Conception des réseaux Contrôle Continu 1

Save this PDF as:

WORD PNG TXT JPG

Dimension: px

Commencer à balayer dès la page:

Download "Conception des réseaux Contrôle Continu 1"

Renaud Meunier
il y a 4 ans
Total affichages :

Transcription

1 NOM: PRENOM: Conception des réseaux Contrôle Continu 1 Durée : 2 heures Seuls les documents manuscrits ou distribués en cours sont autorisés. Les réponses doivent tenir dans l encadré prévu à cet effet et les feuilles rester agrafées. Le choix du numéro d anonymat est laissé à l étudiant. Question 1 1) Supposons qu une entreprise utilise un NAT. Lorsqu un paquet arrive de l extérieur, quels sont les champs utilisé pour déterminer l adresse IP interne (i.e. privée) à utiliser comme destination du paquet sur le réseau interne de l entreprise. 2) Quels sont à part l adresse IP de destination les autres champs des entêtes IP et TCP (ou UDP) que modifie le NAT?

Question 1 1) Supposons qu une entreprise utilise un NAT.

2 3) Parfois il suffit d inspecter un seul des champs d entête des paquets entrants. Précisez quel est ce champ et dans quel cas celui-ci suffit. 4) Après avoir modifié les entêtes du paquet, le NAT encapsule le paquet dans une trame Ethernet. Comment le NAT fait-il pour connaître l adresse MAC de destination à utiliser. 5) Une fois la trame arrivée à destination, comment est déterminé le protocole de couche 3 à qui passer le champ information de la trame? 6) Comment fait le système d exploitation pour savoir si le paquet contient un segment TCP ou un datagramme UDP? Master STIC 2/8 Conception des réseaux

Comment le NAT fait-il pour connaître l adresse MAC de destination à utiliser.

3 7) Comment fait le système d exploitation pour connaître le processus à qui sont destinées les données? Question 2 La technique des portails captifs consiste à rediriger les utilisateurs de hot spots vers une page web spéciale le plus souvent dans un but d authentification. Cela est obtenu en interceptant tous les paquets quelles que soit leur destination jusqu'à ce que l'utilisateur ouvre son navigateur web et essaie d'accéder à Internet. Pour implémenter un portail captif, plusieurs méthodes existent. Redirection HTTP Cette méthode utilise des messages de réponses HTTP associées à un code de statut 302 (ou Found) qui indique au client que le document demandé a été déplacé de façon temporaire. Les requêtes HTTP émises par un utilisateur non encore authentifié sont interceptées par le firewall qui les renvoie vers un serveur de redirection. Ce dernier répond aux requêtes redirigées avec un message HTTP associé au code de statut 302 qui pointe vers la page d authentification/de paiement du portail captif. Master STIC 3/8 Conception des réseaux

Cela est obtenu en interceptant tous les paquets quelles que soit leur destination jusqu'à ce que l'utilisateur ouvre son navigateur web et essaie d'accéder à Internet.

4 Requête HTTP du client : GET /index.html HTTP/1.1 Host: Réponse HTTP du serveur de redirection : HTTP/ Found Location: 300&mac=58%3a55%3aca%3af8%3ac1%3a87&token=%241% %248s dxtltffjtw1y3rzqfx10 1) Dans l exemple donné ci-dessus, combien de requêtes DNS sont-elles nécessaires avant que la page initialement demandée par le client s affiche dans son navigateur? Justifiez votre réponse en précisant le nom que tente de résoudre chaque requête. Redirection DNS Cette seconde méthode fait intervenir le serveur DNS local vers lequel sont systématiquement redirigées les demandes de résolution de nom provenant des utilisateurs non encore authentifiées du réseau local. 2) Quelle est l adresse IP que renvoie invariablement le serveur DNS quelque soit le nom que cherche à résoudre l utilisateur avant d être authentifié? Master STIC 4/8 Conception des réseaux

sont-elles nécessaires avant que la page initialement demandée par le client s affiche dans son navigateur? Justifiez votre réponse en précisant le nom que tente de résoudre chaque requête.

5 3) Sachant que les résultats de requêtes sont mis en cache par les clients, comment le serveur DNS peut-il faire pour éviter que les informations volontairement «erronées» ne soient plus utilisées après authentification du client? Les attaques dites d empoisonnement du cache DNS se basent sur une technique similaire pour placer dans les caches des serveurs DNS des informations frauduleuses qui ne proviennent pas des serveurs d autorité. Une de ces attaques consiste à envoyer des requêtes à un serveur cible en spécifiant un nom de domaine à résoudre. En parallèle, l attaquant se faisant passer pour un serveur de nom renvoie des réponses semblables à celles attendues par le serveur cible à l adresse IP près qui peut être celle d un site malveillant. 4) En vous basant sur le format des messages DNS et l entête des datagrammes UDP, donnez au moins deux difficultés que doit surmonter l attaquant pour être sûr de faire correspondre ses réponses contrefaites aux requêtes émises par le serveur DNS. 5) Pour chaque difficulté identifiée dans la question précédente, vous donnerez un moyen simple que l attaquant peut mettre en œuvre pour les contourner. Master STIC 5/8 Conception des réseaux

Les attaques dites d empoisonnement du cache DNS se basent sur une technique similaire pour placer dans les caches des serveurs DNS des informations frauduleuses qui ne proviennent pas des serveurs d

6 ARP Spoofing Cette méthode consiste ici à générer une réponse ARP dans le but d associer l adresse MAC du serveur du portail captif avec l adresse IP d une autre machine hôte tel que la gateway du réseau. S il s agit d une utilisation légitime de ARP Spoofing, cette technique est généralement utilisée pour usurper une adresse IP en utilisant l approche suivante basée sur les réponses ARP spontanées : Une machine malicieuse construit une réponse ARP contenant son adresse MAC qu elle fait correspondre à l adresse IP de la gateway du réseau. Cette requête contrefaite est alors envoyée sans avoir été sollicitée à une machine voisine qui la traite en mettant à jour son cache ARP. 6) Qu advient-il aux paquets que cette machine envoie à destination de machines distantes situées hors du réseau local. 7) Donnez un moyen simple de se prémunir contre de telles attaques. Master STIC 6/8 Conception des réseaux

S il s agit d une utilisation légitime de ARP Spoofing, cette technique est généralement utilisée pour usurper une adresse IP en utilisant l approche suivante basée sur les réponses ARP spontanées :

7 Question 3 1) L accusé de réception que renvoie un serveur DHCP contient les paramètres nécessaires à la configuration automatique d une station parmi lesquels on trouve une durée de bail. Pourquoi cette durée est-elle nécessaire? 2) Les réponses DNS que renvoie un serveur DNS contiennent un champ TTL (Time-to-live). Pourquoi cette durée est-elle nécessaire? 3) L entête d un paquet IP contient un champ TTL dont la valeur est décrémentée par chacun des routeurs traversés. Pourquoi cette durée est-elle nécessaire? Master STIC 7/8 Conception des réseaux

2) Les réponses DNS que renvoie un serveur DNS contiennent un champ TTL (Time-to-live). Pourquoi cette durée est-elle nécessaire?

8 4) NAT (Network Address Translator) consigne les correspondances entre adresses privées (internes) et adresses publiques (externes) dans une table de translation. A chaque entrée est assignée une durée qui limite la portée de ces correspondances dans le temps. Pourquoi cette durée est-elle nécessaire? 5) Sur réception d une réponse ARP, une station crée une entrée dans son cache ARP où sont maintenues les correspondances entre adresses IP et adresses MAC Ethernet pour une durée limitée. Pourquoi cette durée est-elle nécessaire? Master STIC 8/8 Conception des réseaux

Pourquoi cette durée est-elle nécessaire?

Documents pareils

TCP/IP, NAT/PAT et Firewall

Année 2011-2012 Réseaux 2 TCP/IP, NAT/PAT et Firewall Nicolas Baudru & Nicolas Durand 2e année IRM ESIL Attention! Vous devez rendre pour chaque exercice un fichier.xml correspondant à votre simulation.