Tag Archives: Partage

Réseau local

Posted on by
Reply

Depuis quelques années, on a pu constater une augmentation du nombre d’ordinateurs présents par ménage. Généralement, chacun de ces ordinateurs est relié à un routeur, à un modem ADSL, et la connexion familiale est distribuée parmi tous les utilisateurs.

Le texte qui suit présente une petite introduction au monde merveilleux de la configuration d’un réseau local statique. Pourquoi? Pour échanger des données, pour synchroniser ces données entre les différents comptes utilisateurs, … Tout est possible (ou presque).A noter que cet article présente un texte assez technique, qui ne sera sans doute pas indispensable à tout le monde. Avec les routeurs, les adresses sont généralement attribuées automatiquement et l’utilisateur n’a donc à connaître que son adresse. La découverte du reste du réseau se fait généralement sans intervention de l’utilisateur…Chaque machine connectée au réseau possède une adresse ip (ip pour Internet Protocol). Cette adresse est représentée sous la forme de quatre chiffres, allant de zéro à 254, séparés par des points. Il s’agit d’une notation pointée permettant de ne pas avoir à repasser par la forme binaire de l’adresse pour l’interpréter (en gros, il s’agit d’une amélioration pour la gestion par un humain. Tout benèf’ pour tout le monde). On pourrait donc avoir par exemple une adresse de type 212.68.118.42.Pour connaître votre adresse, ouvrez un terminal et tapez y ifconfig. Cela vous donnera une série d’informations pour chaque interface disponible sur la machine.

Last login: Sat Feb 23 07:59:17 on consoleMacBook-Pro:~ fred$ ifconfiglo0: flags=8049 mtu 16384inet6 fe80::1%lo0 prefixlen 64 scopeid 0x1inet 127.0.0.1 netmask 0xff000000inet6 ::1 prefixlen 128gif0: flags=8010 mtu 1280stf0: flags=0<> mtu 1280en0: flags=8863 mtu 1500ether 00:1b:63:ab:15:55media: autoselect status: inactivesupported media: autoselect 10baseT/UTP 10baseT/UTP 10baseT/UTP 10baseT/UTP 100baseTX 100baseTX 100baseTX 100baseTX 1000baseT 1000baseT 1000baseT nonefw0: flags=8802 mtu 4078lladdr 00:1d:4f:ff:fe:78:5c:bamedia: autoselect status: inactivesupported media: autoselect en1: flags=8863 mtu 1500 inet 192.168.1.105 netmask 0xffffff00 broadcast 192.168.1.255 inet6 fe80::21e:52ff:fe70:4642%en1 prefixlen 64 scopeid 0×6 ether 00:1e:52:70:46:42 media: autoselect status: active supported media: autoselect  

J’ai mis en gras la partie qui nous intéresse. L’adresse ip de la machine sur laquelle je suis est donc 192.168.1.105.Cette adresse représente en fait l’adresse « postale » de la machine. Plutôt que d’envoyer un message à Roger, qui habite rue des tartempions, n° 23 boîte B, dans un réseau, on va plutôt envoyer un message à 212.68.118.42. Il existe des techniques permettant de convertir une adresse en notation pointée en une autre adresse, lisible à l’oeil humain.Au hasard :

  • http://www.google.com
  • http://welcome.hp.com
  • http://pommegyver.blogspot.com

Pour s’en convaincre, il suffit d’utiliser un petit logiciel appelé nslookup (disponible sur n’importe quel type de machine; il suffit d’ouvrir un terminal ou une console)

Voici ce que le terminal me donne comme informations lorsque je lance la résolution du nom de domaine www.google.be :

MacBook-Pro:~ fred$ nslookup www.google.beServer: ***.***.***.***Address: ***.***.***.***Non-authoritative answer:www.google.be canonical name = www.google.com.www.google.com canonical name = www.l.google.com.Name: www.l.google.comAddress: 66.249.91.99Name: www.l.google.comAddress: 66.249.91.103Name: www.l.google.comAddress: 66.249.91.104Name: www.l.google.comAddress: 66.249.91.147 

Je ne vais pas rentrer dans les détails, mais il apparait donc bien qu’à un nom est liée une adresse ip permettant de contacter cette machine. Pour s’en convaincre, il suffit d’ouvrir son navigateur et d’y entrer (dans la barre d’adresse) l’adresse 66.249.91.99Pour plus d’informations sur la translation notation pointée <-> adresse, je vous invite à consulter des articles relatifs aux DNS (Domain Name Systems)Revenons en à la configuration d’un réseau local : un réseau peut être composé de plusieurs sous réseaux. Ce mécanisme est effectué via les masques de sous réseaux.Ce masque permet en fait de définir le réseau dans lequel la machine se trouve.Internet est un réseau, votre opérateur est un sous réseau de l’Internet, et finalement votre foyer compose un sous réseau du réseau de l’opérateur.Attention, on arrive dans une partie plus technique : la transformation binaire.J’en ai un peu parlé ci-dessus, mais je pense que c’est essentiel pour comprendre les masques.

Si une adresse ip est écrite sous la forme XXX.XXX.XXX.XXX, c’est du au fait qu’une adresse est stockée sur 32 bits (un bit = une valeur de 0 ou de 1; 8 bits forment un octet ou un byte).Mais plutôt que de convertir 32 bits en une seule valeur, on va les décomposer en 4 blocs de 8 bits. Et comme avec 8 bits, on peut former des nombres entre 0 et 255, cela explique la forme des adresses ip actuelles (IPv4 uniquement, càd la version actuelle du protocole IP. La prochaine version, IPv6 est actuellement mise en place par plusieurs opérateurs, ceux-ci garantissant évidemment une rétro-compatibilité entre les deux protocoles) 

Pour la configuration d’un masque, on va définir généralement comme une suite de 1 suivie de 0 pour remplir les bits restants : 11111111.11111111.11111111.00000000 serait un masque acceptable dans notre exemple et serait noté (en notation pointée) 255.255.255.0Un masque est appliqué bit à bit sur une adresse ip pour déterminer son sous réseau.L’exemple ci-dessus permet d’avoir 255 machines dans le sous réseau 255.255.255.0Si on part sur un sous réseau de type 11111111.11111111.11111111.11110000, le masque sera représenté par 255.255.255.240 (240 = 128+64+32+16… Essayez dans Spotlight ;-) Pour simplifier, le masque est représenté par tous les « 1″. Les « 0″ sont les slots disponibles pour un hôte, une machine, une imprimante, …Prenons une adresse de type 192.168.1.88 et un masque de sous réseau de type 255.255.255.0. La machine est donc la 88ème machine du sous réseau puisque

  1. Le masque est représenté par 11111111 11111111 11111111 000000000
  2. L’adresse est représentée par 1100000 10101000 00000001 01011000
  3. La machine est donc la 01011000 (88ème) du réseau 11111111 11111111 11111111 00000000

Si on reprend un masque de type 255.255.255.240, et une adresse de type 192.168.1.88, on obtient :

  1. Un masque de 11111111 11111111 11111111 11110000
  2. Une adresse 1100000 10101000 00000001 01011000
  3. La machine est donc la 1000 (8ème) du sous réseau 11111111 11111111 11111111 11110000 (puisque seuls les bits mis à 0 du masque nous intéressent pour déterminer le n° de la machine dans le sous réseau)

Le plus simple dans le cas d’une configuration locale est de prendre un sous réseau de type 192.168.1.0 avec un masque de sous réseau de type 255.255.255.0. La configuration en est simplifiée :-)

Remarque pour ceux qui sont arrivés à la fin de cet article : une adresse ip correspond à une entrée. On aura donc une adresse ip différente pour chaque câble Ethernet et pour chaque connexion Wifi. Une même machine peut donc posséder plusieurs adresses ip différentes.Cela permet de choisir le meilleur chemin (le plus rapide) pour accéder à un hôte sur le réseau, en choisissant de passer par une connexion Ethernet plutôt que par une connexion Wifi lorsque cela est possible, comme expliqué précédemment dans cet article.

Firewall de Leopard

Posted on by
Reply

 

Un firewall est une application ou un système (hardware) qui a pour but de vérifier toute émission ou réception de données et de refuser celles non désirées de l’utilisateur. Il est censé éviter (disons pour être honête : rendre plus difficile) le piratage d’une machine. Léopard, comme ses prédécesseurs, possède un firewall intégré appelé IPFW (ou IPFireWall). Nous allons aborder ici son utilité, son activation et sa configuration.

 

Bien que non exempt de défauts, ses trois principaux sont sans doute la désactivation par défaut, sa difficulté de compréhension par l’utilisateur de base -pour bien faire, il faudrait presque passer par des ligne de commandes dans le terminal pour le configurer correctement, ce qui n’est pas à la porter de tous- et le fait qu’il n’arrive (n’arrivait ?) pas a « Bloquer toutes les connexions entrantes » même lorsqu’on le lui demandait. Avant de se lancer dans la tâche qui est la notre, il est important de posséder quelques notions.

 

 

Sécurisation des applications…

L’une d’elle est de savoir que le firewall de Léopard ne fonctionne plus au niveau des paquets (contrairement à ses prédécesseurs), mais sécurise maintenant les applications, qu’il autorise ou non à effectuer des activités réseau.

 

Comment cela fonctionne-t-il ?

 

Afin d’identifier les applications, Apple utilise une signature pour chaque application enregistrée dans le firewall Léopard. Certaines applications sont automatiquement signées par Apple, ce qui permet d’effectuer des communications réseau. Ces applications autorisées par défaut ne sont pas affichées dans l’interface de gestion du firewall. Ce sont typiquement ces applications là qui vont continuer à faire des accès réseaux lorsque vous choisirez l’option Autoriser uniquement les services essentiels de votre firewall. Si une application, qui n’a pas de signature valide, ouvre un port réseau, le firewall entre en action. En mode restreint, vouloir activer un service ouvre une fenêtre demandant l’autorisation à l’administrateur de la machine. Ce système enregistre les choix de l’utilisateur et sauvegarde l’application lancée dans la liste des exceptions. Passons maintenant à l’activation et à la configuration du firewall de Léopard…

 

Activation du firewall :

La première étape consiste donc à activer le firewall. Pour ce faire, aller dans Préférences Système > Sécurité > Coupe-Feu. Là, trois choix s’offre à vous :

 

- Autoriser toutes les connexions entrantes revient à désactiver le firewall. Cette option est surtout cochée par des personnes possédant un routeur (ou autre « Box ») avec un firewall intégré. Dans ce cas la, vous n’avez pas besoin d’utiliser le routeur de Léopard.

 

Autoriser uniquement les services essentiels porte relativement bien son nom. Cette option se nommait dans la 10.5.0, Bloquer toutes les connexions entrantes, mais suite sans doute aux nombreuses critiques faisant part du fait que même en cochant cette option certaines connexions passaient, Apple à décider de la renommée. Une question se pose cependant : un service « essentiel » pour votre mac est-il vraiment essentiel pour vous ? Les services essentiels sont en fait un ensemble d’applications (propre au système Léopard) permettant à votre ordinateur de rechercher des services fournis par d’autres ordinateurs du réseau. Ce réglage laisse ouvert les ports nécessaires au système comme « Bonjour », « ntpd », « kerberos », etc.

 

Définir l’accès de certains services et application porte lui aussi bien son nom. Cochez ce bouton si vous souhaitez modifier les connexions par défaut d’une application ou d’un service. Autrement dit, c’est l’option à choisir si l’on souhaite activer et paramétrer sur mesure le pare-feu. Il faudra ensuite déterminer pour chacune des applications concernées, si vous voulez bloquer ou autoriser les connexions entrantes.

 

Pour les deux dernières options, le bouton Avancé… devient cliquable. Lorsque vous cliquez dessus, une fenêtre s’ouvre et vous propose de cocher deux options Activer la conversation de l’historique du coupe-feu et Activer le mode furtif.

 

Mode furtif : qu’est ce ? : (à savon lol)

Prenons un exemple dans la vie de tout les jours… un « port » en informatique peut-être vu comme une « porte » pour entrer sur votre PC. Une porte, dans le monde réel, est soit ouverte (le port réponds « oui » a une tentative d’accès de l’extérieur) soit fermée (le port répond « non » à une tentative d’accès de l’extérieur). Malheureusement, comme une porte, un port fermé n’empêche pas de passé : un pirate doué (et/ou obstiné) pourra toujours finir par le forcer. Le mode furtif à pour effet de faire que les ports, plutôt que de répondre « non » (indiquant ainsi le fait qu’ils sont bel et bien présent, mais fermés), ne répondent pas (une sorte de jeu « ni-oui-ni-non » ou les ports seraient les champions du monde). Comme ils ne répondent pas, un intrus extérieur ne sait pas s’il y a une porte ou pas, et donc ne sais -a priori- pas si, même en tentant de forcer le passage, il pourra finir par rentrer ou pas. Il passe donc son chemin.

 

Autres méthodes de configuration du firewall :

Il existe d’autres méthodes pour configurer IPFW de Leopard (qui a dit « ouf » ???). En effet, de petits logiciels, constituant principalement une interface graphique plus pointue et plus « user friendly », existe afin de configurer ce firewall.

Le plus connu est sans doute WaterRoof (2.0) : Logiciel pare-feu OS X avec le gestionnaire de réglage de bande passante, configuration de NAT, la redirection des ports, des règles prédéfinies, des assistants, des rapports et des graphiques statistiques. Avec la fonctionnalité NAT Configuration vous pouvez ajuster votre partage Internet sur votre LAN.

Un second programme qu’on l’on rencontre souvent est SunShield : sunShield est un panneau de préférences système qui permet de configurer le firewall natif de Mac OS X, ipfw. Bien qu’il ait été conçu dans un esprit de simplicité, il ne s’adresse pas à tous, et requiert des notions (plus ou moins) avancées dans la gestion des règles d’un firewall.

 

Autres Firewalls :

Il existe biensur d’autre firewall, qui ne sont pas à proprement parler « meilleur » que IPFW, mais certain ont l’avantage d’être plus facile à comprendre, à manipuler, plus visuel, etc. Parmis eux, nous citerons DoorStop X Firewall, Little Snith, NetBarrier, Norton Personal Firewall et bien d’autre encore ici.

 

Conseils :

Si vous n’utilisez pas votre Mac uniquement derrière un routeur (e.g. Powerbook, MacBook, …) nous vous conseillons dans un premier temps de choisir la deuxième option (Autoriser uniquement les services essentiels) et d’Activer le mode furtif. Une fois que vous serez plus à l’aise avec les notions propres aux réseaux (protocole, port, …) et/ou votre mac, choississez la troisième options et configurer votre firewall à votre convenance...

Informations complémentaires :

ICI

LA

Activer le transfert Bluetooth sous Leopard

Posted on by
Reply

Configuration du partage Bluetooth sous Leopard

Après une installation fraîche de Leopard, on peut se rendre compte que les transferts Bluetooth fonctionnent que dans le sens Mac –> Appareil distant. En effet, un envoi provenant d’un appareil externe entrainera un échec du transfert. Par contre, une synchronisation du calendrier ou des contacts ne posera aucun problème…Heureusement, la solution est très simple :) Il suffit d’activer le partage Bluetooth dans les préférences système (Option « Partage« ). Rien de très compliqué, et cela épargnera sans doute quelques heures de recherches lors de la configuration du système.