ROUT TD 3 Machines hôtes et équipements intermédiaires

Documents pareils
Cisco Certified Network Associate

Introduction. Adresses

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

DHCP et NAT. Cyril Rabat Master 2 ASR - Info Architecture des réseaux d entreprise

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

Chapitre I. La couche réseau. 1. Couche réseau 1. Historique de l Internet

Plan. Programmation Internet Cours 3. Organismes de standardisation

Présentation du modèle OSI(Open Systems Interconnection)

Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage:

SYSTEME DE GESTION DES ENERGIES EWTS EMBEDDED WIRELESS TELEMETRY SYSTEM

L3 informatique Réseaux : Configuration d une interface réseau

Installation et configuration d un serveur DHCP (Windows server 2008 R2)

RESEAUX TCP/IP: NOTIONS AVANCEES. Preparé par Alberto EscuderoPascual

Administration des ressources informatiques

Le service IPv4 multicast pour les sites RAP

Réseaux IUP2 / 2005 IPv6

Cisco Certified Network Associate

CONFIGURATION FIREWALL

Figure 1a. Réseau intranet avec pare feu et NAT.

Rappels réseaux TCP/IP

Formation Iptables : Correction TP

Cisco Certified Network Associate Version 4

DIFF AVANCÉE. Samy.

Devoir Surveillé de Sécurité des Réseaux

Fonctionnement du protocole DHCP. Protocole DHCP (S4/C7)

Internet Protocol. «La couche IP du réseau Internet»

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

U.E. ARES - TD+TME n 1

Protocoles IP (2/2) M. Berthet. Les illustrations sont tirées de l ouvrage de Guy Pujolle, Cours réseaux et Télécom Contributions : S Lohier

Télécommunications. IPv4. IPv4 classes. IPv4 réseau locaux. IV - IPv4&6, ARP, DHCP, DNS

Sécurité des réseaux Firewalls

CAS IT-Interceptor. Formation «Certificate of Advanced Studies»

Sécuriser son réseau. Sécuriser son réseau Philippe Weill (IPSL/LATMOS) Frédéric Bongat (SSI/GOUV/FR)

Capture, Filtrage et Analyse de trames ETHERNET avec le logiciel Wireshark. Etape 1 : Lancement des machines virtuelles VMWARE et de Wireshark

Réseaux et protocoles Damien Nouvel

Introduction aux Technologies de l Internet

Couche application. La couche application est la plus élevée du modèle de référence.

TCP/IP, NAT/PAT et Firewall

2. DIFFÉRENTS TYPES DE RÉSEAUX

NOTIONS DE RESEAUX INFORMATIQUES

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Réseaux Locaux. Objectif du module. Plan du Cours #3. Réseaux Informatiques. Acquérir un... Réseaux Informatiques. Savoir.

TP réseaux Translation d adresse, firewalls, zonage

Cours CCNA 1. Exercices

Mettre en place un accès sécurisé à travers Internet

Programme formation pfsense Mars 2011 Cript Bretagne

Aperçu technique Projet «Internet à l école» (SAI)

Les Virtual LAN. F. Nolot. Master 1 STIC-Informatique 1

Security and privacy in network - TP

Présentation et portée du cours : CCNA Exploration v4.0

GENERALITES. COURS TCP/IP Niveau 1

SSL ET IPSEC. Licence Pro ATC Amel Guetat

! 1 /! 5 TD - MIP + RO - NEMO. 1. Mobile IP (MIPv6) avec optimisation de routage

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

Réseaux - Cours 4. Traduction d adresse (NAT/PAT) et Service de Nom de Domaine (DNS) Cyril Pain-Barre. IUT Informatique Aix-en-Provence

Configuration des routes statiques, routes flottantes et leur distribution.

N o t i o n s d e b a s e s u r l e s r é s e a u x C h a p i t r e 2

Présentation et portée du cours : CCNA Exploration v4.0

LES PROTOCOLES DES RÉSEAUX

TARMAC.BE TECHNOTE #1

Année Universitaire session 1 d automne Parcours : CSB5 Licence 3 STS Informatique

MISE EN PLACE DU FIREWALL SHOREWALL

Découverte de réseaux IPv6

Chapitre 6 -TP : Support Réseau des Accès Utilisateurs

Le Multicast. A Guyancourt le

Haka : un langage orienté réseaux et sécurité

Mise en place d'un Réseau Privé Virtuel

Réseaux. 1 Généralités. E. Jeandel

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

Mise en œuvre d une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ

Services Réseaux - Couche Application. TODARO Cédric

Ch2 La modélisation théorique du réseau : OSI Dernière maj : jeudi 12 juillet 2007

Plan du Travail. 2014/2015 Cours TIC - 1ère année MI 30

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

TER Réseau : Routeur Linux 2 Responsable : Anthony Busson

Réseaux Internet & Services

Culture informatique. Cours n 9 : Les réseaux informatiques (suite)

UFR de Mathématiques et Informatique Année 2009/2010. Réseaux Locaux TP 04 : ICMP, ARP, IP

Configuration automatique

Réseaux grande distance

Configuration serveur pour le mode L4 DSR

M1 Informatique, Réseaux Cours 9 : Réseaux pour le multimédia

Principes de DHCP. Le mécanisme de délivrance d'une adresse IP à un client DHCP s'effectue en 4 étapes : COMMUTATEUR 1. DHCP DISCOVER 2.

Sécurité d IPv6. Sécurité d IPv6. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

Dynamic Host Configuration Protocol

le nouveau EAGLEmGuard est arrivé. Dissuasion maximum pour tous les pirates informatiques:

Proxy et reverse proxy. Serveurs mandataires et relais inverses

INTERNET est un RESEAU D ORDINATEURS RELIES ENTRE EUX A L ECHELLE PLANETAIRE. Internet : interconnexion de réseaux (anglais : net = réseau)

Théorie sur les technologies LAN / WAN Procédure de test sur les réseaux LAN / WAN Prise en main des solutions de test

Configuration automatique

(In)sécurité de la Voix sur IP [VoIP]

Les systèmes pare-feu (firewall)

Les Réseaux. les protocoles TCP/IP

Tunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud

Licence 3 Systèmes et Réseaux II. Chapitre V : Filtrage

Outils d'analyse de la sécurité des réseaux. HADJALI Anis VESA Vlad

Protocoles réseaux. Abréviation de Binary Digit. C'est la plus petite unité d'information (0, 1).

Transcription:

Machines hôtes et équipements intermédiaires Semaine du 30 Janvier 2017 1 Réseau domestique et NAT Un réseau domestique est généralement constitué de plusieurs machines hôtes connectées via Ethernet ou WiFi à une box qui elle, est directement reliée au fournisseur d accès Internet (FAI) par un lien ADSL ou fibre optique. On suppose que le FAI attribue une adresse publique (routable) unique par foyer connecté. Q1. La box agit tour à tour en tant que client DHCP et serveur DHCP. Pourquoi agit-elle comme un client? Comme un serveur? Q2. La box fait office de gateway (passerelle) pour le réseau domestique. Comment font les machines hôtes du réseau pour découvrir l adresse IP de la gateway? Cette adresse diffère-t-elle de l adresse publique attribuée par le FAI? Justifiez votre réponse. Q3. Supposez qu une des machines hôtes du réseau domestique envoie un segment TCP-SYN à destination d un serveur Web distant. Expliquez les rôles respectifs de ARP et de NAT lorsqu il s agit pour la machine hôte d envoyer son premier paquet IP et pour la box, de placer ce paquet sur le lien qui la relie au FAI. Q4. Comment le NAT fait-il pour retrouver l adresse IP privée (interne) d une machine hôte lorsqu il reçoit une réponse HTTP avant de la faire parvenir au client à l origine de la requête initiale. Q5. Après avoir déterminé l adresse IP privée du client, le NAT encapsule le paquet IP dans une trame Ethernet qu il doit transmettre au client. Comment fait le NAT pour déterminer l adresse MAC Ethernet à spécifier comme adresse de destination de la trame. Q6. Des sites Web offrent la possibilité aux utilisateurs cachés derrière un NAT de découvrir l adresse IP publique que leur attribue leur FAI. (a) Pourquoi est-il difficile pour un tel utilisateur de découvrir cette adresse IP? (b) Comment procèdent les sites Web offrant un tel service pour découvrir l adresse IP publique? Q7. Pourquoi est ce que les NATs sont tant déployés, malgré le fait qu ils étaient un moyen temporaire de pallier à l épuisement des adresses IPv4, en attendant le déploiement de IPv6? 2 File Transfer Protocol (FTP) FTP (File Transfer Protocol) est un protocole de niveau 7 utilisé pour transférer des fichiers entre deux machines hôtes. FTP utilise les services de TCP. Le numéro de port du processus serveur est identifié par le numéro de port 21 sur lequel il reçoit les demandes de connexion (commande PORT). Le client FTP utilise cette connexion pour soumettre au serveur des commandes qui permettent, par exemple, de lister les fichiers localisés dans un des répertoires du serveur (LIST), naviguer parmi ces répertoires (CWD) ou initier le transfert d un fichier (RETR) qui sera en fait envoyé sur une autre connexion TCP sur le port 20. Contrairement au protocole HTTP qui dispose d une seule connexion TCP pour envoyer aussi bien sa signalisation que les données utiles 1, la signalisation de FTP est dite hors-bande (out-of-band) dans le sens où 1 du point de vue des utilisateurs 1 / 8

elle transite le long d une connexion dédiée (port 21), distincte de celle utilisée pour les données (port 20). Dans le cas de HTTP, on parle de signalisation dans la bande (in-band). Q1. Sachant que l on souhaite que le serveur initie la connexion FTP dédiée au transfert de données, comment ce dernier peut-il connaître le port du client nécessaire à l établissement de cette connexion? Q2. Lorsque le choix du numéro de port de la connexion TCP côté client est à la charge de ce dernier, un problème peut se poser lorsque la machine hôte du client est située derrière un NAT. Pourquoi? Q3. Si le NAT devait agir de façon à autoriser l utilisation de ce mode de fonctionnement quant au choix des numéros de port, quelles seraient les actions à prendre au niveau du NAT? Q4. Pourquoi ces actions pourraient-elles modifier la taille des paquets échangés le long de la connexion dédiée à la signalisation FTP? Q5. Quelle seraient les conséquences de ces actions au niveau du NAT sur les autres applications qui auraient le malheur d utiliser le port 21? Quelles conséquences aurait sur le transfert de fichiers l utilisation d un VPN sécurisé entre machine hôte du client et celle du serveur? Q6. Supposez à présent que le choix des numéros de ports pour la connexion dédiée au transfert de fichiers est à la charge du serveur. Expliquez pourquoi est-il dans ce cas là plus simple pour FTP de s accommoder de la présence d un NAT côté client. 3 Réseau d entreprise Une société souhaite installer un routeur qui assumera le rôle de pare-feu et de NAT pour le compte de son réseau local. Q1. Le réseau est constitué d environ 100 000 machines qui accèdent simultanément à Internet. Quel problème peut se poser si l entreprise dispose d une seule adresse IP publique? La société souhaite exécuter un serveur Web sur une des machines internes de son réseau. Cette machine sera la seule autorisée à être joignable de l extérieur. Les autres machines locales restent invisibles et ne peuvent communiquer qu à leur initiative vers des machines extérieures. Q2. Comment configurer le réseau afin d autoriser le fonctionnement du serveur Web? Q3. Si, à présent, la société souhaite installer un second serveur Web, cette configuration reste-t-elle valide? Comment faire pour autoriser la présence du second serveur? Q4. Revenons au cas d un serveur Web unique. (a) Quelle est l adresse IP utilisée pour contacter le serveur Web depuis l extérieur de la société? (b) Listez les champs que modifie le NAT lorsqu un paquet destiné au serveur Web est reçu par le NAT dans le réseau interne. 2 / 8

32 bits 4 bits 6 bits 6 bits 16 bits Ver. IHL ToS Total Length Identication 0 D F M F OF (Offset Fragment) TTL Protocol Header Checksum Source Address Source Port Destination Address Options + Padding Sequence Number Destination Port Entête IP Entête TCP THL Reserved Checksum Acknowledgment Number U A P R S F RG CK SH ST YN IN Window Urgent Pointer Options + Padding Data (Payload) Q5. Supposez à présent que le réseau ne comporte plus de NAT et que la société possède le préfixe d adresses IP publiques 1.0.0.0/8 : toutes les machines sont configurées avec une adresse IP routable et le serveur Web maison s exécute sur le port 80 et son adresse IP est 1.2.3.4. Quelles sont les cinq (5) règles à installer au niveau du firewall afin d assurer le même comportement que dans le cas du NAT? On ne prendra en compte que le trafic utilise le protocole de transport TCP. Pour autoriser n importe quelle valeur dans une des colonnes, on utilise le métacaractère *. Le trafic écarté par une règle est exclu dans la suite du tableau, les règles se cumulant au fur et à mesure. Le champs Cible doit être complété avec le mot-clé ACCEPT ou REJECT.Une seule ligne est nécessaire. Cible (politique) Protocole (# port) Source Destination TCP flags 3 / 8

4 Routage, adressage et tunnels 10.0.0.2 10.0.0.1 00:00:01 00:00:02 2.0.0.2 00:00:0d 3.0.0.1 3.0.0.3 00:00:0e 00:00:10 3.0.0.2 00:00:0f Serveur H2 1.2.3.4 Client H1 2 NAT 00:00:03 1.2.3.5 00:00:04 3 Tunnel IPv4 Tunnel IPv4 2.0.0.1 00:00:0c 1.2.3.12 00:00:0b 1 3.0.0.4 00:00:11 3.0.1.2 00:00:12 1.2.3.6 00:00:05 1.2.3.7 00:00:06 1.2.3.9 00:00:08 1.2.3.8 00:00:07 4 1.2.3.10 00:00:09 1.2.3.11 00:00:0a La figure ci-dessus représente la topologie d un réseau. Le réseau LAN à gauche utilise un NAT (Network Address Translation) pour se connecter à l Internet et comprend un hôte client H1. Le réseau LAN à droite comprend un serveur Web H2. Les paquets entre H1 et H2 sont routés le long du chemin composé des liens noirs et inclut deux tunnels IPv4. Tous les paquets qui traversent le chemin utilisent les deux tunnels. Des adresses IP et MAC sont assignées aux interfaces réseau des équipements tel que montré sur la figure. Le client H1 a établi une session HTTP avec le serveur H2 et les paquets de données sont échangés entre H1 et H2. Donné à titre d exemple, les entêtes pour le paquet 1 (entre le serveur H2 et le client H1). Notons que les entêtes doivent être ordonnés de la plus éloignée à la plus proche du payload : Ethernet doit être listé avant IP parce que le paquet IP est encapsulé dans la trame Ethernet. Type de l entête Source Destination Ethernet 00:00:10 00:00:0f IP 3.0.1.2 1.2.3.4 Remplissez le type d entête et les adresses source et destination pour les entêtes de niveau réseau et liaison pour les paquets 2, 3 et 4. Ces paquets vont du client H1 au serveur H2 et représentés par les flèches sur la figure. Q1. Entête pour le paquet 2 Type de l entête Source Destination Q2. Entête pour le paquet 3 Type de l entête Source Destination 4 / 8

Q3. Entête pour le paquet 4 Type de l entête Source Destination 5 Un autre réseau commuté et routé H1.ip H1.mac H1 Ra.ip Ra.mac S1.ip S1b.mac S1.ip S1a.mac S2.ip S2a.mac S2 S2.ip S2c.mac Rc.ip Rc.mac R Rb.ip Rb.mac S1 H2.ip H2.mac S2.ip S2b.mac H2 La figure ci-dessous représente un réseau comprenant un routeur R2 et deux commutateurs (switches) S1 et S2. Les adresses physiques et logiques des interfaces réseau sont données dans la figure. La machine H1 envoie un paquet vers H2. Q1. Combien de réseaux locaux (d un point de vue de la couche liaison) sont représentés dans la figure? L hôte H1 veut envoyer un paquet IP vers l hôte H2. Pour ce faire, il devra envoyer le paquet vers sa gateway (le routeur R). Il devra donc utiliser ARP pour connaître l adresse MAC du routeur R. Q2. Quand H1 envoie sa requête ARP, quelle est l adresse destination de couche liaison (Ethernet) de cette requête? Q3. Quand H1 envoie sa requête ARP, quelle est la réponse à cette requête? Q4. Juste avant que le paquet n atteigne le commutateur S2, quelle est son adresse source de couche liaison (Ethernet)? Q5. Juste après que le paquet ne sorte du routeur R, quelle est son adresse source de couche réseau (IP)? Q6. Juste avant que le paquet n atteigne le commutateur S1, quelle est sa destination de couche liaison (Ethernet)? Q7. Est-ce que l entrée S2a.mac existe dans la table d acheminement (forwarding table) de S1? Q8. Dans quel(s) cas l interface Ethernet de src va-t-elle recevoir des trames Ethernet ayant pour destination Rc.mac? Q9. Les commutateurs ont-ils une adresse MAC? Si oui, combien? A quoi serve(nt)-elle(s)? Comment fait une machine hôte pour découvrir l adresse d un commutateur situé sur le même réseau local? 5 / 8

6 Réseau d entreprise Client Serveur DHCP A B C Serveur local DNS D Commutateur E F Auth DNS Auth DNS..net H Routeur Auth DNS Serveur Web G example.net example.net I Dans la figure ci-dessous, un client A (située à gauche) se connecte à Internet dans le but de récupérer la page web http://example.net/ qui se trouve sur le serveur Web H (à droite). Tous les liens sont de segments Ethernet. Dans cette question, on vous demande de lister les valeurs comprises dans l entête des paquets envoyés pour que cette page web parvienne à A. Pour faire référence aux adresses demandées, vous utiliserez la notation suivante donnée pour H : IP-H est l adresse IP du serveur H, et MAC-H pour son adresse physique du serveur H. Si le paquet est inondé (broadcast) alors on utilisera BR : IP-BR pour l adresse 255.255.255.255, et MAC-BR pour l adresse FF:FF:FF:FF FF:FF. Nous ferons les hypothèses suivantes : Hormis pour A, les caches ARP de toutes les autres machines sont déjà remplis. Le cache DNS du serveur DNS local C est vide. La page web http://example.net/index.html tient dans un seul paquet IP. Tous les caches (DNS, ARP, DHCP) du client A sont vides. Pour les paquets dont l entête vous est demandés, donnez les adresses réseau et physique. Pour une requête DNS de A vers C, voici les entrées demandées : Ordre Src. (MAC) Dest. (MAc) Src. (IP) Dest. (IP) Protocole 1 MAC-A MAC-C IP-A IP-C DNS query 2 MAC-C MAC-A IP-C IP-A DNS response Q1. La première chose que A est censé faire en se connectant au réseau est de récupérer son adresse IP ainsi que d autres valeurs nécessaires au paramétrage de TCP/IP. Donnez la suite de paquets nécessaire à l obtention de ces informations. Ordre Src. (MAC) Dest. (MAc) Src. (IP) Dest. (IP) Protocole 1 2 3 4 5 6 6 / 8

Q2. Une fois son adresse connue, le client doit résoudre l adresse IP de http://example.net/ (notée IP-H). Donnez la suite des paquets impliqués. Ordre Src. (MAC) Dest. (MAc) Src. (IP) Dest. (IP) Protocole 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 7 / 8

Q3. Une fois l adresse IP-H connue de A, il doit télécharger la page web http://example.net/index.html. Donnez tous les paquets IP envoyés dans ce but. Pour la dernière colonne du tableau, si le paquet contient un segment sans charge utile (payload) alors mentionnez TCP SYN. Sinon mentionnez le type du message encapsulé, i.e., HTTP request ou HTTP response. Ordre Src. (IP) Dest. (IP) Protocole 1 2 3 4 5 6 7 8 9 10 8 / 8

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back