Test du Module M3102
Transcription
Test du Module M3102
Test du Module M3102 C. Pain-Barre Samedi 10 janvier 2015 IUT Aix-en-Provence Semestre 3 DUT INFO Durée : 2 heures AUCUN DOCUMENT AUTORISÉ M Détailler autant que possible vos réponses, en particulier pour les questions de cours ! PARTIE 1/3 (9 points) ! ! Rendre une copie (même blanche) par partie ! ! 1 (1,5 pts) Détailler les mécanismes mis en œuvre par TCP afin d’éviter la congestion tout en exploitant au mieux les capacités de transmission (débits) des réseaux. 2 (1 pt) Donner les caractéristiques principales des segments TCP servant à établir une connexion (qui les distinguent des segments "normaux" qui suivront), et de ceux servant à la fermer proprement. 3 (1 pt) Quel est le protocole de transport utilisé par BOOTP ? Expliquer pourquoi BOOTP ne peut pas reposer sur l’autre protocole (classique) de transport de l’architecture TCP/IP. 4 (1,5 pts) Quels sont les services rendus par BOOTP ? et par DHCP ? 5 (1,5 pts) Expliquer en quoi BOOTP et DHCP sont compatibles. Un client DHCP peut-il être satisfait (configuré) par un serveur BOOTP ? 6 (1,5 pts) Détailler les différences principales entre le NAT dynamique et le PAT dynamique. Donner le schéma général de la traduction PAT pour TCP et UDP, en utilisant la terminologie adéquate. 7 (1 pt) Expliquer comment le téléchargement d’un fichier par FTP se fait-il quand le client demande ce transfert en mode passif. Semestre 3 DUT INFO 2014-2015 C. Pain-Barre Test du Module M3102 Samedi 10 janvier 2015 2/5 PARTIE 2/3 (6 points) ! ! Rendre une copie (même blanche) par partie ! ! 8 (2 pts) La station d’adresse 139.124.187.12 a reçu les 10 datagrammes IP suivants (qui lui étaient destinés), dans l’ordre figurant dans la première colonne : Num. 1 2 3 4 5 6 7 8 9 10 IP Source Identification Protocole 567 567 567 567 566 567 567 567 566 567 TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP 121.132.2.1 115.16.7.8 115.16.7.8 121.132.2.1 121.132.2.1 115.16.7.8 115.16.7.8 121.132.2.1 121.132.2.1 121.132.2.1 Longueur Totale 140 516 1405 1996 516 1500 1996 4092 1500 1996 Bit More 1 1 0 1 0 1 1 1 1 1 Déplacement 1003 185 494 509 185 0 247 0 0 756 Ils ne comportent pas d’option et ont tous 20 octets d’en-tête. Rassember les fragments issus du même datagramme et les ordonner. Pour chaque datagramme à l’origine de ces fragments, indiquer ses fragments et s’il peut être reconstitué ou pas : s’il peut l’être indiquer sa longueur totale (en-tête et données), sinon expliquer pourquoi il ne le peut pas. 9 (4 pts) Soit le réseau local 192.168.1.0/24 connecté à Internet via le routeur RPAT, sur lequel le NAT/PAT est activé et configuré pour effectuer une traduction inside : 155.28.10.2 192.168.1.10 192.168.1.70 RPAT eth0 eth1 192.168.1.0/24 192.168.1.250 Internet 210.1.0.213 192.168.1.20 inside 192.168.1.30 outside 192.168.1.50 112.54.26.3 L’état actuel de la table de traduction de RPAT est la suivante : Pro udp tcp Inside global 210.1.0.213:4000 210.1.0.213:5000 C. Pain-Barre Inside local 192.168.1.10:4000 192.168.1.20:5000 Outside local 155.28.10.2:69 112.54.26.3:22 Outside global 155.28.10.2:69 112.54.26.3:22 Semestre 3 DUT INFO 2014-2015 3/5 Samedi 10 janvier 2015 Test du Module M3102 a) (2 pts) Pour chacun des messages suivants parvenant à RPAT (l’interface de réception est précisée), indiquer précisément comment celui-ci le traite : s’il le détruit ou le laisse passer, s’il ajoute une entrée dans sa table de traduction et laquelle, etc. Si le datagramme n’est pas détruit, indiquer les adresses et les ports source et destination du datagramme qui est réémis en sortie de RPAT : numéro 1 2 3 4 5 6 interface de réception eth1 eth1 eth1 eth1 eth0 eth0 protocole udp udp tcp tcp tcp tcp source IP 112.54.26.3 155.28.10.2 112.54.26.3 112.54.26.3 192.168.1.30 192.168.1.20 Port 69 69 22 22 5000 5000 destination IP 210.1.0.213 210.1.0.213 210.1.0.213 192.168.1.20 112.54.26.3 112.54.26.3 Port 4000 4000 5000 5000 22 22 b) Puis, sur la machine 155.28.10.2 on tape la commande suivante : # netstat -an Connexions Internet Proto Recv-Q Send-Q tcp 0 0 tcp 0 0 tcp 0 0 tcp 0 0 tcp 0 0 tcp 0 0 tcp 0 0 tcp 0 0 udp 0 0 udp 0 0 actives (serveurs et établies) Adresse locale Adresse distante 0.0.0.0:21 0.0.0.0:* 0.0.0.0:22 0.0.0.0:* 127.0.0.1:25 0.0.0.0:* 127.0.0.1:80 0.0.0.0:* 127.0.0.1:80 127.0.0.1:26332 127.0.0.1:26332 127.0.0.1:80 155.28.10.2:22 210.1.0.213:5005 155.28.10.2:22 132.166.98.25:5002 0.0.0.0:53 0.0.0.0:* 0.0.0.0:69 0.0.0.0:* Etat LISTEN LISTEN LISTEN LISTEN ESTABLISHED ESTABLISHED ESTABLISHED ESTABLISHED i. (1 pt) que pouvez-vous dire sur les services (serveurs) actifs sur cette station ? ii. (0,5 pt) sachant qu’un utilisateur de la station 192.168.1.50 utilise un client SSH pour accéder au serveur SSH de 155.28.10.2, que ce client utilise comme port (source) 23456, et que cette connexion figure dans le résultat de la commande netstat ci-dessus, compléter la table de traduction de RPAT c) (0,5 pt) Sur le réseau 192.168.1.0/24, il y a la station 192.168.1.70 qui héberge un serveur Web. Sans en indiquer les commandes, expliquer précisément comment doit-on faire pour rendre ce serveur accessible aux stations d’Internet ? Semestre 3 DUT INFO 2014-2015 C. Pain-Barre Test du Module M3102 Samedi 10 janvier 2015 4/5 PARTIE 3/3 (6 points) ! ! Rendre une copie (même blanche) par partie ! ! 10 (4 pts) Soit le réseau suivant : 195.14.28.1 Serveur DNS 195.14.28.53 195.14.28.200 (eth0) RF 195.14.28.0/24 195.14.28.22 Serveur SSH et TELNET (ppp0) Internet 195.14.28.80 Serveur HTTP Pour le routeur RF, l’interface côté LAN est eth0, et celle côté WAN est ppp0. On souhaite mettre en place un firewall sans état sur RF. i Les firewall sans état sont les plus simples (et les plus limités) : ils traitent les datagrammes indépendamment les uns des autres, et sont incapables de suivre un dialogue, comme le font les firewall avec états. Dans ce cas, pour permettre aux hôtes (du LAN) d’utiliser des services externes, il faut non seulement autoriser les datagrammes sortants mais aussi les datagrammes entrants associés (comportant des messages des serveurs contactés). De même, pour permettre l’accès depuis l’extérieur à des serveurs du LAN, il faut aussi autoriser ces serveurs à envoyer leurs réponses aux hôtes externes. Dans ce qui suit, nous considérerons que les serveurs réseaux utilisent des ports situés dans l’intervalle 1-1023, et que les applications clientes utilisent les autres ports. - On rappelle qu’un firewall se configure avec des règles de filtrage (souvent appelées access-lists) qui déterminent si un datagramme parvenant au firewall est autorisé à le traverser ou s’il doit être éliminé. Une règle de filtrage définit les critères que doit satisfaire le datagramme pour que la règle s’applique, et indique l’action à réaliser si c’est le cas : laisser passer le datagramme (Accepter) ou l’éliminer (Bloquer). Les règles sont ordonnées : elles ont un numéro qui détermine leur ordre de vérification. Si la première ne s’applique pas, la seconde est vérifiée, etc., jusqu’à trouver la première (et la seule) règle qui s’applique. Si aucune règle ne s’applique, le datagramme est détruit (comportement par défaut). C. Pain-Barre Semestre 3 DUT INFO 2014-2015 5/5 Samedi 10 janvier 2015 Test du Module M3102 Les différentes restrictions que doit garantir le routeur/firewall RF sont les suivantes : • les messages ICMP ne doivent pas être filtrés, ni en entrée, ni en sortie • n’importe quelle station (d’Internet) doit avoir accès au serveur SSH de 195.14.28.22 • seule la station 140.0.0.1 (d’Internet) a accès au serveur TELNET de 195.14.28.22 • aucune autre application de 195.14.28.22 ne peut dialoguer avec Internet • seule la station 118.15.1.1 (d’Internet) doit avoir accès au serveur DNS de 195.14.28.53 • seules les stations du réseau 118.0.0.0/8 doivent avoir accès au serveur HTTP de 195.14.28.80 • aucun autre service réseau éventuellement actif sur les hôtes du réseau 195.14.28.0/24 ne doit pouvoir dialoguer avec l’extérieur • mais les applications clientes de ces hôtes internes doivent pouvoir communiquer avec l’extérieur, à part 195.14.28.1 qui n’a accès qu’aux serveurs Web et DNS des stations d’Internet Remplir (sur votre copie) les colonnes du tableau suivant indiquant les règles de filtrage à appliquer sur RF : Interfaces entrée sortie Protocole Source IP/préfixe port(s) Destination IP/préfixe port(s) Action ... . . . ... . . . ... . . . ... . . . ... . . . ... . . . ... . . . ... . . . ... ... ... ... ... ... ... ... Il est pratiquement identique à celui du simulateur de Pierre Loisel utilisé en TP. Les colonnes IP Source/n et IP Destination/n peuvent contenir des plages d’adresses car le n indique le préfixe (nombre de bits à prendre en compte pour l’adresse spécifiée). Les colonnes port(s) peuvent contenir des intervalles de ports (port1 -port2 ). L’action est soit Bloquer soit Accepter. Les autres colonnes peuvent prendre pour valeur * qui veut dire "n’importe quoi". La colonne Protocole peut prendre pour valeurs TCP, UDP, ICMP ou *. Si vous ne connaissez pas les ports des serveurs, utiliser les noms des services à la place. 11 (2 pts) Dans le cadre d’iptables, expliquer le rôle des chaînes INPUT, OUTPUT et FORWARD de la table FILTER. Expliquer le sens des états NEW, ESTABLISHED et RELATED des paquets TCP. Semestre 3 DUT INFO 2014-2015 C. Pain-Barre