Les réseaux TCP/IP pour les ophtalmos

Le wifi

Rev 01-03-2004
jmm

rj45
Prise RJ45 pour réseau Ethernet

Qu'est-ce qu'un réseau TCP/IP ?

Nous allons parcourir brièvement le monde des réseaux d'ordinateurs car nos professions médicales s'orientent de plus en plus vers l'interconnexion des ordinateurs, des appareils d'examens, et d'Internet. Les professionnels utilisent des réseaux locaux (LAN ou Local Area Network) dans leurs cabinets médicaux, et se connectent sur les réseaux mondiaux (WAN ou Wide Area Network).

Le protocole de connexion TCP/IP est à la base des réseaux et d'Internet. Il s'agit juste d'un langage qu'il vaut mieux connaître (même superficiellement) dès qu'on utilise des ordinateurs. Il sert à fragmenter les informations qui sortent de l'ordinateur en différentes paquets (ou datagrammes IP) et à acheminer ces paquets à travers un maillage complexe, vers l'ordinateur destinataire (situé à 3 mètres ou à 3000 kilomètres). C'est ce qu'on appelle les réseaux à commutation de paquets.

L'infrastructure de ces réseaux est appelée Ethernet (à ne pas confondre avec Internet), qui fonctionnent grâce à une connectique particulière. Les câbles sont terminés par des prises RJ45 (image ci-dessus) et peuvent être de qualité variable. On conseillera toujours des câbles blindés pour éviter les interférences, de catégorie 5+ ou 6.

Prêt pour aller faire un tour dans les machines ?

Tout commence avec l'adresse IP

Et oui, nous commençons par l'adresse IP (pour Internet Protocol) qui correspond au numéro personnel de chaque élément du réseau (ordinateur, imprimante, caméra IP...). C'est son adresse, qui peut être toujours la même, ou bien varier d'une connexion à l'autre. Cette adresse est formée de 4 groupes de chiffres séparés par des points.

Il y a des adresses IP privées que l'on affecte à chaque ordinateur du réseau du cabinet, ils sont compris :

entre 10.0.0.0 et 10.255.255.255
entre 172.16.0.0 et 172.31.255.255
et entre 192.168.0.0 et 192.168.255.255

Mon imprimante a le numéro IP 192.168.0.4 que je lui ai donné (grâce à de petits programmes utilitaires gratuits). Comme ce numéro fait partie de mon réseau privé, il est possible qu'il soit utilisé par d'autres réseaux privé, il ne circulera jamais sur internet.

Il y a des adresses IP publiques dont les numéros ont été donnés une fois pour toutes à des ordinateurs. Par exemple pour se connecter sur l'ordinateur qui gère le site d'Apple, il suffit de taper dans la barre de son navigateur http://17.112.152.32 et on accède au site du constructeur informatique. On aurait pu également taper http://www.apple.com et on aurait abouti au même résultat. Il y a en effet correspondance entre les adresses IP et les noms des sites, et cela se fait grâce à des ordinateurs (routeurs) qui s'occupent d'orienter les internautes qui se ne souviendraient jamais des numéros IP, mais qui se souviennent en revanche du nom du site web. Ces ordinateurs sont des serveurs de noms, ou DNS (Domain Name Service).

Quand on se connecte à internet, notre fournisseur d'accès à internet (FAI) comme Wanadoo, Club-Intenet, Free, nous atttribue un numéro IP temporaire, différent à chaque connexion. On peut éventuellement demander à avoir un numéro IP fixe (ou statique), mais cela a un coût chez la plupart des FAI. C'est intéressant quand on propose un site web hébergé sur son propre ordinateur et que l'on veut qu'il soit accessible par un nom de domaine comme http://www.mondomaine.com acheté auprès d'un organisme (ovh, gandi, amen..) Il faut alors pouvoir gérer le serveur de noms qui associera mondomaine.com au numéro IP du site. Il y a aussi la possibilité d'avoir un IP dynamique, c'est à dire qu'un ordinateur garde la correspondance entre son IP variable et le nom de domaine utilisé.

Par exemple, votre IP actuel est le : 38.103.63.16

Il faut savoir que la machine à laquelle vous vous connectez pourra toujours savoir que c'est vous qui vous êtes connecté (sauf si vous utilisez le spoofing IP, mais c'est une autre histoire). Ce numéro IP permet aux FAI de répondre aux interrogations de la justice qui recherchent des auteurs de délits.

Précisions sur cette adresse IP

En fait quand on considère ces quatres chiffres, on se rend compte qu'ils ne peuvent prendre que les valeurs de 0 à 255. Par exemple 81.50.17.233 correspond pour la première partie de l'adresse (à gauche donc), aux coordonnées du réseau (c'est le netid ou identifiant réseau), alors que la fin de l'adresse correspond au coordonnées de l'ordinateur (c'est le hostid ou identifiant machine).

Comment savoir quel est la partie réseau et la partie machine de l'adresse IP ? Il faut utiliser le masque de réseau ou netmask. Ce paramétrage est souvent demandé dans les réglages. Très simple. L'adresse 192.168.1.56 avec un masque de réseau 255.255.255.0 veut dire que le réseau a comme netid 192.168.1 et que le hostid est 56. Cette valeur 255.255.255.0 est le plus souvent utilisée dans les réseaux locaux (cela veut dire qu'on pourra avoir un ordinateur d'IP 192.168.1.1, un autre d'IP 192.168.1.2, une imprimante d'IP 92.168.1.3, une caméra IP 92.168.1.4 et ainsi de suite).

Par convention l'adresse 192.168.1.0 est l'adresse du réseau et l'adresse 192.168.1.255 sert à envoyer un message à tous les ordinateurs du réseau.

Comment affecter une adresse IP à un ordinateur ?

Il suffit de le paramétrer à la main pour lui donner une adresse IP fixe, dans son réseau local. Il est fortement conseillé d'utiliser les séries d'adresses destinées aux réseaux privés (voir ci-dessus).

Pour donner un IP à une caméra IP ou bien une imprimante IP (donc tous les deux connectés au réseau par Ethernet), il existe des programmes utilitaires fournis par les fabricants de ces matériels.

On peut plus simplement donner la main au routeur qui vous connecte à l'Internet et qui va se charger d'affecter des IP aux différents ordinateurs du réseau. Pour cela il faut choisir l'option DHCP sur chacune des machines et elles se débrouilleront pour l'affectation des numéros IP (en fait c'est un serveur d'adresses).

Et les ports ?

Les ports d'un ordinateur (client) correspondent à des "ouvertures virtuelles" qui metttent en relation cette machine avec un autre ordinateur (serveur). Un ordinateur a ainsi des ports qui sont numérotés de 0 à 65535. Le port qui permet une connexion http est le port 80. Celui qui permet un téléchargement de fichier (ftp) est le numéro 21, celui qui permet l'envoi de messages (smtp) est le 25, et celui permet de récupérer les messages (pop3) est le 110.

Une adresse IP est associée au port utilisé, et cet ensemble correspond à un socket.

En effet il faut que l'ordinateur qui émet la demande (le client) envoie la demande sur le port de l'ordinateur destianataire (le serveur) qui corresponde à la demande. Si votre navigateur veut lire une page web, la demande doit s'effectuer sur le port 80 par exemple, grâce au protocope HTTP (Hypertext Transfert Protocole). On peut ajouter le numéro du port à la suite de l'adresse IP comme par exemple http://www.snof.org:80

Quand un ordinateur A (le client) interroge l'ordinateur B pour lire une page web, il spécifie l'adresse IP et le numéro du port de l'appelant et du destinataire (qui peuvent d'ailleurs être différents).

Oui mais ?

Si on a un réseau local avec des ordinateurs auxquel on a attribué des IP, comment faire pour se connecter sur internet. En fait le numéro IP donné par le FAI ne concernera que l'ordinateur connecté au routeur. Ce sera le routeur qui sera chargé de distribuer l'information dans le réseau local (LAN). Il aura donc le numéro IP donné par le FAI (statique ou dynamique) et un autre numéro IP au sein du réseau. Il se chargera de répartir l'information issue d'internet dans le réseau local, ou bien de permettre aux ordinateurs du réseau d'accéder à internet. Comme il est à cheval sur le réseau local (LAN) et le réseau mondial (WAN), on dit qu'il joue le rôle de passerelle (gateway).

Cette passerelle sera, soit un serveur proxy (du latin procuratio au nom de), ou bien un routeur NAT (Network Address Translation).

Un serveur proxy fait le tampon entre internet et le réseau local et garde dans son cache (sa mémoire), des pages web déjà consultées, mais il a des inconvénients.

Il vaut mieux utiliser un routeur NAT qui fait du routage de paquets IP et ne contente pas d'ouvrir une seconde connexion comme le proxy. Il faut savoir paramétrer ce type de routeur pour qu'il ne bloque pas toutes les connexions entrantes.

Et à quoi sert le TCP de TCP/IP ?

TCP sert à envoyer l'information à travers les réseaux, en fragmentant les données en petits "paquets" numérotés. TCP vérifie que tous les paquets ont bien été reçus et qu'aucun n'a été altéré. C'est la partie vérification du protocole TCP/IP

Et le protocole IP de TCP/IP ?

Le protocole IP gère l'adressage des paquets produits par TCP et s'occupe de leur trajet à travers l'ensemble du réseau internet, dans lequel les paquets rencontreront de nombreux routeurs. Chaque routeur ne s'occupe que d'envoyer un paquet jusqu'au prochain routeur (saut ou next hop).

Il en existe deux catégories:

la catégorie qui utilise des paquets TCP (Transmission Control Protocol), c'est à dire qu'il y a une grande fiabilité dans les données transmises. Les deux ordinateurs se connectent, puis se transmettent les paquets, puis se mettent d'accord pour interrompre l'échange.
la catégorie qui utilise des paquets UDP (User Datagram Protocol) qui sont moins fiables car il n'y a pas de contrôles des paquets transmis, et donc on tolère de perdre des données. Cela est utilisé pour la transmission de la voix et de la vidéo qui ne demande pas la fiabilité nécessaire à la transmission d'un fichier texte par exemple.

Quel matériel ?

Switch Ethernet 8 ports

Pour se connecter sur internet on utilise en ADSL (connexion rapide) un "modem ADSL" qui se situe entre l'ordinateur et la prise de téléphone. La prise Ethernet qui va permettre une connexion à l'ordinateur est une prise RJ45 (Rectangular Jack 45), et la prise qui va du modem à la ligne téléphonique est une prise RJ11.

RJ11
Prise RJ11 qui va du routeur à la ligne téléphonique
plus petite que la RJ45

Un modem ADSL simple peut être, par exemple, le SpeedTouch de Thomson. Il n'y a aucun réglage à faire et ces appareils fonctionnent tous très facilement. Il faut bien sûr une ligne téléphonique (avec une prise RJ-11 ou un adaptateur), et une carte Ethernet dans son ordinateur si on prend un modem Ethernet, toujours préférable à un modem USB (pas besoin de driver (ou pilote)).

Pour un cabinet médical un peu plus exigeant, avec plusieurs ordinateurs qui doivent tous pouvoir se connecter sur internet, il faut un appareil plus complexe, un routeur ADSL (123 euros TTC chez Ivalley par exemple pour le Netgear 834). Le réglage est un peu plus délicat, surtout quand on ne comprend pas trop les nombreux paramètres qui sont disponibles dans le tableau de bord. Pour s'y connecter il suffit d'utiliser l'adresse IP http://192.168.0.1 (locale donc) et on alors accès au coeur du routeur. Ce routeur sert également de switch 4 ports et de Firewall (protection des agressions extérieures), avec routeur DHCP et routeur NAT intégré.

routeur 834
Routeur ADSL

Ces machines peuvent être mises à jour régulièrement, à partir d'internet. On télécharge le nouveau programme (firmware) qui gère le routeur sur le site du constructeur, et on suit à la lettre la procédure de mise à jour (upgrade). On va ainsi remplacer le programme qui se situe dans la mémoire flash du routeur, on dit que"on flashe" le routeur. Si la procédure est mal réalisée, le matériel ne fonctionnera plus. Et les soucis commenceront.

Et la sécurité ?

C'est un point capital du fonctionnement de tout réseau. Il faut au moins un firewall intégré dans le routeur pour que n'importe qui ne vienne pas fouiller dans vos disques durs à partir d'internet. Et bien sûr un antivirus à jour, sur les ordinateurs du réseau.

On est affolé par l'insouciance des utilisateurs quand on explore un peu la sécurité des réseaux connectés sur internet. De nombreux sites laissent ouvertes des failles de sécurité pourtant répertoriées, mais jamais comblées par les responsables.

Il est donc primordial de sauvegarder régulièrement toutes les données des disques durs, de mettre ces sauvegardes (CDou DVD) en lieu sûr (dans un autre bâtiment que celui du réseau), et de prendre toutes les mesures adaptées à la protection de son réseau. Il doit bien exister quelques milliers de pages qui parlent de ces problèmes sur internet. Passionnant ...

Et le wifi ?

Il s'agit d'une technologie qui permet de connecter les différents éléments du réseau par radio, sans avoir à mettre des câbles partout.

Il faut une carte Wifi dans chaque ordinateur (si on ne veut pas qu'il y a ait un câble entre chacun) et un routeur Wifi, comme par exemple le Netgear 834G (ne jamais flasher ce routeur par wifi, sinon direction poubelle).

Les avantages:

Pas de câble dans les locaux.

Possibilité de se déplacer dans les locaux avec un portable connecté.

Les inconvénients

Il y a d'importants risques d'intrusion si le réseau sans fil Wifi n'est pas bien sécurisé. Vous ne voulez pas que le petit jeune (geek ou nerd= accro à la techno) qui se promène dans la rue avec un scanner de hotspots vienne voir ce qu'il y a dans votre comptabilité ?

Il faut bien comprendre le fonctionnement du réseau Wifi et bien le paramétrer (ne pas se contenter d'un cryptage WEP simple)

Le jeu à la mode est le Wardriving qui consiste à chercher dans les rues les réseaux Wifi mal sécurisés

Tout sur le wifi

Comment réaliser son réseau Wifi

CraieFiti ou comment savoir où sont les réseaux libres d'accès

Les impératifs

Pour que tout le quartier ne se connecte pas sur votre réseau Wifi il est conseillé de:

Modifier régulièrement le nom SSID (identifiant réseau )
Modifier le mot de passe par défaut du compte administrateur, en utilisant au moins 8 caractères alpha-numérique et en insérant d'autres caractères [^$ùµ=:&é?/\<>]
Ne pas choisir l'option serveur DHCP (sinon il va donner un numéro IP au voisin du dessus), mais travailler en IP fixe dans le réseau local
Ne pas choisir l'option broadcasting du SSID (diffusion de l'identifiant réseau)
Activer le cryptage WEP, même si cela ralentit le débit, en changeant régulièrement la clef WEP
Filtrer par adresse MAC (même si on peut la spoofer) en activant le MAC Address Filtering (rien à voir avec les ordinateur macintosh, c'est un numéro unique pour chaque carte réseau)
Installer un firewall entre le point wifi et le réseau, comme entre le réseau et internet. Le plus simple est d'avoir un routeur-adsl-firewall-switch qui fait tout.
Choisir, si possible, un routeur qui accepte l'encryptage WPA