(Date : Lundi 27 avril 2009 durée : 3h) Lisez attentivement le sujet en entier avant de commencer, afin de bien assimiler ce qui est attendu.

Transcription

1 Département des Sciences Informatiques Licence 3 I/MI Réseaux (I601) T.T. Dang Ngoc dntt@u-cergy.fr Examen 1ère session - Réseaux (Date : Lundi 27 avril 2009 durée : 3h) Lisez attentivement le sujet en entier avant de commencer, afin de bien assimiler ce qui est attendu. Il n est pas nécessaire d utiliser et/ou de respecter la syntaxe de commandes/fichiers de configuration propre à un logiciel/système d exploitation/distribution. Il s agit juste de fournir les informations nécessaires et suffisantes dont on a besoin pour mettre en place ce qui vous est demandé. Hypothèse de travail Un éditeur de jeux vidéo vous a chargé de déployer un réseau afin de gérer les joueurs du monde entier qui joueront sur leur jeu vidéo COS (Company of Students). Dans ce système de jeux vidéo en ligne, les joueurs se connectent à l un des serveurs de jeu situés sur votre réseau et discutent via des forums situés sur votre réseau. On distingue plusieurs catégories de joueurs : les joueurs normaux, les modérateurs et les bêta-testeurs. Chaque joueur s identifie par un pseudo et joue ensuite à COS. Le but de votre travail est de mettre en place l infrastructure réseau qui hébergera les serveurs. Après souscription et abonnement auprès d un fournisseur d Accès Internet (FAI), celui-ci vous attribue la plage d adresse IP publique de classe C suivante : , et vous fournit les renseignements suivants : Passerelle vers Internet : avec le masque réseau ; Serveur DNS 1 : ; Serveur DNS 2 : Afin de permettre aux employés (développeurs, commerciaux, graphistes, etc.) de COS de travailler dans un cadre sécurisé, il a également été décidé d adjoindre un réseau privé ( /24) à votre réseau. On prendra dans cet examen les notations suivantes : routeurs R 1, R 2,..., R n. On désignera par hôte les appareils divers reliés par réseau (PC, stations de travail, portables, etc.) nommés H 1, H 2,..., H m.

2 Partie I : Structuration du réseau On veut diviser le réseau public qui vous a été attribué en sous-réseaux permettant de respecter le découpage ci-dessous. Il comporte : 1. le réseau comportant les serveurs de jeux sur lesquels les joueurs se connecteront depuis l Internet : jeux.cos.fr. Ce réseau comporte 3 hôtes : HJ 1, HJ 2 et HJ le réseau comportant les serveurs dédiés aux discussions des joueurs, modérateurs et bêta-testeurs : forums.cos.fr. Ce réseau comporte 2 hôtes : HF 1 et HF la dorsale (réseau d interconnexion) de l entreprise : cos.fr. Ce réseau comporte 2 hôtes : HD 1 et HD 2. Le réseau privé, quand à lui, ne sera pas découpé, et sera connecté à la dorsale via un routeur R P. Il comporte 5 hôtes : HP 1, HP 2, HP 3, HP 4 et HP 5. Question 1 1. Quel doit-être l adresse IP externe de votre routeur communiquant avec la passerelle dont l adresse a été donnée par votre FAI? 2. Proposez un adressage que vous utiliserez dans tout le reste du sujet. Pour chacun des réseaux utilisés, donnez l adresse réseau, le masque, et l adresse de diffusion. 3. Dessinez 2 schémas (chacun sur une page complète orientée en mode paysage pour plus de lisibilité) (a) le schéma logique de votre réseau : vous prendrez soin de bien y faire figurer les adresses réseaux sous forme CIDR, les adresses IP de chaque interface des machines et l Internet. (b) le schéma matériel de votre réseau : vous prendrez soin de bien y faire figurer les commutateurs, routeurs et câbles entre les différentes machines. Question 2 On utilise des tables de routages statiques. Décrivez la table de routage de chaque routeur et de chaque hôte. Pour chaque entrée, vous indiquerez : 1. la destination (adresse réseau en notation CIDR) ; 2. l adresse du routeur à utiliser ; 3. l interface à utiliser. Section II : DNS La zone cos.fr. est déléguée par les serveurs DNS de la zone fr. à votre machine HD 1, ainsi que la zone inverse. nom (FQDN) type de ressources données de la ressources

3 Attention, le format FQDN (Fully Qualified Domain Name - Nom de Domaine Totalement Qualifié) est demandé pour chaque nom à résoudre dans le tableau. Question 3 Recopiez et complétez le tableau ci-dessus très précisemment (toutes les informations de la ressources doivent y figurer) de sorte à refléter la configuration du serveur DNS de la machine HD 1 qui dit que : 1. les serveurs DNS de la zone cos.fr. sont HD 1, HF 1 ainsi qu une machine extérieur nommée calypso.urec.cnrs.fr. d adresse IP le serveur primaire de la zone cos.fr. est HD 1. L adresse du responsable de la zone est hostmaster@adm.cos.fr. La synchronisation avec les serveurs secondaires se fait toutes les heures (et au cas où la synchronisation échouerait, toutes les demi-heures). La zone expire au bout d un mois, et la durée de vie minimum du fichier de zone est d une heure. 3. les serveurs de courriers sont HD 2 ainsi qu une machine extérieur nommée mail.linux.eu.org. d adresse IP : La machine HD 2 sera utilisée préférentiellement. 4. les machines HJ, HF et HD seront respectivement mis dans les domaines jeux.cos.fr, forums.cos.fr et cos.fr. Les noms des machines seront formé ainsi : hj1.jeux.cos.fr. pour la machine HJ 1 du domaine jeux.cos.fr par exemple. 5. la machine hj1.jeux.cos.f r est également connue sous l alias r. 6. les résolutions inverses nécessaires devront également figurer dans le tableau (format FQDN). Section III : Sécurité Face à l augmentation constante des problèmes de sécurité, plusieurs mesures doivent être prises dans la configuration de votre réseau sans pour cela gêner le fonctionnement des services offerts. Les machines du réseau public (jeux, forums et la dorsale) doivent être accessibles publiquement par les joueurs, modérateurs et bêta-testeurs pouvant se connecter aux machines depuis n importe quel endroit sur l Internet. Les services nécessaires à la bonne marche de l entreprise sont les suivants : Toutes les machines publiques doivent pouvoir être accessibles par ping (pour permettre aux joueurs de tester la connexion et la vitesse de connexion vers les serveurs de jeux) les jeux tournent sur les serveurs de jeux HJ k sur les ports TCP 3724, 6112 et 6881 à les forums sont accessibles sur les serveurs HF k sur les ports TCP 119 (news) et sur les ports 80 (web). les serveurs HD k font tourner des services DNS (UDP 53 et TCP 53), SMTP (TCP 25) et POP (TCP 110). Les employés du réseau privé, quand à eux, doivent pouvoir accéder à tous les services de l Internet sans aucune restriction. Tous les routeurs peuvent être équipés de pare-feux (firewall). Il ne vous est pas demandé d utiliser la syntaxe exacte d un logiciel particulier mais de décrire exactement ce qu il doit faire et les règles qu il doit appliquer très précisemment. Question 4 1. Comment configureriez-vous les pare-feux et quels sont les règles de filtrage que vous mettriez en place? Sur quelles machines? 2. expliquez comment les machines du réseau privé peuvent communiquer avec les machines de l Internet.

4 Question 5 Un pirate a tenté de s infiltrer dans le réseau interne en forgeant un paquet. Heureusement, celui-ci a été intercepté par le firewall. Voici les traces du paquet intercepté (les bits sont représentés sous forme hexadécimale par commodité). Début de la trame éthernet interceptée : b a7 cc 3a 00 0f ea ba ef 2c f c b b9 66 d4 0e 35 c0 a8 2b 04 a b9 f6 fb 7c a 6e f 6e ef 4c a 78 e1 af Fin de la trame interceptée. En vous aidant de l annexe, vous rpondrez aux questions suivantes : 1. Quelle sont les adresses ethernet source et destination du paquet? 2. Quelle est l adresse IP du pirate? À quelle machine du réseau interne voulait-il accéder? 3. En TCP ou en UDP? 4. Depuis quel port? Vers quel port? 5. À quel service le pirate voulait-il accéder? Question 6 Le scan de ports d un système consiste à balayer un ensemble de ports et de détecter les ports qui sont en écoute, c est à dire les ports sur lesquels un service est en attente de connexion. Il sert généralement à lancer ensuite des programmes d attaques sur des services connus ayant des failles de sécurité (par exemple débordement de buffer). Le programme nmap permet de faire ce scan de ports. Pour balayer rapidement tous les ports, nmap va tester pour chaque port, s il est en écoute en réalisant un échange de messages le plus réduit possible. 1. Quel est l échange de messages minimal à faire pour s assurer qu un port est en écoute dans le cas d une connexion TCP? 2. Peut-on détecter le scan de ports au niveau applicatif, en écrivant par exemple un logiciel qui se chargerait d écouter sur un port quelconque? Si oui, quelles seraient les grandes lignes d un tel programme? Si non, expliquer comment détecter ces attaques. Justifiez vos réponses. Section IV : Programmation Réseau Certains joueurs tentent de tricher sur COS en créant plusieurs comptes (normalement, un joueur ne doit posséder qu un compte), ce qui se traduit par une même adresse IP se connectant sous plusieurs pseudo. D autres joueurs trichent en se partageant le même compte ce qui se traduit par un même pseudo utilisé par plusieurs adresses IP différentes. Afin d intercepter ces tricheurs, on effectue un test à chaque identification d un client sous un pseudo. Il enregistre à chaque authentification le pseudo utilisé ainsi que l adresse IP d où provient la demande et stocke ce couple dans un fichier. Deux fonctions verifie multiple et verifie partage que vous n avez pas à implémenter vérifient respectivement si pour une adresse IP donnée il n y a pas d autres pseudo associé que celui donné en argument et si pour un pseudo donné il n y a pas d autres adresses IP associés que celui donné en argument. S il n y a pas de tentative de fraude, ces fonctions réactualisent éventuellement le fichier et retournent 0 (OK) sinon, elles retournent 2 (ERREUR).

5 int verifie_multiple (char *adresse_ip, char *pseudo) ; int verifie_partage (char *adresse_ip, char *pseudo) ; Le programme cos.c que vous devez implémenter devra réaliser les étapes suivantes : 1. Le programme attend sur le port TCP/3725 qu un joueur s identifie. 2. Il demande un pseudo à l utilisateur. 3. Il détecte si c est un tricheur à l aide des fonctions verifie multiple et verifie partage. Si c en est un, trace la fraude en appelant la fonction enregistrer fraudeur (char *pseudo, char *adresse ip). Sinon, lance le jeu. en appelant la fonction lancer jeu (char *pseudo, char *adresse ip). Les fonctions enregistrer fraudeur et lancer jeu ne sont évidemment pas à implémenter. Le programme cos doit évidemment supporter plusieurs connexions clientes simultanées (il s agit d un jeu en ligne multijoueur!) Implémentez le programme cos.c Annexes Trame Ethernet ADRESSE ETHERNET SOURCE TYPE ADRESSE ETHERNET DESTINATION Type IP (en hexadécimal) : 0800 Datagramme IP Longueur Version d en tete Type de service Longueur totale Identification Drapeau Décalage fragment Durée de vie Protocole Somme de controle d en tete Adresse IP Source Adresse IP destination Options IP Remplissage Note : options IP et Remplissage peuvent ne pas être présents dans la trame. Et ils ne sont pas présents dans l exercice... Ne considérez donc pas ces deux champs. Code du Protocole TCP (en hexadécimal) : 06 Code du Protocole UDP (en hexadécimal) : 11 Segment TCP Longueur en tete Port source TCP Réservé Somme de controle Numéro de séquence Numéro d acquittement Code Options Datagramme UDP Port destination TCP Taille de la fenetre Pointeur urgent Remplissage Port source UDP Longueur du message Port destination UDP Somme de controle

6 Quelques conversions hexadécimales E 14 0F A 42 2B 43 2C B 91 5D E 110 8F C 156 A1 161 A8 168 BA 186 C0 192 C1 193 CC 204 D4 212 EA 234 EF 239 F A A CC3A Quelques services bien connus Nom du service tcpmux ftp-data ftp fsp ssh ssh telnet smtp nameserver whois domain domain mtp bootps bootps bootpc bootpc tftp Numéro de port/protocole 1/tcp 20/tcp 21/tcp 21/udp 22/tcp 22/udp 23/tcp 25/tcp 42/tcp 43/tcp 53/tcp 53/udp 57/tcp 67/tcp 67/udp 68/tcp 68/udp 69/udp Nom du service www www csnet-ns csnet-ns rtelnet rtelnet pop3 pop3 pwdgen pwdgen ldap login who syslog printer nfs nfs Numéro de port/protocole 80/tcp 80/udp 105/tcp 105/udp 107/tcp 107/udp 110/tcp 110/udp 129/tcp 129/udp 389/tcp 513/tcp 513/udp 514/udp 515/tcp 2049/tcp 2049/udp