STI 3ère année Sécurité Réseaux TD 3:

Transcription

1 user bt pasword orange LAB0 : warm-up STI 3ère année Sécurité Réseaux TD 3: A.Abdallah Créer dans votre répertoire de travail : le répertoire /lab00 Allez sur le site netkit.org et télécharger : Consultez les transparents et créer votre premier netkit lab. Créer dans votre répertoire de travail : le répertoire /lab01 Allez sur le site netkit.org et télécharger : Décompresser et réaliser ce lab. (un lab simple sur le routage statique). 1

2 LAB1 : prise en main de netkit Télécharge lab1.tgz du site d enseignement. tar xvzf lab1.tgz (décompressez-le dans votre répertoire courant). Dans lab1, tapez : bt@ubuntu:~$ lstart -p Patientez pour que les deux machines pc1 et pc2 démarrent. Nous avons un environnement virtuel constitué de deux ordinateurs connectés sur le même domaine de collision A. Vous allez donner une adresse IP aux deux machines : pc1:~# ifconfig eth netmask broadcast pc2:~# ifconfig eth netmask broadcast Dans votre terminal : lancer une instance de wireshark pour écouter les communications entre la machine pc1 et pc2 (qui se partage le domaine de collision A bt@ubuntu: vdump A wireshark -i - -k pc1:~# ping c 1 pc2 Etudier les packets capturés par wireshark. Identifier les différents protocles (ARP, ICMP) Ensuite : pc1:~# nmap -sp /24 Question : Il sert à quoi nmap (man nmap). 2

3 ARP Mais chaque machine doit connaître l'adresse MAC de l'autre pour pouvoir lui envoyer un messages dans un réseau local. Si vous utilisez la commande arp, vous pourrez voir le contenu du cache ARP, par exemple pc1:~# arp Address HWtype HWaddress Flags Mask Iface ether CE:36:71:35:A3:49 C eth0 Nous avons une association une adresse mac et une adresse IP, mais comment une machine peut connaître celle-ci? Pour le savoir, nous effaçons le cache ARP sur les deux machines: pc2:~# arp -d pc1:~# arp -d Relancer wireshark, puis : pc1:~# ping c 1 pc2 Comment arrêter les machines ou le lab? Pour arrêter les machines utiliser la commande halt dans le terminal de chaque machine virtuelle à arrêter. soit taper lhalt -q dans le répertoire de votre lab. 3

4 Travail demandé Séquence 1 : MTU (Maximum Transfer Unit) Question 1. Relever la valeur par défaut affectée au paramètre MTU (Maximum Transfer Unit) pour les interfaces eth0 des postes pc1 et pc2. pc2 :~# ifconfig -a Question 2. Expliquer le rôle de ce paramètre. Question 3. Modifier la valeur du paramètre MTU pour les interfaces eth0 à 100. Donner la commande exacte et réaliser cette opération pour les 2 postes. Pour les questions 4, 5 et 6, les deux postes ont le même MTU égal à 100 octets. Question 4. On va maintenant envoyer des paquets ICMP avec 72 octets de données (option -s). Est-ce qu un paquet ICMP de cette taille peut-il être envoyé dans une seule trame Ethernet de MTU 100? pc2 :~# ping -s Question 5. On va maintenant envoyer des paquets ICMP avec 73 octets de données. Est-ce qu un paquet ICMP de cette taille peut-il être envoyé dans une seule trame Ethernet de MTU 100? Question 6. On va maintenant envoyer des paquets ICMP avec 73 octets de données. Expliquer les résultats obtenus pour les deux commandes suivantes. Préciser alors le rôle de l option -M. pc2 :~# ping s 73 -M do pc2 :~# ping s 73 -M dont Pour la question suivante, les deux postes n auront pas la même valeur de MTU. Mettre en oeuvre une procédure de test pour les situations suivantes : pc1 (MTU=100) sens du ping -> pc2 (MTU=1500) pc1 (MTU=100) sens du ping-> pc2 (MTU=1500) Pour chaque situation, vous testerez les cas suivants : pcy :~# ping x -s 72 pcy :~# ping x -s 73 -M do pcy :~# ping x -s 73 -M dont Question 7. En vous aidant de wireshark, rédigez une synthèse pour ces manipulations. Question 8. Quelle peut être l influence de la valeur du MTU sur de gros transferts de données? Question 9. Quelle peut être l influence de la valeur du MTU sur de petites quantité de données? Question 10. Quel peut être l intérêt d un provider (fournisseur d accès) Internet de diminuer la valeur du MTU de ces routeurs? 4

5 Séquence 2 : Fragmentation et Analyse de paquets IP et ICMP On va envoyer des paquets d une taille de 272 octets de données à l aide de la commande ping. Le MTU des deux interfaces est paramétré à 100 octets. Avec l analyseur wireshark, on va observer la fragmentation des datagrammes. Question 11. Emettre 2 messages ICMP avec 272 octets de données. a) Donner l option de la commande ping qui permet d envoyer 2 messages ICMP? b) Expliquer la valeur (300) qui est affichée et donc d où proviennent ces 28 octets? PING... (...) 272(300) bytes of data. Activer une capture wireshark sur le domaine A. Question 12. En vous aidant de la capture réalisée, répondre aux questions suivantes : a) Quelle est la longueur en octets de l en-tête ICMP? b) Quelle est la longueur en octets des données ICMP? c) Quelle est alors la longueur totale d un message ICMP? d) Sachant qu un fragment IP contiendra un en-tête IP de 20 octets, calculer le nombre de fragments et la taille de chacun? Question 13. Indiquer le type et le code des messages ICMP envoyés et reçus par la commande ping. Question 14. En supposant que vous ne connaissez pas le MTU du poste à pinger et en vous aidant de la méthode décrite ci-dessous, donner les deux commandes ping qui vous permettraient de décourvir le MTU idéal dans notre situation? On peut découvrir son MTU idéal à partir de cette méthode en demandant que les paquets ne soient pas fragmentés (-M do). Voir aussi la commande tracepath. # ping -M do -s PING ( ) 1473(1501) bytes of data. From icmp_seq=1 Frag needed and DF set (mtu = 1500) # ping -M do -s PING ( ) 1472(1500) bytes of data. 64 bytes from ww-in-f104.google.com ( ) : icmp_seq=1 ttl=238 Dans cet exemple, le MTU optimal est de 1500 octets. 5

6 LAB2 : NAT, FIREWALL, DHCP, DNS configuration d'un client par DHCP fonctionnement du DNS mise en place d'un NAT Firewall échanges lors d'une connexion HTTP La configuration suivante est lancée: Cette configuration possède deux ensembles: votre réseau (my.network): les machines server, pc1 et pc2 représentent un réseau domestique derrière une passerelle (gateway). Chacune des machine est sous votre contrôle. Internet (my.internet): router, httpd et dns sont des machines extérieures à votre réseau (encore une fois, vous ne devez pas modifier leur configuration) Les machines sont les suivantes: pc1 et pc2 représentent des postes clients dans votre réseau server est une machine fournissant le service DNS et DHCP dans votre réseau. gateway représente votre passerelle pour l'accès à Internet dns (my.internet) est un serveur DNS httpd est un serveur HTTP router représente un routeur sur Internet La configuration de votre réseau local est sensiblement identique à celle d'un réseau domestique connecté par une free/orange/neuf/sfr box à Internet à une exception près: les services d'accès à Internet, de DNS et de DHCP sont réunis dans le boitier. 6

7 DHCP La machine server fournit le service DHCP, permettant de configurer les paramètres réseaux de chaque poste client. Lancer vdump sur le domaine de collision A (my.network) et démarrer sur pc1 et pc2 l'utilitaire permettant de faire une requète DHCP sur le réseau local: pc1:~# dhclient eth0 pc2:~# dhclient eth0 En observant les échanges DHCP, trouver les informations suivantes: Quel est l'adresse IP de server? Quel est l'adresse IP affectée à chaque PC? * comment sont composés les paquets DHCP (IP? UDP? TCP?)? Quels sont les ports sources et destinations de ces paquets? * quelles sont les informations de configuration envoyées par la passerelle aux PC: - adresse IP, broadcast, masque - adresse du routeur - adresse du serveur DNS Les paquets ICMPv6 correspondent à l'équivalent d'une demande DHCP pour le protocole IPv6. Retrouver ces informations sur chaque machine avec les commandes suivantes: - ifconfig - route - et le contenu du fichier /etc/resolv.conf. DNS (partie 1) gateway, pc1 et pc2 ont chacune une adresse DNS dans le domaine my.network, c'est-à-dire une association entre une adresse IP et un nom. Lorsque l'on veut communiquer avec une machine on utilise son adresse IP. Par exemple si l'on effectue un ping sur le nom DNS d'une machine on peut voir apparaitre l'adresse IP: pc1:~# ping pc2.my.network Pour savoir l'adresse IP associée à une entrée DNS, chaque machine fait une résolution dns. Vous pouvez faire vous même la résolution de cet échange avec la commande nslookup: pc1:~# nslookup pc2.my.network 7

8 En observant les paquets avec tcpdump sur gateway: - quel est l'adresse IP et MAC de la machine avec avec le serveur DNS? - retrouver cette information dans le fichier /etc/resolv.conf de la machine pc1 et pc2 - A partir des traces de wireshark, identifier les protocoles utilisés pour échanger des informations avec le serveur DNS (protocole de transport, numéro des ports) - A votre avis quelle est la différence entre les requètes DNS de type A et les requètes DNS de type PTR (voir la trace des requètes DNS sur wireshark). HTTP Il y a un serveur HTTP en fonctionnement sur pc2. Pour voir le contenu de la page d'accueil, il suffit de lancer lynx, un butineur en mode texte à partir de pc1 pour voir une citation de woddy allen: pc1:~# lynx A partir des échanges visibles sur wireshark, indiquer: * les échanges effectués avant que la page html soit retourné (arp, dns,...) * les protocoles utilisés par HTTP (port, protocole de transport). NAT Comme vous ne pouvez pas modifier la configurations des machines se trouvant en dehors de votre réseau privée (cela représente une configuration présente dans la réalité, où chaque boîtier ADSL ne possède qu'une IP), il faut trouver une solution pour permettre à plusieurs machines d'être derrière une seule adresse IP. Il faut donc que gateway s'occupe de modifier l'adresse source du paquet et les ports afin que la réponse revienne vers gateway et puisse être redirigé vers le bon pc dans le réseau local. Pour cela, il faut activer sur gateway le mécanisme NAT (//network adress translation// ou translation d'adresse): gateway:~# iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE Vérifier que vous pouvez maintenant joindre les machines en dehors de votre réseau local (pc1 peut pinger httpd par exemple). DNS (partie 2) Nous avons vu que chaque machine de notre domaine peut demander l'adresse IP associé à une adresse finissant my.network, notre réseau. Mais comment notre machine peut elle connaître l'adresse des autres machines sur la partie Internet de notre configuration, par exemple: pc1:~# nslookup httpd.my.internet 8

9 Car cette information n'est pas conservée par notre serveur DNS, mais par celui hébergé par dns.my.internet. Pour résoudre une adresse sur my.internet, il faut interroger directement la machine dns.my.internet pc1:~# nslookup httpd.my.internet Mais il y a donc deux serveur DNS sur notre réseau? le premier, situé sur la gateway s'occupe de résoudre les adresses locales (par exemple gateway.my.network). Si ce n'est pas une demande de résolution de noms concernant une machine de son réseau, elle relaye la demande et la réponse à... le second serveur, situé sur dns qui s'occupe de résoudre les adresses de notre Internet (par exemple httpd.my.internet) Quelle est la différence entre les adresses gateway.my.network et gateway.my.internet? Essayer de résoudre avec nslookup ces adresses à partir de pc1 et de httpd Regarder avec wiresjark le contenu de l'échange pour faire un ping de pc1.my.network à httpd.my.internet. Identifier les paquets discutant avec le DNS (protocole? numéro des ports?) 9

10 LAB2 : SUITE Dans cette partie, nous nous intéresserons uniquement à la table filter en charge de filtrer (accepter / refuser) les paquets entrants et sortants. Pour voir le contenu de cette table, la commande est la suivante: gateway:~# iptables -L -v --line-number On peut voir pour l'instant qu'il n'y a aucune règle ajoutée, la configuration par défaut (policy) de chaque chaîne est de ne rien faire (ACCEPT) sur tous les paquets de chaque chaîne (INPUT, OUTPUT, FORWARD). Une chaîne s'applique aux paquets entrants (INPUT), sortants (OUTPUT) ou en transit (FORWARD) dans le cas d'un transfert de paquet d'une interface à une autre (pour un routeur par exemple). Pour ajouter une règle, il faut 3 choses: Exemples Questions Une chaîne où l'appliquer: o INPUT permet d'appliquer un filtrage à tous les paquets entrants o OUTPUT...à tous les paquets sortants o FORWARD...à tous les paquets transitants d'une interface vers une autre une (ou plusieurs) conditions pour que la règle s'applique (port? procotole?) o -s l'adresse source, -d l'adresse destination o -p le protocole (paramètres possibles: tcp, udp, icmp) o Pour tcp et udp il existe des paramètres pour: --sport le port source, --dport le port destination o -i interface entrante, -o interface de sortie l'action à effectuer: o ACCEPT: laisser passer le paquet o REJECT: refuser le paquet en renvoyant un message d'erreur o DROP: refuser le paquet en l'oubliant Rejet (-j REJECT) de tous les paquets entrants (-A INPUT) ayant comme source l'adresse IP : gateway:~# iptables -A INPUT -s j REJECT Accepte (-j ACCEPT) tous les paquets sortants (-A OUTPUT) de type UDP (-p udp) ayant comme port source 53 (--sport 53) et sortant par l'interafce eth0 (-o eth0) gateway:~# iptables -A OUTPUT -p udp --sport 53 -o eth0 -j ACCEPT 10

11 La meilleure politique de sécurité est de bloquer tous les ports et de les ouvrir un par un. C'est ce que nous allons faire sur gateway et server. Nous allons choisir le blocage de tout paquet par défaut (i.e. s'il n'y a aucune règle qui répond au paquet) : gateway:~# iptables -P INPUT DROP gateway:~# iptables -P OUTPUT DROP gateway:~# iptables -P FORWARD DROP server:~# iptables -P INPUT DROP server:~# iptables -P OUTPUT DROP server:~# iptables -P FORWARD DROP Activer les règles suivantes sur server et gateway : * toutes les machines du réseau local peuvent envoyer une demande DHCP à server (et recevoir la réponse) * toutes les machines du réseau local peuvent envoyer une requête DNS à server (et recevoir la réponse) * server peut envoyer une requête DNS à dns (et recevoir la réponse) * toutes les machines du réseau local peuvent envoyer un paquet ICMP sur les machines sur Internet (et recevoir la réponse), mais PAS pinger gateway ni server * toutes les machines du réseau local peuvent envoyer une requête HTTP à httpd (et recevoir la réponse) Attention de ne pas ouvrir trop largement votre firewall et ainsi laisser passer des paquets non autorisés! Essayer d'avoir les règles les plus complètes possibles: "je bloque / accepte les paquet du protocole XXX de/vers le(s) port(s) YYY de la machine WWW sur l'interface ZZZ" Mode Statefull Il y a plusieurs limitations aux blocage que nous venont de mettre en place. Le plus important est que autoriser les paquets se fait de manière bidirectionelle, il est donc impossible d'empêcher une machine B de pinger A si le firewall autorise A a pinger B. Plus généralement, nous voudrions autoriser les flots et non les paquets. Une idée est d'allors d'autoriser tous les paquets dont les communications ont déjà commencés, et d'autoriser ou pas les débuts de communication. Penser à remettre à zéro votre firewall Voici les commandes pour autoriser tous paquets donc la communication est déjà en place à traverser le firewall: gateway:~# iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT gateway:~# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT gateway:~# iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 11

12 Le paramètre state indique l'état de l'échange: demande de connexion (NEW) ou établie (ESTABLISHED et/ou RELATED). Après, il nous suffit de mettre les règles pour autoriser un début de connexion. Pour autoriser une ouverture de connexion vers le port 53 d'une machine distante: gateway:~# iptables -A INPUT -m state --state NEW -p udp --dport 53 -i eth0 -j ACCEPT Réécrire toutes les règles des questions précédentes en suivant la même logique Annexe: commandes iptables N'hésiter pas à compléter si vous pensez que des commandes manquent à la compréhension de ce TP Voir l'ensemble des règles (et le numéro de chacune): pc:~# iptables -L -v --line-number Vider toute la table de filtrage: pc:~# iptables -F Effacer la règle numéro 3 de la chaîne INPUT: pc:~# iptables -D INPUT 3 Annexe: références Référence sur IPTables: le MAN de iptables Si vous voulez aller plus loin: le tutorial iptables (complet et exhaustif) REFERENCES: