DS réseau du 13 novembre 2002

3 DS réseau du 13 novembre 2002

Examen d'une durée de deux heures avec tous les documents autorisés (y compris ordinateurs).

Le barême approximatif est de 3 points pour chaque exercice et de 8 points pour la question de réflexion (dont 2 sur la dernière série de questions).

3.0.3 Configuration de commutateur

Vous devez configurer un commutateur Cisco de 12 ports (du type Catalyst 2912) dans le contexte suivant : il doit avoir comme adresse IP de service 192.168.0.1, sur les ports Ethernet 1 et 4 sont connectées des machines du vlan 2, sur les ports 2 et 3 des machines du vlan 3, le commutateur est relié à un commutateur haut débit par l'intermédiaire du port 12, une machine Linux qui souhaite avoir une adresse IP dans le vlan 2 et une adresse IP dans le vlan 3 se trouve sur le port 10 et enfin un routeur inter-vlan est sur le port 11. Donnez la configuration des interfaces FastEthernet0/x et vlan1 pour que les différents éléments puissent communiquer correctement. Le routeur et le commutateur haut débit utilisent l'encapsulation isl et la machine Linux le module 802.1q du noyau 2.4.

3.0.4 Configuration IP

Donnez les commandes vconfig, ifconfig et route à passer pour configurer la machine Linux évoquée dans l'exercice précédent avec comme adresse IP 172.16.138.2 dans le vlan 2 (il s'agit d'un réseau IP de préfixe de taille 17 et de passerelle 172.16.140.1) et comme adresse IP 193.51.20.69 dans le vlan 3 (il s'agit d'un réseau IP de préfixe de taille 26 et de passerelle 193.51.20.65). Cette machine doit pouvoir sortir sur Internet.

3.0.5 Serveur et requêtes LDAP

Le serveur LDAP de l'école permet d'accèder à des informations sur les éléments actifs du réseau. Les éléments sont rangés par locaux techniques au dessous de l'objet de nom

dc=ports,dc=network,ou=Register,o=eudil,c=fr

Voici un exemple d'objet "local technique" :

$ PORTS="dc=ports,dc=network,ou=Register,o=eudil,c=fr"
$ ldapsearch -x -b "dc=RG20,$PORTS" -s base
dn: dc=RG20,dc=ports,dc=network,ou=Register,o=eudil,c=fr
objectClass: top

Voici un exemple d'objet "commutateur" :

$ PORTS="dc=ports,dc=network,ou=Register,o=eudil,c=fr"
$ ldapsearch -x -b "dc=2924M-1,dc=RG20,$PORTS" -s base
dn: dc=2924M-1,dc=RG20,dc=ports,dc=network,ou=Register,o=eudil,c=fr
nbports: 24
vlans:: MTpBTEw6CjI6QUxMOgozOkFMTDoKNDpTVEFGRjpBVVRPCjU6U1RBRkY
type: cisco2924M-giga
ipAddress: 172.26.224.16
objectClass: top

Donnez l'extrait du fichier de configuration de slapd permettant de :

donner l'accès en écriture aux attributs d'un commutateur uniquement à l'objet administrateur cn=admin,ou=People,o=eudil,c=fr,
donner l'accès en lecture aux attributs d'un commutateur à l'exception de l'attribut vlans à tous les utilisateurs standards.

Donnez la commande pour afficher la liste des objets "locaux techniques" de l'école sans afficher les objets concernant les éléments actifs (est-il possible de n'avoir que des objets "locaux techniques" ?). Affichez tous les objets des commutateurs de type cisco2950G.

3.0.6 Configuration d'un DNS

Extrapolez vos connaissances sur la configuration d'un serveur DNS de type bind en IPv4 pour donner les fichiers de configuration nécessaires pour servir une zone IPv6. La zone à servir est ipv6.eudil.fr et contient des machines dans le préfixe IPv6 3ffe:0304:0110:0001:0:0:0:0/64. Il n'y a que deux machines dans cette zone :

pevele d'adresse IPv6 3ffe:0304:0110:0001:0260:08ff:fe71:b982 et
hainaut d'adresse IPv6 3ffe:0304:0110:0001:0260:08ff:fe71:b9be.

Pour ces zones IPv6 il n'existe qu'un seul serveur primaire pevele.eudil.fr et un seul serveur secondaire albanie.ilot.org. Donnez l'extrait du fichier named.conf déclarant la zone IPv6 et la zone inverse (rappelons que la racine pour les zones inverses IPv6 est ip6.int). Donnez le fichier déclarant les deux machines dans la zone ipv6.eudil.fr. Enfin, donnez le fichier déclarant les deux noms dans la zone inverse.

3.0.7 Exercice de réflexion

Pour assurer la sécurité des machines de l'Université, le CRI de l'USTL a décidé d'interdire tout flux TCP/IP entrant. Par défaut aucun paquet IP provenant d'Internet à destination des machines de l'USTL ne peut passer. L'application stricte de la règle ci-dessus interdirait tout usage d'Internet aux utilisateurs de l'Université donc deux exceptions ont été introduites.

La première concerne les réponses TCP : les paquets TCP autres que le premier paquet d'une connexion TCP (le fameux SYN) peuvent atteindre les machines de l'USTL. Ainsi lorsqu'une connexion TCP est initiée par une machine de l'Université, les paquets de retour de cette connexion peuvent passer le parefeu du CRI.

La seconde exception concerne la possibilité pour les machines de l'USTL de faire des requêtes FTP en mode actif. C'est cette exception qui sera le principal objet de l'exercice.

Enfin il existe des exceptions particulières (les deux précédentes sont générales et s'appliquent à toutes les machines de l'USTL) qui permettent à des machines précises, connues par leur numéros IP, de rendre des services vis à vis de l'extérieur (serveurs de messagerie, de pages web, etc.).

Première série de questions

Ces questions ne concernent que la première exception et les exceptions particulères. Que se passe-t-il si une machine d'Internet tente d'envoyer à une machine du campus un paquet TCP autre qu'un paquet SYN et autre qu'un paquet de réponse pour une connexion TCP établie ? (dites si le paquet passe le parefeu et l'éventuel type de réponse de la machine ciblée). Que pensez-vous du degré de sécurité des exceptions particulières ? (une machine du campus peut-elle usurper des droits donnés à une autre machine ? si oui comment ?).

Seconde série de questions

Quel mécanisme utilisé par un client FTP en mode actif oblige le CRI à créer une seconde exception générale ? Donnez en français la règle statique la moins permissive possible permettant aux clients FTP de l'USTL de fonctionner en mode actif. Donnez cette même règle en terme d'ACL Cisco puis en terme de commande iptables pour une machine Linux (on suppose que la machine Linux a sa carte eth0 pour sortir sur Internet et sa carte eth1 pour accéder au réseau local). Par statique on entend que la règle ne prend pas en compte le contenu des paquets précédents pour autoriser le passage d'un paquet.

Troisième série de questions

Comment exploiter cette exception à l'interdiction des paquets entrants pour réussir à établir une connexion ssh entre une machine de l'USTL que vous administrez et une machine de l'extérieur que vous administrez également ? Plus précisément quel paramètre du serveur sshd devez-vous modifier par rapport à une installation classique sur la machine à l'USTL ? Quel micro-bout de code devez-vous ajouter au source du client ssh sur la machine extérieure ? Dans quelles conditions et avec quels arguments doit être exécuté le client ssh sur la machine externe ?

Quatrième série de questions

Une fois la connexion par ssh possible, quelle ligne de commande basée sur ssh doit-on utiliser pour pouvoir atteindre le serveur web de la machine USTL à partir de la machine externe ? Quelle URL doit-on utiliser ? Enfin quel mécanisme complexe faudrait-il utiliser pour éviter ce "trou de sécurité" ? Ce mécanisme pourrait-il être contourné et si oui comment ?

Dernière série de questions

Supposez désormais que l'on souhaite plutôt accèder à la machine USTL via FTP. On suppose que l'on procède comme pour ssh en ce qui concerne le serveur à l'USTL et le client à l'extérieur. Le client FTP peut-il fonctionner en mode actif ? pourquoi ? peut-il fonctionner en mode passif ? pourquoi ?