Niveau d’intégrité moyen) sera utilisé pour les opé-rations nécessitant des privilèges d’utilisateur.
– Enfin, la couche de compatibilité des applications ("Compatibility Layer")fournit des privilèges d’utilisateur faible permettant de faire fonctionner cenavigateur.
Cette couche de compatibilité permet d’intercepter les tentatives d’écrituredans les objets possédant un niveau d’intégrité moyen et les redirige vers cesemplacements de niveau d’intégrité faible :
– \%userprofile%\APPData\Local\Microsoft\Windows\TemporaryInternet Files\Virtualized
– HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\InternetRegistry
Les deux processus (IEInstall et IEUser) provoquent l’apparition de la boîte dedialogue d’élévation des privilèges dans les scénarios suivants :
– IEUser.exe vous permet, par exemple, d’enregistrer des fichiers dans des em-placements de niveau d’intégrité plus élevé. Notez que ce processus est vir-tualisé.
© E
diti
ons
ENI -
All
righ
ts r
eser
ved
332d’un PC en réseau
Maintenance et dépannage
– IEInstal.exe permet de procéder à l’installation de Contrôle ActiveX ouautres modules complémentaires.
Voici un exemple d’application :
dOuvrez une page Internet.
dEnregistrez la page dans C:\Program Files.
dOuvrez ce même répertoire.
Dans l’Explorateur Windows, la page HTML ou MHT restera introuvable…De fait, le fichier a été virtuellement enregistré dans ce type d’arborescence :C:\Users\Nom_Utilisateur\AppData\Local\Temp\Low\lfg98KF.
333Connexion InternetChapitre 8
Si vous désactivez le mode protégé et refaites la même manipulation, cettemême page sera, cette fois-ci, enregistrée à cet emplacement : C:\Users\Nom_Utilisateur\ AppData\Local\VirtualStore\Program Files
Le mode protégé est activé pour les zones de sécurité suivantes : Internet, Sitessensibles. Il est désactivé pour les zones Sites de confiance et Machine locale.
2.3 Autres conséquences du mode protégé
Internet Explorer inclut un mécanisme empêchant tout code malicieux decommuniquer ou de lancer un autre processus. Si, par exemple, une extensiondu navigateur tente de le faire, Internet Explorer vous demandera votre per-mission avant de démarrer le processus.
Si cette extension possède son propre fichier exécutable, vous pouvez ajouterune clé dans le Registre indiquant que ce processus est digne de confiance.L’arborescence du Registre qui sera modifiée sera celle-ci : HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy.
© E
diti
ons
ENI -
All
righ
ts r
eser
ved
334d’un PC en réseau
Maintenance et dépannage
Dans cette dernière clé, créez un nouveau GUID dans lequel vous ajouterezces trois valeurs :
– AppName (valeur chaîne) : nom du fichier exécutable.
– AppPath (valeur chaîne) : emplacement du fichier exécutable.
– Policy (valeur DWORD) : avec comme données de la valeur le chiffre 3.
La même boîte de dialogue va apparaître quand vous essayerez de déplacer lecontenu d’une page Web dans une autre application. Le mécanisme est iden-tique à celui décrit précédemment à la différence près qu’il concerne mainte-nant cette arborescence du Registre : HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Low Rights\DragDrop
2.4 Désactiver le mode protégé
Afin de désactiver le mode protégé, suivez cette procédure :
dCliquez sur Outils - Options Internet.
dCliquez sur l’onglet Sécurité.
dCochez ou décochez la case Activer le mode protégé (redémarraged’Internet Explorer requis).
