Cours de présentation d'Internet

Je note ici à peu près ce que j'ai tenté d'expliquer en IUP1, en octobre 2002 (avec des détails supplémentaires). J'ai mis les liens vers les pages que j'ai présentées, ainsi qu'une copie locale (notée L) pour les pages externes, au cas où elles disparaîtraient. Ces liens s'affichent dans une seconde fenêtre, ne les mettez pas en plein écran pour pouvoir passer de l'une à l'autre ! Attention, certaines explications données ici sont fausses, ou du moins "simplifiées", le but est de comprendre comment ça marche, pas de vous donner tous les détails sur nos câblages.

1) Qu'est-ce qu'un réseau local ?  : on relie ensemble différents ordinateurs (équipés chacun d'une carte réseau). En salle 207, par exemple, il y a 10 PC plus un serveur. Cela va permettre de partager des ressources : disques, imprimante, etc voire CPU. Par exemple, hier vous avez travaillé sur un PC et y avez sauvé des données sur le disque dur, aujourd'hui ce poste est utilisé (donc allumé), vous voulez récupérer votre fichier sur le PC d'à côté qui lui est libre.

Il y a deux moyens de connecter les machines : en série ou en étoile. Il y a quelques années, les machines d'une même salle de l'IPST étaient toutes reliées (en série) par un câble coaxial (BNC). Quand quelqu'un envoie un message sur ce câble, il est en fait transmis à tout le monde. Pour rajouter une machine dans le réseau, il suffit d'insérer un T pour le relier. L'inconvénient est qu'il faut un câble unique qui relie tous les ordinateurs un à un. Dès qu'un élément défaille (coupure par exemple), tout le réseau est bloqué.

Une amélioration de ce système est l'anneau : le dernier est relié au premier. Quand l'un envoie un message sur le réseau, il lui suffit d'attendre qu'il lui revienne dans le même état pour être sûr que tout c'est bien passé.

Une autre solution est l'étoile : tous les postes sont reliés à un concentrateur, qui quand il voit arriver un message le retransmet (par exemple à tous les autres, dans le cas le plus simple d'un hub). Si l'une des liaisons est coupée, seul un poste est déconnecté des autres.

nécessité d'une numérotation ou d'un nommage : Pour pouvoir envoyer un message, il faut pouvoir désigner le destinataire, mais aussi l'expéditeur (pour pouvoir répondre ou au moins accuser réception). La méthode (on dit le protocole) la plus simple est de numéroter chaque machine (et s'assurer qu'il n'y a pas deux machines avec le même numéro). C'est la méthode utilisée par Internet (IP = Internet Protocol). Une autre solution est d'utiliser des noms (tous différents), utilisé par exemple par Windows du temps où Bill Gates jurait que jamais Microsoft n'irait sur Internet (protocole NetBeui ou SMB). Une carte réseau qui connaît le protocole peut laisser passer ce qui ne la concerne pas et ne s'intéresser qu'aux messages qui lui sont destinés. C'est le cas avec des numéros (adresse MAC), mais pas avec des noms. Dans ce second cas à chaque fois que la carte voit passer un message c'est le processeur qui doit temporairement s'arrêter et vérifier s'il lui est destiné ou non. C'est plus lent mais on peut rajouter de nouveaux protocoles en rajoutant un morceau de programme (socket).

Problème des collisions : si deux machines émettent un message simultanément, ils se combinent et deviennent donc incompréhensibles. On dit qu'il y a collision. S'il n'est pas nécessaire d'éliminer les collisions (mais les réduire néanmoins), il est impératif de s'assurer qu'un message émis est arrivé à destination sans collision. On demande alors au destinataire d'envoyer un "accusé de réception".

2) Le switch : Le switch ressemble au hub. Mais quand il reçoit un message pour un destinataire qu'il connaît, il ne l'envoie qu'à lui, pas aux autres. Quand il ne le connaît pas par contre, il l'envoie à tous et regarde qui répond, pour mémoriser où est le destinataire, pour la prochaine fois. Avantages : moins de collisions (le trafic d'un poste ne perturbe pas les autres), plus de sécurité (un poste "curieux" ne voit pratiquement que ce qui lui est destiné). Par exemple, un switch partage les différentes salles informatiques de l'IPST, un trafic local dans une salle ne perturbe pas les autres salles, et l'on ne voit pas dans une salle ce qui se passe dans l'autre. Ce lien vous montre ce que voient deux ordinateurs, au même moment mais pas au même endroit de l'IPST.

3) Le routeur : c'est un switch "intelligent", ou du moins programmable. C'est en fait un vrai ordinateur (avec son propre n° IP), auquel on a appris sur quelle sortie diriger tout message. Nous en avons un à l'IPST, qui nous relie au reste de l'ULP. Il permet :

• de n'envoyer les messages destinés à un ordinateur de l'IPST que dans la bonne direction. Un poste ne peut donc pas se faire passer pour un autre (sauf ceux d'une même salle, si ils sont reliés par un hub, ce qui n'est pas très grave).
• d'interdire certains accès à certains postes (impossible d'aller d'un PC accès libre à ceux de l'administration).
• d'empêcher qu'une machine ayant un numéro IP non prévu (130.79.50.x) de se connecter vers l'extérieur
• de proposer des "routes alternatives"(si l'on n'arrive pas à accéder à Internet via l'ULP, il essayera vers Illkirch)
• de paramètrer des transferts (si la liaison directe ULP - Illkirch est rompue par exemple)

On peut voir sur ce schéma que notre routeur a deux liens vers Osiris, et sert de passerelle pour le réseau "DEPLUP" qui lui aussi est un composé d'un routeur et de toute une arborescence en dessous. On voit aussi que pour téléphoner à l'intérieur de l'Université, les différents standards téléphoniques sont reliés au réseau Osiris pour ne pas payer un opérateur tant que le destinataire est aussi sur Osiris (ULP, UMB, URS, CNRS...). Ce routeur est donc stratégique, il ne doit pas être accessible (physiquement) à tout le monde (dans une armoire fermée, dans un local fermé).

4) Osiris, Renater, Géant, Sfinx.

• Osiris est le réseau Enseignement supérieur - Recherche de Strasbourg. Ici vous pouvez voir le synoptique du Backbone Osiris : ces fibres optiques appartiennent à l'université, pas à France Télécom (il y a quelques années, la situation de monopole nous obligeait à louer des lignes, mais la connexion était déjà permanente, le prix ne dépendait pas de la durée de connexion).

  
  http://www-crc.u-strasbg.fr/osiris/infra/backbone.html

  On peut remarquer que le schéma n'est pas à jour, l'IPST n'y est pas encore (ils ont autre chose à faire que des graphiques). On peut également remarquer qu'il y a plusieurs "routes" possibles pour relier deux points, c'est utile en cas de défaillance.

• la carte de la fibre à Strasbourg :

  
  http://www-crc.u-strasbg.fr/osiris/infra/optique.html

  Rq1 : le lien Meinau-Illkirch n'est pas encore réalisé. Rq2 : se pourrait-il qu'on puisse téléphoner en Allemagne sans payer un appel international ?

• Schéma du pôle Api (Illkirch)

  
  http://www-crc.u-strasbg.fr/osiris/infra/sud.html

  L'IPST qui y est mentionné est notre hall techno

• Donc jusque là, le réseau est financé, géré et maintenu par les universités Strasbourgeoises. Les principales universités françaises et pôles de recherche sont reliés entre eux par un réseau national, appelé Renater, financé par l'état. Voici la carte de Renater 2. Elle est remise à jour interactivement et précise tous les dysfonctionnements.

  http://www.renater.fr/Metrologie/map-Renater2bis/ (L)

  Un certain nombre de liaisons sont désactivées, car remplacées par des nouvelles.

• Renater 3 est l'évolution en cours du réseau. On peut voir l'avancement des travaux

  http://www.renater.fr/Metrologie/map-Renater3/ (L)

• Renater est connecté au reste du monde :

  http://www.renater.fr/Reseau/Renater2/images_R2/Carte_International.jpg (L)

  SFINX (Internet commercial Français), Géant (le réseau université-recherche européen), Amérique, Corée,.. Mais il existe aussi quelques "petites" liaisons locales, en particulier près des frontières (Lyon - Lausanne, Lille - Belgique, Strasbourg - Karlsruhe...) mais pas nécessairement ouvertes à tous (par programmation des routeurs). Si vous voullez lire votre journal (www.dna.fr), la moitié du chemin sera faite sur Rénater (donc payé par l'état) jusquà Paris (SFINX), l'autre moitié sur le réseau financé par les grands quotidiens régionaux.

• liaisons entre Rénater et les réseaux universitaires mondiaux :

  http://www.renater.fr/International/Images_international/ResRecherche.jpg (L)

• Géant : le réseau ens-rech européen 

  http://www.dante.net/geant/Schematic1.jpg (L)

• Remarque : Combien ça coûte si l'on veut se connecter sur Renater (en plus des frais correspondant au fonctionnement local de votre réseau) ? http://www.renater.fr/Services/Procedures/Tarifs.htm (L)

5) La numérotation IP : Rappelez vous, tous les numéros de machines reliées entre elles doivent être différents. Une seule solution, il faut qu'un seul organisme attribue les numéros de toutes les machines. C'est ce qu'a fait au début le DoD, puis a été délégué à NIC (Network Information Center). Il a été décidé d'utiliser des nombres sur 32 bits (4 milliards de possibilités, un peu moins qu'un ordinateur par personne, il y a par exemple 15000 ordinateurs connectés à internet sur Osiris, ce qui fait pas mal par étudiant, surtout si l'on rajoute leurs ordinateurs à la maison, la "portion d'ordinateur" qu'ils utilisent à différents endroits comme à la sécurité sociale, et peut-être une jour leur téléphone Wap voire leur frigo directement connecté chez Auchan). Pour se les mémoriser, on a choisi de les décomposer en 4 nombres de 8 bits (256 possibilités) séparés par des points. Ils vont donc de 0.0.0.0 à 255.255.255.255 (certains sont réservés à des usages spécifiques, en particulier le 0). Pour les gérer, il a été décidé de déléguer les responsabilités. Certains (rares) se sont attribués un réseau de classe A : seul le premier nombre est fixé, ils peuvent disposer de 256³ n°. Osiris (le CRC) a obtenu un réseau de classe B : ses deux premiers nombres sont 130.79. Nous disposons donc de 256² = 65536 numéros, de 130.79.0.0 à 130.79.255.255. En contre partie, nous devons garantir :

• que nous n'attribuerons jamais le même numéro à deux machines différentes (du moins qu'une seule connectée à la fois),
• que jamais nous ne laisserons accéder au réseau une machine ayant un autre numéro que ceux qui nous sont attribués.

Pour simplifier la gestion de ces numéros, le CRC a lui aussi délégué cette gestion par sous domaines (subnet) : à l'IPST, on nous a attribué le subnet 50, à nous (moi) de gérer les 256 numéros disponibles (de 130.79.50.0 à 130.79.50.255).

Aujourd'hui, il ne reste plus de réseaux de classe B disponibles, uniquement des classe C (256 n°). Pour cela, on envisage d'étendre la taille des n° IP (4 nombres de 32 bits par exemple), mais au jour d'aujourd'hui il n'est pas possible de numéroter toutes les machines. Comment fait-on ? On utilise une passerelle, qui possède un n° IP et est seule connectée à Internet. Toutes les machines locales lui envoient leurs demandes de pages internet, c'est la passerelle qui fait effectivement la demande, puis renverra la réponse qu'elle reçoit d'internet à celui qui lui l'a demandée. Toutes les machines locales doivent avoir des numéros uniques localement, mais ceux-ci ne sont jamais transmis à l'extérieur, on peut donc utiliser ceux que l'on veut.

En général, on va regrouper dans la passerelle le routeur, le pare-feu (empêcher les accès non prévus), le proxy (il ne redemande plus une page qu'il vient de demander pour un autre), et pourquoi pas un anti-virus, un "contrôle parental", un "mouchard",...

Reste que se souvenir de numéros n'est pas facile. Il a dans un premier temps été décidé que chacun pouvait se faire son propre répertoire (association d'un nom et d'un numéro), qu'il suffit d'appeler "networks" dans le répertoire de configuration du système (c:\windows ou /usr). Là encore, il a fallu que quelqu'un se décide à créer un annuaire général mis à disposition de tous sur un ordinateur nommé "InterNic". Pour gérer tous les noms d'ordinateur (qui doivent donc tous être différents), il a été décidé de décentraliser cette gestion : les américains se débrouillent entre eux (par NIC), mais les autres pays doivent s'organiser. En France, l'INRIA (Rocquencourt) s'est porté volontaire. Il y a donc un annuaire spécifique à la France (ordinateur "NicFrance" ou "AFNIC"), qui doit connaître tous les noms .fr). Cela restant trop lourd à gérer, cet annuaire a lui aussi été décentralisé. Le CRC s'est porté volontaire pour gérer l'annuaire des universités strasbourgeoises (u-strasbg) Nous avons donc un ordinateur à Strasbourg (appelé DNS, Domain Name Server ou serveur de noms), qui connaît tous les noms et numéros des ordinateurs du domaine u-strasbg.fr. Tous nos noms finissent par ce nom de domaine, et aucun autre domaine n'a le même nom. Nous devons vérifier que tous les ordinateurs de notre domaine ont un nom différent.

Donc si quelqu'un dans le monde cherche le n° IP de www-ipst.u-strasbg.fr, il va le demander au DNS de son domaine, qui s'il ne le connaît pas, demandera au DNS de son pays, qui le demandera à InterNic. Comme ce nom se finit par .fr, la demande est transmise à AFNic, qui transmettra à notre DNS. Tous les intermédiaires mémorisent la réponse, pour la donner directement s'il doivent à nouveau rechercher ce même numéro. Pour créer un nouveau nom (par exemple www-gsi.u-strasbg.fr), il suffit de le rajouter dans le DNS Strasbourgeois, il devient automatiquement joignable du monde entier.

exemple : la partie "IPST" du DNS : list-mach-ipst.pdf

Le nom de domaine ne dit pas où est l'ordinateur, mais où est enregistré son nom. Par exemple, www.yahoo.fr est à Londres. Ou alors pat.fr.st est à l'IPST, mais il est enregistré sur le DNS fr.st (qui est réellement dans le Colorado), qui lui-même est obligatoirement enregistré sur le DNS du Sao Tomé (mais comme ils y ont des problèmes d'électricité, leur DNS est en fait à Stockholm en Suède). Pour voir comment j'ai trouvé ces informations, regardez ici

6) L'URL : Uniform Resource Locator : On a normalisé la désignation d'un fichier sur internet. Une URL est de la forme :

methode://login@ordinateur.domaine.pays/repertoire/fichier

Attention, l'URL ne peut pas contenir d'espace ou autre caractères spéciaux, ni caractères nationaux (accents en particulier). Les majuscules ne sont pas équivalentes aux minuscules, en général on n'utilise que des minuscules.

Le login est un nom d'utilisateur sur la machine, vous aurez les mêmes droits que cet utilisateur (si vous connaissez son mot de passe, évidement). Les méthodes sont :

• file : vous voulez regarder le fichier désigné, sans aucun traitement. Si c'est un répertoire vous pourrez vous promener dans l'arborescence (si c'est un fichier html par exemple, vous devriez voir son code source, suivant la configuration de votre navigateur). Si le fichier est protégé, il faudra fournir un login
• http : idem file, mais s'il y a des codes HTML dans le fichier, ils seront interprétés (et donc vous verrez une page mise en forme avec des couleurs, différentes tailles et polices de caractères, des images, des liens,...)
• ftp : vous voulez transférer le fichier désiré. C'est par exemple la méthode que l'on utilise pour transférer ses pages web sur un serveur (en général avec login et mot de passe). Par défaut le login sera "anonymous"
• mailto : comme ftp, mais on ne donne pas de nom de fichier ni de répertoire, le texte que vous envoyez sera placé sur la machine désignée, dans le "home directory" (répertoire personnel) correspondant au login, dans un fichier appelé "mail".
• telnet : vous voulez travailler à distance sur la machine donnée, avec le login donné (en mode texte). Il existe également une connexion à distance graphique, mais il faut une bonne connexion (XWindow, ICA, RDP,...); c'est ainsi que fonctionne le bureau nomade.

Exemples

• pour transférer un fichier depuis un PC vers le "bureau nomade" j'ouvre localement mon gestionnaire de fichiers, puis j'ouvre une seconde fenêtre où je donne l'URL ftp://mon-nom@bureaunomade.u-strasbg.fr, je peux transférer mes fichiers un à un par simple glissement de souris. Ca marche très bien sous Linux, un peu plus limité sous Windows (voir résultat).
• je me connecte à distance sur une machine pour regarder ce qu'il voit passer sur le réseau, en tapant la commande telnet nom_d'ordinateur : je me connecte sur un ordinateur distant (il faut que j'en connaisse un mot de passe), je peux voir tout le trafic dans son sous-réseau. (voir résultat). Ici on voit qu'ipst-mu converse avec 130.79.60.1 et qu'ipst dialogue avec ns1.
• Sur un PC sous Windows, j'ouvre des fenêtres d'un ordinateur Unix distant (voir résultat). Sur un PC sous Linux, j'ouvre une session sur un serveur Windows 2000 (voir résultat).

7) Le HTML : Hyper Text Markup Language

Ce langage permet d'ajouter à un texte des "balises" ou "tags" (codes spéciaux entre < et >) qui permettent :

• de spécifier la structure du texte (titres, paragraphes,...) et des attributs d'affichage (taille, couleur, voire police à condition qu'elle soit disponible)
• d'insérer des images
• de proposer des liens (cliquables) vers d'autres pages ou d'autres sites
• et désormais de multiples fonctionnalités supplémentaires (animations, sons, vidéo, programmes interactifs, et peut-être même virus et espions).

8) Les utilitaires réseau :

Pour rechercher un numéro IP connaissant le nom, on peut lancer la commande ping nom_d_ordinateur. Il va rechercher son n° IP, regarder s'il est connecté (alive), et mesurer plusieurs fois le temps nécessaire pour envoyer quelques octets. Comparons le temps mis pour aller (de l'IPST) à l'IPST, l'ULP, puis le monde. (voir résultat sous windows ou sous Unix).

La route : la commande traceroute (ou tracert sous DOS) indique toutes les passerelles que vous traversez pour atteindre un ordinateur distant. Voir un petit exemple sous Windows ou un exemple commenté sous Linux, on y découvre des routes pour le moins originales.

9) Problèmes de de sécurité :
Le mot de passe : même si vous n'avez personellement rien à cacher, des tas de pirates aimeraient bien votre mot de passe pour pouvoir "sniffer" autour de vous. Ne le dévoilez jamais, ne le dites à personne, changez en de temps en temps, n'utilisez pas un mot écrit dans un dictionnaire (tester tous les mots du dictionnaire ne prend que quelques minutes à un ordinateur), mélangez lettres et signes spéciaux, utilisez au moins 6 caractères, 8 est encore mieux.

Quand vous envoyez un mot de passe à un ordinateur distant, bien que sur votre écran il n'a affiché que des étoiles, c'est bien votre mot de passe qui a transité sur le réseau, et pas les étoiles. Seule solution : crypter votre message. Mais il faut une clef de cryptage / décryptage connue par vous et le destinataire, qu'il vaut mieux soit envoyer différemment, soit au moins à des moments différents. Il existe d'autres moyens associants une clef publique à une clef privée qui peuvent permettre de transmettre un message que le destinataire peut seul décoder alors qu'il ne connaît pas votre clef privée. Par exemple le programme ssh (putty sous Windows) fait exactement la même chose que telnet, mais à la première connexion il définit des clefs qui serviront pour crypter tout le trafic des prochaines. Autre conseil : ne faites rien comme les autres, vous ne serez pas attaqué (par exemple installez windows dans c:\Macintsh)

Que voit-on quand on a accès à un réseau ? tout ce qui transite (en local) sur ce réseau. Exemple : tcpdump à distance. On peut aussi y voir les mails en cours d'envoi (rarement cryptés), il est donc intéressant d'accéder près d'un serveur de mails (voire directement dessus, car si vous y avez une boite aux lettres c'est qu'on vous y a créé un compte et donné un mot de passe).

Que peut faire le propriétaire d'une page web que vous pensez regarder incognito ? Regardez un extrait du log du serveur de l'IPST : qui a accédé à quelle page, à quel moment, mais aussi quelle page il regardait avant (ce qui me permet de voir quelles questions avaient posé les gens qui ont atterrit sur notre site via un moteur de recherche, par exemple 50 ont posé la même question en octobre 2001), le type et la version d'explorateur et de système d'exploitation (Les pirates savent directement quelle type de vulérabilités connues ils peuvent utiliser, par exemple s'il vaut mieux chercher c:\windows ou /bin).
Ce fichier me permet de faire des statistiques d'accès à notre serveur

Dernier conseil : ne laissez jamais une "porte ouverte" sur le réseau sans y mettre de mot de passe. Par exemple, si vous partagez un répertoire windows entre deux PC , mettez un mot de passe (et si vous le voulez mémorisez le sur les deux postes), sinon quelqu'un peut s'en servir pour diffuser des documents illicites (on en détecte officiellement quelques dizaines par mois sur Rénater, mais les fois où ça nous est arrivé à l'IPST on n'a prévenu aucun organisme de statistiques). Idem pour les imprimantes : un ver récent imprime des pages noires sur toutes les imprimantes partagées disponibles, jusqu'à épuisement du papier. Le plus dangereux est d'ouvrir volontairement une porte (pour faire transiter de la musique par exemple).

10) Le moteur de recherche et l'annuaire.

Le moteur de recherche cherche des mots dans tous les fichiers disponibles sur le Web (dans les pages qui respectent HTML), l'annuaire classe les fichiers dans des "rubriques" arborescentes.

Comment un fichier trouve sa rubrique dans un annuaire ? Chez Yahoo par exemple, par du personnel de Yahoo, par le propriétaire qui s'inscrit sur le site ou même soumission par un tiers. Mais désormais chez Yahoo (et chez d'autres), il n'y a qu'en payant que vous êtes assuré d'être référencé (ils m'ont relancé plusieurs fois, en me disant que mes pages étaient souvent demandées via Yahoo, mais je n'ai jamais payé, elles n'y sont plus référencées).

L'annuaire (ou le moteur) peut classer automatiquement certaines pages en fonction des mots les plus fréquents, des titres (s'ils ne sont pas graphiques), mais surtout des mots clefs définis dans les Meta-tags (4è et 5è lignes de cet exemple).

Donc : pour rechercher dans un moteur, mettez des mots qui seraient dans la réponse que vous cherchez. Exemple : recherchez le texte "en binaire on peut utiliser la méthode des divisions successives" par Altavista (morceau de mon cours binaire-dec), vous y trouverez une de mes pages, mais aussi d'autres dont certaines ressemblent à la mienne à part que mon nom y a disparu.
Dans un annuaire, vous chercherez les mots clef qui définissent le plus précisément le domaine qui vous intéresse.

Mais aujourd'hui, les moteurs sont plus évolués et combinent les deux approches, (par exemple Google), voire utilisent d'autres méthodes (analyse statistique des questions posées, intelligence artificielle,...).

Troisième méthode (la mienne, en général) : rechercher les liens dans les de pages proches (recherchées dans un annuaire par ex).