Pour résoudre un problème réseau, il faut de la stratégie, des outils et des méthodes tactiques.
La première partie du dossier s'attardait sur l'intégration d'éléments de visibilité sur le réseau.
Pour résoudre un problème réseau, il faut de la stratégie, des outils et des méthodes tactiques.
La première partie du dossier s'attardait sur l'intégration d'éléments de visibilité sur le réseau.
Une bonne instrumentation réseau peut vous signaler un problème imminent, mais souvent sans désigner une cause spécifique. Pour trouver la cause racine d’un problème réseau, il faut un test rigoureux et un raisonnement déductif systématique. Les règles de ce processus sont énumérées dans la troisième partie de ce dossier. Bien que ces règles semblent évidentes, les administrateurs réseau sont souvent tentés de les contourner pour plus de commodité. Pourtant, le respect strict de ces règles de diagnostic est le seul moyen d’y voir clair. Faute de quoi, vous risquez fort de ne plus voir ce qui fonctionne et ce qui ne fonctionne pas.
Une technique de dépannage très utile consiste à simplifier un problème réseau au maximum, de manière à l’isoler. Cela peut sembler impossible sur un réseau très actif, mais il existe presque toujours un moyen d’isoler des composants défaillants pour simplifier le problème. Il est important que vous teniez de bons enregistrements pendant le processus de simplification (règle d’or n° 2) et que vous ne changiez qu’une chose à la fois (règle d’or n° 3).
Le fait de simplifier votre réseau peut rapidement mettre au jour le défaut caché que vous recherchez. Premièrement, simplifiez la topologie du réseau. Par exemple, en essayant de contourner les commutateurs, routeurs et hubs, entre deux unités défaillantes. Si les unités ou appareils peuvent communiquer sans réseau intermédiaire, c’est le signe que le problème concerne d’autres composants du réseau ou la configuration spécifique au réseau des unités défaillantes.
Autre exemple, si votre connexion Internet d’entreprise est en panne, débranchez le LAN du siège du routeur Internet, branchez un PC à sa place et effectuez votre dépannage depuis ce PC. Vous ne faites vraiment qu’un changement – débrancher le LAN du siège – donc c’est un processus à une étape. Comme Internet est déjà en panne, il n’y a pas de mal à le débrancher. Si votre réseau à un seul PC ne peut pas parler au monde extérieur, simplifiez encore davantage : éliminez le pare-feu, le commutateur DMZ, ou tout autre dispositif qui se dresse entre vous et votre objectif de pleine connectivité Internet. Résistez à la tentation de faire plus d’un changement à la fois. Quand votre topologie est la plus simple possible, commencez à examiner les configurations des unités pour voir si leur complexité peut être réduite.
Un autre exercice de dépannage consiste à tracer, sur un schéma de réseau précis et réaliste, le chemin suivi par un paquet de la source à la destination, et retour. Pendant ce trajet, considérez les actions que les unités intermédiaires, telles que routeurs et commutateurs, doivent faire pour acheminer le paquet. Cet exercice peut rapidement éclairer un problème. Bien sûr, vous devez savoir comment les paquets circulent dans un réseau. Vous devez comprendre les sept couches ISO (particulièrement les couches 1 à 3), l’ARP (Address Resolution Protocol), l’adressage IP et les différents genres de paquets IP (ICMP, TCP, UDP). Si vous n’avez pas cette connaissance, vous pouvez l’acquérir dans un livre d’introduction aux réseaux.
Pour illustrer cette technique, imaginons que l’activité Internet a été perdue et que vous essayez d’isoler la défaillance. Commencez sur l’ordinateur de bureau d’un utilisateur. Un paquet destiné à Internet aura une adresse IP non locale, donc la première chose que l’ordinateur doit faire est de trouver une passerelle vers le monde extérieur. Dans votre cas, cette passerelle est votre pare-feu. La machine de votre utilisateur peut envoyer un ping au pare-feu, donc elle sait comment atteindre la passerelle, mais est-ce que la configuration TCP/IP de l’utilisateur spécifie l’adresse IP du pare-feu comme une passerelle ? C’est le premier point à vérifier. Si aucune adresse IP de passerelle n’est configurée, le problème est sûrement là.
Si les paramètres TCP/IP de l’utilisateur montrent le pare-feu comme la passerelle, vous pouvez raisonnablement supposer que les paquets destinés Internet sont envoyés vers le premier tronçon pendant leur périple vers Internet. Mais le seul fait que les paquets atteignent votre pare-feu ne signifie pas que celui-ci les transmet en amont. Donc, la prochaine chose à examiner est les règles du pare-feu. Une pratique courante consiste à permettre l’accès Internet uniquement à partir d’adresses IP attribuées par DHCP (Dynamic Host Configuration Protocol). Si votre utilisateur a une adresse IP statique, son trafic peut être filtré par le pare-feu. Il peut aussi y avoir des filtres de sortie qui limitent l’accès Internet par protocole. Assurez-vous qu’aucune règle de pare-feu ne s’applique malencontreusement à l’adresse IP de votre utilisateur.
A chaque étape du trajet, voyez comment le trafic de réponse atteint l’unité source. Les réponses passent-elles par les règles de pare-feu, les listes de contrôle d’accès aux routeurs, ou par d’autres mécanismes de filtrage ? Est-ce que chaque unité présente sur le chemin de retour sait comment atteindre l’adresse IP source ? Souvent, une simple règle ou une route statique manquante empêche le trafic de réponse de revenir à l’adresse IP source.
Enfin, ne négligez pas l’outil de résolution de problèmes le plus sophistiqué de tous, j’ai nommé Internet lui-même. Souvent une recherche Google sur une brève description de problème, du genre « le tunnel VPN connaît une défaillance par heure », conduit à des causes possibles. Ou, si vous avez un message d’erreur spécifique, une recherche sur cette chaîne exacte pourrait fort bien produire une correction précise. Faites votre recherche avec et sans guillemets pour l’élargir s’il n’y a pas de correspondance exacte. Vous pouvez aussi limiter votre recherche au site web d’un fournisseur unique en utilisant le tag « site: » sur votre recherche. Ajoutez simplement à votre recherche une chaîne du genre « site:ibm.com ».
Règle d’or n° 1 : C’est le câble, idiot
https://www.itpro.fr/regle-or-cable-idiot/
Règle d’or n° 2 : C’est la dernière chose que vous avez faite
https://www.itpro.fr/regle-or-derniere-chose/
Règle d’or n° 3 : Ne changer qu’une chose à la fois
Dans un environnement cyber en constante mutation, le phishing évolue vers des attaques toujours plus sophistiquées combinant IA, automatisation et industrialisation. Découvrez les réponses technologiques préconisées par les experts Eviden et les perspectives associées à leur mise en œuvre.