Test du Module M3102

Test du Module M3102
C. Pain-Barre
Samedi 10 janvier 2015
IUT Aix-en-Provence
Semestre 3 DUT INFO
Durée : 2 heures
AUCUN DOCUMENT AUTORISÉ
M
Détailler autant que possible vos réponses, en particulier pour les questions de cours !
PARTIE 1/3 (9 points)
! ! Rendre une copie (même blanche) par partie ! !
1 (1,5 pts) Détailler les mécanismes mis en œuvre par TCP afin d’éviter la congestion tout en exploitant au mieux
les capacités de transmission (débits) des réseaux.
2 (1 pt) Donner les caractéristiques principales des segments TCP servant à établir une connexion (qui les distinguent des segments "normaux" qui suivront), et de ceux servant à la fermer proprement.
3 (1 pt) Quel est le protocole de transport utilisé par BOOTP ? Expliquer pourquoi BOOTP ne peut pas reposer sur
l’autre protocole (classique) de transport de l’architecture TCP/IP.
4 (1,5 pts) Quels sont les services rendus par BOOTP ? et par DHCP ?
5 (1,5 pts) Expliquer en quoi BOOTP et DHCP sont compatibles. Un client DHCP peut-il être satisfait (configuré)
par un serveur BOOTP ?
6 (1,5 pts) Détailler les différences principales entre le NAT dynamique et le PAT dynamique. Donner le schéma
général de la traduction PAT pour TCP et UDP, en utilisant la terminologie adéquate.
7 (1 pt) Expliquer comment le téléchargement d’un fichier par FTP se fait-il quand le client demande ce transfert
en mode passif.
Semestre 3 DUT INFO 2014-2015
C. Pain-Barre
Test du Module M3102
Samedi 10 janvier 2015
2/5
PARTIE 2/3 (6 points)
! ! Rendre une copie (même blanche) par partie ! !
8 (2 pts) La station d’adresse 139.124.187.12 a reçu les 10 datagrammes IP suivants (qui lui étaient destinés),
dans l’ordre figurant dans la première colonne :
Num.
1
2
3
4
5
6
7
8
9
10
IP Source
Identification
Protocole
567
567
567
567
566
567
567
567
566
567
TCP
TCP
TCP
TCP
TCP
TCP
TCP
TCP
TCP
TCP
121.132.2.1
115.16.7.8
115.16.7.8
121.132.2.1
121.132.2.1
115.16.7.8
115.16.7.8
121.132.2.1
121.132.2.1
121.132.2.1
Longueur
Totale
140
516
1405
1996
516
1500
1996
4092
1500
1996
Bit
More
1
1
0
1
0
1
1
1
1
1
Déplacement
1003
185
494
509
185
0
247
0
0
756
Ils ne comportent pas d’option et ont tous 20 octets d’en-tête. Rassember les fragments issus du même datagramme et les ordonner. Pour chaque datagramme à l’origine de ces fragments, indiquer ses fragments et s’il peut
être reconstitué ou pas : s’il peut l’être indiquer sa longueur totale (en-tête et données), sinon expliquer pourquoi
il ne le peut pas.
9 (4 pts) Soit le réseau local 192.168.1.0/24 connecté à Internet via le routeur RPAT, sur lequel le NAT/PAT
est activé et configuré pour effectuer une traduction inside :
155.28.10.2
192.168.1.10
192.168.1.70
RPAT
eth0
eth1
192.168.1.0/24
192.168.1.250
Internet
210.1.0.213
192.168.1.20
inside
192.168.1.30
outside
192.168.1.50
112.54.26.3
L’état actuel de la table de traduction de RPAT est la suivante :
Pro
udp
tcp
Inside global
210.1.0.213:4000
210.1.0.213:5000
C. Pain-Barre
Inside local
192.168.1.10:4000
192.168.1.20:5000
Outside local
155.28.10.2:69
112.54.26.3:22
Outside global
155.28.10.2:69
112.54.26.3:22
Semestre 3 DUT INFO 2014-2015
3/5
Samedi 10 janvier 2015
Test du Module M3102
a) (2 pts) Pour chacun des messages suivants parvenant à RPAT (l’interface de réception est précisée), indiquer
précisément comment celui-ci le traite : s’il le détruit ou le laisse passer, s’il ajoute une entrée dans sa table
de traduction et laquelle, etc. Si le datagramme n’est pas détruit, indiquer les adresses et les ports source et
destination du datagramme qui est réémis en sortie de RPAT :
numéro
1
2
3
4
5
6
interface de
réception
eth1
eth1
eth1
eth1
eth0
eth0
protocole
udp
udp
tcp
tcp
tcp
tcp
source
IP
112.54.26.3
155.28.10.2
112.54.26.3
112.54.26.3
192.168.1.30
192.168.1.20
Port
69
69
22
22
5000
5000
destination
IP
210.1.0.213
210.1.0.213
210.1.0.213
192.168.1.20
112.54.26.3
112.54.26.3
Port
4000
4000
5000
5000
22
22
b) Puis, sur la machine 155.28.10.2 on tape la commande suivante :
# netstat -an
Connexions Internet
Proto Recv-Q Send-Q
tcp
0
0
tcp
0
0
tcp
0
0
tcp
0
0
tcp
0
0
tcp
0
0
tcp
0
0
tcp
0
0
udp
0
0
udp
0
0
actives (serveurs et établies)
Adresse locale
Adresse distante
0.0.0.0:21
0.0.0.0:*
0.0.0.0:22
0.0.0.0:*
127.0.0.1:25
0.0.0.0:*
127.0.0.1:80
0.0.0.0:*
127.0.0.1:80
127.0.0.1:26332
127.0.0.1:26332
127.0.0.1:80
155.28.10.2:22
210.1.0.213:5005
155.28.10.2:22
132.166.98.25:5002
0.0.0.0:53
0.0.0.0:*
0.0.0.0:69
0.0.0.0:*
Etat
LISTEN
LISTEN
LISTEN
LISTEN
ESTABLISHED
ESTABLISHED
ESTABLISHED
ESTABLISHED
i. (1 pt) que pouvez-vous dire sur les services (serveurs) actifs sur cette station ?
ii. (0,5 pt) sachant qu’un utilisateur de la station 192.168.1.50 utilise un client SSH pour accéder au
serveur SSH de 155.28.10.2, que ce client utilise comme port (source) 23456, et que cette connexion
figure dans le résultat de la commande netstat ci-dessus, compléter la table de traduction de RPAT
c) (0,5 pt) Sur le réseau 192.168.1.0/24, il y a la station 192.168.1.70 qui héberge un serveur Web.
Sans en indiquer les commandes, expliquer précisément comment doit-on faire pour rendre ce serveur accessible aux stations d’Internet ?
Semestre 3 DUT INFO 2014-2015
C. Pain-Barre
Test du Module M3102
Samedi 10 janvier 2015
4/5
PARTIE 3/3 (6 points)
! ! Rendre une copie (même blanche) par partie ! !
10 (4 pts) Soit le réseau suivant :
195.14.28.1
Serveur DNS
195.14.28.53
195.14.28.200 (eth0)
RF
195.14.28.0/24
195.14.28.22
Serveur SSH et TELNET
(ppp0)
Internet
195.14.28.80
Serveur HTTP
Pour le routeur RF, l’interface côté LAN est eth0, et celle côté WAN est ppp0. On souhaite mettre en place un
firewall sans état sur RF.
i
Les firewall sans état sont les plus simples (et les plus limités) : ils traitent les datagrammes indépendamment les uns des autres, et sont incapables de suivre un dialogue, comme le font les firewall avec
états. Dans ce cas, pour permettre aux hôtes (du LAN) d’utiliser des services externes, il faut non seulement autoriser les datagrammes sortants mais aussi les datagrammes entrants associés (comportant des
messages des serveurs contactés). De même, pour permettre l’accès depuis l’extérieur à des serveurs
du LAN, il faut aussi autoriser ces serveurs à envoyer leurs réponses aux hôtes externes.
Dans ce qui suit, nous considérerons que les serveurs réseaux utilisent des ports situés dans l’intervalle
1-1023, et que les applications clientes utilisent les autres ports.
-
On rappelle qu’un firewall se configure avec des règles de filtrage (souvent appelées access-lists) qui
déterminent si un datagramme parvenant au firewall est autorisé à le traverser ou s’il doit être éliminé.
Une règle de filtrage définit les critères que doit satisfaire le datagramme pour que la règle s’applique,
et indique l’action à réaliser si c’est le cas : laisser passer le datagramme (Accepter) ou l’éliminer
(Bloquer). Les règles sont ordonnées : elles ont un numéro qui détermine leur ordre de vérification.
Si la première ne s’applique pas, la seconde est vérifiée, etc., jusqu’à trouver la première (et la seule)
règle qui s’applique. Si aucune règle ne s’applique, le datagramme est détruit (comportement par
défaut).
C. Pain-Barre
Semestre 3 DUT INFO 2014-2015
5/5
Samedi 10 janvier 2015
Test du Module M3102
Les différentes restrictions que doit garantir le routeur/firewall RF sont les suivantes :
• les messages ICMP ne doivent pas être filtrés, ni en entrée, ni en sortie
• n’importe quelle station (d’Internet) doit avoir accès au serveur SSH de 195.14.28.22
• seule la station 140.0.0.1 (d’Internet) a accès au serveur TELNET de 195.14.28.22
• aucune autre application de 195.14.28.22 ne peut dialoguer avec Internet
• seule la station 118.15.1.1 (d’Internet) doit avoir accès au serveur DNS de 195.14.28.53
• seules les stations du réseau 118.0.0.0/8 doivent avoir accès au serveur HTTP de 195.14.28.80
• aucun autre service réseau éventuellement actif sur les hôtes du réseau 195.14.28.0/24 ne doit pouvoir dialoguer avec l’extérieur
• mais les applications clientes de ces hôtes internes doivent pouvoir communiquer avec l’extérieur, à part
195.14.28.1 qui n’a accès qu’aux serveurs Web et DNS des stations d’Internet
Remplir (sur votre copie) les colonnes du tableau suivant indiquant les règles de filtrage à appliquer sur RF :
Interfaces
entrée sortie
Protocole
Source
IP/préfixe port(s)
Destination
IP/préfixe port(s)
Action
...
.
.
.
...
.
.
.
...
.
.
.
...
.
.
.
...
.
.
.
...
.
.
.
...
.
.
.
...
.
.
.
...
...
...
...
...
...
...
...
Il est pratiquement identique à celui du simulateur de Pierre Loisel utilisé en TP. Les colonnes IP Source/n et
IP Destination/n peuvent contenir des plages d’adresses car le n indique le préfixe (nombre de bits à prendre
en compte pour l’adresse spécifiée). Les colonnes port(s) peuvent contenir des intervalles de ports (port1 -port2 ).
L’action est soit Bloquer soit Accepter. Les autres colonnes peuvent prendre pour valeur * qui veut dire
"n’importe quoi". La colonne Protocole peut prendre pour valeurs TCP, UDP, ICMP ou *. Si vous ne connaissez
pas les ports des serveurs, utiliser les noms des services à la place.
11 (2 pts) Dans le cadre d’iptables, expliquer le rôle des chaînes INPUT, OUTPUT et FORWARD de la table
FILTER. Expliquer le sens des états NEW, ESTABLISHED et RELATED des paquets TCP.
Semestre 3 DUT INFO 2014-2015
C. Pain-Barre