8   Corrigé du DS du 6 novembre 2003

8.0.23   Questions de culture générale

1. Expliquez comment on peut utiliser des clefs de chiffrement asymétriques (une clef publique et une clef privée) pour signer un message puis pour crypter un message (on demande juste le principe).

   Pour signer un message, on commence par calculer une somme de contrôle du message suivant un algorithme de hashage donné puis cette somme de contrôle est cryptée avec la clef privée de l'émetteur. Tous les destinataires peuvent avoir connaissance (publication sur une page web par exemple) de la clef publique de l'émetteur et peuvent donc contrôler que le message n'a pas été altéré en recalculant la somme de contrôle du message en en vérifiant qu'il s'agit bien de la somme trouvée en décryptant la signature numérique via cette clef publique.
   
   Pour crypter un message l'émetteur utilise la clef publique du destinataire pour crypter une clef symétrique qui va servir à crypter le message. Le destinataire utilise sa clef privée pour décrypter la clef symétrique et ensuite décrypter le message. On ne crypte pas directement le message par la clef asymétrique car cela nécessiterait un temps de calcul trop important (ou on crypte par petits blocs).

2. Listez au moins cinq services implantés sur les commutateurs modernes (algorithmes, fonctions, protocoles, ...).

   Voici une liste non exhaustive :

   • Bien sûr la fonction de commutation entre les ports !
   • L'auto-apprentissage des adresses MAC des éléments connectés à ses ports.
   • L'algorithme du spanning-tree pour éviter les boucles dans le réseau (IEEE 802.1d).
   • La possibilité de définir des réseaux virtuels (VLAN) par cloissonnement entre les ports (IEEE 802.1q).
   • La possibilité de définir des priorités sur les trames provenant de différents ports (IEEE 802.1p).
   • La possibilité de contrôler l'accès aux ports (IEEE 802.1x).
   • La possibilité d'agréger des liens pour obtenir un débit de transfert plus important (IEEE 802.3ad).

3. Donnez les adresses de diffusion (broadcast) et les masques réseaux (netmask) qui sont calculés par les commandes ip suivantes :

   # ip address add dev eth0 193.48.64.48/28 broadcast +
   # ip address add dev eth0 172.26.96.0/20 broadcast +
   

   Pour la première commande le masque de réseau est 255.255.255.240 et l'adresse de diffusion 193.48.64.63. Pour la seconde commande le masque de réseau est 255.255.240.0 et l'adresse de diffusion 172.26.111.255.

4. Votre entreprise dispose d'un serveur Web de nom sioux.plaine.org et d'adresse IP 198.34.51.2. Quel enregistrement allez vous rentrer dans votre DNS pour que http://www.plaine.org puisse être publiée comme l'URL de votre entreprise ?

   L'enregistrement sera de type CNAME et pointera vers sioux.plaine.org. De cette façon si l'entreprise change de serveur Web, une nouvelle URL n'aura pas à être republiée.

5. Comment lancer, sous windows XP, une fenêtre invite de commandes avec les droits de l'administrateur dans une session ouverte par un utilisateur normal ?

   On peut utiliser la commande runas :

   c:\> runas /user:administrateur cmd.exe
   

6. Donnez la commande ldapsearch vous permettant d'afficher les attributs correspondant à votre compte Polytech'Lille.

   $ ldapsearch -x -h ldap.polytech-lille.fr \
                -b "cn=rex,ou=People,dc=polytech-lille.fr"
   

8.0.24   Utilisation de ssh

1. Commencez par faire en sorte de pouvoir vous connecter de votre machine Unix sur groscpu sans avoir à taper de mot de passe.

   En gros il suffit de taper les commandes suivantes :

   mamachineamoi$ ssh-keygen -t rsa
   mamachineamoi$ cd ~/.ssh
   mamachineamoi$ scp id_rsa.pub groscpu:.ssh/authorized_keys
   

2. Vous êtes un peu las d'utiliser lynx comme navigateur Web, comment utiliser le navigateur Mozilla de groscpu (donnez les commandes exactes à taper sur votre machine Unix) ?

   Voici les commandes à taper sur votre machine :

   mamachineamoi$ ssh -X groscpu
   groscpu$ mozilla
   

3. Votre machine a été sauvagement agressée et son système d'exploitation remplacé par un windows XP sans serveur X. Comment pouvez-vous continuer à naviguer sur Internet (vous n'avez pas accès à votre machine en tant qu'administrateur) ?

   Il faut commencer par installer un client ssh sur votre machine (par exemple putty) et s'en servir pour rediriger un port local (disons 3128) vers le port 3128 du serveur proxyweb (en supposant que le serveur proxy écoute sur ce port). Cela revient à effectuer l'équivalent de la commande Unix :

   mamachineamoi$ ssh -L 3128:proxyweb:3128 groscpu
   

   Il suffit ensuite de configurer votre navigateur local pour utiliser comme proxy votre machine (localhost) sur le port 3128.

8.0.25   Configuration de commutateur

• deux commutateurs Cisco 2950 à 24 ports 10/100 Mbit/s et deux ports gigabit ;
• un routeur Cisco avec une carte gigabit.

1. De combien de ports libres disposez-vous pour les machines de l'entreprise ?

   Sur l'un des commutateur les deux ports gigabit sont occupés et sur l'autre seulement un. Il reste donc la possibilité de raccorder 48 machines en 10/100 Mbit/s et une machine en gigabit.

2. Faites un plan rapide montrant l'interconnexion des 3 éléments actifs dont vous disposez.

   Les deux commutateurs sont connectés entre eux par deux ports gigabit et le routeur est connecté sur l'un des commutateurs via le second port gigabit de ce commutateur.

3. Comment procéderez vous pour obtenir deux réseaux distincts pour la production et l'administration ? Donnez les commandes IOS correspondantes.

   Il faut mettre en place des VLANs (en utilisant les vlans de numéro 2 et 3 par exemple, mais pas le numéro 1 qui est le vlan par défaut et dans lequel se trouvent tous les ports initialement) :

   commut1#vlan database
   commut1(vlan)#vlan 2 name ADMINISTRATION
   VLAN 2 added: Name: ADMINISTRATION
   commut1(vlan)#vlan 3 name PRODUCTION
   VLAN 3 added: Name: PRODUCTION
   commut1(vlan)#exit
   APPLY completed.
   

4. Donnez l'extrait du fichier de configuration Cisco concernant le port sur lequel est connecté le serveur principal de l'entreprise.

   Le serveur de l'entreprise sera probablement connecté sur le port gigabit restant libre :

   commut1(config)#interface GigabitEthernet0/2
   commut1(config-if)#switchport mode access
   commut1(config-if)#switchport access vlan 2
   

5. Donnez la configuration du port du commutateur connecté au routeur.

   Le commutateur doit être connecté en mode "trunk" au routeur :

   commut1(config)#interface GigabitEthernet0/1
   commut1(config-if)#switchport mode trunk
   commut1(config-if)#switchport trunk encapsulation dot1q
   

6. Donnez la configuration de l'interface gigabit du routeur pour permettre le routage entre les deux VLANs (utilisez les réseaux IP 192.168.0.0/24 et 192.168.1.0/24).

   La configuration se fait par la création de deux interfaces virtuelles :

   routeur(config)#interface gigabitEthernet0/0.2
   routeur(config-subif)#encapsulation dot1Q 2
   routeur(config-subif)#ip address 192.168.0.1 255.255.255.0
   routeur(config-subif)#exit
   routeur(config)#interface gigabitEthernet0/0.3
   routeur(config-subif)#encapsulation dot1Q 3
   routeur(config-subif)#ip address 192.168.1.1 255.255.255.0
   routeur(config-subif)#exit
   routeur(config)#exit
   

8.0.26   Configuration IP

1. Donnez la table de routage d'une machine du VLAN ADMINISTRATION.

   Cette machine a une table de routage très simple :

   Destination     Gateway         Genmask       
   192.168.0.0     0.0.0.0         255.255.255.0
   0.0.0.0         192.168.0.1     0.0.0.0       
   

2. Vous souhaitez donner accès à l'Internet aux machines du réseau ADMINISTRATION et à certaines du réseau PRODUCTION. Vous mettez au point un prototype avec une machine Linux et un accès ADSL. L'accès ADSL est déjà configuré via l'interface réseau ppp0 de la machine Linux. Commencez par configurer le port du commutateur sur lequel la machine est connectée (elle ne possède qu'une interface Ethernet).

   Cette machine doit avoir accès aux deux VLANs donc être connectée sur un port en mode "trunk" :

   commut1(config)#interface fastEthernet0/12
   commut1(config-if)#switchport mode trunk
   commut1(config-if)#switchport trunk encapsulation dot1q
   

3. Que devez vous faire sur la machine Linux pour lui permettre de communiquer avec le commutateur ? Donnez les commandes pour configurer l'interface Ethernet de la machine.

   Pour envoyer des trames sur les deux VLANs, le noyau Linux doit être complilé avec le support 802.1q. Ensuite la configuration des deux interfaces virtuelles ne pose pas de problème particulier :

   # vconfig add eth0 2
   # vconfig add eth0 3
   # ifconfig eth0.2 192.168.0.2 netmask 255.255.255.0
   # ifconfig eth0.3 192.168.1.2 netmask 255.255.255.0
   

4. Donnez la commande qui permet de positionner la bonne route par défaut dans la table de routage.

   La route par default doit bien évidement pointer sur l'interface réseau conduisant à Internet, c'est à dire ppp0 :

   # route add -net default dev ppp0
   

5. Enfin donnez les règles de filtrage nécessaires pour donner accès à l'Internet aux machines du réseau ADMINISTRATION et aux machines du réseau PRODUCTION dont les numéros sont compris entre 16 (inclus) et 32 (exclus).

   On commence par autoriser le routage entre interfaces au niveau du noyau :

   # echo 1 > /proc/sys/net/ipv4/conf/all/forwarding
   

   Ensuite on donne la politique de routage par défaut (on interdit tout) :

   # iptables -P FORWARD DENY
   

   Enfin on rentre les règles de translation d'adresses avec état :

   # iptables -t nat -A POSTROUTING -j MASQUERADE -s 192.168.0.0/24
   # iptables -t nat -A POSTROUTING -j MASQUERADE -s 192.168.1.16/28