Showing posts with label TMSIR - Technicien en Maintenance et Support Informatique et Réseaux. Show all posts
Showing posts with label TMSIR - Technicien en Maintenance et Support Informatique et Réseaux. Show all posts
Posted in 
Le PC_Architecture, Maintenance et Mise à Niveau
7:58 AM
Tech AyOuB-EH
Le PC... Architecture, maintenance et mise à niveau.
18e édition 2008
18e édition 2008
Sommaire
01. Le PC : composants, caractéristiques et architecture
02. Les microprocesseurs : types et caractéristiques
03. Les cartes mères et les bus
04. Le BIOS
05. La mémoire
06. L'interface ATA
07. Le stockage sur disque dur
08. Le stockage amovible
09. Le stockage optique
10. L'installation et la configuration de lecteurs physiques
11. Le matériel vidéo
12. Le matériel audio
13. Les interfaces d'entrées/sorties
14. Les périphériques d'entrée
15. Les connexions à Internet
16. L'alimentation et le boîtier
17. L'assemblage et la mise à niveau d'un ordinateur
18. Modifications : overclocking et refroidissement
19. Les diagnostics, les tests et la maintenance
Cet ouvrage est disponible au format PDF uniquement.
Que vous soyez technicien, étudiant ou amateur, que vous cherchiez à faire de la maintenance, du dépannage ou de l'optimisation, ou que vous ayez tout simplement envie d'en savoir plus sur votre ordinateur, voici l'ouvrage le plus actuel, le plus complet et le plus détaillé sur le PC.
Toutes les architectures système y sont expliquées en détail, les composants matériels présentés, analysés et comparés. Vous comprendrez alors le rôle que chacun joue dans la stabilité et les performances de votre ordinateur. Processeurs multicores, cartes mères au format DTX et mini-DTX, lecteurs Blu-Ray et HD-DVD, nouveaux processeurs graphiques, etc : les dernières évolutions sont abordées et toutes les possibilités d'optimisation sont passées en revue.
Incollable sur le fonctionnement matériel de votre PC, vous pourrez ainsi assurer une maintenance correcte de votre système, en identifiant les composants sujets à problèmes et en diagnostiquant les défaillances, mais aussi optimiser son fonctionnement et le faire évoluer suivant les dernières innovations matérielles du secteur.
Nouvelle édition mise à jour
• Présentation des dernières nouveautés techniques et matérielles : Processeurs Core 2 (8e génération des 886) et AM2 d'AMD, évolution des chipsets 9xx d'Intel ainsi que de ceux de Nvidia, VIA et SiS ; cartes mères au format DTX et mini-DTX ; lecteurs Blu-Ray et HD-DVD ; processeurs graphiques (SLI, Crossfire) ; etc.
• Nouveaux chapitres consacrés aux périphériques d'entrée (clavier, souris, trackball, etc.) et aux dispositifs de stockage amovible (mémoire Flash, etc.).
Installation du DNS de Windows 2003 Server (Document PDF)
12:49 PM
Tech AyOuB-EH
Installation du DNS de Windows 2003 Server (Document PDF)
Introduction
Le serveur DNS est une des briques essentielles au bon fonctionnement d'un serveur 2003 comme du réseau lui-même. Il conviendra d'apporter le plus grand soin à son installation comme à sa con guration. Ce document
a pour objet de présenter l'installation du serveur DNS de Windows 2003
server. Pour de plus amples informations sur le système DNS, se reporter au document DNS : Domain Name System
Le serveur DNS est une des briques essentielles au bon fonctionnement d'un serveur 2003 comme du réseau lui-même. Il conviendra d'apporter le plus grand soin à son installation comme à sa con guration. Ce document
a pour objet de présenter l'installation du serveur DNS de Windows 2003
server. Pour de plus amples informations sur le système DNS, se reporter au document DNS : Domain Name System
(Document PDF) complet
Domain Name System DNS
6:09 AM
Tech AyOuB-EH
Domain Name System DNS
Cours + Installation
sous Windows 2003 Serveur
Cours + Installation
sous Windows 2003 Serveur
Tout Les Modules Deuxiém années TMSIR
5:17 PM
Tech AyOuB-EH
Description générale du métier
Le Technicien en Maintenance et Support en Informatique et Réseaux installe et déploie des logiciels, matériels informatiques et réseaux, en assure le support client et la maintenance préventive et curative.
Il peut exercer son métier aussi bien dans des entreprises spécialisées en maintenance informatique que dans des entreprises non spécialisées mais utilisatrices d’informatique et auprès de tout type de clientèle allant de la grande entreprise au particulier.
Il prend en charge le support technique auprès des utilisateurs et apporte des solutions aux différents problèmes qu’ils rencontrent dans l’utilisation des moyens informatiques.
Module 14 Configuration d'un réseau
Module 15 Administration d'un réseau
Module 16 Sécurisation d'un réseau
Module 17 Diagnostic d'un réseau
Module 20 Assistance techniques à la clientèle à distance
Module 02 L'entreprise et son environnement
3:36 PM
Tech AyOuB-EH
Le concept et finalité des entreprises
Objectif intermédiaire
-Définir les différentes approches de l’entreprise,
ses caractéristiques et ses finalités.
Objectifs opérationnels
Définir
- L’approche traditionnelle de l’entreprise
- L’approche systématique de l’entreprise
- Les caractéristiques du système de l’entreprise
- L’approche systématique de l’entreprise
- Les caractéristiques du système de l’entreprise
- Les finalités de l’entreprise
Programme d'étude TMSIR Pour deuxiéme Années
5:28 AM
Tech AyOuB-EH
Programme d'étude Filière =
PRÉSENTATION DU PROGRAMME DE FORMATION...........................
VOCABULAIRE.................................................................
PREMIÈRE PARTIE......................................................................
SYNTHÈSE DU PROGRAMME DE FORMATION...............................................
BUTS DU PROGRAMME DE FORMATION.............................
COMPÉTENCES VISÉES ET MATRICE DES COMPÉTENCES................................................
OBJECTIFS GÉNÉRAUX......................................
DEUXIÈME PARTIE..........................................
01 METIER ET FORMATION
02 L’ENTREPRISE ET SON ENVIRONNEMENT
03 MATHEMATIQUES APPLIQUEES A L’INFORMATIQUE
04 GESTION DU TEMPS
05 VEILLE TECHNOLOGIQUE
06 PRODUCTION DE DOCUMENTS
07 COMMUNICATION INTERPERSONNELLE
08 LOGICIELS D’APPLICATION
09 INSTALLATION D’UN POSTE INFORMATIQUE
10 INSTALLATION DE L'ENVIRONNEMENT ET SECURISATION
11 METHODES DE RESOLUTION DE PROBLEMES
12 DIAGNOSTIC DU POSTE DE TRAVAIL
13 MAINTENANCE DU POSTE DE TRAVAIL
14 COMMUNICATION EN ANGLAIS DANS UN CONTEXTE DE TRAVAIL
15 SOUTIEN TECHNIQUE EN MILIEU DE TRAVAIL (STAGE 1)
16 INSTALLATION D'UN RESEAU
17 CONFIGURATION D'UN RESEAU
18 ADMINISTRATION D'UN RESEAU
19 SECURISATION D'UN RESEAU
20 DIAGNOSTIC D'UN RESEAU
21 MAINTENANCE D'UN RESEAU
22 MAINTENANCE PREVENTIVE
23 ASSISTANCE TECHNIQUE A LA CLIENTELE A DISTANCE
24 SUIVI DES INTERVENTIONS 67
25 RECHERCHE D’EMPLOI
26 INTEGRATION AU MARCHE DU TRAVAIL
VOCABULAIRE.................................................................
PREMIÈRE PARTIE......................................................................
SYNTHÈSE DU PROGRAMME DE FORMATION...............................................
BUTS DU PROGRAMME DE FORMATION.............................
COMPÉTENCES VISÉES ET MATRICE DES COMPÉTENCES................................................
OBJECTIFS GÉNÉRAUX......................................
DEUXIÈME PARTIE..........................................
01 METIER ET FORMATION
02 L’ENTREPRISE ET SON ENVIRONNEMENT
03 MATHEMATIQUES APPLIQUEES A L’INFORMATIQUE
04 GESTION DU TEMPS
05 VEILLE TECHNOLOGIQUE
06 PRODUCTION DE DOCUMENTS
07 COMMUNICATION INTERPERSONNELLE
08 LOGICIELS D’APPLICATION
09 INSTALLATION D’UN POSTE INFORMATIQUE
10 INSTALLATION DE L'ENVIRONNEMENT ET SECURISATION
11 METHODES DE RESOLUTION DE PROBLEMES
12 DIAGNOSTIC DU POSTE DE TRAVAIL
13 MAINTENANCE DU POSTE DE TRAVAIL
14 COMMUNICATION EN ANGLAIS DANS UN CONTEXTE DE TRAVAIL
15 SOUTIEN TECHNIQUE EN MILIEU DE TRAVAIL (STAGE 1)
16 INSTALLATION D'UN RESEAU
17 CONFIGURATION D'UN RESEAU
18 ADMINISTRATION D'UN RESEAU
19 SECURISATION D'UN RESEAU
20 DIAGNOSTIC D'UN RESEAU
21 MAINTENANCE D'UN RESEAU
22 MAINTENANCE PREVENTIVE
23 ASSISTANCE TECHNIQUE A LA CLIENTELE A DISTANCE
24 SUIVI DES INTERVENTIONS 67
25 RECHERCHE D’EMPLOI
26 INTEGRATION AU MARCHE DU TRAVAIL
Les composants d’un Routeur
3:04 PM
Tech AyOuB-EH
Les composants d’un Routeur
Fichier Type Doc
2. Réseau Wan
2.1.1. Définition
2.1.2. Les caractéristiques des réseaux WAN
2.1.3. Comparatif entre un réseau Wan et Réseau LAN
2.1.4. L es équipements des réseaux WAN
2.1.5. Rôle d’un routeur au sein d’un réseau WAN
3. Composants internes des routeurs
4. Caractéristiques physiques des routeurs
5. Connexions externes des routeurs
6. Connexions des ports de gestion
7. Connexion des interfaces
7.1. en mode console
7.2. Connexion des interfaces LAN
7.3. Connexion des interfaces WAN
Routage
2:54 PM
Tech AyOuB-EH
Sommaire De Fichier Type Doc
1.1. Présentation du routage
1.2. Utilisation de la route statique
1.3. Configuration de routes statiques
1.4. Configuration de l’acheminement par défaut
1.5. Vérification de la configuration de route statique
1.6. Dépannage de la configuration de route statique
2. Routage Dynamique
2.1. Introduction aux protocoles de routage
2.2. Systèmes autonomes
2.3. Role d’un protocole de routage et de systèmes autonomes
2.4. Identification des classes des protocoles de routage
2.5. Fonctions du protocole de routage à vecteur de distance
2.6. Fonctions du protocole de routage à état de liens
2.7. Détermination du chemin
3. Configuration de routage
3.1. Protocoles de routage
Maintenance préventive Définition et types
4:41 AM
Tech AyOuB-EH
Maintenance préventive Définition et types Fichier Type PDF
1- Activités périodiques effectuée sur l’équipement afin
d’éliminer ou déceler des conditions menant à la
détérioration de cet équipement.
2- Inspections / Visites
3- Routines / Rondes
4- Conditionnelle (limites)
5- Systématique
6- Prédictive
Configurer un Routeur
4:06 AM
Tech AyOuB-EH
Configurer un Routeur
Type Fichier Doc
1.1. modes de commande CLI
1.2. Configuration du nom d’un routeur
1.3. Configuration des mots de passe d’un routeur
1.4. Examen des commandes show
1.5. Configuration d’une interface série
1.6. Configuration d’une interface Ethernet
1.7. Faire des changements de configuration
2. Fin de la configuration
2.1. Descriptions d’interface
2.2. Configuration d’une description d’interface
2.3. Bannières de connexion
2.4. Résolution de nom d’hôte
2.5. Configuration des tables d’hôtes
2.6. Sauvegarde de la configuration
DNS : Zone intégrée à Active Directory
4:59 PM
Tech AyOuB-EH
Définition
Le système de nom de domaine ou DNS (Domaine Name Sever) est une base de données permettant la traduction de noms d’hôtes en adresse IP. DNS résout le problème essentiel lors de connexion d’ordinateurs à un Intranet ou Internet : il est en effet bien plus aisé de se souvenir de noms que de nombres.
Comment ça marche ?
Comme un annuaire téléphonique, le système de noms de domaine met en correspondance des noms avec des adresses IP. Les noms d’hôte sont appariés avec leurs adresses IP comme le noms des abonnés avec leurs numéros de téléphone. Un serveur met en correspondance ou convertir les noms NET BIOS en adresse IP.
Les zones
Les noms des domaines peuvent être de nivaux supérieure, de second niveau ou des sous domaines . Les ressources de chaque domaines sont stockées dans les enregistrement de ressources . La gestion interne des ressources de domaines est effectuée à l’aide de fichier de zone DNS.
Un fichier de zone DNS est une base de données. Chaque domaine ou groupe de domaines inclus dans un fichier de zone est membre de la même zone DNS. Il existe deux types de zones standard : les zones de recherche directes et les zones de recherches inversées :
- Une zone de recherche directe : se base sur la résolution nom vers adresse IP. Les types de ressource sont variés (échangeurs de courrier, adresses d’hôtes,…).
- Une zone de recherche inversée : arrière s’appuie sur la résolution adresse IP vers ressource.
Intégration DNS à Active Directory
Pourquoi ?
Pour Windows 2000 Server, le service Serveur DNS a été soigneusement intégré dans la conception et l'implémentation de Active Directory.
Deux changements importants doivent être notés lorsque les serveurs DNS Windows 2000 sont déployés avec Active Directory.
- DNS est nécessaire quand à la localisation des contrôleurs de domaine Windows 2000.
- Le service d'ouverture de session réseau utilise les serveurs DNS nouvellement pris en charge pour inscrire les contrôleurs de domaine dans votre espace de noms de domaines DNS.
Les serveurs DNS Windows 2000 peuvent utiliser Active Directory pour stocker et répliquer vos zones.
En intégrant vos zones à l'annuaire, vous pouvez profiter au mieux des nouvelles fonctionnalités de DNS Windows 2000, telles que les mises à jour dynamiques sécurisées et les fonctions de nettoyage des enregistrements.
Le système de nom de domaine ou DNS (Domaine Name Sever) est une base de données permettant la traduction de noms d’hôtes en adresse IP. DNS résout le problème essentiel lors de connexion d’ordinateurs à un Intranet ou Internet : il est en effet bien plus aisé de se souvenir de noms que de nombres.
Comment ça marche ?
Comme un annuaire téléphonique, le système de noms de domaine met en correspondance des noms avec des adresses IP. Les noms d’hôte sont appariés avec leurs adresses IP comme le noms des abonnés avec leurs numéros de téléphone. Un serveur met en correspondance ou convertir les noms NET BIOS en adresse IP.
Les zones
Les noms des domaines peuvent être de nivaux supérieure, de second niveau ou des sous domaines . Les ressources de chaque domaines sont stockées dans les enregistrement de ressources . La gestion interne des ressources de domaines est effectuée à l’aide de fichier de zone DNS.
Un fichier de zone DNS est une base de données. Chaque domaine ou groupe de domaines inclus dans un fichier de zone est membre de la même zone DNS. Il existe deux types de zones standard : les zones de recherche directes et les zones de recherches inversées :
- Une zone de recherche directe : se base sur la résolution nom vers adresse IP. Les types de ressource sont variés (échangeurs de courrier, adresses d’hôtes,…).
- Une zone de recherche inversée : arrière s’appuie sur la résolution adresse IP vers ressource.
Intégration DNS à Active Directory
Pourquoi ?
Pour Windows 2000 Server, le service Serveur DNS a été soigneusement intégré dans la conception et l'implémentation de Active Directory.
Deux changements importants doivent être notés lorsque les serveurs DNS Windows 2000 sont déployés avec Active Directory.
- DNS est nécessaire quand à la localisation des contrôleurs de domaine Windows 2000.
- Le service d'ouverture de session réseau utilise les serveurs DNS nouvellement pris en charge pour inscrire les contrôleurs de domaine dans votre espace de noms de domaines DNS.
Les serveurs DNS Windows 2000 peuvent utiliser Active Directory pour stocker et répliquer vos zones.
En intégrant vos zones à l'annuaire, vous pouvez profiter au mieux des nouvelles fonctionnalités de DNS Windows 2000, telles que les mises à jour dynamiques sécurisées et les fonctions de nettoyage des enregistrements.
Avantages de l'intégration Active Directory
Sur les réseaux déployant DNS pour prendre en charge Active Directory, il est fortement conseillé d'utiliser des zones principales intégrées à l'annuaire afin de profiter des avantages suivants :
Mise à jour de configuration de maîtres multiples et sécurité avancée reposant sur les fonctionnalités de Active Directory.
Dans le stockage de zone intégré à l'annuaire, les mises à jour dynamiques dans DNS sont effectuées d'après un modèle de mise à jour de configuration de maîtres multiples.
Dans ce modèle, tout serveur DNS servant de référence, tel qu'un contrôleur de domaine exécutant le service Serveur DNS de Windows 2000, est défini comme une source principale pour la zone. Dans la mesure où la copie principale de la zone est gérée dans la base de données Active Directory, qui est entièrement répliquée sur tous les contrôleurs de domaine, la zone peut être mise à jour par les serveurs DNS fonctionnant sur tout contrôleur de domaine du domaine.
Dans le modèle de mise à jour de configuration de maîtres multiples de Active Directory, chacun des serveurs principaux de la zone intégrée à l'annuaire peut traiter les requêtes de mise à jour de la zone formulées par des clients DNS tant qu'un contrôleur de domaine est disponible et accessible sur le réseau.
De même, les zones intégrées à l'annuaire vous permettent d'utiliser les fonctions d'édition de la liste de contrôle d'accès (ACL, Access Control List) pour sécuriser un conteneur d'objet dnsZone dans l'arborescence Active Directory. Vous disposez ainsi d'un accès granulaire à la zone ou à un enregistrement de ressource spécifique de cette zone.
Par exemple, une liste de contrôle d'accès relative à un enregistrement de ressource de zone peut être restreinte de sorte que les mises à jour dynamiques sont autorisées uniquement pour un ordinateur client spécifique ou un groupe sécurisé tel qu'un groupe d'administrateurs de domaine. Cette fonctionnalité de sécurité n'est pas disponible avec les zones principales standard.
Lorsque vous modifiez le type de stockage de zone pour utiliser un stockage intégré à l'annuaire, le paramètre par défaut de mise à jour de la zone est modifié de manière à autoriser uniquement les mises à jour sécurisées.
Les zones sont automatiquement répliquées et synchronisées sur les nouveaux contrôleurs de domaine dès qu'ils sont ajoutés à un domaine Active Directory.
Bien que le service DNS puisse être supprimé d'un contrôleur de domaine spécifique, les zones intégrées à l'annuaire sont déjà stockées sur chaque contrôleur de domaine, de sorte que le stockage et la gestion de zone ne constituent pas une ressource supplémentaire.
De même, les méthodes utilisées pour synchroniser les informations stockées dans l'annuaire offrent de meilleures performances par rapport aux méthodes standard de mise à jour des zones, qui exigent parfois le transfert de la zone entière.
En intégrant le stockage de vos bases de données de zones DNS dans Active Directory, vous pouvez simplifier la préparation de la réplication de base de données pour votre réseau.
Lorsque vos espaces de noms DNS ou Active Directory sont stockés et répliqués séparément, vous devez planifier et éventuellement administrer séparément chaque espace de noms. L'administration de la planification et de la conception de votre réseau n'en sera que plus complexe, de même que son développement éventuel.
Avec l'intégration du stockage DNS, tous les problèmes de réplication et de gestion du stockage qui se posent pour DNS et pour Active Directory sont fusionnées en une seule entité administrative.
La réplication d'annuaire est plus rapide et efficace que la réplication DNS standard.
Dans la mesure où la réplication Active Directory est réalisée propriété par propriété, seules les modifications essentielles sont propagées. De cette manière, des données moins nombreuses sont utilisées et soumises dans les mises à jour des zones stockées dans l'annuaire.
Note
Seules les zones principales peuvent être stockées dans l'annuaire. Un serveur DNS ne peut pas stocker des zones secondaires dans l'annuaire. Il doit les stocker dans des fichiers texte standard.
Le serveur DNS Windows 2000 comprend une option permettant d'initialiser un serveur DNS exécutant un contrôleur de domaine et de charger toutes les zones DNS et les détails de configuration associés qui sont stockés dans l'annuaire Active Directory du domaine Active Directory.
Sur les réseaux déployant DNS pour prendre en charge Active Directory, il est fortement conseillé d'utiliser des zones principales intégrées à l'annuaire afin de profiter des avantages suivants :
Mise à jour de configuration de maîtres multiples et sécurité avancée reposant sur les fonctionnalités de Active Directory.
Dans le stockage de zone intégré à l'annuaire, les mises à jour dynamiques dans DNS sont effectuées d'après un modèle de mise à jour de configuration de maîtres multiples.
Dans ce modèle, tout serveur DNS servant de référence, tel qu'un contrôleur de domaine exécutant le service Serveur DNS de Windows 2000, est défini comme une source principale pour la zone. Dans la mesure où la copie principale de la zone est gérée dans la base de données Active Directory, qui est entièrement répliquée sur tous les contrôleurs de domaine, la zone peut être mise à jour par les serveurs DNS fonctionnant sur tout contrôleur de domaine du domaine.
Dans le modèle de mise à jour de configuration de maîtres multiples de Active Directory, chacun des serveurs principaux de la zone intégrée à l'annuaire peut traiter les requêtes de mise à jour de la zone formulées par des clients DNS tant qu'un contrôleur de domaine est disponible et accessible sur le réseau.
De même, les zones intégrées à l'annuaire vous permettent d'utiliser les fonctions d'édition de la liste de contrôle d'accès (ACL, Access Control List) pour sécuriser un conteneur d'objet dnsZone dans l'arborescence Active Directory. Vous disposez ainsi d'un accès granulaire à la zone ou à un enregistrement de ressource spécifique de cette zone.
Par exemple, une liste de contrôle d'accès relative à un enregistrement de ressource de zone peut être restreinte de sorte que les mises à jour dynamiques sont autorisées uniquement pour un ordinateur client spécifique ou un groupe sécurisé tel qu'un groupe d'administrateurs de domaine. Cette fonctionnalité de sécurité n'est pas disponible avec les zones principales standard.
Lorsque vous modifiez le type de stockage de zone pour utiliser un stockage intégré à l'annuaire, le paramètre par défaut de mise à jour de la zone est modifié de manière à autoriser uniquement les mises à jour sécurisées.
Les zones sont automatiquement répliquées et synchronisées sur les nouveaux contrôleurs de domaine dès qu'ils sont ajoutés à un domaine Active Directory.
Bien que le service DNS puisse être supprimé d'un contrôleur de domaine spécifique, les zones intégrées à l'annuaire sont déjà stockées sur chaque contrôleur de domaine, de sorte que le stockage et la gestion de zone ne constituent pas une ressource supplémentaire.
De même, les méthodes utilisées pour synchroniser les informations stockées dans l'annuaire offrent de meilleures performances par rapport aux méthodes standard de mise à jour des zones, qui exigent parfois le transfert de la zone entière.
En intégrant le stockage de vos bases de données de zones DNS dans Active Directory, vous pouvez simplifier la préparation de la réplication de base de données pour votre réseau.
Lorsque vos espaces de noms DNS ou Active Directory sont stockés et répliqués séparément, vous devez planifier et éventuellement administrer séparément chaque espace de noms. L'administration de la planification et de la conception de votre réseau n'en sera que plus complexe, de même que son développement éventuel.
Avec l'intégration du stockage DNS, tous les problèmes de réplication et de gestion du stockage qui se posent pour DNS et pour Active Directory sont fusionnées en une seule entité administrative.
La réplication d'annuaire est plus rapide et efficace que la réplication DNS standard.
Dans la mesure où la réplication Active Directory est réalisée propriété par propriété, seules les modifications essentielles sont propagées. De cette manière, des données moins nombreuses sont utilisées et soumises dans les mises à jour des zones stockées dans l'annuaire.
Note
Seules les zones principales peuvent être stockées dans l'annuaire. Un serveur DNS ne peut pas stocker des zones secondaires dans l'annuaire. Il doit les stocker dans des fichiers texte standard.
Le serveur DNS Windows 2000 comprend une option permettant d'initialiser un serveur DNS exécutant un contrôleur de domaine et de charger toutes les zones DNS et les détails de configuration associés qui sont stockés dans l'annuaire Active Directory du domaine Active Directory.
Introduction à IPv6
1:49 PM
Tech AyOuB-EH
Introduction à IPv6
Pour rappel, IPv6 est le protocole de communication (protocole réseau) amené à remplacer IPv4. Internet se repose sur ces protocoles pour fonctionner
Il est progressivement mis en place sur le réseau depuis 1996 (IPv6 publiée dans la RFC 1883, en décembre 1995) pour palier à certains problèmes posés par IPv4 :
Epuisement des adresses IPV4 qui ont donné lieu à des « astuces » telles que NAT, PAT…
Surconsommation des processeurs des routeurs qui devaient recalculer le hash de chaque en-tête de paquet car le nombre de sauts restants était compris dans l’en-tête.
En-têtes de taille variable qui augmentaient les difficultés d’implémentation.
Un changement majeur étant que les adresses ne seront plus de la forme X.X.X.X (0<X<255, en décimal) mais de la forme aaaa:aaaa:aaaa:aaaa :aaaa:aaaa :aaaa:aaaa où a est un chiffre hexadécimal (donc de 0 à f). Les adresses ne sont donc plus sur 32 bits mais sur 128 bits. Tout comme en IPv4, les adresses son séparées en catégories :
:/8 Adresses réservées IETF
2000::/3 Adresses unicast routables sur Internet
fc00::/7 Adresses locales uniques
fe80::/10 Adresses locales lien
ff00::/8 Adresses multicast
Pour ce qui est des adresses unicast, Internet est découpé de cette manière :
les préfixes /23 sont attribués aux différents registres Internet Régionaux.
ces réseaux sont redécoupés en réseaux /32 qui sont attribués à vos FAI.
votre FAI découpe à nouveau son réseau pour vous attribuer un préfixe en /48.
vous pouvez redécouper votre réseau en réseaux /64 pour différencier vos sites géographiques ou vos réseaux (dans les offres pour particuliers, le FAI attribue souvent directement un réseau /64).
Note : ne pas dépasser 64 bits de longueur de préfixe ou vous perdriez l’AutoConf, faculté qu’à un client à faire correspondre son adresse locale avec son adresse publique.
A noter qu’avec IPv6, chaque hôte sur le réseau dispose d’une ou de plusieurs adresses IP publiques.
Nous avons à l’heure actuelle deux cas principaux :
Votre FAI vous fournit de la connectivité IPV6 ou bien vous disposez de tunneling. Vous avez donc un préfixe attribué.
Vous ne faites pas encore partie des heureux élus. Faites en la demande auprès de votre FAI. Vous pouvez tout de même préparer le terrain en activant l’adressage local.
ATTENTION ! Beaucoup de solutions physiques de routage (Cisco, Netasq…) demanderont une mise à jour du système embarqué et/ou le changement du dit matériel. N’hésitez pas à solliciter le fabriquant pour obtenir plus d’informations sur votre matériel. Cette migration n’est pas à prendre à la légère et aura un fort impact sur l’architecture de votre réseau ainsi que sur votre utilisation du réseau. Nous vous conseillons de bien tester et planifier cette dernière avant de l’entamer.
Pour rappel, IPv6 est le protocole de communication (protocole réseau) amené à remplacer IPv4. Internet se repose sur ces protocoles pour fonctionner
Il est progressivement mis en place sur le réseau depuis 1996 (IPv6 publiée dans la RFC 1883, en décembre 1995) pour palier à certains problèmes posés par IPv4 :
Epuisement des adresses IPV4 qui ont donné lieu à des « astuces » telles que NAT, PAT…
Surconsommation des processeurs des routeurs qui devaient recalculer le hash de chaque en-tête de paquet car le nombre de sauts restants était compris dans l’en-tête.
En-têtes de taille variable qui augmentaient les difficultés d’implémentation.
Un changement majeur étant que les adresses ne seront plus de la forme X.X.X.X (0<X<255, en décimal) mais de la forme aaaa:aaaa:aaaa:aaaa :aaaa:aaaa :aaaa:aaaa où a est un chiffre hexadécimal (donc de 0 à f). Les adresses ne sont donc plus sur 32 bits mais sur 128 bits. Tout comme en IPv4, les adresses son séparées en catégories :
:/8 Adresses réservées IETF
2000::/3 Adresses unicast routables sur Internet
fc00::/7 Adresses locales uniques
fe80::/10 Adresses locales lien
ff00::/8 Adresses multicast
Pour ce qui est des adresses unicast, Internet est découpé de cette manière :
les préfixes /23 sont attribués aux différents registres Internet Régionaux.
ces réseaux sont redécoupés en réseaux /32 qui sont attribués à vos FAI.
votre FAI découpe à nouveau son réseau pour vous attribuer un préfixe en /48.
vous pouvez redécouper votre réseau en réseaux /64 pour différencier vos sites géographiques ou vos réseaux (dans les offres pour particuliers, le FAI attribue souvent directement un réseau /64).
Note : ne pas dépasser 64 bits de longueur de préfixe ou vous perdriez l’AutoConf, faculté qu’à un client à faire correspondre son adresse locale avec son adresse publique.
A noter qu’avec IPv6, chaque hôte sur le réseau dispose d’une ou de plusieurs adresses IP publiques.
Nous avons à l’heure actuelle deux cas principaux :
Votre FAI vous fournit de la connectivité IPV6 ou bien vous disposez de tunneling. Vous avez donc un préfixe attribué.
Vous ne faites pas encore partie des heureux élus. Faites en la demande auprès de votre FAI. Vous pouvez tout de même préparer le terrain en activant l’adressage local.
ATTENTION ! Beaucoup de solutions physiques de routage (Cisco, Netasq…) demanderont une mise à jour du système embarqué et/ou le changement du dit matériel. N’hésitez pas à solliciter le fabriquant pour obtenir plus d’informations sur votre matériel. Cette migration n’est pas à prendre à la légère et aura un fort impact sur l’architecture de votre réseau ainsi que sur votre utilisation du réseau. Nous vous conseillons de bien tester et planifier cette dernière avant de l’entamer.
Sécuriser un réseau Wi-Fi avec Windows 2003 Server
2:53 PM
Tech AyOuB-EH
Introduction
Lors de la mise en place d’un réseau Wi-Fi (Wireless Fidelity), la sécurité est un élément essentiel qu’il ne faut pas négliger.
Effectivement, avec l’émergence de l’espionnage informatique et l’apparition du Wardriving, il est désormais difficile d’avoir une confiance totale dans la sécurité des réseaux Wi-Fi, même en utilisant le protocole sécurisé WEP (Wired Equivalent Privacy) et un filtrage au niveau des adresses Mac (Media Access Control Address).
Nous vous proposons donc d’étudier au cours de cet article la mise en place d’une infrastructure Wi-Fi sécurisé WPA (Wi-Fi Protected Access) 802.1X utilisant un serveur Radius et une authentification par certificat (EAP-TLS : Extensible Authentication Protocol-Transport Layer Security).
1. Présentation de WPA et 802.1X
En attendant la nouvelle norme 802.11i en cours d'élaboration, la Wi-Fi Alliance et l'IEEE ont décidé de définir le protocole WPA afin de combler les lacunes du protocole WEP.
Précédemment les réseaux Wi-Fi disposaient de clés WEP fixes, décidées sur les points d’accès.
Mais l'utilisation des clés WEP a révélé deux faiblesses importantes:
L'utilisation d'algorithmes cryptographiques peu développés l'a rendu très vulnérable. Il suffit de quelques heures à un éventuel pirate pour casser les clés utilisées.
Seconde faiblesse, l'impossibilité d'authentifier un ordinateur ou un utilisateur qui se connecterai au réseau.
Afin de pallier au problème de cryptographie, WPA définit deux nouvelles méthodes de chiffrement et de contrôle d'intégrité:
TKIP (Temporal Key Integrity Protocol) : ce protocole a été conçu afin de s'adapter au mieux au matériel existant. Il utilise RC4 comme algorithme de chiffrement , ajoute un contrôle d'intégrité MIC et introduit un mécanisme de gestion des clés (création de clés dynamiques à un intervalle de temps prédéfini)
CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) : à priori plus puissant que TKIP, il utilise AES comme algorithme de chiffrement. C'est la solution qui semble se distinguer à long terme. Cependant ce protocole est totalement incompatible avec le matériel actuel.
WPA utilise le protocole 802.1X . Également appelé EAPOL (EAP Over Lan) il est utilisé comme méthode de transport pour l'authentification EAP. C'est est une réponse au besoin d'authentifier les machines ou les utilisateurs connectés sur un réseau local. Il permet donc de transférer les paquets d'authentification vers divers éléments d'un réseau mais offre aussi un mécanisme pour échanger des clés qui vont être utilisées pour chiffrer les communications et en contrôler l'intégrité.
Le protocole 802.1X définit trois catégories d'acteur jouant chacun un rôle différent.
Le supplicant : il s'agit du poste de travail qui demande à accéder au réseau.
L'authenticator : c'est le dispositif Wi-Fi (également client Radius, voir chapitre suivant) fournissant la connexion au réseau. Il supporte deux états, non autorisé et autorisé, mais il ne joue que le rôle de relais dans l'authentification.
Le serveur d'authentification : Il s'agit d'un serveur implémentant une solution Radius
WPA est donc une solution complexe, cependant, un mode spécial de WPA (WPA-PSK : Pre Shared Key) existe également afin de permettre aux particuliers de profiter de cette sécurité sans disposer de serveur d'authentification. La configuration du WPA-PSK commence par la détermination d'une clé statique ou d’une "passphrase" comme pour le WEP. Mais, en utilisant TKIP, WPA-PSK change automatiquement les clés à un intervalle de temps prédéfini.
2. Présentation de l’authentification EAP
Il existe différentes méthodes d'authentification pour EAP (Extensible Authentication Protocol).
Voici les différents méthodes classées de la moins sûre à la plus sûre
EAP-MD5: C’est la plus simple. Le client est authentifié par le serveur en utilisant un mécanisme de défi réponse. Le serveur envoie une valeur aléatoire (le défi), le client concatène à ce défi le mot de passe et en calcule, en utilisant l’algorithme MD5, une empreinte (" hash ") qu’il renvoie au serveur. Le serveur qui connaît le mot de passe calcule sa propre empreinte, compare les deux et en fonction du résultat valide ou non l’authentification. Une écoute du trafic peut dans le cas d’un mot de passe mal choisi, permettre de le retrouver par une attaque par dictionnaire ou par force brute.
LEAP (Lightweight EAP): est un méthode propre à Cisco qui repose sur l'utilisation de secrets partagés pour authentifier mutuellement le serveur et le client. Elle n'utilise aucun certificat et est basé sur l'échange de défi et réponse.
EAP-TTLS (tunneled Transport Secure Layer) : utilise TLS comme un tunnel pour échanger des couples attribut valeur à la manière de RADIUS11 servant à l’authentification. Pratiquement n’importe quelle méthode d’authentification peut être utilisée.
PEAP (Protected EAP): est une méthode très semblable dans ses objectifs et voisine dans la réalisation à EAP-TTLS. Elle est développée par Microsoft. Elle se sert d’un tunnel TLS pour faire circuler de l’EAP. On peut alors utiliser toutes les méthodes d’authentification supportées par EAP.
EAP-TLS(Extensible Authentication Protocol-Transport Layer Security): C’est la plus sûre. Le serveur et le client possèdent chacun leur certificat qui va servir à les authentifier mutuellement. Cela reste relativement contraignant du fait de la nécessité de déployer une infrastructure de gestion de clés. Rappelons que TLS, la version normalisée de SSL (Secure Socket Layer), est un transport sécurisé (chiffrement, authentification mutuelle, contrôle d’intégrité). C’est lui qui est utilisé de façon sous-jacente par HTTPS, la version sécurisée de HTTP, pour sécuriser le Web.
Nous utiliserons donc la méthode EAP-TLS qui propose à ce jour le plus de sécurité.
Avec la méthode EAP-TLS l’authentification du client d'accès peut se faire de différentes façons :
A l’aide d’un certificat personnel associé à la machine, l’authentification a lieu au démarrage de la machine.
A l’aide d’un certificat personnel associé à l’utilisateur, l’authentification a lieu après l’entrée en session (" logon ") de l’utilisateur.
Il est possible de combiner les deux précédentes méthodes. La valeur de la clé de registre "HKEY_LOCAL_MACHINE\Software\Microsoft\EAPOL\Parameters\General\Global\AuthMode" permet de modifier ce comportement :
0 authentification de la machine au démarrage, en cas d’échec authentification de l’utilisateur au logon
1 authentification de la machine au démarrage, puis authentification de l’utilisateur au logon
2 uniquement authentification de la machine
Nous utiliserons des certificats du type X509v3 Extended Key Usage délivrés par le site Web de l'autorité de certification.
3. Présentation de Radius
Le serveur Radius (Remote Authentication Dial-In User Service) a été initialement conçu pour authentifier des connexions par modem (PPP).
Désormais Radius peut être utilisé pour centraliser l'authentification, l'autorisation et la gestion des comptes pour les connexions d'accès à distance, VPN, Wi-Fi...
Il est possible par exemple sous Windows 2003 Server de créer des stratégies d'accès pour autoriser des utilisateurs, des groupes d'utilisateurs, des ordinateurs ou tout autre ressource voulant se connecter au réseau.
Le protocole Radius assure les échanges entre un client Radius (borne d'accès Wi-Fi, authenticator) et le serveur d'authentification. Il s'agit d'un protocole UDP utilisant les ports 1812 pour l'authentification et 1813 pour la comptabilité.
Un environnement Radius est composé :
D’un serveur Radius qui centralise l'authentification, l'autorisation et la gestion des comptes
D’un client Radius, c'est-à-dire un serveur d’accès distant ou une borne d’accès Wi-Fi (authenticator) qui reçoit les demandes d'authentification RADIUS des clients et les retransmet au serveur Radius.
D’un client d’accès à distance ou Wi-Fi (supplicant) équipé de Windows XP, 2000 et certains autres systèmes d’exploitation non Microsoft.
Dans notre cas nous utiliserons une authentification de type EAP-TLS, le protocole Radius ne servira donc qu'à transporter du TLS et définir quel utilisateur ou quel groupe aura accès au réseau.
Effectivement, avec l’émergence de l’espionnage informatique et l’apparition du Wardriving, il est désormais difficile d’avoir une confiance totale dans la sécurité des réseaux Wi-Fi, même en utilisant le protocole sécurisé WEP (Wired Equivalent Privacy) et un filtrage au niveau des adresses Mac (Media Access Control Address).
Nous vous proposons donc d’étudier au cours de cet article la mise en place d’une infrastructure Wi-Fi sécurisé WPA (Wi-Fi Protected Access) 802.1X utilisant un serveur Radius et une authentification par certificat (EAP-TLS : Extensible Authentication Protocol-Transport Layer Security).
1. Présentation de WPA et 802.1X
En attendant la nouvelle norme 802.11i en cours d'élaboration, la Wi-Fi Alliance et l'IEEE ont décidé de définir le protocole WPA afin de combler les lacunes du protocole WEP.
Précédemment les réseaux Wi-Fi disposaient de clés WEP fixes, décidées sur les points d’accès.
Mais l'utilisation des clés WEP a révélé deux faiblesses importantes:
L'utilisation d'algorithmes cryptographiques peu développés l'a rendu très vulnérable. Il suffit de quelques heures à un éventuel pirate pour casser les clés utilisées.
Seconde faiblesse, l'impossibilité d'authentifier un ordinateur ou un utilisateur qui se connecterai au réseau.
Afin de pallier au problème de cryptographie, WPA définit deux nouvelles méthodes de chiffrement et de contrôle d'intégrité:
TKIP (Temporal Key Integrity Protocol) : ce protocole a été conçu afin de s'adapter au mieux au matériel existant. Il utilise RC4 comme algorithme de chiffrement , ajoute un contrôle d'intégrité MIC et introduit un mécanisme de gestion des clés (création de clés dynamiques à un intervalle de temps prédéfini)
CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) : à priori plus puissant que TKIP, il utilise AES comme algorithme de chiffrement. C'est la solution qui semble se distinguer à long terme. Cependant ce protocole est totalement incompatible avec le matériel actuel.
WPA utilise le protocole 802.1X . Également appelé EAPOL (EAP Over Lan) il est utilisé comme méthode de transport pour l'authentification EAP. C'est est une réponse au besoin d'authentifier les machines ou les utilisateurs connectés sur un réseau local. Il permet donc de transférer les paquets d'authentification vers divers éléments d'un réseau mais offre aussi un mécanisme pour échanger des clés qui vont être utilisées pour chiffrer les communications et en contrôler l'intégrité.
Le protocole 802.1X définit trois catégories d'acteur jouant chacun un rôle différent.
Le supplicant : il s'agit du poste de travail qui demande à accéder au réseau.
L'authenticator : c'est le dispositif Wi-Fi (également client Radius, voir chapitre suivant) fournissant la connexion au réseau. Il supporte deux états, non autorisé et autorisé, mais il ne joue que le rôle de relais dans l'authentification.
Le serveur d'authentification : Il s'agit d'un serveur implémentant une solution Radius
WPA est donc une solution complexe, cependant, un mode spécial de WPA (WPA-PSK : Pre Shared Key) existe également afin de permettre aux particuliers de profiter de cette sécurité sans disposer de serveur d'authentification. La configuration du WPA-PSK commence par la détermination d'une clé statique ou d’une "passphrase" comme pour le WEP. Mais, en utilisant TKIP, WPA-PSK change automatiquement les clés à un intervalle de temps prédéfini.
2. Présentation de l’authentification EAP
Il existe différentes méthodes d'authentification pour EAP (Extensible Authentication Protocol).
Voici les différents méthodes classées de la moins sûre à la plus sûre
EAP-MD5: C’est la plus simple. Le client est authentifié par le serveur en utilisant un mécanisme de défi réponse. Le serveur envoie une valeur aléatoire (le défi), le client concatène à ce défi le mot de passe et en calcule, en utilisant l’algorithme MD5, une empreinte (" hash ") qu’il renvoie au serveur. Le serveur qui connaît le mot de passe calcule sa propre empreinte, compare les deux et en fonction du résultat valide ou non l’authentification. Une écoute du trafic peut dans le cas d’un mot de passe mal choisi, permettre de le retrouver par une attaque par dictionnaire ou par force brute.
LEAP (Lightweight EAP): est un méthode propre à Cisco qui repose sur l'utilisation de secrets partagés pour authentifier mutuellement le serveur et le client. Elle n'utilise aucun certificat et est basé sur l'échange de défi et réponse.
EAP-TTLS (tunneled Transport Secure Layer) : utilise TLS comme un tunnel pour échanger des couples attribut valeur à la manière de RADIUS11 servant à l’authentification. Pratiquement n’importe quelle méthode d’authentification peut être utilisée.
PEAP (Protected EAP): est une méthode très semblable dans ses objectifs et voisine dans la réalisation à EAP-TTLS. Elle est développée par Microsoft. Elle se sert d’un tunnel TLS pour faire circuler de l’EAP. On peut alors utiliser toutes les méthodes d’authentification supportées par EAP.
EAP-TLS(Extensible Authentication Protocol-Transport Layer Security): C’est la plus sûre. Le serveur et le client possèdent chacun leur certificat qui va servir à les authentifier mutuellement. Cela reste relativement contraignant du fait de la nécessité de déployer une infrastructure de gestion de clés. Rappelons que TLS, la version normalisée de SSL (Secure Socket Layer), est un transport sécurisé (chiffrement, authentification mutuelle, contrôle d’intégrité). C’est lui qui est utilisé de façon sous-jacente par HTTPS, la version sécurisée de HTTP, pour sécuriser le Web.
Nous utiliserons donc la méthode EAP-TLS qui propose à ce jour le plus de sécurité.
Avec la méthode EAP-TLS l’authentification du client d'accès peut se faire de différentes façons :
A l’aide d’un certificat personnel associé à la machine, l’authentification a lieu au démarrage de la machine.
A l’aide d’un certificat personnel associé à l’utilisateur, l’authentification a lieu après l’entrée en session (" logon ") de l’utilisateur.
Il est possible de combiner les deux précédentes méthodes. La valeur de la clé de registre "HKEY_LOCAL_MACHINE\Software\Microsoft\EAPOL\Parameters\General\Global\AuthMode" permet de modifier ce comportement :
0 authentification de la machine au démarrage, en cas d’échec authentification de l’utilisateur au logon
1 authentification de la machine au démarrage, puis authentification de l’utilisateur au logon
2 uniquement authentification de la machine
Nous utiliserons des certificats du type X509v3 Extended Key Usage délivrés par le site Web de l'autorité de certification.
3. Présentation de Radius
Le serveur Radius (Remote Authentication Dial-In User Service) a été initialement conçu pour authentifier des connexions par modem (PPP).
Désormais Radius peut être utilisé pour centraliser l'authentification, l'autorisation et la gestion des comptes pour les connexions d'accès à distance, VPN, Wi-Fi...
Il est possible par exemple sous Windows 2003 Server de créer des stratégies d'accès pour autoriser des utilisateurs, des groupes d'utilisateurs, des ordinateurs ou tout autre ressource voulant se connecter au réseau.
Le protocole Radius assure les échanges entre un client Radius (borne d'accès Wi-Fi, authenticator) et le serveur d'authentification. Il s'agit d'un protocole UDP utilisant les ports 1812 pour l'authentification et 1813 pour la comptabilité.
Un environnement Radius est composé :
D’un serveur Radius qui centralise l'authentification, l'autorisation et la gestion des comptes
D’un client Radius, c'est-à-dire un serveur d’accès distant ou une borne d’accès Wi-Fi (authenticator) qui reçoit les demandes d'authentification RADIUS des clients et les retransmet au serveur Radius.
D’un client d’accès à distance ou Wi-Fi (supplicant) équipé de Windows XP, 2000 et certains autres systèmes d’exploitation non Microsoft.
Dans notre cas nous utiliserons une authentification de type EAP-TLS, le protocole Radius ne servira donc qu'à transporter du TLS et définir quel utilisateur ou quel groupe aura accès au réseau.
double click sur image pour plus zoom
Conclusion
Nous avons donc tout fait au long de cet article pour mettre en place une infrastructure Wi-Fi la plus sécurisée possible tout en étant compatible avec les exigences des différentes technologies des fabricants.
Vous disposez donc maintenant de la sécurité la plus renforcée pour un réseau sans-fil. Si vous craigniez encore le piratage, il ne vous reste plus qu’à mettre en place des dispositifs de brouillage, mais attention à ne pas détériorer du même coût votre réseau.
De plus cet architecture basée sur un serveur Radius et une authentification de type EAP pourra également vous servir pour mettre en place une politique d’accès distant centralisée et sécurisée .
Nous avons donc tout fait au long de cet article pour mettre en place une infrastructure Wi-Fi la plus sécurisée possible tout en étant compatible avec les exigences des différentes technologies des fabricants.
Vous disposez donc maintenant de la sécurité la plus renforcée pour un réseau sans-fil. Si vous craigniez encore le piratage, il ne vous reste plus qu’à mettre en place des dispositifs de brouillage, mais attention à ne pas détériorer du même coût votre réseau.
De plus cet architecture basée sur un serveur Radius et une authentification de type EAP pourra également vous servir pour mettre en place une politique d’accès distant centralisée et sécurisée .
