Conservatoire National des Arts et Métiers. Chaire de Réseaux

Transcription

1 Conservatoire National des Arts et Métiers 292, rue Saint Martin PARIS Cedex 03 Chaire de Réseaux Date de l examen : Mercredi 30 juin 2004 Titre de l enseignement : INFORMATIQUE CYCLE APPROFONDISSEMENT IRSM Nature : CO Cycle : B1 Code : Nombre de pages: 6 pages (celle-ci comprise) Nom du responsable : J. P. ARNAUD TOUS DOCUMENTS AUTORISES Calculatrice scientifique autorisée Durée : 3 heures Les énoncés sont relativement détaillés et tentent d exclure toute ambiguïté. Cependant, la réponse à fournir est souvent plus courte que la question elle-même et inférieure à 3 lignes dans la plupart des cas. La correction tiendra compte de la précision et de la concision des réponses fournies, ainsi que de leur présentation.

2 Etude d'un réseau d'entreprise Présentation du contexte La Première SA (LP SA) est une entreprise de grande taille intervenant dans le secteur du Bâtiment et des Travaux Publics (BTP). Son siège social est localisé à Marseille. LP SA est amenée à restructurer son réseau informatique et à modifier certaines pratiques de gestion. La restructuration impose un débit de 100 Mbps sur les liaisons vers les prises murales destinées aux postes de travail. Ainsi, tous les postes de travail et les serveurs de LP SA doivent être raccordés directement à Internet. La société a obtenu la plage d'adresses IP /24 (masque sur 24 bits : ), pour l'ensemble des machines du siège et des agences de LP SA. Vous êtes chargé(e) de participer à la refonte du réseau. I Résolution d'incidents sur le réseau du siège de LP SA (Marseille). Le Directeur Financier rencontre un problème avec le nouvel ordinateur que vous lui avez installé la semaine dernière et qui est connecté au réseau de façon intermittente. Il a noté les messages qui sont apparus lors de ses deux dernières tentatives de connexion: «Le système a détecté un conflit entre l'adresse IP et l'adresse matérielle 00 : 13 : B8: 3C : F7 :B2» «Le système a détecté un conflit entre l'adresse IP et l'adresse matérielle 00 : 13: B8 : 3C : F4 :D5» Son adresse IP fixe est /25 (/25 signifie «masque sur 25 bits» soit ). Votre responsable vous demande de résoudre ce problème, en vous appuyant sur les annexes 1 et 2. II 1. Expliquer la cause du dysfonctionnement. 2. Proposer une solution pour éliminer ce dysfonctionnement. Infrastructure On se réfère à l'annexe 1; le directeur financier pense qu'il aurait été plus économique de remplacer les switchs par des hubs et vous demande de revoir votre architecture. 3. Maintenez-vous votre position ou accédez-vous à sa demande? Précisez votre réponse par rapport aux performances, et à l'évolutivité du réseau. Les serveurs sont mis en place dans les locaux techniques principaux (voire annexe 1). 4. Est-il possible de les raccorder à 1 Gbps? Si oui, quel câblage préconisez-vous?

3 III CONFIGURATION DU RÉSEAU IP Annexes à utiliser : annexes 1 et 2 En utilisant les annexes 1 et 2 vous êtes chargé(e) d'analyser le plan d'adressage de la société. 5. Vérifier que le plan d'adressage permet de prendre en charge le nombre d'interfaces nécessaire pour chaque site. 6. Quels sont les protocoles de routage qui peuvent être utilisés dans cette configuration? Vous êtes également chargé(e) de tester la configuration actuelle des routeurs Rl, R2 et R3. Le routeur R4 a déjà été configuré et testé. Deux commandes ont été lancées avec succès: Commande 1 : À partir du poste d'adresse : ping Commande 2 : À partir du poste d'adresse : ping Une commande n'a pas abouti: Commande 3: À partir du poste d'adresse : ping Lister les équipements traversés lors de l'exécution de la commande 2 8. Lister les équipements traversés lors de l'exécution de la commande 3, ainsi que les lignes des tables de routage utilisées et expliquer la raison de l'échec de cette commande. 9. Proposer la correction à apporter pour que la commande 3 fonctionne correctement. 10. Donner le contenu de la table de routage de R4 en utilisant le format de l'annexe 2. IV Sécurisation du réseau Le serveur SLP-PRINC fait office de serveur de courrier électronique. Lassé des attaques quotidiennes contre le réseau, vous souhaitez sécuriser le réseau, en particulier pour le courrier électronique via un pare-feu (matériel et logiciel chargés de filtrer les communications avec l'extérieur), et faire transiter tout le courrier électronique à destination de l'entreprise par un serveur externe cs.securite.fr (adresse IP sl.s2.s3.s4), géré par une société informatique spécialisée, et chargé en particulier de détruire les messages infectés par des virus, avant de transmettre le courrier au serveur interne de l'entreprise dont le nom est courrier.slp.com (sur SLP-PRINC). Parmi les règles de configuration du pare-feu, il y a les deux suivantes : les paquets à destination de SLP-PRINC sont détruits, sauf s'ils contiennent du courrier électronique (protocole SMTP) en provenance de sl.s2.s3.s4, ou s'ils proviennent d'une machine du réseau de l'entreprise. si une machine externe scanne les ports des machines de l'entreprise, c'est-à-dire émet des demandes de connexion répétées sur des ports différents pendant un bref intervalle de temps, elle est ajoutée à la liste noire des sites dont tous les paquets IP sont systématiquement refusés (détruits) à l'entrée du réseau de l'entreprise.

4 V 11. Pour les deux règles de filtrage ci-dessus, expliquer précisément quels sont les en-têtes des paquets IP entrants que le pare-feu doit consulter, et quels champs de ces en-têtes il doit examiner. 12. Le routeur R1 peut-il faire office de pare-feu au sens indiqué précédemment, ou faut-il ajouter à l'architecture une machine spécialisée? 13. A quoi peut servir, pour un attaquant éventuel, la pratique consistant à scanner les ports des machines d'une entreprise? 14. Expliquer comment, tant que le pare-feu est configuré comme indiqué ci-dessus, un attaquant peut très simplement priver l'entreprise de courrier, sans disposer d'aucun accès ni sur les machines de l'entreprise, ni sur celles du sous-traitant de sécurité, et sans disposer d'informations confidentielles. 15. Quel est le nom du type d'attaque correspondant à la question 13? Evolution vers le multimédia Le site de Marseille abrite la direction générale et les services commerciaux de LP SA. Les services commerciaux souhaitent tourner des vidéos de courte durée (2 à 5 mn) présentant les réalisations de la société. Ces vidéos seront hébergées sur le serveur principal et doivent être consultables depuis le terminal de n importe quel commercial qui pourra ainsi les présenter à son prospect. Les vidéos doivent pouvoir être transférés à n importe quelle société intéressée lors de congrès, journée marketing 16. Quel codage proposez-vous pour la vidéo? 17. Quel type de commutation cette évolution vous conduirait-elle à favoriser pour les switches : cut-through, store and forward ou adaptive fragment-free? 18. Pensez-vous que le résultat sera satisfaisant? 19. Lors de leur visite sur les sites des agences, les commerciaux souhaiteraient avoir un accès aux vidéos disponibles à Marseille ; quels sont les paramètres de qualité de service les plus importants sur le réseau à grande distance pour obtenir un résultat satisfaisant? 20. Ces paramètres de qualité de service sont-ils gérés au niveau des routeurs ou impliquent-ils des liaisons permanentes de technologie spécifique?

5 Annexe 1 : architecture du réseau RI, R2, R3 et R4 sont des routeurs qui relient les sites. SWn identifie les commutateurs (switch) installés dans les locaux de sous-répartition situés dans chaque étage du site de Marseille, et dans le local technique (il n'y a jusqu'à quinze mètres entre les locaux les plus éloignés). SW1, SW2, SW3, SW4, ainsi que les «workgroup switches» dans les agences sont des commutateurs 12 ou 24 ports 10/100 Mbps empilables avec un emplacement accueillant actuellement un adaptateur (transceiver) optionnel 10BASE T, et qui disposent par ailleurs d'un emplacement libre permettant d'installer au choix deux adaptateurs 1000BASE-SX, 1000BASE-LX ou 1000BASE-T. Chacune des lignes en pointillé correspond à un câble. Les laisons d interconnexion sont des liaisons permanentes.

6 ANNEXE 2 : Extraits du plan d'adressage Site ou liaison Adresse réseau Masque de sous-réseau Marseille Salon Aix Arles R1-R Rl-R RI-R Le sous-réseau de Marseille dispose de postes en adressage fixe, mais aussi de postes en adressage dynamique (les portables des chefs de chantier qui rapatrient les données enregistrées dans la journée à leur retour des visites de chantier). Le serveur DHCP de Marseille gère la plage d'adresse suivante: Plage d'adresses disponibles: Exemples de configuration des postes dans chaque site Site Adresse d'un poste Masque Routeur par défaut Marseille Salon Aix Arles Table de routage pour Rl Réseau Masque Next hop Interface Table de routage pour R2 Réseau Masque Next hop Interface Table de routage pour R3 Réseau Masque Next hop Interface

7 Eléments de correction Q1. L'adresse attribuée fait partie des adresses gérées par le serveur DHCP. Deux adresses Mac différentes correspondent au conflit, ce qui correspond bien au fait que la même adresse IP a été attribuée à deux stations différentes à des instants différents correspondant aux deux tentatives de connexion et que ces deux adresses sont identiques à l'adresse fixe du directeur financier. Q2. La solution la plus simple est d'attribuer au directeur financier une adresse fixe en dehors de la plage gérée dynamiquement. Q3. Le diamètre de collision est supérieur à 205 m (quinze mètres entre locaux et peut-être 100m jusqu'aux stations selon la norme) si l'on utilise des hubs; il est peu raisonnable de remplacer les switch par des hubs. Par ailleurs, les serveurs étant connectés directement sur SW1, il peut être intéressant de les faire bénéficier d'un attachement FDX. En revanche, les sites d'agence ne sont probablement pas pourvus de serveurs très sollicités (pas de multimedia entre autres) et sont de taille réduite : on peut imaginer de les laisser équipés de hubs. Q4. Les switch le permettent, mais il serait préférable de réaliser le câblage en fibre pour éviter tout problème de câblage (diamètre de collision, perturbations); c'est d'autant plus facile que les serveurs sont dans les locaux techniques. Les distances étant courtes on peut néanmoins utiliser un câble en cuivre (dans ce cas la cat 5e est nécessaire). Site ou liaison Adresse réseau Masque de sous-réseau Nombre max de stations Marseille Salon Aix Arles Q5. Le tableau montre que le plan d'adressage est satisfaisant. Q6. Il faut un protocole de routage qui supporte transporte les masques de sous réseau, puisque nous avons à faire à des masques de longueur variable (VSM); RIP V2 (pas V1) ou OSPF sont envisageables. RIPv2 est approprié car il n'y a pas de boucles donc peu de risque de comptage à l'infini (le clivage d'horizon protège des erreurs). Q7. Ping = ICMP echo reply, donc il faut se rappeler qu il faut faire un aller retour! Les équipements traversés sont donc (en suivant les tables de routage) source SWXX, SW1, R1, R3, WG SW, destination, WG SW, R3,R1, SW1, SWXX, source. Q8. la ligne 3 :

8 de R3 est fausse (le next hop devrait être ) et le paquet en retour n arrive jamais. Q9. On peut attendre s il s agit d un protocole dynamique ou revoir la config s il s agit d une route statique Q10. Table de routage pour R4 Réseau Masque Next hop Interface Q11. Règle 1 - le pare-feu consulte l'adresse de destination, dans l'en-tête IP si c!est xl.x2.x3.x4, il examine l'adresse source, dans l'en-tête IP ; si ce' n'est pas sl.s2.s3.s4, le paquet est détruit. Enfin le pare-feu consulte le port de destination, dans l'en-tête TCP; si ce n'est pas SMTP (port 25), le paquet est détruit. Règle 2: le pare-feu mémorise les adresses sources (en-tête IP) des paquets entrants récents, et les ports de destination (en-tête TCP), pour repérer d'éventuels attaquants à ajouter à la liste noire. Pour refuser les paquets issus de sites ainsi répertoriés, il suffit de consulter l'adresse source, dans l'en-tête IP. Q12. Le routeur est une machine de niveau 3 et n'examine pas en principe l'en-tête TCP, ce qui le rend inapte à appliquer les règles définies précédemment. Dans la pratique, de nombreux routeurs sont capables de refuser l'accès aux paquets en fonction du n de port TCP (pseudo-en tête). En revanche les routeurs ne mémorisent pas en général les adresses source, ce qui impose une machine spécialisées pour les stocker. Q13. Scanner les ports des machines d'une entreprise permet de déterminer quels sont les services actifs sur cette machine. Pour poursuivre l'attaque, il faut ensuite essayer de déterminer quel est le logiciel serveur (et sa version) sur un port actif, et exploiter des failles éventuelles de ce logiciel. Note : affirmer qu'un port actif permet ipso facto de prendre le contrôle de la machine est une absurdité qui dénote une absence de réflexion inquiétante concernant les principes d'internet Q14. Cette configuration du pare-feu est dangereuse, car un attaquant peut se faire. passer pour le serveur de courrier externe (cs.securite.fr adresse IP sl.s2.s3.s4), en falsifiant (spoofing) l'adresse source des paquets IP émis. Il n'a plus qu'à scanner les ports d'une machine de l'entreprise, avec ces paquets usurpés, pour faire mettre le serveur externe de courrier sur liste noire. Toutes les informations nécessaires à cette attaque sont publiques, il suffit d'interroger le serveur DNS responsable du domaine slp.com Q15. Scanning de port puis déni de service. Q16. Service de visionnage (il suffit d'une qualité moyenne pour prendre conaissance des biens réalisations) : MPEG1 suffit et est compatible avec les liaisons externes (2 Mbps) Q17. Le fragment free est le plus approprié : temps de traversée réduit, temps de traversée constant, peu de propagation d'erreur. Par ailleurs la version adaptive

9 permettra de basculer vers le store and forward si le taux d'erreur augmente, ce qui est souhaitable pour les applications traditionnelles. Q18. On a 122 interfaces; dès lors que le nombre de consultations simultanées reste inférieur à quelques dizaines de machines (moins d'une vingtaine- réaliste compte tenu de la faible durée des séquences) la charge sur le réseau sera faible et le nombre de collisions peu important. Compte tenu du choix de commutateur, on peut s'attendre à un succès de l'opération, surtout si l'on équipé les serveur en 1Gbps (Full duplex). Q19. Débit, gigue de transmission Q20. Si les liaisons sont permanentes et de débit suffisant (ce qui est le cas pour le MPEG1), la gestion de la QOS peut être faite au niveau des routeurs (compte tenu de leur petit nombre, on peut même songer à implanter RSVP).