télécharger 44.21 Kb.
|
Université de Technologie de Troyes RE16 : sécurisation des réseaux IP __________________________________________________________________________________________ ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() Examen Médian 10 novembre 2004 Durée : 2 heures Aucun document n’est autorisé Exercice 1 Masque générique Donnez l’ensemble des adresses IP concernées par les notations suivantes :
Exercice 2 Attaque de type « smurf sur un serveur interne » Le réseau utilisé est celui de la figure ci-dessous. Un hacker cherche à faire une attaque de type « deny of service » (DoS) sur le serveur 200.1.2.1. Pour cela, il décide d’envoyer (étape 1) un « ping » dans un paquet dont :
De cette façon, toutes les machines du réseau 200.1.1.0 vont recevoir un ping dont elles vont penser qu’il vient du serveur 200.1.2.1. Elles vont donc toutes lui répondre à peu près en même temps (étape 2), ce qui provoquera une surcharge du serveur et l’indisponibilité du service qui a motivé son installation. étape 2 toutes les machines répondent en même temps ! étape 1 ping de 200.1.2.1 vers 200.1.1.255 ![]() Il a été décidé de ne pas filtrer le protocole ICMP en entrée du réseau. Les « ping » doivent toujours pouvoir être échangés entre les réseaux 200.1.2.0/24 et 200.1.1.0/24.
Il suffit d’interdire l’entrée sur l’interface côté Internet des paquets dont l’adresse source appartient aux réseaux internes. access-list 10 deny ip 200.1.1.0 0.0.0.255 access-list 10 deny ip 200.1.2.0 0.0.0.255 access-list 10 permit ip any any interface serial 1 ip access-group 10 in Exercice 3 Surveillance du réseau Vous soupçonnez un utilisateur de votre réseau de passer son temps à « surfer » sur Internet, alors que l’ordinateur qui lui est attribué est normalement destiné à une autre tâche. Pourtant, à chaque fois que vous êtes entré dans son bureau, il semblait travailler. Vous ne pouvez pas intervenir sur son poste car vous craignez qu’il se doute que vous surveillez son activité.
Problème 1 Filtrage Vous administrez le réseau ci-dessous. Le routeur interne se charge de translater les adresses privées des utilisateurs internes vers l’adresse 200.1.1.10. Il vous est demandé de sécuriser le réseau en autorisant explicitement certaines actions, et en interdisant par défaut toutes les autres. Les actions autorisées en entrée sont celles en rapport avec les serveurs publics. Par ailleurs les utilisateurs internes doivent pouvoir naviguer sur Internet. ![]()
Vous avez créé l’ACL étendue suivante et vous l’avez appliquée sur le routeur périphérique. Après essai, vous vous rendez compte que le fonctionnement n’est pas satisfaisant. En effet, les utilisateurs internes n’arrivent pas à consulter Internet. Vous faites un essai en tapant directement une adresse IP publique valide dans la barre d’adresse d’Internet Explorer, et vous constatez que la page web correspondante vous arrive normalement. access-list 100 permit tcp any host 200.1.1.14 eq 80 (1) access-list 100 permit udp any host 200.1.1.13 eq 53 (2) access-list 100 permit tcp any host 200.1.1.12 eq 25 (3) access-list 100 permit tcp any eq 25 host 200.1.1.12 established access-list 100 permit tcp any host 200.1.1.11 eq 21 (4) access-list 100 permit tcp any host 200.1.1.11 eq 20 (5) access-list 100 permit tcp any eq 80 host 200.1.1.10 established (6) access-list 100 deny ip any any (7) interface Ethernet1 ip access-group 100 in
Certains utilisateurs du réseau interne se plaignent de l’apparition du virus W32/Rbot-PE. Vous avez cherché des renseignements sur ce virus (voir copie d’écran). Par ailleurs, vous avez créé un répertoire partagé sur la machine 10.10.0.5 et vous l’avez consulté depuis la machine 10.10.0.35 (voir résultat de la commande netstat –n).
![]() ![]() Problème 2 Segmentation ![]() Vous administrez le réseau ci-dessus. Les utilisateurs sont assez nombreux et se plaignent de la lenteur du réseau. Vous avez utilisé un logiciel de supervision du trafic, et vous avez constaté qu’il y a un problème de congestion au niveau du switch. Vous décidez de segmenter le réseau pour essayer d’améliorer la situation. Le routeur est un modèle modulaire qui possède :
Aucun matériel de réserve n’est disponible. Le routeur et le switch sont compatibles VLAN. Segmentation IP sans VLAN Vous décidez de segmenter le réseau en deux sous-réseaux :
La machine 10.10.10.3 envoie un paquet IP à l’adresse 10.10.10.255.
La machine 10.10.10.3 envoie un paquet à l’adresse IP 10.10.20.255.
Segmentation VLANs + sous-réseaux Vous décidez de segmenter en deux VLANs, tout en gardant la segmentation IP précédente.
La machine 10.10.10.3 envoie un paquet IP à l’adresse 10.10.10.255.
La machine 10.10.10.3 envoie un paquet à l’adresse IP 10.10.20.255.
Barème : Exercice 1 : 4 points
Exercice 2 : 3 points Exercice 3 : 3 points Problème 1 : 20 points
Problème 2 : 20 points
(note sur 20) = (note sur 50) * 2/5 Réponses Exercice 1
192.168.1.254 192.168.2.254 ... 192.168.254.254 192.168.255.254 Exercice 2Il suffit d’interdire l’entrée sur l’interface côté Internet des paquets dont l’adresse source appartient aux réseaux internes. access-list 10 deny ip 200.1.1.0 0.0.0.255 access-list 10 deny ip 200.1.2.0 0.0.0.255 access-list 10 permit ip any any interface serial 1 ip access-group 10 in Exercice 3 Il suffit de créer une ACL sur l’interface du routeur qui sert cet utilisateur. Cette ACL n’interdira rien et sera de la forme : access-list 100 permit tcp host ??. ??.??.?? any eq 80 access-list permit ip any any Elle permettra la consultation des statistiques (show access-list 100) et montrera combien de fois la première instruction qui laisse passer le flux http aura été utilisée. Problème 1
(2) autorise les requêtes dns vers le serveur dns (3) autorise les requêtes smtp vers le serveur smtp la deuxième ligne autorise le retour des réponses smtp aux requêtes que le serveur smtp interne envoie (4) et (5) autorisent les requêtes ftp contrôle et data (6) autorise l’entrée des réponses http aux requêtes que les utilisateurs internes envoient (7) interdit tout le reste
access-list 100 permit udp any eq 53 host 100.1.1.10
Le virus arrive dans le réseau par l’un des moyens ci-dessus, et se propage ensuite par le port 445
(2) utiliser les patches correctifs pour limiter sa propagation (3) informer les utilisateurs des risques d’utiliser les partages, et les inviter à ne laisser des partages actifs que lorsque c’est absolument nécessaire (4) pour éviter que le virus ne rentre dans les serveurs publics, il faut utiliser en entrée un FireWall capable d’appliquer du filtrage sur le contenu des paquets acceptés en entrée (passerelle d’application) Problème 2 10.10.10.0/24 10.10.20.0/24
(2) câblage (3) donner les bonnes @IP aux interfaces Sur le switch : (1) installation physique (2) câblage Sur les postes : (1) changer les paramètres TCP/IP :
VLAN 1, SR1 10.10.10.0/24 VLAN 2, SR2 10.10.20.0/24
(2) programmation de son interface en deux sous interfaces et attribution des adresses IP (3) installation du protocole d’étiquettage des trames sur le port fastethernet Sur le switch : (1) éventuellement câblage (dépend du type de VLAN) (2) création des VLANet affectation des utilisateurs (3) installation du protocole d’étiquettage des trames sur le lien vers le routeur
(2) peu ou pas d’intervention sur le câblage (dépend du type de VLAN mis en oeuvre) (3) retour facile à la situation de départ si il y a un problème Inconvénients : (1) il faut maîtriser les VLAN (configurations plus complexes) (2) l’architecture logique n’est plus lisible sur l’architecture physique, le réseau est plus difficile à comprendre |