Blog informatique et technologique

Pour l'administration réseau, on trouve comme logiciels de supervision réseau et de monitoring :
Websense, Tivoli, Observer, Unicenterde Computer Associates (CA), HP Openview HP-OV, Ciscoworks, BMC Patrol (Patrol DashBoard), What's Up de Ipswitch, Snmpc aussi, Loriot Pro de Luteus et Observer de Network Instruments, sans oublier Compaq Insight Manager SP7 (pour les SAN notamment); MOM de Microsoft, Synexsys, Patrol Visualis mais aussi NSM de Computer Associates, FLUKE ou Nagios (sous Linux et libre) .
Nagios est un très bon produit et pour vous faciliter la vie, il existe une solution Open Source Oreon qui propose un frontend à Nagios .
On trouve aussi Zabbix qui est une bonne alternative à Nagios . Hp OpenView est sûrement une des solutions les plus adéquates mais payante et difficile à prendre en main : Cette application reconnaît toutes les MIB réseau ainsi que les MIB type onduleur et bien d'autre encore ...
Cependant, il faut utiliser des produits complémentaires pour pouvoir tout superviser :
- pour toutes les options de surveillance pour les produits Cisco, Cisco view
- optivity pour nortel, alcatel
- cabletron pour cabletron etc ....
La prise en main nécessite une bonne formation pour l'installation et la gestion .
En fait, souvent, une entreprise dispose de plusieurs outils de monitoring .
Par exemple, l'ensemble des outils suivants : nagios, cacti, hp openview, what's up, ntop, hp sim, mrtg, rdd tool, smokeping .
Cela lui permet de couvrir toutes les informations qu'elle recherche .
Pour étudier le trafic sur notre réseau (ex : y a t'il un trafic VoIP, P2P ?), on dispose aussi de sondes réseaux ou sniffers .
Exemples : Etherreal (sous Linux ou Windows), TCPDUMP sous Linux (=WINDUMP, WINPCAP sous Windows), SNORT (qui est aussi un IDS)
Pour la gestion du trafic applicatif et de la bande passante sur les liens WAN, il existe des serveurs comme PacketShaper de Packeteer ...

PacketShaper sauvegarde les performances des applications suivant les priorités de l'entreprise, grâce à la surveillance, au contrôle et à la compression du trafic sur les liens d'accès WAN et Internet susceptibles d'être congestionnés .

Pour la surveillance des activités des salariés, le dépannage et l'assistance à distance des cellules de maintenance technique, ou pour suivre un cours dans une salle informatique en déportant son écran sur tous les ordinateurs de la salle, il existe des télécommandes d'ordinateurs comme Timbuktu Pro, Symantec PcAnyWhere 11.5 ou encore l'assistance à distance intégré dans XP voir le bureau à distance si on dispose d'un serveur Terminal Server de client léger.
On trouve aussi Microsoft SMS Server 2003 (= System Management Server) qui est un système d’administration de parcs informatique et réseaux de Microsoft (Je l'ai utilisé dans l'entreprise VAI CLECIM) . Il permet la prise de contrôle à distance via Terminal Server .
Enfin, il existe VNC de la société AT&T qui est gratuit, Open Source sous licence GNU/GPL et que j'ai également eu l'occasion de déployer .
Tous ont une approche client-serveur . Une machine dite cliente prend le contrôle d'une machine distante appelée serveur .
Concrètement, l'écran de la machine serveur apparaît dans une fenêtre de la machine cliente et, à partir de celle-ci, l'utilisateur peut effectuer toute opération ou commande pour piloter la machine serveur exactement comme s'il était physiquement au pupitre de cette machine .
Une même machine peut jouer à la fois le rôle de serveur et celui de client .
Plusieurs clients peuvent se connecter en même temps sur un même serveur VNC .
VNC fonctionne avec le protocole de communication réseau TCP/IP et se base sur le protocole Remote Frame Buffer (RFB) pour l'affichage graphique . L'encodage utilisé transmet la première image puis uniquement les pixels qui ont changé . Si l'image change beaucoup, alors la bande passante utilisée augmente sensiblement (une vidéo en plein écran par exemple) .
- RealVNC - La version officielle disponible sur les OS Windows, Linux, Solaris et HP-UX .
- ViNCe - Client VNC pour RISC OS
- OSXvnc - Serveur Macintosh
- Chicken of the VNC - Client Macintosh
- VNC Scan Enterprise Console - VNC Manager pour installer VNC sur des ordinateurs distants

Au niveau de la sécurité, on peut réaliser une audit de sécurité sur un réseau avec NESSUS ou de façon plus élémentaire sur les petits réseaux Microsoft avec l'outil gratuit MBSA Microsoft Baseline Security Analyser v2.0 .
Pour le pare feu logiciel, on trouve :
ZoneAlarm Professionnel, Zone Alarm (XP, gratuit), Norton Personal Firewall (Symantec), OutPost (gratuit pour usage non commercial) .
On trouve aussi des pare feu professionnel chez des grossistes spécialisés sécurité comma Allasso ou RISC Technology .

Pour détecter les spywares, il existe en version gratuite :
SpyBot Search and Destroy, Microsoft Windows Defender = Microsoft Antispyware (ancien nom), Ad-Aware
Pour les anti-virus, on trouve :
- Sophos: anti-virus sous Linux ou Windows (payant) (=leader des antivirus d’entreprises en terme de performances)
- McAfee Antivirus
- AVG Control Center de Grisoft
- Norton Internet Security et Norton Anti-virus de Symantec (1 inconvénient : une charge mémoire élevée)
- Kaspersky Anti-virus
- Antivir Personal Edition
- MSRT Malicious Software Removal Tool : l'outil de suppression des logiciels malveillant de Microsoft

Pour compléter la protection Pare-Feu / Anti-virus, il peut être utile d'ajouter un détecteur d'intrusion (NIDS = Network Intrusion Detection System) .
C'est un programme qui suit le trafic de votre réseau à la recherche de tentatives d'intrusions . Il peut prévenir l'administrateur du système dès qu'une telle intrusion a lieu. On peut ou pas le coupler à un mur pare-feu . Les réponses peuvent consigner le détail des attaques, mettre fin à la connexion et reconfigurer le pare-feu pour se préserver d’attaques ultérieures. Il est complémentaire à un anti-virus et à un pare-feu et ne nécessite pas de mise à jour de signatures. Il identifie les intrusions d’un point de vue technique . Il étudie les flux autorisés par le firewall et contrôle qu’ils n’ont pas de comportements suspects . Il vérifie que les applications autorisées par le pare feu se comportent comme attendu et, par exemple, ne vont pas examiner le contenu de dossiers confidentiels .
On trouve notamment :
-GesWall (sous Windows) : cumule les fonctions de firewall et antispyware (pré-configuré)
-PrevXHome (gratuit pour les particuliers)
-SNORT : C'est l'IDS le plus déployé et utilisé et il est disponible sous Linux / Unix mais également Windows comme freeware Open Source . Il peut aussi être utilisé comme sonde .

Les ports des services généralement rencontrés sur les machines d'un parc informatique sont :
7 echo; 21 et 20 ftp File Transfer Protocol; 22 ssh Secure Shell; 23 telnet; 25 SMTP; 70 GOPHER; 79 FINGER; 80 HTTP; 110 POP3 Post Office Protocol - Version 3; 119 NNTP Network News Transfer Protocol; 137 et 138 et 139 NETBIOS-NS NETBIOS Name Service; 143 IMAP 4, IMAP 2 Interim Mail Access Protocol v2; 161 et 162 SNMP Simple Network Managment Protocol; 179 BGP Protocole de routage Border Gateway Protocol; 194 IRC Internet Relay Chat; 443 HTTPS; 517 TALK (commande talk Linux); 1521 Serveur SGBD Oracle; 3306 Mysql Server; 8080 HTTP Alternatif

Pour cela , il existe des onduleurs et des parasurtenseurs .

Les onduleurs fournissent du courant en prenant le relais après une coupure de courant ou une baisse de tension constatée en entrée alors que, les parasurtenseurs, rabaissent la tension lors des surtensions pour éviter d'abimer le matériel .

Cas 1 : Firewall avec routeurs de filtrage

Le routeur de filtrage contient les autorisations d'accès basées exclusivement sur les adresses IP et les numéros de port .

Cas 2 : Firewall avec sous réseaux de filtrage (zone DMZ démilitarisée)

Un Firewall avec sous-réseau de filtrage se compose de deux routeurs : L'un est connecté à Internet, et l'autre à l’Intranet/LAN. Plusieurs réseaux bastions peuvent s'intercaler pour former entre ces deux routeurs, en quelque sorte, leur propre réseau constituant une zone tampon entre un Intranet et l'Internet appelée «zone démilitarisée» . Les serveurs accessibles par Internet (HTTP, FTP, E-mail, DNS, Gopher) doivent être placés dans cette zone démilitarisée . De l'extérieur, seul l'accès aux réseaux bastions est autorisé. Le trafic IP n'est pas directement transmis au réseau interne. De même, seuls les réseaux bastions, sur lesquels des serveurs Proxy doivent être en service pour permettre l'accès à différents services Internet, sont accessibles à partir du réseau interne.

Le Routeur interne :
- Autorise le trafic entre le bastion 1 et les machines internes et inversement.
- Interdit tout autre trafic.

Le bastion interne héberge des services .
On peut installer sur l’ordinateur bastion un serveur de noms comme NAMED sous Linux par exemple . Ce serveur DNS est recensé comme serveur de noms sur le réseau . Les ordinateurs internes envoient leurs requêtes de noms à l’ordinateur bastion qui, grâce à sa connexion à Internet, traite la requête DNS et retransmet la réponse au client .
Sur l’ordinateur bastion, on trouve aussi un serveur proxy (=masquage IP = masquerading host=1 seule IP Internet pour de nombreuses IP LAN)comme SQUID sous Linux . Les clients du réseau ne s’adressent pas directement à Internet mais passent par le proxy après que les logiciels clients utilisés soient paramétré pour le passage par proxy (ex : navigateur http, FTP, Gopher …) . Le proxy a un cache qui peut faire gagner du temps si il possède déjà les données requises dans le cache .
L’ordinateur bastion peut enfin jouer le rôle de serveur de messagerie central . Il est alors spécifié comme serveur SMTP sut tous les ordinateurs du réseau et joue aussi le rôle de serveur POP3 . Précisément, il réceptionne le courrier des clients et le réexpédie sur Internet (fonction SMTP). Quand aux messages en provenance de l’Internet, ils sont réceptionnés sur l’ordinateur bastion qui les redistribue localement aux différents destinataires (fonction POP3 ou IMAP4) . Tout cela nécessite l’installation de SENDMAIL sous Linux et d’un démon POP3 . De plus ; l’ordinateur bastion doit être recensé comme échangeur de courrier (enregistrement MX sous Linux) dans la base de données DNS du domaine de la société .
Exemple d’entrée DNS : IN MX 10 mailserver.mafirme.fr
A noter que l’ordinateur bastion et le serveur de messagerie peuvent être deux machines différentes mais dans tous les cas, le serveur de messagerie doit aussi être dans la zone DMZ (=démilitarisée) .

Le pare feu peut limiter les débits et constituer un goulet d’étranglement des performances réseaux .
«Je prends une trame, je l'examine, je la transmets ou la bloque en fonction de règles... », tout cela prend du temps.
Les tâches que le Firewall a à accomplir sont très exigeantes en termes de charge CPU. L'installation d'un FireWall sur un serveur plus puissant ne résout pas tous les problèmes de capacité . De plus, tout le trafic passe par le firewall qui est alors un élement vital . Si il tombe, tout le trafic est bloqué .
Aussi, il existe une architecture dite FireProof : Il s’agit de multiplexer le travail de filtrage sur plusieurs firewalls ce qui permet de répartir les charges et de lutter contre les pannes : Si un Firewall tombe en panne, puisqu’il n’est pas le seul, le travail est répartit automatiquement sur les autres et le réseau n’est pas bloqué .

Le monde des réseaux en particulier évolue très vite au grès des progrès technique constamment entrepris . Les réseaux sans fil sont en voie de généralisation .
Sur la boucle locale (les derniers kms avant l'abonné), de nouveaux supports permettent l'augmentation des débits .
Personnellement, j'ai eu l'occasion de participer aux salons JET 2003, 2004 et 2005 de Lyon . Ceux ci regroupent les principaux opérateurs de télécommunication en concurrence sur le marché de la boucle locale . Tous les dispositifs techniques de raccordement y sont abordés comme la BLR (Boucle Locale Radio), les FH (Faisceaux Hertziens)), les LOA (Liaisons Optiques atmosphériques), les technologies du RTC xDSL, le classique Modem, les liaisons par câble ou encore la FO (Fibre Optique) . La fibre optique (multimode ou monomode) s'annonce comme une des plus prometteuses car elle offre des débits considérablement plus élevés notamment par le multiplexage par longueur d'onde . Suivant les configurations , on parle de FTTC pour Fiber To The Curve si la fibre est amenée jusqu'à l'entrée du quartier, de FTTH pour Fiber To The Home si elle est tirée jusqu'au seuil de la porte d'entrée ...
L'augmentation grandissante des débits pourrait faire naître de nouvelles applications . Par exemple, dans le domaine de la chirurgie, on pourra envisager que des opérations chirurgicales soient réalisées par des robots de haute précision commandés à distance . L'échange de résultat d'imagerie médicale utilise parfois des fichiers en haute résolution et donc très volumineux . Avec les nouveaux réseaux très hauts débits, cela ne sera plus un problème . Ces fichiers s'échangeront sans problème . De la même façon, les hauts débits vont permettre de faciliter l'utilisation de la VoD (Video On Demand) ce qui pourrait à terme annoncer la fin des vidéo-clubs . Songez que d'hors et déjà, grâce aux très hauts débits offerts sur les backbones de l'Atlantique, on peut télécharger Titanic en quelques centièmes de secondes en qualité DVD .
La limitation des échanges ne dépendra plus que des délais d'acheminement et de la vitesse des périphériques d'extrémités pour écrire les données reçues .
Dans un futur relativement proche, on va observer une augmentation des périphériques reliés au réseau des réseaux, l’Internet . Afin d’adresser tous ces nouveaux équipements, la cafetière, le frigo (relié au supermarché pour passer des commandes), la télévision, le lecteur-enregistreur DVD à disque dur (pour programmer ses enregistrements du travail), la voiture, le téléphone mobile ; le système d’adressage actuel IPv4 ne suffira plus .

Petite explication sur IPv4 :
Pour l’acheminement des données et l’identification des sources et destination, on affecte à chaque poste, une adresse universelle significative, l’adresse IP . Avec la norme actuelle, IPv4, l’adresse a une longueur de 32 bits soit 4 octets (ex : 192.168.0.10) . Il existe différentes classes d’adresses : A,B, C , D et E . Seul A, B et C sont utilisées, D et E étant expérimentales .
Chaque adresse IP se compose d’une partie réseau qui détermine la classe du réseau et d’une partie hôte qui caractérise une machine individuelle au sein du réseau . Les différentes classes se différencient par la longueur de la partie réseau et la plage d’adresses utilisée .
Classe A : de 1.0.0.0 à 127.0.0.0 . La partie réseau n’utilise que le premier octet . La classe A propose un très petit nombre de réseau (128) avec un très grand nombre de machines par réseau (définis sur les 3 octets restant soit 16 777 214 hôtes par réseau maximum) .
Classe B : de 128.0.0.0 à 191.255.0.0 . La partie réseau utilise les deux premiers octets . La classe B propose un nombre moyen de réseau (16 384) avec un nombre moyen de machines par réseau (65534) .
Classe C : de 192.0.0.0 à 223.255.255.0 . La partie réseau utilise les trois premiers octets . La classe C propose un très grand nombre de réseaux (2 097 152) avec un nombre restreint de machines par réseaux (256, en fait 254 avec les adresses 0 et 255 réservées comme adresse de réseau et adresse de diffusion).

Chaque classe a une adresse IP particulière appelée masque de réseau dans lequel tous les bits de la partie réseau sont définis à 1 et tous les bits de la partie hôte à 0 .

A l’aide de l’adresse Ip d’un ordinateur, on obtient l’adresse du réseau de cet ordinateur à l’aide d’un ET logique entre l’adresse Ip et le masque de réseau .
Pour chaque réseau et adresse réseau, il existe aussi une adresse IP particulière appelée adresse de diffusion . Elle reprend l’adresse réseau et tous les bits de la partie hôte sont à 1 .
A l’aide de l’adresse réseau, on obtient l’adresse de diffusion à l’aide d’un OU logique entre l’adresse réseau et le masque de réseau INVERSE .
La dernière IP particulière est l’adresse 127.0.0.1 qui est le loopback : les paquets envoyés à cette adresse ne sont pas retransmis vers l’extérieur du réseau mais sont renvoyés par l’interface réseau et ne sortent pas de l’ordinateur . Cela simule un échange réseau .
Dans de nombreux cas, il est nécessaire de diviser la plage d’adresses (A B ou C) dont on dispose en sous réseaux pour séparer des départements, des domaines d’activités, des technologies différentes, des groupes utilisant des données sensibles …
Pour former une telle subdivision, prenons un exemple .
Soit un réseau de classe C 192.9.200.0 . Ce réseau pourrait avoir 256 ordinateurs qu’on veut subdiviser en 8 sous réseaux de 32 machines (256 :8) . On utilise donc 3 bits de la partie hôte qu’on attribue à la partie réseau soit 2 puissance 3 possibilités donc 8 sous réseaux . On obtient le masque de sous réseaux et les adresses de sous réseaux suivantes :

Pour les adresses de diffusion de chaque sous réseau, on fait un OU entre l’adresse de sous réseau et le masque de sous réseau inverse (0.0.0.31) .

On obtient les 8 sous réseaux avec les plages d’adresses suivantes :

En conclusion, la norme IPv4 met à disposition 2 113 664 adresses toutes classes confondues . Aujourd’hui, il n’y a pratiquement plus d’adresses disponibles car la taille de l’Internet a doublé tous les ans depuis 1989 . C’est pour cette raison qu’une nouvelle norme a été mise en chantier concernant IP qui offre aussi une gestion de la QoS et de la sécurité .
Ce nouveau standard est désigné sous le nom IPv6 ou IPng (IP next génération) .
Les nouvelles adresses IP comprennent 16 octets soit 128 bits . Le volume d’adressage peut donc comporter 2 puissance 128 adresses .

IPv4 est compatible avec IPv6 notamment par encapsulation des paquets IPv4 dans les paquets IPv6 . Ceci permet de ménager une phase de transition suffisante de IPv4 à IPv6 pour que les constructeurs de matériaux et d’OS puissent s’adapter . Aujourd’hui, le réseau 6Bone est le réseau virtuel de test de IPv6 . G6Bone est sa branche française .

Références : IPv6, RFC 2460 ; ICMPv6, RFC 2463

Le serveur de supervision dénommé Compaq Insight Manager 7 Management Server utilise une base de données SQL pour maintenir les informations .
Les agents sont déployés sur les machines à superviser, récupèrent le maximum de paramètres localement et font appel aux protocoles SNMP et DMI (informations supplémentaires propres à Microsoft) afin de remonter les informations vers le serveur . Les agents doivent donc être informés de l’adresse du serveur de supervision central pour y faire remonter les trames d’informations SNMP (Simple Network Management Protocol) . Localement, ce sont des bases MIB (Management Information Base) qui stockent les informations d’état des différents composants à superviser sur chaque station .
De plus, les agents détectent les services web (http) accessibles sur la machine et les référencent au serveur .
On gère la supervision à partir d’une console de supervision et un navigateur donc par l’intermédiaire du web et d’un serveur HTTP présent sur le serveur . Cette console via l’accès distant peut donc être distincte du serveur .
La console offre par l’intermédiaire du serveur la possibilité de gérer la mise à jour automatique des software Compaq et le suivi des versions des logiciels installés sur les machines que ce soit driver, bios, OS ou soft . On parle de Version Control Repository Manager et de Version Control Agent . Pour y parvenir, le serveur a besoin de pouvoir se connecter automatiquement à Internet pour pouvoir récupérer les références des dernières versions agents et soft disponibles chez Compaq : c’est la fonction active Update . Nous sommes donc amenés à configurer le firewall de l’entreprise pour permettre au serveur d’accéder à Internet par http .
Au niveau sécurité, les échanges SNMP entre les agents et le serveur sont sécurisés de façon bidirectionnelle et c’est également le cas des échanges HTTP entre la console et son navigateur web et le serveur HTTP du serveur de supervision . Ceci est possible par SSL et l’échange réciproque de certificats (porteurs des clés et permettant le cryptage et l’authentification) .

Le deuxième exemple d'architecture que je souhaite vous présenter est celle d'un anti-virus : Symantec Norton Antivirus Corporate Edition . Celle ci se révèle plus complexe qu'on le croit .
Norton Anti-virus Corporate Edition propose une architecture clients-serveur avec des clients anti-virus et au moins un serveur anti-virus . A cela s'ajoute la possibilité de pouvoir utiliser le produit Symantec System Center sur une console d'administration afin de gérer l'ensemble .
Même si on peut installer et gérer les programmes clients et serveurs Symantec AntiVirus sans Symantec System Center, l'implémentation gérée de manière centralisée est la plus efficace pour la plupart des entreprises. Par exemple, il permet de définir des groupes de clients en fonction de la configuration commune à leur appliquer .
Avec le logiciel d'administration de l'anti-virus Symantec System Center, on trouve en particulier :
- la Console Alert Management System (AMS ) :
AMS permet de faire remonter des alertes par e-mail, pager, via une fenêtre pop-up sur les clients ou le/les serveur(s) ou de les consigner dans le journal système . Il permet d'exécuter un programme ou d'envoyer une trappe SNMP à destination d'une console de supervision comme HP-OpenView ou CIM . De cette façon, le serveur Anti-virus peut être couplé à la console de supervision de l'entreprise . Les alertes sont déclenchées à l'occasion de la détection d'un virus ou d'une menace, à l'occasion d'une mise à jour des définitions de virus ou d'un arrêt imprévu d'un client Symantec Anti-virus . AMS peut aussi alerter des débuts et fin d'analyses .
- Le Serveur Symantec Anti-Virus :
Il gére les ordinateurs du réseau exécutant le programme client Symantec Anti-Virus . Ce composant assure aussi a l'ordinateur sur lequel on l'installe une protection anti-virus . Le programme serveur permet de transmettre les stratégies de sécurité anti-virus et les mises à jour de contenu aux clients réseau .
- L'utilitaire d'administration de LiveUpdate :
Il configure un serveur LiveUpdate interne comme point de téléchargement unique pour les définitions de virus et les mises à jour des produits Symantec
Pour ce qui est des licences, une licence de contenu doit être allouée ou installée sur chaque ordinateur exécutant Symantec AntiVirus, clients ou serveurs . Ces licences permettent la mise à jour régulière des bases d'informations anti-virus .

Pour finir, les points importants à étudier lors du choix d'un anti-virus et qui sont présentes avec NAV sont :
- la présence de mises à jour régulières des bases d 'informations anti-virus
- la présence d'une analyse en temps réel (real-time) de la mémoire résidente (lors des accès en lecture – écriture)
- l'analyse du secteur de boot, du mbr (Master Boot Record) et du bios à chaque démarrage
- la présence d'une recherche heuristique des virus inconnus
- la capacité de soin et de suppression des menaces
- l'analyse de la messagerie entrante et sortante

- Le protocole BitBus d’Intel a été inventé en 1983 et il s’agit d’un bus entre microprocesseurs . Il est utilisé pour les applications de contrôle et les commandes industrielles par exemple pour commander un tapis roulant sur une chaîne de montage . Il a une topologie en bus avec 250 nœuds maximum et 30 mètres à 1200 mètres sans répéteurs au plus . Il utilise comme support de transmission la paire torsadée blindée ou du fil en nappes suivant le degré d’immunité électrique requis et peut atteindre un débit de 2,4 Mbit/s . Il utilise une approche maître-esclaves avec un nœud maître et des nœuds esclaves . Le nœud maître interroge les nœuds esclaves un par un et informent les autres nœuds de leurs états .

- Le protocole FIP Factory Instrumentation Protocol est un protocole peu ambitieux mais peu cher qui permet de réduire les coûts de raccordement des capteurs et des actionneurs . Les flux de données et les échanges doivent être connus à l’avance et ne doivent pas être destinés à changer . Il utilise une topologie en arbre et étoile avec un double médium basé sur de la paire torsadée blindée ou de la fibre optique pour la fiabilité et un débit de 1 à 5 Mbit/s . Le débit diminue avec la distance et chute à 1 Mbit/s à 4000m . Il n’y a pas de maître-esclaves mais un arbitre de bus (= une machine dédiée) et les abonnés . L’arbitre de bus exploite la liste des échanges à faire avec une liste de tâches à réaliser cycliquement, connue à l’avance et paramétrée au départ par l’administrateur .
Précisément, l’arbitre de bus émet régulièrement suivant un ordre des trames porteuses de nomenclatures (=un identifiant). Pour chaque nomenclature émise, il existe une seule station producteur et des stations consommateurs . Ce paramètrage des producteurs et consommateurs se fait sur chaque station pour chaque nomenclature émise et afin de réaliser les échanges voulus . Le TGV GEC-Alsthom utilise un réseau FIP de 1 Mbit/s pour commander des vérins et incliner le train dans les virages pour compenser la force centrifuge .

- Un autre réseau est le réseau CAN Controller Area Network . Il est utilisé dans le monde de l’automobile essentiellement (Mercedes classe S) mais aussi pour les ascenseurs (OTIS), les équipements de bateaux ou les équipements médicaux … CAN fournit un débit de 125kbit/s à 1Mbit/s avec de la paire torsadée ou de la fibre optique sur des longueurs de 40 m (pour du 1Mbit) à 1000 m (pour 50kbit/s) .
Le réseau CAN utilise une topologie en bus avec un bus multi-maître .L’accès au support utilise la méthode CSMA-CR Carrier Sense Method Acces With Collision Resolution . Lorsque le bus est libre, plusieurs nœuds demandent l’émission de leur trame . Lorsque cela crée un conflit de bus, ce conflit est résolu bit à bit sur le contenu binaire de l’identificateur des stations concernées en réalisant un ET logique entre les deux identificateurs pour déterminer la station qui continue . CAN s’administre à l’aide d’un logiciel .

- Le réseau Modbus est un ancien réseau qui est encore parfois utilisé dans l’industrie .
Il est utilisé pour relier des automates programmables, des terminaux intelligents d’ateliers et des calculateurs d’ateliers . Il peut être relié et est compatible avec le protocole JBus . Il utilise une topologie en bus sans aucun support imposé (paire torsadée, fibre optique, cable coaxial bande de base ou large bande) sur une longueur de 1200 m maximum avec un débit de 50 bit à 38400 bit/s pour 255 abonnés maximum . Il utilise une architecture avec un maître et des esclaves . Le maître peut parler à un esclave en particulier et attendre sa réponse (par exemple une sonde de température) ou encore parler à l’ensemble des esclaves sans attendre de réponse . Aucun esclave ne peut émettre sans y avoir été invité par le maître .

Prenons l’exemple des calendriers iCal :
Le logiciel open source Mozilla Calendar est une extension au navigateur Mozilla Firefox et au client de messagerie Mozilla Thunderbird . Il gère ses calendriers, ses rendez vous, ses tâches, ses mémos et permet de consulter ceux des autres via un serveur centralisé Webdav . Cette solution libre et gratuite convient donc parfaitement pour être déployée dans une petite structure et afin de gérer ses rendez vous, consulter le calendrier et les disponibilités des autres consultants et fixer des réunions (à la manière de Lotus Notes / Lotus Domino) .
Les calendriers y sont gérés au format iCal .
Sur Internet, justement, 2 sites webs, www.icalx.fr et icalconsult.com existent et proposent gratuitement d’héberger ses calendriers au format iCal . Il est donc possible d’y enregistrer ses calendrier et de les synchroniser à distance où qu’on soit pour y récupérer ou y ajouter des informations (rdv ou mémos) à partir du moment où on dispose d’une liaison Internet .
Pour les calendriers au format Outlook, souvent présents sur les téléphones mobiles, PDA ou Terminal BlackBerry, on peut les synchroniser avec le programme Microsoft Outlook de son ordinateur via le logiciel fourni avec le matériel et une liaison infrarouge IRDA ou radio Bluethooth .

De la même manière, si on souhaite synchroniser ses bookmarks et autres marques pages, on peut ajouter une extension à Mozilla Firefox qui permet de les synchroniser via un serveur FTP et un fichier au format XML . On peut ainsi partager ses bookmarks entre différents ordinateurs via Internet . L’extension Mozilla Foxmarks Bookmarks Synchroniser le gère sur un serveur FTP dédié de l’Internet, mais il existe d’autres extensions qui proposent de le faire sur n’importe quel FTP, par exemple celui de son FAI (ISP), pour peu qu’on ait l’espace disque suffisant pour stocker le fichier XML des bookmarks .
Enfin, il est possible de synchroniser un répertoire de fichiers sur un serveur FTP de l’Internet avec le logiciel FullSync . Cela permet ainsi de travailler par exemple sur un fichier Word et de le faire évoluer ou qu’on soit .
De façon plus habituel, il est toujours possible d’utiliser le porte-document de XP pour synchroniser ses documents mais son utilisation est moins aisée, moins souple et plus laborieuse .
Pour finir, concernant les e-mails, si on à l’habitude de les consulter à partir de plusieurs ordinateurs, il est préférable d’utiliser un serveur IMAP qu’un serveur POP . Cela permet de gérer l’intégralité de sa boite à distance et conserver ses e-mails sur le serveur . De cette façon, il ne sont pas immobilisés sur un seul ordinateur ...

PPTP Point to Point Tunneling Protocol et variante L2TP Layer Two Tunneling Protocol
Ce protocole de niveau liaison, conçu par Microsoft et ouvert, encapsule des trames PPP dans des datagrammes IP en ajoutant des entêtes GRE (Internet Generic Routing Encapsulation) afin de les transférer sur un réseau IP . Il crypte également les données PPP encapsulées et les compresse . Le chiffrement utilise les fonctions de Mppe (Microsoft Point to Point Encryption) en s’appuyant sur l’algorithme de chiffrement RC4 de RSA en 40 ou 128 bits . L’authentification est gérée via PAP, CHAP ou MS-CHAP comme toutes les authentifications gérées par PPP en natif .

IPSEC IP Secure
IPSec sécurise l’échange et toute la couche IP via une encapsulation de paquets IPSec cryptés dans les paquets IP (On ajoute les entêtes IP standard au paquets cryptés IPSec qui sont issus de la division en paquet du flux TCP ou UDP) . L’algorithme de chiffrement utilisé est variable (par exemple, 3-DES ou BlowFish) . Les clés sont gérées manuellement ou automatiquement échangées suivant le protocole IKE (Internet Key Exchange décrit dans RFC 2409 http://www.frameip.com/rfc/rfc2409.php) .
Cela se fait via le passage par les passerelles initiales et finales IPSEC .

SSL (HTTPS) :
SSL est un protocole qui permet d’établir une communication « sécurisée » entre un client (le navigateur) et un serveur (site Internet) au niveau applicatif et c’est la solution la plus répandue actuellement grâce à sa simplicité d’utilisation et son intégration dans les navigateurs principaux du marché . SSL permet d’authentifier le serveur auquel l’utilisateur est connecté et assurer la confidentialité des informations transmises par chiffrement. Précisément, SSL, devenue dans sa dernière version TLS (Transport Layer Security), assure à la fois l'authentification (signature), le chiffrement c'est à dire la confidentialité, et enfin l'intégrité avec MD5 ou SHA .

Une session SSL commence lorsqu’une URL spéciale commençant par https est demandée, le client se connecte alors sur le port 443 du serveur . Un cadenas apparaît au bas du navigateur .
SSL fonctionne entre les protocoles TCP/IP et les protocoles de plus haut niveau HTTP, FTP, NNTP, LDAP, POP, IMAP, SMTP ... SSL utilise des protocoles ayant les fonctionnalités des couches session (niveau 5), présentation (niveau 6) et application (niveau 5) de la pile de protocole et modèle OSI.
Le protocole SSL utilise le protocole SSL handshake pour échanger une série de messages entre le serveur et le client lorsqu’ils établissent leur première connexion . Voici les algorithmes et processus mis en œuvre le plus couramment au cours de l’échange SSL initial :

1/ Authentification du serveur SSL : Le serveur envoie son certificat au client . Cela permet au client de confirmer l’identité du serveur : le logiciel côté client utilise les techniques standard de cryptographie à clé publique pour vérifier que le certificat du serveur et son identifiant public (la clé publique), ont été produits par un organisme certificateur agréé par le client . Cette authentification du serveur intervient dans tous les échanges de paiement avec les sites des banques et e-commerce lors des paiements par CB .
Voici le contenu du certificat et le processus de vérification suivi :

2/ Choisir les algorithmes de chiffrements que le client et le serveur supportent conjointement .
3/ Authentification du client SSL (facultative) : Elle permet au serveur de confirmer l’identité du client : c’est le même procédé que celui utilisé pour l’authentification du serveur . Cela peut être important dans le cas où le serveur est une banque, qui veut transmettre une information financière à son client et donc vérifier l’identité du destinataire .
Cette authentification du client procède souvent par l’envoi en amont d’un certificat du serveur vers le client . Le client renvoit alors son certificat obtenu en amont au serveur pour confirmer son identité . Cette échange et cette obtention de son certificat par le client est réalisée en ligne par exemple, lors de la déclaration d’impôt via internet et ce certificat est inclus dans le navigateur utilisé . L’authentification du client est assez rare et n’est mise en œuvre que lorsque le serveur doit envoyer des informations confidentielles au client .
4/ Chiffrer les premiers échanges en utilisant la clé publique du serveur présent dans le certificat reçu du serveur (pour la communication du client vers serveur) via l’algorithme asymétrique à clé publique (et privé sur le serveur) RC4 de RSA . A cet instant, on peut aussi chiffrer dans l’autre sens si le serveur a le certificat du client (et donc sa clé publique pour crypter) .
5/ Si on souhaite un chiffrement plus sûr et plus rapide par la suite, on utilise le DES (Data Encryption Standard), 3-DES ou AES (Advanced Encryption Standard) via un échange initial des clés uniques (DES ...) sous la protection du protocole de chiffrement initial RSA (abandonné par la suite au cours de l’échange). L’échange est alors crypté de façon bidirectionnel . Le nouveau chiffrement est symétrique (pour DES, 3-DES ou AES) .

Pour finir, toutes les données envoyées au moyen d’une connexion cryptée SSL sont protégées par un mécanisme contre les manipulations, qui garantit que les données n’ont pas été modifiées dans leur transit comme l’algorithme de hachage MD5 ou SHA .
Les algorithmes utilisés au cours de SSL sont : DES ; DSA : Digital Signature Algorithm, algorithme utilise pour la signature numérique ; KEA : Key Exchange Algorithme, pour l’échange de clés ; RC2 et RC4 de RSA : Algorithmes de chiffrement ; RSA Key Exchange : Algorithme d’échange de clés pour SSL basé sur RSA ; SKIPJACK : Algorithme classifié de clés symétriques ; Triple-DES :DES appliqué trois fois; AES (Advanced Encryption Standard).
Les algorithmes d’échange de clés tels que KEA ou RSA Key Exchange régissent la façon dont le serveur et le client vont déterminer les clés symétriques (la même clé pour chiffrer et déchiffrer comme avec DES, AES ou SKIPJACK) qu’ils vont utiliser durant la session SSL.

Les serveurs utilisant le SSL sont : IBM, Quaterdeck, Open Market, Entreprise Server (Netscape), Internet Information Server (Microsoft), JAVA Web Server (Sunsoft), Website (O’Reilly) ou Commerce Server 2000 de Microsoft .
Les Web Agency conceptrices des sites d’e-commerce réalisent souvent des accords avec des SSII spécialisées sécurité comme ATOS et qui bénéficient de leurs propres serveurs SLL .

SHTTP :
Il existe une autre solution de sécurisation des échanges concurrentes de SSL en tant que VPN de niveau supérieur . Il s’agit de SHTTP qui est une version modifiée du protocole et des entêtes http standards permettant aussi un chiffrement avec toutes sortes d’algorithmes de chiffrement et toute sorte de protocoles applicatifs (http, SMTP ….) . Cependant, cette dernière solution n’est pas du tout répandue .

Pour en finir avec les VPN, je vous conseille de tester une de ces implémentations que j’ai déjà personnellement expérimenté : OpenVPN (sur la plupart des OS Windows et Linux compris)et Stunnel .

Actuellement, les informations géographiques connaissent une véritable révolution sur Internet .
Ainsi, on a vu apparaître des services permettant d'accéder à des vues satellitaires ou aériennes du territoire français mais aussi mondial .
Par exemple, le logiciel Google Earth permet de survoler notre planète vue du ciel avec une très bonne résolution notamment sur les zones les plus connues . On peut y voir : New York, l'Empire States Building, Central Park ou encore le chantier du WTC .
On peut aussi voir : Paris, Londres, la muraille de Chine ou encore North Falk, les ports et aéroports militaires américain, le Taj Mahal, Rio de Janeiro, le Maracana, des volcans comme le Vésuve, l'Etna ou le Stromboli ....
Ce logiciel utilise une architecture logicielle "client-serveur" en accédant à un serveur central sur Internet via une liaison locale de bonne qualité (ADSL Min) .
Pas d'architecture monolithique ou peer-to-peer ici ...
Dans le même temps, l'IGN (Institut Géographique National) vient de sortir une plateforme web proposant les mêmes services en mieux mais uniquement pour la France à travers son géoportail www.geoportail.fr .
La résolution y est de 50 cm sur tout le territoire français soit 2 fois mieux que Google Earth, et des vues 3D seront bientôt disponibles .
Ici, l'IGN ne propose pas un logiciel comme c'est le cas de Google Earth mais un site web classique .
Dans les deux cas, ces services géographiques proposent les bases de données (SGBD) d'informations diverses (bar, discothèques, restaurants ...) utiles notamment à destination des entreprises . Pour les particuliers, Google Earth recense de nombreuses webcams à travers le monde ...
Toujours pour le territoire français, il est également possible d'utiliser le site web des pages blanches (www.pagesjaunes.fr) pour localiser une adresse et visualiser des vues aériennes de bonne qualité .
Ces nouveaux services s'accompagnent du développement de sites de création d'itinéraires comme www.viamichelin.fr ou encore mappy.fr .
Il est d'ailleurs intéressant de signaler que ces services d'itinéraires se déclinent également sous forme de "Service web" (Java ou .NET) via les protocoles WSDL ou SOAP ce qui permet d'ajouter facilement ces services à son site, un peu comme les services web de météo .
Pour finir, cette révolution dans le traitement géographique, apparait également dans notre vie de tous les jours par la démocratisation du terminal GPS américain et très prochainement, le système de géolocalisation Galiléo Européen "encore meilleur" .
Il y aura alors, d'ici la sortie commerciale de Galiléo en 2008, pas moins de 60 satellites en orbite (30 pour le GPS et 30 pour Galiléo) . La triangularisation des signaux, pour en conclure notre position, en sera donc facilitée, même dans une ville, entouré de hauts immeubles .
Enfin, avec le réseau de téléphones mobiles (GSM, GPRS,UMTS 3G), nous allons voir apparaître de nouveaux terminaux avec Galiléo intégré permettant de localiser les appels .
Ainsi, en cas d'accident, les secours ou les pompiers (18) pourront facilement localiser le lieu de l'appel et venir en aide à la victime même si celle ci ne sait pas vraiment ou elle se trouve : par exemple, dans un fossé, dans les Cévennes, en pleine nuit ... très utile ...
Et, là, ce n'est plus un gadget ...