Home

Architecture matérielle des systèmes informatiques

Contents

1. V rifier la r vocation des certificats de l diteur v Il il Param tres par d faut a Figure 3 support de SSL 33 8 3992 TG PA 00 Atelier 1 V rifions galement la puissance de chiffrement c est marqu dans la page A propos de propos de Internet Explorer Version 6 0 2900 2150 xpsp_sp2_rtm 040803 2158 Niveau de cryptage 128 bit ID de produit Product ID 76413 008 3845645 22536 Versions des mises jour SP2 Bas sur NCSA Mosaic NCSA Mosaic TM a t d velopp par le National Center For Supercomputing Applications l Universit de l Illinois Urbana Champaign Copyright 1995 2004 Microsoft Corp Figure 4 puissance de chiffrement de IE La puissance de chiffrement supporte en g n ral un chiffrement sur 128 bits Acc dons au site s curis en indiquant l URL et en sp cifiant https car sinon on atterrit sur le site non chiffr eel https www labocned fr B Informations sur la s curit Figure 5 avertissement https Un avertissement nous accueille Lorsque l on fait OK on arrive sur la page Po Bienvenue sur une page chiffree Figure 6 page d accueil 34 8 3992 TG PA 00 Chiffrement des communications Si on clique dessus on peut consulter les informations du certificat En parcourant les dif f rentes rubriques vous verrez qu il contient les informations sui
2. cp bzImage floppy boot ce stade il n y a plus qu cr er un fichier le fichier de configuration floppy boot grub menu lst Le contenu suivant fera tr s bien l affaire timeout 2 default 0 title Linux 2 6 8 3 386 disquette root fd0 kernel boot bzImage root dev hda1 umount floppy Vous pouvez maintenant red marrer sur la disquette Si votre configuration mat rielle est un peu complexe disque SCSI par exemple cela ne fonctionnera pas Vous pouvez d marrer avec le CDROM d installation ou une distribution sp ciale r cup ration voir ci dessous Les supports disquette du CD Rom people debian org cts debian m68k boot floppies current READ fr txt Une distribution sp ciale r cup ration Voyez a cette adresse la possibilit de se cr er un c d rom avec plein d outils de r cup ration bien utiles http wwuw sysresccd org index en phpl 83 8 3992 TG PA 00 Faire des sauvegardes est primordial Enorm ment de solutions existent vous de trouver celle adapt e vos besoins tar est la commande historique pr sente sur tous les syst mes UNIX Diff rents moyens de red marrer un syst me en panne existent Si le syst me d marre mais se bloque ou vous emp che d arriver au login vous pouvez utiliser les modes de maintenance Attention comme vous l avez constat ces modes ne demandent pas le mot de passe de root Des petits malins peuvent d marrer votre syst m
3. n rales repi tent les r gles par d faut appliqu es aux connexions entre chaque zone L tablissement de connexion est d crit comme suit e du client initiant la connexion e vers le serveur recevant les requ tes Visualiser les r gles par d faut du Fone dient zone serveur Etat JNiveau de journal og all REJECT info all REJECT info all REJECT info all DROP info all REJECT info Figure 10 r gles par d faut de MNF Toutes les r gles par d faut sont REJECT ou DROP Il est important de noter que l ordre des r gles est fondamental lorsqu une r gle est remplie l action est r alis e puis le traitement est termin les r gles suivantes ne sont pas examin es 108 8 3992 TG PA 00 Le firewalling e Traitement des r gles les exceptions Partant de la politique par d faut la configuration du firewall consiste a d finir des exceptions qui vont autoriser un certain trafic Allez dans Configuration du pare feu Exceptions Exceptions BConfiguration des exceptions dans la section Regles ACCEPT fw teptudp 53 1 aim 2 ACCEPT dmz wan udp 53 ey mi 3 ACCEPT lan wan udp 53 Ey wW 4 REJECT wan fw tcp 113 g Il 5 ACCEPT lan fw tcp 22 EY 6 ACCEPT lan fw tcp 8443 7 U 7 ACCEPT fw lan icmp 8 gu O ACCENT lan ss iena oO CW TT Figure 11 exceptions aux r gles par d faut e Traitement des r gles dans quel ordre Le firewall fonctionne de c
4. Serveur DHCP Cache DNS IDS Intrusion Detection System VPN Virtual Private Network Explorez toutes ces possibilit s En ce qui concerne le filtrage il est assez complexe de d finir les listes de sites interdits Le mieux est de repartir des listes existantes http cri univ tlse1 fr documentations cache squidguard html Note les outils de filtrage de contenu de MNF sont les logiciels libres Squidguard et Dansguardian 129 8 3992 TG PA 00 Le routage IP statique Dur e approximative de cet atelier 5 heures gt Objectif Comprendre les principes du routage IP et l architecture du routeur logiciel Quagga Zebra Prendre en main Quagga et Zebra et mettre en pratique le routage statique Une fois l atelier fini vous saurez utiliser l interface de configuration de Quagga et Zebra saisir des routes statiques d boguer un routage incorrect gt Conditions pr alables Cet atelier pour tre vraiment int ressant n cessite un nombre important d ordinateurs Avec Virtual PC vous pourrez cr er autant de machines virtuelles que vous voudrez pour tester vos manipulations gt Consid rations techniques Ah le routage IP Concept essentiel pour qui veux comprendre le fonctionnement d in ternet Essentiel aussi pour qui veut r ussir l tude de cas au BTS L int r t fondamental du logiciel Zebra Quagga est que son langage de commande s ins pire tr s fortement de
5. Access denied Client address 10 0 0 1 Client group timerestriction URL http 192 168 0 1 Target class banneddestination The local time on the firewall is Thu Nov 11 16 02 24 2004 Sunday 09 30 12 0013 00 19 00 24 00 Figure 8 acc s une IP bloqu e Le mot cl important sur cette page est banneddestination qui d montre que l URL saisie 192 168 0 1 est bannie Les informations sur les horaires de connexion sont sans int r t ici Le m me exercice serait int ressant avec les noms DNS par exemple interdire l acc s www pirate com mais la station windows n est plus configur e pour utiliser un serveur DNS faire en approfondissement Avant de poursuivre supprimez le blocage de l URL 192 168 0 1 que nous venons d ajouter 126 8 3992 TG PA 00 Proxy 4 Cr ez a la racine du serveur web une page banni html contenant un mot que vous souhaitez voir bloqu par le proxy par exemple le mot piratage lt html gt lt head gt lt head gt lt body gt lt h1 gt Cette page a un contenu interdit piratage lt h1 gt lt body gt lt html gt V rifiez que cette page est accessible avec http 192 168 0 1 banni html depuis la station Windows Dans Filtre du contenu du Proxy web dans la liste des Mots interdits ajoutez le mot que vous souhaitez voir bloqu Tentez nouveau d acc der la page Access denied You are seeing this error
6. Prenons le sch ma suivant 192 168 16 2 Je voudrais contacter 200 15 3 16 80 Ordinateur Internet D accord 192 168 16 2 4066 C est pour toi Imprimante Ordinateur Vous connaissez la notation 200 15 3 16 80 C est surtout utilis pour l administration des quipements d interconnexion switchs routeurs Mais cela veut tout simplement dire je communique avec l h te d IP xxxx sur le port yy donc on tape xxxx yy Donc sur le sch ma exemple vous avez remarqu le client demande 200 15 3 16 80 et finalement le vrai destinataire c est 192 168 16 2 4066 C est le routeur qui fait tout a si le fabricant a bien voulu impl menter ces fonctions bien s r Attention avant d acheter m me un routeur familial En tude de cas exemple 2004 cela peut finalement s crire R gles NAT Network Address Translation PAT Port Address Translation appliqu es sur l interface 172 16 0 129 lt gt 172 16 0 66 2020 192 168 0 5 5600 117 8 3992 TG PA 00 S quence 5 118 R solution de l exercice tude de cas 2004 Le sujet nous simplifie ou nous rappelle gentiment les notions R gles NAT Network Address Translation PAT Port Address Translation appliqu es sur l interface 172 16 0 129 172 16 0 66 2020 Ed 192 168 0 5 5600 Ah mais il faut filtrer aussi D accord le seul probl me c est dans quel ordre on fait ces op ration
7. alors si nous commen cions d s maintenant nos semaines de 60 heures J esp re que vous aurez plaisir tudier ce cours merci et bon courage Bibliographie Les ouvrages qui traitent des r seaux sont nombreux certains sont g n ralistes ils couvrent tous les aspects ou presque comme ce cours par exemple d autres sont ax s sur quelques notions Voici une liste non exhaustive Avant d acheter n oubliez pas de v rifier la date de l dition les meilleurs de ces livres sont r gu li rement remis jour un livre qui date de plus de 2 ans peut tre consid r comme obsol te Pour un bon quilibre optez pour un livre g n raliste r seau et un livre sp cifique aux protocoles TCP IP PETIT BERTRAND Architecture des r seaux Cours et exercices corrig s Ed Ellipses KARANJIT S SIYAN TCP IP Ed CampusPress Coll Student Edition CASAD JOE TCP IP Notions fondamentales Ed CampusPress Ouvrages tr s int ressants mais qui commencent a dater DEAN T R seaux informatiques 2 dition Reynald Goulet 2002 MONTAGNIER J L Pratique des r seaux d entreprise Ed Eyrolles 2004 SIYAN K S TCP IP Ed CampusPress Coll Macmillan 1999 JACQUENOD F Administration des r seaux Ed CampusPress KIRCH O amp DAWSON T Administration r seau sous Linux Ed O Reilly Bien que nous ne souhaitions pas faire ici de publicit il est incontournable de vous citer des ouvrages du f
8. configure terminal Routeur1 deb Zebra config if no ip address 99 0 0 9 8 Routeur1 deb Zebra config if 152 8 3992 TG PA 00 Un routeur utilise une table de routage pour router les paquets qu il recoit Router consiste a recevoir un paquet sur une interface et choisir sur quelle autre interface l appareil doit le transmettre Ce m canisme est a la base d internet Une table de routage est constitu e des r seaux connus du routeur du masque r seau associ de la passerelle et de l interface r seau utiliser Le routage statique consiste saisir manuellement les routes dans la table de routage Si vous voulez approfondir Vous pouvez consulter le site http vww pmassol net pour un d but de traduc tion de la documentation de Zebra et des articles sur le sujet publi s dans Linux Magazine Le logiciel Zebra n est plus actif mais le site propose toujours des informations http www zebralorg Mais voyez plut t du c t de Quagga http www q gg t Ces livres traitent du routage e COMER Douglas TCP IP ARCHITECTURE PROTOCOLE ET APPLICATIONS DUNOD ISBN 2 10 005384 1 09 2001 p 830 e HUITEMA Christian LE ROUTAGE DANS L INTERNET EyROLLES ISBN 2 212 08902 3 10 1994 p 418 8 3992 TG PA 00 153 Le routage IP dynamique OSPF Dur e approximative de cet atelier 4 heures gt Objectif Une fois la s quence finie vous comprendrez le fonctionnement du protoc
9. lt Disque dur 3 Aucun lt Disques d annulations D sactiv Lecteur CD DVD Contr leur secondaire Fi Disquette D tection automatique comi Aucun com2 Aucun wt Aucun AL R seau Cartes r seau 1 Son Activ T Souris Pas d int gration du pointeur C2 Dossiers partag s Non install s 3 Affichage Par d faut Fermer Afficher le message Red marrez la machine virtuelle www andesi org index Connectez vous en root et tapez s Disque dur 2 O Auan Fichier de disque dur virtuel E Machine Virtuelle 2 Linux Debian 3 1 r5 Disque dur sauv de Pour cr er ou modifier un disque dur virtuel diquez sur Assistant Disque virtuel Assistant Disque virtuel Le disque dur 2 est le second disque dur de l ordinateur virtuel F mv2 debian etc cfdisk lt dev hd lettre a ou b ou gt a 8 3992 TG PA 00 Gestion des disques dev hda notre premier disque dev hdb voila notre nouveau disque Le logiciel rappelle a mon bon souvenir que le nouveau disque ne contient aucune partition c est pour le moment un espace libre Qu a cela ne tienne Nous allons en cr er une e Partitionnement Dans l exemple nous allons cr er une partition primaire de toute la capacit du disque 2 12p Disk Drive dev hdb 17179883648 byt 17 1 GB 16 Sectors per Track 63 Cylinders 33288 Part Type FS Type Label Size MB Primary 17179 81 Bootable ISO CCR COS
10. S quence 1 A Que disent les donn es Allons y doucement ce stade je vais juste vous demander de rep rer la s quence 00 c0 9f 1b 41 ad sur la ligne du dessous offset 0010 tiens notre MAC source c est quoi les 4 octets c0 a8 df fb avant la s quence de bourrage 00 etc Allez je convertis ces 4 octets en d cimal e c0 gt 192 a8 gt 168 df gt 223 fb 3251 e regardez c0 a8 df fb c est l IP de la machine qui demande la r solution d adresse Bon c est clair Obtenir l MAC dans une trame c est facile car c est au d but mais d couvrir les IP c est dans les donn es qu il faut chercher Formats de la partie donn es d une trame Ethernet Vous avez malheureusement bien lu j ai bien crit formats avec uns Pourquoi Eh bien qu est ce qui se retrouve dans la partie donn es de la trame Ce qui nous vient des couches sup rieures bien s r Et quoi ressemble ce qui vient du dessus Tout d pend des protocoles utilis s CQFD Nous allons ici rester raisonnable et n tudier que l habituel datagramme IP Structure du datagramme IP par lignes de 32 bits 1 4 5 8 9 16 17 19 20 24 25 32 Version IHL TOS Type Of Service Longueur du datagramme TL Total Length ID IDentification FO D placement Offset TTL Time To Live Protocole Total de Contr le Header Checksum Adresse IP Source Adresse IP Destination Options IP ventuelles Bour
11. configuration de terminal La saisie des routes se fait avec la commande ip route Son format g n ral est ip route lt adresse_reseau_destination gt lt adresse_ip_prochain_routeur gt Par exemple sur Routeur3 pour atteindre Routeur1 il faudra indiquer 11 0 0 0 8 en r seau de destination et l adresse IP de l interface de Routeur2 qui est situ e du c t de Routeur3 Routeur3 deb Zebra config ip route 11 0 0 0 8 12 0 0 1 Tentons a nouveau un ping dans le shell Linux Routeur3 deb Zebra config end Routeur3 deb Zebra quit Connection closed by foreign host Routeur3 deb ping 11 0 0 1 PING 11 0 0 1 11 0 0 1 from 12 0 0 2 56 84 bytes of data CTRL C 11 0 0 1 ping statistics 13 packets transmitted 0 packets received 100 packet loss 147 8 3992 TG PA 00 Atelier 8 J ai d interrompre la commande car elle restait bloqu e Cela ne marche donc pas Pourquoi Notez tout d abord la diff rence du message e pr c demment nous avions formellement From 192 168 3 254 icmp_seq 1 Destination Host Unreachable ne connaissant pas la route vers le r seau 11 0 0 0 8 le routeur3 deb essayait d envoyer les paquets via sa passerelle par d faut et concluait que l h te n tait pas joignable e maintenant ce message a disparu le message est rien attente de quoi on stoppe CTRL C et il conclue par des statistiques 13 paquets mis 0 re
12. 192 168 0 5 Port Destination 5600 Donc d apr s le sch ma il y a d abord filtrage puis application des translations II est juste dommage que les informations sortie et entr e soient invers es cela peut pertur ber je le reconnais R gle on appelle entr e les flux qui entrent sur le LAN on appelle sortie les flux qui sortent vers l ext rieur L le message du serveur http vers le serveur Base de donn es c est donc un flux entrant Ne pas se faire pi ger par le sch ma CQFD Mais attention il faut adopter les r gles et conventions du sujet 8 3992 TG PA 00 Proxy Dur e approximative de cet atelier 2 heures gt Objectif Aborder la configuration l mentaire d un proxy afin d optimiser de contr ler et de fil trer l acc s Internet gt Conditions pr alables Idem que pr c demment cet atelier tant une suite Nous continuons donc travailler avec une distribution MNF correctement install e Si vous ne pouvez pas disposer du m me logiciel lisez tout de m me cet atelier Introduction e G n ralit s Le proxy Squid de MNF propose deux fonctionnalit s principales optimisation de la bande passante sur le lien Internet lorsque de nombreux clients sont connect s et qu ils visitent les m mes sites contr le et filtrage de l acc s Internet en se basant sur les URI demand es les horaires les adresses IP des stations et les noms d utilisateur
13. A priori il n y a pas grand chose faire dessus pour le moment L adresse IP sera chang e au moment opportun et si le routage n est pas fonctionnel nous savons qu il ne pourra plus contacter son domaine et tous les services propos s par mv2 debian 135 8 3992 TG PA 00 Atelier 8 Mise en place des routeurs Cr ons 3 machines virtuelles routeur1 deb routeur2 deb et routeur3 deb Avec un dis que dur virtuel pour chacune Jusque l vous avez d j fait S lectionnons routeur1 deb par exemple vous ferez de m me pour les autres apr s amp Console Virtual PC Fichier Action 2 routeur 1 deb En fonctionnement routeur 2 deb En fonctionnement routeur 3 deb En fonctionnement Et cliquez sur Param tres S lectionnez le Param tre R seau pour configurer le nombre de cartes r seaux dont nous avons besoin pour chaque routeur Virtual PC permet d muler jusqu 4 cartes r seaux pour chaque machine virtuelle indiquez le nombre de cartes r seaux muler et s lectionnez l interface physique cor respondante Param tres pour routeur1 deb Param tre Valeur actuelle L Nom du fichier routeur 1 deb D M moire 128 Mo Nombre de cartes r seau 2 v Disque dur 1 Disque dur routeur 1 deb vhd lt Disque dur 2 Aucun Carte 1 Broadcom 802 11b g WLAN v potencies seed Carte 2 NET VY Disques d annulations D sactiv Lecteur CD DVD Contr leur secondaire HA Disquette D tection au
14. Atelier 4 amp _my2 debian31r5 Microsoft Virtual PC 2004 GNU GRUB version 0 95 639K lower 7 261056K upper memory Debian GNU Linux kernel 2 6 8 3 386 Use the Tf and keys to select which entry is highlighted Press enter to boot the selected OS e to edit the commands before booting or c for a command line highlighted entry will be booted automatically in 2 seconds Figure 1 cran de d marrage de la machine S lectionnez le mode recovery avant la fin du d compte Exercice libre pas de corrig Testez ces diff rentes possibilit s sur votre machine de test avant un r el probl me afin d tre pr par e Le mode r cup ration Votre syst me ne d marre plus du tout par exemple secteur de boot endommag Tout n est peut tre pas perdu Vous pouvez essayer de d marrer a partir d un support externe Disquette de d marrage Pour g n rer une disquette de d marrage utilisez la commande mkbootdisk suivi de la version de votre noyau Pour conna tre la version de son noyau mv2 debian uname r 2 6 8 3 386 82 8 3992 TG PA 00 Gestion des pannes reprise Premi rement formatez la disquette au format ext2fs et cr ez y les r pertoires boot et boot grub mke2fs dev fd0 mkdir floppy mount t ext2 dev fd0 floppy grub install root directory floppy dev fd0 Pour copier le noyau sur la disquette
15. Si vous voulez approfondir Consultez les pages http www commentcamarche net Idap pour plus de d tails Elles sont tr s bien construites Cherchez comment utiliser LDAP partir de Samba Apache ProFTPD etc Et pour tout savoir lisez LDAP ADMINISTRATION SYSTEME de CARTER publi chez O REILLy France ISBN 2 84177 293 4 O Je ne cherche pas dire que les humains sont des objets 58 8 3992 TG PA 00 Sequence 4 Un peu de th orie sur LDAP Dur e indicative 1 heure Cette s quence explique le fonctionnement g n ral d un annuaire LDAP gt Pr requis e Avoir r alis l atelier de mise en uvre d un annuaire LDAP gt Contenu 1 Rappels an aie 59 2 Organisation d un annuaire LDAP 00 00 ee 60 3 Les objets LDAP 58h niet 61 4 Les commandes LDAP 62 5 Notion d h ritage ic inca dau an 63 gt Capacit s attendues e Etre capable d voquer ces notions th oriques lors de manipulations pratiques d un annuaire LDAP _ Rappel Pac me vous a expliqu quelques concepts e qu est ce qu un annuaire e quoi cela sert etc Nous allons ici entrer un petit peu plus dans le d tail tout en restant raisonnable Donc LDAP signifie Lightweight Directory Access Protocol autrement dit c est un protocole l ger d acc s a un annuaire L annuaire g r est lui la norme X500 LDAP a t d velopp en 1995 par une quipe de
16. tp sh lt nom_de_fichier gt mv2 debian tp sh houba Le fichier de donn es n existe pas mv2 debian tp sh users txt Traitement de l utilisateur toto Changing password for user toto passwd all authentication tokens updated successfully Traitement de l utilisateur titi Changing password for user titi passwd all authentication tokens updated successfully Traitement de l utilisateur tata Changing password for user tata passwd all authentication tokens updated successfully Exercice 23 Vous crivez un script qui efface une liste d utilisateurs ainsi que leurs fichiers personnel pass e en param tre R sultat mv2 debian tp sh titi hochon tata toto traitement de l utilisateur titi traitement de l utilisateur hochon userdel l utilisateur hochon n existe pas traitement de l utilisateur tata traitement de l utilisateur toto D pannage Tout d abord soyez tr s rigoureux sur la syntaxe N oubliez pas d espace de parent se de crochet etc Consultez le man de bash pour obtenir des informations Vous pouvez ex cuter le script en mode d bogage en utilisant bash xv nom du script Enfin ce document contient des informations tr s d taill es sur le sujet Inttp www freeos com guides Iss 97 8 3992 TG PA 00 Le langage de script bash offre beaucoup de possibilit s de langages de program mation classiques mais son utilisation est orient e syst me On peut utili
17. tudier dans cette s quence la composition de la trame c est dire ce qui est fabriqu au niveau 2 et qui va ensuite tre mis sur le support 7 8 3992 TG PA 00 S quence 1 Les trames par la pratique Nous allons tout naturellement commencer par capturer des trames et regarder a quoi cela ressemble II nous faut pour cela un outil logiciel de capture de trame on parle aussi de snifer sans le doute le plus connu et celui que j ai utilis est ethereal http www wireshark org Bien s r ce fascicule n a pas pour objet d tre un manuel d utilisation de ce logiciel il vous faudra donc faire cet apprentissage vous m me Commen ons par une capture sans filtre et observons zax File Edit Capture Display Tools Help Destination 1 0 QUANTA_1b 41 who has 192 168 2 2 0 4 10 86 11 100 10 86 11 127 NBNS Name query NB BCDI 3 0 049940 83 177 164 38 192 168 223 31 TCP 5900 gt 37013 PSH AC Seq 4072903033 Ack 3680669105 win 4 0 050764 192 168 223 31 83 177 164 38 TCP 37013 gt 5900 PSH ACK Seq 3680669105 Ack 4072903182 win 5 0 164213 192 168 221 192 168 223 255 NETLOGON SAM LOGON request from client 6 0 260482 192 168 221 192 168 223 255 NBNS Name query NB JOE CHAUVET LAN lt 00 gt 7 0 389754 83 177 164 38 192 168 223 31 TCP 5900 gt 37013 PSH ACK Seq 4072903182 Ack 3680669115 wine 8 0 390557 192 83 177 164 38 TCP 37013 gt 5900 PSH ACK Seq 36806
18. SymLinksIfOwnerMatch Order allow deny Allow from all lt Directory gt ErrorLog var log apache2 log Possible values include debug info notice warn error crit alert emerg LogLevel warn CustomLog var log apache2 access log combined Serversignature on Alias doc ust share doc lt Directory usr share doc gt Options Indexes MultiViews FolowSymLinks AllowOverride None Order deny allow Deny from all Allow from 127 0 0 0 255 0 0 0 1 128 lt Directory gt lt VirtualHost gt lt VirtualHost 443 gt ServerAdmin webmaster localhost ServerName secure labocned fr 31 8 3992 TG PA 00 Atelier 1 SSLEngine on SSLCertificateFile etc apache2 ssl labocned fr crt SSLCertificateKeyFile etc apache2 ssl labocned fr key Serversignature EMail ErrorLog var log apache2 error_secure log CustomLog var log apache2 access_secure log combined DocumentRoot var www secure lt Directory gt Options FollowSymLinks AllowOverride None lt Directory gt lt Directory var www secure gt Options Indexes FollowSymLinks MultiViews AllowOverride None Order allow deny Allow from all lt Directory gt lt VirtualHost gt Et rechargeons le service mv2 debian etc apache2 etc init d apache2 reload Forcing reload of web server apache2 Apache 2 2 3 Pass Phrase Dialog Some of your private key files are encrypted for security reasons In order to
19. boucle et une condition Je suppose qu ce stade de votre formation ce n est pas un probl me Introduction Jusqu pr sent nous avons saisi beaucoup de commandes shell une par une Il est possible de regrouper des blocs de commandes dans un fichier de script Un script bash est un fichier texte contenant une suite de commandes shell ex cutables par un interpr teur ici le programme bin bash Le langage bash g re notamment e la gestion des entr es sorties et de leur redirection e des variables d finies par le programmeur et des variables syst mes e le passage de param tres e des structures conditionnelles et it ratives Un script peut tre lanc en ligne de commande ou bien dans un autre script 85 8 3992 TG PA 00 Atelier 5 Mes premiers scripts Nous allons balayer les principales caract ristiques des scripts e Afficher un message Un script tant un fichier texte on doit l diter avec un outil comme vi Tout script devrait commencer par la ligne bin bash C est obligatoire dans le cas o plusieurs shells sont install s sur la machine En effet il en existe plusieurs sh csh ksh zsh etc et chacun poss de son propre langage Dans cet atelier nous nous contenterons de celui install par d faut Ensuite notre script doit comporter au moins une instruction Par exemple utilisons la commande echo qui permet d afficher un message echo Bonjour le monde D
20. diff rentes fonctionnalit s de l appareil O MandrakeSecurity Bienvenue au centre de configuration du Mandrake Network Configuration Firewall syst me AN issant logiciel a t con u pour r pondr besoins en s curit de nos clients Il permet Acc s Internet riser efficacement un ou p d entreprise Services fandrake Ne f 4 et fournit des fonctionnalit s Configuration du pare feu Figure 5 cran d accueil de MNF 103 8 3992 TG PA 00 Atelier 6 e D pannage Tout d abord il existe une documentation du firewall sous la forme d un fichier pdf t l charger sur le site de Mandrake II contient de pr cieuses informations alors utilisez le Je n arrive pas faire des pings Il est inutile d essayer d envoyer des pings sur le firewall Pour des raisons de s curit celui ci est configur par d faut pour ne pas r pondre D autre part le logiciel poss de en standard un certain nombre de r gles d j configur es Les pings sont bloqu s entre les zones WAN et LAN Il est donc inutile d essayer de pinger au travers du firewall Par contre vous pouvez vous connecter en ligne de commande directement sur le firewall et faire des pings avec les machines de chaque c t Il faut d abord se loguer en admin puis en root commande su Je n obtiens pas l cran de login Au login directement sur le firewall connectez vous en admin puis au connectez vous en root commande su V rifiez ensuit
21. emp chent de d marrer correctement le syst me Il existe diff rents moyens de r cu p ration que nous allons pr senter dans cet atelier Mais avant tout nous allons dire quelques mots au sujet des sauvegardes Vous savez qu elles sont indispensables dans un environnement informatique L apparente fiabilit du mat riel cache des catastrophes m morables Ainsi vous devriez sauvegarder r gu li rement le syst me et les fichiers utilisateurs afin d tre en mesure de les restaurer au besoin Un point important le syst me RAID que nous avons mis en place l atelier pr c dent n est pas une sauvegarde Cela ne remplace pas la sauvegarde des fichiers sur un support externe conserv si possible hors de l entreprise Dans tous les cas il est tr s important de s entra ner sur des machines de test de simuler des pannes et de r aliser des restaurations afin d tre entra n le jour j On ne compte plus le nombre de personnes qui se croyaient l abri alors que leur syst me de sauvegarde ne fonctionnait pas ou mal 79 8 3992 TG PA 00 Atelier 4 Les sauvegardes Une t che classique d un administrateur consiste restaurer un syst me op rationnel que l on avait sauvegard avant une panne ou un probl me Nous allons maintenant voir com ment sauvegarder et restaurer dans un environnement Unix e La commande tar Pour faire une sauvegarde de votre partition syst me ou de n importe quel r pertoire ou partitio
22. es les comptes utilisateurs les groupes les machines les services les services rpc les cl publiques cf man nsswitch conf Nous allons maintenant installer et configurer le name service pour que le syst me puisse aller interroger Idap si n cessaire F mv2 debian etc apt get install libnss Idap mv2 deblan3 115 Microsoft Virtual PC 2004 mv2 debiand1r5 Microsoft Virtual PC 2004 Outil de configuration des paquets Outil de configuration des paquets eon 2 lt Oui gt la base LDAP demande une identi fication my2 debian3 115 Microsoft Virtual PC 2004 de configuration di lt Non gt ne soyons pas parano aque lt Oui gt le superutilisateur aura des privil ges sp cifiques E my2 debian3ir5 Microsoft Virtual PC 2004 Outil de configuration des paquets pn admin de labocned dc fr L vous savez quoi r pondre a 8 3992 TG PA 00 Mise en place d un annuaire LDAP mv2 debian31r5 Microsoft Virtual PC 2004 sjh 2 Ici aussi Enfin notez bien qu il nous faudra r aliser une petite modification manuelle Nous avons maintenant acc s e un fichier etc nsswitch conf mettre jour e un fichier etc libnss Idap conf personnaliser e une librairie libnss ldap so libnss configuration etc nsswitch conf contient la liste des infos g r es par nss qu il faut modifier etc nsswitch conf passwd compat ldap group compat ldap shadow compat
23. faire est d ajouter votre r seau interne dans la section R seau Autoris R seau Autoris 54 _ Restriction ee Publicit supprimer 54 Z z g Adresse IP Adresse IP interdite auvegarde et restauration Urls de destinations interdit Figure 6 filtrage sur les URL 124 8 3992 TG PA 00 Proxy Un premier niveau de filtrage peut tre op r sur les adresses IP ou DNS que les clients souhaitent atteindre r seau autoris IP des machines autoris es a utiliser le proxy publicit supprimer adresses ou noms de domaine des sites publicitaires afin de supprimer les images et autres banni res sur les sites consult s URL de destinations interdit adresses ou domaines interdits aux clients adresses IP privil gi es IP des machines de votre r seau local qui ne seront pas sou mises aux r gles du proxy adresses IP interdites IP des machines de votre r seau local qui ne sont pas autori s es a utiliser le proxy Une option un peu a part concerne la restriction du temps On d finit sur quelles plages horaires le proxy est actif donc la connexion a internet e Filtrage sur les contenus Les fonctionnalit s suivantes sont propos es ee C Liste des Mots Interdits B Liste des Extensions de Fichiers Interdites S Liste de type Mime interdits S _Urls de destinations interdit F4 ___Liste des adresses IP exception Y liste des Sites exception
24. home phochon mv2 debian etc ldap chown phochon home phochon mv2 debian etc Idap chgrp utilisateurs home phochon mv2 debian etc Idap ls la home drwxr xr x 2 phochonutilisateurs 1024 2007 07 21 19 11 phochon 3 En interrogeant la base passwd nous voyons tous les utilisateurs Idap ou pas mv2 debian etc getent passwd Maintenant que tout marche on va tenter un login avec un compte Idap Ouvrez un tty2 mv2 debian login phochon Password lt tapez votre mot de pass gt Login incorrect 54 8 3992 TG PA 00 Mise en place d un annuaire LDAP Il nous reste une derni re configuration le pam dans etc pam d se trouve les fichiers de configuration pour l authentification et il faut ajouter Idap mv2 debian etc pam d vi common auth auth sufficient pam_Idap so nullok_secure auth required pam_unix so nullok_secure mv2 debian etc pam d vi common account account sufficient pam_ldap so account required pam_unix so mv2 debian etc pam d vi common password password sufficient pam_Idap so use_authok password required pam_unix so nullok Mv2 debian etc pam d vi common session session optional pam_Idap so session required pam_unix so Paul HOCHON doit pouvoir ouvrir une session imv2 debian login phochon Password Last login Sun Jul 22 12 28 25 2807 on ttuyz Linux m2 debian 2 6 8 3 386 1 Thu Sep 45 39 52 UTC 2886 i686 GNU Linux The programs included with the Debian GNU Linux
25. indique que vous tes dans le mode VIEW c est le mode activ lorsque l on se connecte Comme son nom l indique il s agit d un mode de visuali sation de l tat du routeur Par exemple Zebra gt Une invite termin e par un indique que vous tes dans le mode ENABLE c est le mode privil gi qui permet de modifier la configuration du routeur On y acc de partir du mode VIEW en tapant la commande enable Par exemple Zebra gt enable Zebra Ensuite vous travaillerez essentiellement avec deux sous modes e le mode terminal de configuration On y acc de a partir du mode ENABLE en tapant la commande configure terminal Dans ce mode on peut entre autre saisir des routes sta tiques Par exemple Zebra configure terminal Zebra config e le mode interface On y acc de partir du mode terminal de configuration en tapant la commande interface suivi du nom de l interface r seau Dans ce mode on peut entre autre saisir l adresse IP et le masque de l interface Par exemple Zebra config interface eth0 Zebra config if L aide en ligne Retenez les l ments suivants ils vous seront d un grand secours e comme dans l interpr teur de commandes Linux le logiciel compl te toutes les commandes lorsque vous appuyez sur la touche TAB par exemple shTAB devient show e un simple appui sur indique toutes les commandes disponibles dans le mode dans lequel vous tes e enfin
26. ipv6 nd suppress ra interface eth2 ipv6 nd suppress ra interface lo interface sit0 ipv6 nd suppress ra line vty end Les mots de passe sont chiffr s maintenant 145 8 3992 TG PA 00 Atelier 8 e Enregistrement de la configuration Il faut revenir au mode ENABLE N oubliez pas de sauvegarder r guli rement Routeur2 deb Zebra config end Routeur2 deb Zebra copy running config startup config Configuration saved to etc quagga zebra conf Configuration des interfaces r seau Il faut attribuer une adresse IP et un masque chaque carte r seau Pour cela il faut se placer dans le mode configuration d interface puis utiliser une commande ip address Enfin il faut activer l interface avec une commande no shutdown Regardez le sch ma r seau de l atelier et exemple pour l interface ethO du routeur 2 Routeur2 deb Zebra Routeur2 deb Zebra Routeur2 deb Zebra Routeur2 deb Zebra configure terminal config interface eth0 config if ip addr 192 168 2 254 24 config if no shutdown Se Se eS OD Exercice 31 e Faites la m me manipulation en adaptant pour les deux autres interfaces de ce routeur puis affichez la configuration e Faites ensuite ces configurations sur les trois routeurs Configuration des routes Allez dans le shell Linux du routeur2 deb et listez sa table de routage route Table de routage IP du noyau Destination Passerelle Genmask Indic Metric Ref Us
27. la commande list donne la liste de toutes les commandes disponibles dans le mode dans lequel vous tes et de leurs param tres 140 8 3992 TG PA 00 Le routage IP statique e Prise en main de Zebra mise en pratique Si vous n tes pas dans le mode VIEW tapez end puis disable Zebra config if end Zebra disable Zebra gt Utilisation de l aide en ligne Exercice 30 e Listez l ensemble des commandes disponibles ce stade e Listez toutes les commandes disponibles ce stade avec tous leurs param tres e Listez tous les param tres de la commande qui permet d afficher la configuration commande show Affichage de l tat du routeur Listez les interfaces disponibles sur votre routeur avec la commande show interface n oubliez pas qu un simple shTAB intTAB suffit Zebra gt show interface Interface eth0 is up line protocol detection is disabled index 2 metric 1 mtu 1500 flags lt UP BROADCAST RUNNING MULTICAST gt HWaddr 00 03 ff 2e 42 02 inet 192 168 1 252 24 broadcast 192 168 1 255 inet6 fe80 203 ffff fe2e 4202 64 219 input packets 0 multicast 242960 bytes 0 dropped 0 input errors 0 length 0 overrun 0 CRC 0 frame 0 fifo 0 missed 11 output packets 762 bytes 0 dropped 0 output errors 0 aborted 0 carrier 0 fifo 0 heartbeat 0 window 0 collisions Interface eth1 is down index 3 metric 1 mtu 1500 flags lt BROADCAST MULTICAST gt HWaddr 00 03 ff 29 42 02 ad Interface eth2 is down
28. us Pour comprendre nous allons utiliser la commande Linux tcpdump qui affiche tous les paquets passant par une interface Sur Routeur3 ouvrez un autre terminal ALT F2 puis connectez vous en root Lancez la commande tcpdump i eth1 puis revenez dans le premier terminal Relancez le ping pr c dent puis revenez dans le deuxi me terminal et observez Routeur3 deb tcpdump i eth1 tcpdump listening on eth1 03 44 45 507835 12 0 0 2 gt 11 0 0 1 icmp echo request DF 03 44 46 507835 12 0 0 2 gt 11 0 0 1 icmp echo request DF 03 44 47 507835 12 0 0 2 gt 11 0 0 1 icmp echo request DF Le routeur met des paquets mais on constate qu il n y a pas de retour Le probl me peut venir de Routeur2 ou de Routeur1 Suivons la chaine et connectons nous dans le shell de Routeur2 Utilisons tcpdump sur l interface du c t de Routeur3 Routeur2 deb tcpdump i eth2 tcpdump listening on eth2 03 52 20 017855 12 0 0 2 gt 11 0 0 1 icmp echo request DF 03 52 21 017855 12 0 0 2 gt 11 0 0 1 icmp echo request DF 03 52 22 027855 12 0 0 2 gt 11 0 0 1 icmp echo request DF Les paquets sont bien re us Faisons la m me manipulation toujours sur Routeur2 mais sur l interface du c t de Routeur1 Routeur2 deb tcpdump i eth1 tcpdump listening on eth1 03 52 46 027855 12 0 0 2 gt 11 0 0 1 icmp echo request DF 03 52 47 017855 12 0 0 2 gt 11 0 0 1 icmp echo request DF 03 52 48 017855
29. zone dans le vocabulaire OSPF ceci vous sera expliqu avant la mise en pratique travaillent sur une base de don n es topologique identique qui d crit le r seau Cette base a t constitu e pendant une premi re phase de d couverte qui vous sera expliqu e un peu plus loin Examinons la base de donn es suivante qui d crit la topologie de la figure 1 Arc Coat R1 R2 1 R1 R5 10 R2 R3 1 R3 R4 10 R3 R5 1 R4 R5 10 R4 192 168 1 0 10 L lection des meilleures routes L algorithme du SPF de Dijsktra va traiter cette base de donn es afin de d terminer les routes les moins co teuses Une fois le traitement r alis chaque routeur se voit comme la racine d un arbre contenant les meilleures routes 157 8 3992 TG PA 00 Atelier 9 Par exemple g Y r r R4 XY i a 10 OW 10 1 1 192 16810 Paii N P S R1 1 A R seau 192 168 1 0 AN Figure 2 le r seau vu de R1 Figure 3 le r seau vu de R5 Dans l exemple entre R1 et 192 168 1 0 la meilleure route passe par R2 R3 et R4 pour un cout total de 1 1 10 10 soit 22 La d termination d une table de routage La base de donn es topologique d crit le r seau mais ne sert pas directement au routage La table de routage est d termin e par l application de l algorithme du SPF sur la base topologique Sur R1 voici un extrait de la table de routage calcul e par SPF au sujet du r seau 192 168 1 0
30. 00 32 cb 65 40 00 80 06 97 c0 c0 a8 df 1f 53 b1 0020 a4 26 90 95 17 0c db 62 8d b1 f2 c3 92 Oe 50 18 0030 3f 59 39 40 00 00 03 01 00 00 00 00 04 00 03 00 Et commen ons notre analyse e pas de pr ambule donc on commence tout de suite par l MAC destination e 00 06 b1 11 4a fe la voici notre adresse destination e puis sur 6 octets 00 01 03 17 51 61 voici notre MAC source e les 2 octets 08 00 c est le type de la trame ici une trame IP e bon attaquons nous aux donn es C est une trame IP reprenons la structure du datagramme e 1 octet 45 pour la version IHL e 1 octet 00 pour le TOS e 2 octets 00 32 pour la longueur e 2 octets cb 65 pour l identification e 2 octets 40 00 pour le FO et l offset 11 8 3992 TG PA 00 1 S quence 1 e 1 octet 80 pour le TTL 1 octet 06 pour le protocole e 2 octets 97 c0 pour le checksum e ah enfin notre IP source sur 4 octets c0 a8 df 1f soit en d cimal 192 168 223 31 e et notre IP destination sur 4 octets 53 b1 a4 26 soit en d cimal 83 177 164 38 V rifions dans le volet 1 gagn c est bien les adresses IP affich es Voyez ce n est pas tr s compliqu partir du moment o on vous donne la structure et que vous comptiez m ticuleusement les octets Pour la petite histoire regardez le volet 2 ma 3com communique avec un adaptateur sonicwall hi hi hi c est gentil monsieur le firewall je lui cris et je vous ai cach dans la capt
31. Beast 192 168 1 255 Masque 255 255 255 0 UP eth1 Reconnue mais pas d adresse de masque eth2 idem Donc elles ne sont pas configur es par rapport au sch ma de r seau de l atelier r aliser eth0 permet de se connecter Internet Essayez apt get install zebra Vous obtiendrez un message comme quoi il n a pas r cup r le paquet mais qu il en a trouv trace Il sugg re que zebra est obsol te Presque Le paquet zebra n est tout simplement plus maintenu il est remplac par Quagga qui int gre Zebra en tant que demon gestionnaire du routage Ensuite installez le paquetage quagga apt get install quagga Configurez maintenant l aide de la commande ifconfig les diverses interfaces des rou teurs en exemple pour mon routeur2 deb cela donne ifconfig eth0 192 168 2 254 netmask 255 255 255 0 up Le up sert activer l interface De m me pour les autres interfaces ifconfig eth1 11 0 0 2 netmask 255 0 0 0 up eth1 Using EEPROM set media 100baseTx FDX ifconfig eth2 12 0 0 1 netmask 255 0 0 0 up eth2 Using EEPROM set media 100baseTx FDX Et vous verifiez tout cela ifconfig a Configurez les interfaces des routeurs routeur1 deb et routeur3 deb conformes au sch ma 137 8 3992 TG PA 00 Atelier 8 e Le routeur logiciel zebra quagga Tout d abord pr sentons le logiciel comme vous avez pu le constater si vous avez essay apt get install zebra zebra n es
32. IP c est entendu Mais alors comment fait il pour r cup rer une configuration aupr s d un serveur il doit envoyer une trame avec une adresse IP source Et il ne sait m me pas l adresse du ou des serveurs DHCP Le client met une requ te appel e DHCPDISCOVER e source IP 0 0 0 0 MAC 00 04 75 D6 08 9D celle l il la conna t c est celle de sa carte r seau e destinataire IP 255 255 255 255 MAC FF FF FF FF FF FF broadcast diffusion Traduction Y a t il un serveur DHCP dans les parages pour me donner une confi guration IP Un serveur DHCP re oit ce curieux message regarde dans son tendue plage d adresses qu il peut distribuer ce qu il peut faire et fait une proposition de configu ration requ te DHCPOFFER e source IP du serveur MAC carte du serveur e destinataire IP 0 0 0 0 MAC carte du client Traduction Je te propose la configuration suivante IP 192 168 1 66 netmask 255 255 255 0 passerelle 192 168 1 250 serveur wINS 192 168 1 3 et serveurs DNS 192 168 1 1 et 192 168 1 3 acceptes tu Un seul serveur DHCP pas le choix mais m me proc dure que s il y a plusieurs serveurs DHCP qui proposent Le client r pond la 1 proposition par une requ te DHCPREQUEST e source IP celle propos e MAC carte du client e destinataire IP 255 255 255 255 MAC FF FF FF FF FF FF Pourquoi une diffusion Traduction de la requ te client J avertis
33. Idap slap conf pour ajouter le sch ma samba Schema and objectClass definitions include etc Idap schema core schema include etc Idap schema cosine schema include etc Idap schema nis schema include etc ldap schema inetorgperson schema include etc Idap schema samba schema Red marrez LDAP F mv2 debian etc Idap etc init d slapd restart 56 8 3992 TG PA 00 Mise en place d un annuaire LDAP Passons la configuration de Samba etc samba smb conf mv2 debian etc Idap vi etc samba smb conf Nous allons remplacer la base des pass par celle de Idap Changez passdb backend tdbsam En passdb backend Idapsam Idap localhost ldap admin dn cn admin dc labocned dc fr ldap ssl off ldap delete dn no ldap user suffix ou utilisateurs ldap machine suffix ou machines Idap group suffix ou groupes ldap suffix dc labocned dc fr Indiquez a Samba le mot de passe a la base LDAP mv2 debian etc ldap smbpasswd w lt votre mot de passe Idap gt Red marrez Samba mv2 debian etc ldap etc init d samba restart Maintenant la cr ation d utilisateurs sous Samba les inclura dans LDAP Pour approfondir nous vous conseillons le paquet smbldap tools e Quelques commandes de plus Vous allez faire maintenant quelques manipulations en autonomie Aidez vous de l aide en ligne ou de toute autre source Exercice 8 L utilisateur HOCHON a chang de t
34. O on eth0 eth eth etho etho etho eth etho etho etho eth interface proto icmp tcp udp icmp icmp tcp tcp udp tcp source destination 97 0 0 254 97 0 0 1 192 168 0 2 97 001 97 0 0 1 1968 41 04 97 0 0 1 97 0 0 254 192 168 0 2 97 0 0 1 192 168 0 2 97 0 0 1 192 168 0 2 97 0 0 1 97 0 0 1 202 12 27 3 192 168 0 2 97 0 0 1 port 0 974 3 53 8080 icmp 192 168 0 254 192 168 0 2 icmp udp icmp tc 97 0 0 254 97 0 0 1 192 168 0 2 97 0 0 1 192 168 0 2 97 0 0 1 97 0 0 1 192 168 0 2 4765 Figure 12 un exemple de journal g n r par MNF Manipulations Ne pas utiliser les boutons de navigation du navigateur mais ceux propos s par MNF Toujours faire APPLIQUER apr s une modification de configuration Exercice 26 1 Autorisez les pings ICMP port 8 du LAN vers l ext rieur Pour la suite m fiez vous de la mise en cache r alis e par Internet Explorer 2 Emp chez l acc s du LAN aux sites web internet 3 Autorisez la seule machine 192 168 0 1 du LAN a acc der au site Internet 10 0 0 1 4 Autorisez l acc s ssh vers Internet mais uniquement vers le serveur 192 168 0 1 110 8 3992 TG PA 00 Un firewall isole physiquement plusieurs r seaux et analyse le trafic IP entre ces r seaux La politique par d faut est g n ralement de bloquer tout le trafic On ajoute ensuite un certain nombre de r gles consid r es comme des exceptions a la politique par d faut C
35. Pour g rer tous ces sites il nous faire appel un VirtualHost h te virtuel De retour dans etc apache2 nous pourrions d clarer default ssl inspir de default dans les sites disponibles puis l activer mv2 debian etc apache2 cp etc apache2 sites available default etc apache2 sites available default ssl Configurons etc apache2 sites available default ssl mv2 debian etc apache2 sites available vi default ssl etc comme ci dessous et activons le site Activons ce site mv2 debian etc apache2 a2ensite default ssl Pour ce que nous avons r aliser un site s curis var www secure et des sites personnels utilisateurs nous pouvons directement diter etc apache2 sites enabled 000 default NameVirtualHost 80 NameVirtualHost 443 lt VirtualHost 80 gt ServerAdmin lwebmaster localhost DocumentRoot var www lt Directory gt Options FollowSymLinks AllowOverride None lt Directory gt lt Directory var www gt Options Indexes FollowSymLinks MultiViews AllowOverride None 30 8 3992 TG PA 00 Chiffrement des communications Order allow deny allow from all This directive allows us to have apache2 s default start page in apache2 default but still have go to the right place RedirectMatch apache2 default lt Directory gt ScriptAlias cgi bin usr lib cgi bin lt Directory usr lib cgi bin gt AllowOverride None Options ExecCGI MultiViews
36. attacker to instantly populate a list of potential targets In addition companies often use a naming convention which can give hints as to a servers primary application for instance proxy company com payroll company com b2b company com etc As such this information is of great use to an attacker who may use it to gain information about the topology of your network and spot new targets Solution Restrict DNS zone transfers to only the servers that absolutely need it Le 1 risque vient d une possibilit de transfert de zone DNS si une machine distante peut r cup rer par transfert mes informations de zone DNS alors surtout si mon domaine porte un nom explicite comme masociete fr il pourra reconstituer ma topologie r seau et identifier des cibles Nessus me pr conise en solution de restreindre les tranferts de zone DNS aux seuls serveurs qui en ont besoin les serveurs DNS de mon r seau donc 178 8 3992 TG PA 00 Audit de s curit domain 53 udp Synopsis The remote name server allows recursive queries to be performed by the host running nessusd Description It is possible to query the remote name server for third party names If this is your internal nameserver then forget this warning If you are probing a remote nameserver then it allows anyone to use it to resolve third parties names such as www nessus org This allows hackers to do cache poisoning attacks against this nameserv
37. because the page you attempted to access contains or is labled as containing material that has been deemed inappropriate Figure 9 acc s une page contenant un mot interdit 5 Le blocage sur les types de fichiers Exercice 27 Recherchez comment bloquer l acc s certains types de fichiers Observez quels types de fichiers sont bloqu s par d faut par le proxy 127 8 3992 TG PA 00 Atelier 7 6 Surveillance Consultez les diff rents journaux produits par MNF Visionnez les graphiques montrant l activit du syst me et du r seau dans la surveillance Par exemple Graphique horaire Graphique quotidien Graphique hebdomadaire Graphique mensuel Graphique annuel Graphique horaire INTERFACE ethO TRAFFIC BY HOUR 17 00 17 10 17 In avg 761 bytes s max 3 kbytes s Out avg 887 bytes s max 3 kbytes s In traffic Out traffic ethl INTERFACE ethi TRAFFIC BY HOUR Figure 10 les graphiques de surveillance g n r s par MNF 128 8 3992 TG PA 00 Un proxy a pour objectif de partager un acc s Internet tout en optimisant contr lant et filtrant Un proxy peut tre transparent ou non Il optimise en g rant un cache des sites internet consult s I contr le en identifiant les utilisateurs Il filtre suivant les adresses IP les noms de domaines DNS les URL ainsi que sur des listes de mots cl s Si vous voulez approfondir MNF dispose de nombreuses fonctionnalit s suppl mentaires
38. d j discut Le d coupage de ce r seau en trois zones est un cas d cole dont le but est d examiner la configuration d OSPF dans un contexte multi zone G n ralement on consid re qu une zone peut accueillir plusieurs dizaines de routeurs Pour ne pas surcharger ces lignes inutilement nous nous en tiendrons ici la configura tion de R1 R2 et R3 Vous verrez que la configuration n est pas tr s complexe Par sym trie il est facile de l adapter aux autres routeurs 162 8 3992 TG PA 00 Le routage IP dynamique OSPF 0 Situation de d part Dans le shell de R1 assurez vous que la configuration des interfaces est conforme au sch ma de r seau propos cat etc network interfaces Interface r seau eth0 auto eth0 iface eth0 inet static address 30 0 0 1 netmask 255 0 0 0 network 30 0 0 0 broadcast 30 255 255 255 Interface r seau eth1 auto eth1 iface eth1 address 11 0 0 1 netmask 255 0 0 0 network 11 0 0 0 broadcast 11 255 255 255 Vous devez cr er des fichiers de configuration pour zebra etc quagga zebra conf et ospfd etc quagga ospfd conf rudimentaires sur chaque routeur Par exemple pour R1 e fichier zebra conf remplacez l ancien s il existe hostname routeur1 deb ZEBRA password routeurcned e fichier ospfd conf hostname routeur1 deb OSPF password routeurcned ospfd acquiert les informations d interface de zebra c est pour a qu avec la nouvelle configuration r seau
39. de la ques tion Voulez vous omettre Nous nous voulons SL vous choisissez cette option aucune configuration par d faut et Choix lt Non gt car nous allons tout aucune base de donn es ne seront cr es Voulez vous omettre la configuration d OpenLDAP configurer la main pour mieux com D prendre l organisation et le fonction nement de LADP mais ce qui peut tre fait maintenant imv2 debion31r5 Microsoft Virtual PC 2004 Bi Nom de domaine labocned fr Outil de configuration des paquets Sow ra de slapd Le nom de domaine DNS est util Spe ase CO CAIRN base DN ou Distinguished Name de votre annuaire LDAP eemple si vous indiquez toto titi org ici le TE de base sera de tote de titi dc org Nom de domaine lt 0k gt 8 3992 TG PA 00 Mise en place d un annuaire LDAP mv2 deblan31r5 Microsoft Virtual PC 2004 pation Erith 7 Outil de configuration des paquets jt os mv2 debian31r5 Microsoft Virtual PC 2004 Qutil de configuration des paquets Nom de l entit d organisation labo cned fr Mot de passe de l administrateur de l annuaire LDAP Mettez un mot de passe sp cifique LDAP bien s r comme admin ldap labocned Configuration de sldapd Autorisez le protocole Idap v2 ceci est valable en particulier pour les OS de type windows 2000 8 3992 TG PA 00 1 Atelier 2 e Configuration Le f
40. gi Zebra gt enable Zebra Le indique que vous tes en mode privil gi Listez les commandes disponibles Zebra configure Configuration from vty interface copy Copy configuration debug Debugging functions see also undebug disable Turn off privileged mode command echo Echo a message back to the vty end End current mode and change to enable mode exit Exit current mode and down to previous mode help Description of the interactive help system list Print command list logmsg Senda message to enabled logging destinations no Negate a command or set its defaults quit Exit current mode and down to previous mode show Show running system information terminalSet terminal line parameters who Display who is on vty write Write running configuration to memory network or terminal Les commandes importantes a ce stade sont copy pour enregistrer la configuration et confi gure pour acc der au terminal de configuration des interfaces r seau et des routes 143 8 3992 TG PA 00 Atelier 8 e Affichage de la configuration actuelle La commande write term permet de consulter a tout moment la configuration actuelle du routeur Rien n est configur alors allons y e Passage au mode terminal de configuration e D finition du nom du routeur Zebra write terminal Current configuration hostname Zebra password routeurcned interface eth0 ipv6 nd suppress ra interface eth1 ipv6 nd suppress ra
41. hdb1 clean 11 2097152 files 109875 4194280 blocks Le disque est clean donc en parfait tat de fonctionnement 69 8 3992 TG PA 00 Atelier 3 Activation du RAID Le RAID1 est une s curit suppl mentaire sur les disques durs On perd de la place mais si un disque a un probl me le ou les autres conservent les donn es et prennent le relais Pour plus de d tails sur le RAID et les diff rents niveaux consultez votre cours d AMSI de premi re ann e Il existe donc diff rents niveaux mais dans cet atelier nous allons mettre en place du RAID mirroring qui duplique les donn es sur les disques sp cifi s Avantages e haute disponibilit des donn es et du syst me e gain de performance en lecture Inconv nients e perte de temps CPU e perte de vitesse en criture e perte d espace disque e D finition des disques en RAID www debian administration org articles 238 Installation des paquetages F mv2 debian apt get install mdadm asalt Virtual PC 2004 my2 dedian31r5 Microsoft Virtual PC 2004 Outil de configuration des paquets laissez all O Redundant Array of Inexpensive Disks 70 8 3992 TG PA 00 Gestion des disques my2 debian31r5 Microsoft Virtual PC 2004 Outil de configuration des paquets JHW lt Oui gt car le contr le de redondance cyclique comme lt Oui gt nous aurons certainement un message d erreur vous l avez vu permet de v
42. interface Web root c est comme toujours l administrateur de la machine Vous ne l utiliserez pas pour configurer le firewall partir de l interface web il ne peut de toute fa on pas se connecter Ces deux utilisateurs ont t distingu s pour des raisons de s curit Si le mot de passe de admin est d couvert vous gardez quand m me la main sur le firewall puisque vous pourrez vous connecter en root en mode rescue voir atelier sur la r cup ration 102 8 3992 TG PA 00 Le firewalling Configurez bien les cartes r seau comme il est indiqu sur le sch ma pr c dent la fin de l installation vous apprendrez que l administration du firewall se fera partir de l URL suivante https 10 0 0 254 8443 Elle ne pourra donc se faire qu partir de la station En effet l interface d administra tion est par d faut eth0 Vous ne pouvez donc pas configurer le pare feu partir de son interface eth1 e Validation de l installation Nous allons faire un certain nombre de manipulations afin de v rifier que tout est correc tement install Si ce n est pas le cas reportez vous la section D pannage Allez sur la station ouvrez le navigateur web et tapez dans la zone d adresse https 10 0 0 254 8443 Vous devez obtenir un cran de login ogin Password Figure 4 cran de login de MNF Vous vous connectez en admin Vous arrivez alors sur un cran d accueil qui r sume les
43. la liste des trames captur es Le deuxi me volet analyse la trame mise en surbrillance Le troisi me nous en donne le contenu en hexad cimal J ai choisi ici une trame ARP pour en profiter pour faire un bref rappel dans une trame nous devons avoir comme informations les IP et MAC de la source et du destinataire Ici on voit que la machine d IP 192 168 223 251 et d MAC 00 CO 9F 1B 41 AD demande la machine d IP 192 168 223 252 quelle est son adresse MAC L exercice le plus int ressant est concentr dans le troisi me volet comme le demandait l tude de cas 2004 retrouver le sens des diff rents octets n cessite de comprendre com ment une trame est constitu e Il n est pas n cessaire de conna tre par c ur ce qui suit mais il faut comprendre et savoir faire Le sujet 2004 rappelait d ailleurs en annexe le sch ma d une trame et d un datagramme 8 3992 TG PA 00 Trame Ethernet W Format d une trame Ethernet Voici le format d une trame Format d une trame Ethernet Pr ambule SFD Er FCS 8 octets a octets PP octets de 46 41500 octets 4 octets Type lee source aa destination SFD start frame delimiter indique le d but de la trame FCS frame check sequence ou code de contr le CRC e Le pr ambule sert synchroniser la communication 7 octets de valeur 1010 1010 1 octet SFD de valeur 1010 1011 e MAC de destination et source chacune sur 6 octets e Type de trame 2 octets p
44. ldap hosts files dns networks files L ajout de la mention dap indique la librairie nss qu il y a un annuaire Idap qui peut nous fournir les donn es en plus des fichiers plats sous debian compat est un synonyme de files cf le man Attention l ordre des deux directives pour d abord utiliser les fichiers plats a permet de conserver un acc s root sur la machine en cas de pb letc libnss Idap conf va permettre d indiquer o est l annuaire et comment s y connecter Le fichier doit tre en lecture pour tous les utilisateurs mv2 debian etc ls libnss la rw r r 1 root root 9809 2007 07 21 20 25 libnss ldap conf IW 1 root root 9 2007 07 21 20 25 libnss ldap secret et il doit sp cifier le dn a utiliser pour se connecter l annuaire dn qui doit d signer un objet ayant le droit de lire l attribut userPassword le bind anonyme pose pb dans la config par d faut mais on reviendra sur cet aspect s curit une autre fois 53 8 3992 TG PA 00 Atelier 2 etc libnss ldap conf Your LDAP server host 192 168 1 102 The distinguished name of the search base base dc labocned dc fr Tests 1 Utiliser la commande id sur un login qui n existe que dans l annuaire mv2 debian etc id phochon uid 1234 phochon gid 600 utilisateurs groupes 600 utilisateurs 2 Il faut que notre utilisateur poss de un r pertoire personnel avec les droits ad quats mv2 debian etc ldap mkdir
45. le SSL Record Protocol qui permet de transmettre de mani re chiffr e les donn es Celui ci est utilis pour encapsuler d autres protocoles de plus haut niveau tel que le SSL Handshake Protocol qui permet au serveur et au client de s authentifier et de n gocier le fonction nement de la session Nous traiterons de ce protocole dans la prochaine s quence 24 8 3992 TG PA 00 Chiffrement des communications Quatre phases de n gociation peuvent tre distingu es Phase 1 tablissement des param tres de s curit Cette phase a pour but d tablir le lien s curis Le client envoie au serveur un message client_hello contenant des param tres tels que sa version de SSL utilis e son identifiant de connexion une liste d algorithmes d change de cl s et de chiffrement support e par le client et class e selon la qualit de l algorithme Il envoie aussi un jeu de donn es qui sont g n r es al atoirement Apr s avoir envoy ces requ tes le client attend la r ponse du serveur Phase 2 authentification du serveur et change des cl s Le serveur envoie server_hello qui contient la version de SSL les meilleurs algorithmes utiliser un jeu de donn es g n r es al atoirement et le certificatO s il existe Dans le cas o le serveur n a pas de certificat ce premier message sera suivi d un message ser ver_key_exchange pour qu il puisse tout de m me transmettre sa cl publique Ensuite le serveur
46. les liens droits soient lents type Ethernet a 10 Mbps par exemple Le choix de RIP n est plus du tout pertinent La m trique est un concept important dans le routage dynamique C est une information associ e une route que le routeur va valuer afin de choisir la meilleure route vers une destination Internet Engineering Task Force organisme d internet charg de normaliser et de faire voluer le r seau Au nombre de routeurs travers s si vous pr f rez 156 8 3992 TG PA 00 Le routage IP dynamique OSPF OSPF fonctionne diff remment Il attribue un co t chaque liaison d nomm e lien dans le jargon OSPF afin de privil gier l lection de certaines routes Plus le co t est faible plus le lien est int ressant Par d faut les co ts suivants sont utilis s en fonction de la bande passante du lien Type de r seau Co t par d faut Ethernet gt 100 Mbps 1 FDDI 1 Ethernet 10 Mbps 10 E1 2 048 Mbps 48 T1 1 544 Mbps 65 64 Kbps 1562 56 Kbps 1785 19 2 Kbps 5208 La formule de calcul est simplissime co t r f rence bande passante du lien Par d faut la r f rence est 100 000 000 correspondant un r seau 100 Mbps OSPF privil gie les routes qui ont un co t faible donc celles qui sont suppos es rapides en terme de d bit th orique La base de donn es topologique Avec OSPF tous les routeurs d un m me r seau on parle de
47. objet fils exem ple person d pend de d pt info d pt info est le p re et person est le fils Comme chez le notaire le fils h rite des caract ristiques li es aux attributs de son p re c est ce que l on appelle h ritage De m me un objet peut appartenir plusieurs classes d objets ses attributs sont alors l ensemble des attributs des diff rentes classes Bien nous avons expliqu l essentiel en esp rant ne pas avoir t trop fastidieux En cas de besoin vous pouvez vous r f rer au site archinet http www linux france org prj edu archinet systeme index_monopage html 63 8 3992 TG PA 00 Gestion des disques Dur e approximative de cet atelier 3 heures gt Objectif D tailler les commandes qui permettent de g rer le syst me de fichiers de Linux installer partitionner formater attribuer des quotas et mettre des disques en miroir RAID gt Conditions pr alables Aucune en particulier gt Consid rations techniques La partie sur le RAID concerne le RAID logiciel De plus en plus de cartes m res de PC int grent cette fonctionnalit mais la g rent au niveau du contr leur de disque donc au niveau mat riel c est ind pendant du syst me d exploitation Introduction Un serveur repr sente souvent une unit de stockage importante o se trouve la plupart des donn es de l entreprise Il arrive r guli rement que cette capacit arrive saturation Nous
48. particulier et dont la lecture est toujours aussi agr able et passionnante je plaisante bien sur Avant d attaquer la pratique un dernier concept les zones OSPF Le concept de zone area Contrairement a RIP OSPF a t pens pour supporter de tr s grands r seaux Mais qui dit grand r seau dit nombreuses routes Donc afin d viter que la bande passante ne soit engloutie dans la diffusion des routes OSPF introduit le concept de zone area Le r seau est divis en plusieurs zones de routage qui contiennent des routeurs et des h tes Chaque zone identifi e par un num ro poss de sa propre topologie et ne conna t pas la topologie des autres zones Chaque routeur d une zone donn e ne conna t que les routeurs de sa propre zone ainsi que la fa on d atteindre une zone particuli re la zone num ro 0 Toutes les zones doivent tre connect es physiquement la zone 0 appel e backbone ou r seau f d rateur Elle est constitu e de plusieurs routeurs interconnect s Le backbone est charg de diffuser les informations de routage qu il re oit d une zone aux autres zones Tout routage bas sur OSPF doit poss der une zone 0 Figure 4 un r seau d coup en trois zones Sur la figure 4 le r seau est d coup en trois zones dont le backbone Les routeurs de la zone 1 par exemple ne connaissent pas les routeurs de la zone 2 et encore moins la topologie de la zone 2 L int r t de d finir des zones est de limite
49. ponse nous allons rappeler ce qu est le filtrage puis d couvrir la translation d adres se puis la translation de port enfin nous verrons que la combinaison de tout a n est qu apr s tout juste une question de rigueur intellectuelle qualit tr s utile le jour J Rappel sur le filtrage Nous avons vu le principe du filtrage dans la s quence 15 du cours 3988 Une trame contient principalement les adresses MAC et IP de la source et du destinatai re les ports source et destination des services et en plus maintenant vous savez analyser une trame refaites donc une petite capture pour rep rer ces informations On peut donc filtrer sur ces diff rents crit res voyons un peu comment peut se repr senter une table de filtrage th orique chaque logiciel adopte parfois un formalisme diff rent Port Interf Port rere rane Acti nterface source ort source ination destination ction 8 3992 TG PA 00 Filtrage NAT et PAT Les r gles portent un num ro d ordre 1 2 3 etc en effet la table de filtrage sera lue ligne par ligne la premi re r gle applicable sera appliqu e L interface d signe le connecteur r seau sur laquelle s applique la r gle Les source port source destination et port destination permettent de fixer les conditions de filtrage Enfin si la condition est remplie on applique l action accepter on laisse passer le message refuser on ne laisse pas passer V
50. pr sent e ici est celle de Netfilter le firewall classique sous Linux car inclu dans le noyau Comme toujours sous Linux nous pourrions faire toutes les manipu lations en ligne de commande Mais pour diverses raisons nous travaillerons par la suite avec une distribution Linux d di e la s curit Nous la pr sentons dans le paragraphe suivant 100 8 3992 TG PA 00 Le firewalling Pr sentation du firewall MNF Dans cet atelier nous allons installer et travailler avec le firewall Mandrake Multiple Network Firewall C est une distribution Linux d di e la s curit qui int gre nombre de fonctionnalit s en sus du firewall Vous pouvez t l charger l image ISO sur ftp ftp lip6 fr pub linux distributions mandrake iso mnf i586 MNF d finit 4 zones 3 zones correspondant a des r seaux plus une zone appel e Fw et correspondant au firewall lui m me Elle sont distingu es en fonction du degr de confiance LAN FW Mandrake Multiple Network Firewall Figure 2 les zones de MNF Si ce document tait en couleur vous verriez e du rouge pour la zone WAN correspondant classiquement Internet la zone dont le degr de confiance est le plus faible ede l orange pour la zone DMZ Cette zone contient g n ralement les machines accessibles depuis l ext rieur e du vert pour le LAN car c est la zone avec le degr de confiance maximum Ces machi nes ne sont g n ralement pas accessibles depu
51. premier temps je vous propose d examiner l tat de sant g n ral du routeur R3 Routeur3 deb OSPF show ip ospf OSPF Routing Process Router ID 192 168 3 254 Supports only single TOS TOSO routes This implementation conforms to RFC2328 RFC1583Compatibility flag is disabled OpaqueCapability flag is disabled Initial SPF schedule delay 200 millisec s Minimum hold time between consecutive SPFs 1000 millisec s Maximum hold time between consecutive SPFs 10000 millisec s Hold time multiplier is currently 2 SPF algorithm last executed 3m10s ago SPF timer is inactive Refresh timer 10 secs Number of external LSA 0 Checksum Sum 0x00000000 Number of opaque AS LSA 0 Checksum Sum 0x00000000 Number of areas attached to this router 1 Area ID 0 0 0 1 Shortcutting mode Default S bit consensus ok Number of interfaces in this area Total 2 Active 2 Number of fully adjacent neighbors in this area 1 Area has no authentication Number of full virtual adjacencies going through this area 0 SPF algorithm executed 13 times Number of LSA 9 168 8 3992 TG PA 00 Le routage IP dynamique OSPF Le premier bloc d crit le fonctionnement g n ral du routeur l ID du routeur gale sa plus grande adresse IP conformit aux RFC valeurs des temporisateurs Une seule zone est attach e ce routeur C est la zone 1 exprim e en notation d cimale point e Notre routeur a deux interfaces dans la zone il n a qu un seul
52. qu une carte d identit soit prise au s rieux il faut qu elle soit produite par une autorit s rieuse Dans la vraie vie c est la pr fecture qui d livre les cartes d identit s Dans le monde Internet ce sont des autorit s de certification qui s en chargent jetez par exemple un coup d oeil sur http Avwww certinomis com En test nous allons le signer nous m me comme si nous tions autorit de certification mv2 debian etc ssl openssl genrsa des3 out ca key 1024 mv2 debian etc ssl openssl req new x509 days 365 key ca key out ca crt ce stade nous sommes positionn s dans etc ssl et regardons ce que nous avons pi mv2 debian etc ssl s ca crt certs labocned fr key private ca key labocned fr csr openssl cnf privkey pem 28 8 3992 TG PA 00 Chiffrement des communications Nous allons signer labocned fr csr avec ca crt mv2 debian etc ssl openssl x509 req in labocned fr csr out labocned fr crt CA ca crt CAkey ca key CAcreateserial CAserial ca srl Signature ok Subject C fr ST Some State 0 labocned OU labocned Getting CA Private Key Enter pass phrase for ca key lt tapez votre pass ici labocned gt A quoi ressemble un certificat Regardons labocned fr crt mv2 debian etc ssl cat labocned fr crt Lorsque l on voudra interroger notre serveur Apache2 en mode s curis celui ci ira lire le fichier ssl conf qui est maintenant dans etc apach
53. rifier l int grit des Car nous n avons pas encore de RAID monitorer donn es mv2 debian31r5 Microsoft Virtual PC 2004 Outil de configuration des paquets Root sera averti par courriel des notifications e Changement du type de partition Pour les deux disques vous allez devoir changer le type de partition qui est classiquement 83 ext2 ext3 en fd Auto d tection RAID Linux Ce que vous pouvez visualiser sur le disque original hda mv2 debian sfdisk l dev hda Disk dev hda 33288 cylinders 16 heads 63 sectors track Device Boot Start End cyls blocks Id System dev hda1 0 485 486 3903763 83 Linux dev hda2 486 607 122 979965 83 Linux dev nda3 608 638 31 249007 82 Linux swap Solaris et le reste Empty 71 8 3992 TG PA 00 Atelier 3 Recopions la structure des partitions de hda sur hdb mv2 debian sfdisk d dev hda sfdisk dev hdb Nous allons changer le type 83 de hdb1 et hdb2 pas la swap en type fd pour auto d tection vous travaillez avec la commande fdisk mv2 debian fdisk dev hdb Commande m pour aide p n h sitez pas a taper m Commande m pour aide t Selected partition 1 Hex code type L to list codes fd Commande m pour aide p Disk dev hdb 17 1 GB 17179803648 bytes 16 heads 63 sectors track 33288 cylinders Units cylinders sur 1008 512 516096 bytes Device Boot Start End Blocks IdSys
54. voisin L algorithme du SPF a t ex cut 13 fois La base de donn es topologique contient neuf tats de liens LSA Si notre routeur tait attach plusieurs zones le deuxi me bloc serait r p t autant de fois que de zones Vous pourrez le constater sur R1 Maintenant listons nos informations sur les routeurs voisins Routeur3 deb OSPF show ip ospf neighbor Neighbor ID PRI State Dead Time AddressInter RXmtL RqstLDbsmL face 12 0 0 1 1 Full Backup 00 00 34 12 0 0 1 ethO 0 0 0 D chiffrons ces informations La diff rence entre la colonne ID et la colonne Address c est que l ID identifie l appareil dans le r seau alors que l adresse correspond l interface laquelle nous sommes reli s avec ce routeur La colonne State nous apprend deux choses il est synchronis avec le routeur d sign gr ce la mention Full c est le routeur d sign de secours de la zone gr ce l indicateur Backup Ce routeur sera d clar comme inactif si nous ne recevons pas de message HELLO d ici 34 secondes Dead Time Voyons le contenu de la base de donn es topologique de R3 Routeur3 deb OSPF show ip ospf database OSPF Router with ID 192 168 3 254 Router Link States Area 0 0 0 1 Link ID ADV Router Age Seq CkSum Link count 12 0 0 1 12 0 0 1 981 0x80000006 Oxf9e2 2 30 0 0 1 30 0 0 1 952 0x80000003 Oxbl3e 1 192 168 3 254 192 168 3 254 1063 Ox80000005 Ox15b7 2 Net Link States Area 0 0 0 1
55. 00 155 Atelier 9 e la m trique utilis e qui refl te le nombre de routeurs traverser ne garantit pas que le routage soit optimal En effet cette distance masque les caract ristiques r elles de la voie de transmission d bit ou co t en particulier e OSPF Compte tenu de ces contraintes et afin de gagner du temps j ai choisi d aborder directe ment OSPF qui est LE protocole de routage de pr dilection l int rieur des grands r seaux d entreprise G n ralit s OSPF est un protocole de routage dynamique d fini par l IETF la fin des ann es 80 II a fait l objet d un historique relativement complexe de RFC Ce protocole a deux caract ristiques essentielles e il est ouvert le Open de OSPF son fonctionnement peut tre connu de tous e il utilise l algorithme SPF Shortest Path First plus connu sous le nom d algorithme de Dijkstra afin d lire la meilleure route vers une destination donn e Examinons une topologie qui nous servira de support pour les explications pe 10 f E 192 168 1 0 Figure 1 un exemple de topologie 10 La notion de co t Supposons que du routeur R1 on cherche a atteindre le r seau 192 168 1 0 Dans une telle situation RIP aurait lu la route passant par R5 puisque c est la plus courte en termes de saut Cependant imaginez que les liens repr sent s sous forme d clairs soient rapi des type Ethernet a 100 Mbps par exemple et que
56. 1 ge num2 sup rieur ou gal gt e Saisir une variable Vous pouvez demander l utilisateur de saisir une variable Par exemple le script5 sh bin bash echo Donnez votre pr nom et votre nom read prenom nom echo Bonjour prenom nom Ce qui donne mv2 debian script5 sh Donnez votre pr nom et votre nom Paul HOCHON Bonjour Paul HOCHON nombre ge 27 8 3992 TG PA 00 Atelier 5 On peut ensuite tester la saisie Par exemple le script6 sh mv2 debian cat script6 sh l bin bash echo Donnez votre pr nom et votre nom read prenom nom if prenom then echo Vous n avez pas saisi de pr nom else echo Bonjour prenom nom fi Note la variable doit imp rativement tre entour e de guillemets car juste avant l ex cution de la ligne le shell remplace la variable par son contenu Si on ne met pas les guillemets mais que cette variable contient des espaces le shell sera un peu perdu et g n rera une erreur Le script6 sh donne mv2 debian script6 sh Donnez votre pr nom et votre nom Vous n avez pas saisi de pr nom mv2 debian script6 sh Donnez votre pr nom et votre nom Paul HOCHON Bonjour Paul HOCHON On aurait galement pu l crire sous cette forme l bin bash echo Donnez votre pr nom et votre nom read prenom nom if z prenom then ech
57. 12 0 0 2 gt 11 0 0 1 icmp echo request DF Installez le paquetage si n cessaire apt get install tcpdump attention la connexion internet 148 8 3992 TG PA 00 Le routage IP statique Les paquets sont bien transmis d une interface l autre Routeur2 fait son travail Passons sur Routeur1 faisons un tcpdump sur l interface c t Routeur 2 Routeur1 deb tcpdump i eth1 tcpdump listening on eth1 03 53 53 224868 12 0 0 2 gt 11 0 0 1 icmp echo request DF 03 53 54 224868 12 0 0 2 gt 11 0 0 1 icmp echo request DF 03 53 55 234868 12 0 0 2 gt 11 0 0 1 icmp echo request DF Les paquets sont bien re us sur Routeur1 Mais il n est pas capable d y r pondre D o vient le probl me alors II n y a qu une solution Il vient de la table de routage Routeur1 ne sait pas comment r pondre a Routeur3 car il n a aucune id e de l endroit o il se trouve puisqu il n est pas directement reli lui Connectons nous au d mon zebra sur Routeur1 puis visionnons sa table de routage Routeur1 deb Zebra gt show ip route Codes K kernel route C connected S static R RIP O OSPF I ISIS B BGP gt selected route FIB route K gt 0 0 0 0 0 via 192 168 1 1 eth0 C gt 11 0 0 0 8 is directly connected eth1 C gt 127 0 0 0 8 is directly connected lo C gt 192 168 1 0 24 is directly connected eth0 Elle ne contient aucune entr e pour 12 0 0 0 8 le r seau auque
58. 2 0 0 2 56 84 bytes of data Warning time of day goes back taking countermeasures 64 bytes from 11 0 0 1 icmp_seq 0 ttl 254 time 8 090 msec 64 bytes from 11 0 0 1 icmp_seq 1 ttl 254 time 3 986 msec 11 0 0 1 ping statistics 2 packets transmitted 2 packets received 0 packet loss round trip min avg max mdev 3 986 6 038 8 090 2 052 ms 1 Le routage est une chaine les paquets sont transmis au routeur voisin qui transmet au routeur voisin etc 2 Il faut penser configurer tous les routeurs pour l aller ET le retour des paquets 150 8 3992 TG PA 00 Le routage IP statique Travaux pratiques Exercice 32 Maintenant que vous savez tout saisissez sur chaque routeur l ensemble minimal des routes qu il a besoin de conna tre Le cahier des charges est le suivant les stations de chaque r seau vous avez mv1 xp et mv2 debian qui moyennant le changement de leur configuration IP peuvent simuler client et serveur pour diff rents r seaux ont besoin de communiquer avec les stations de tous les autres r seaux Les stations n ont pas besoin de communiquer avec les routeurs D abord commencez par d truire les routes statiques que nous venons de saisir pour les besoins de la d monstration Par exemple sur Routeur3 deb pour d truire la route 11 0 0 0 8 Routeur3 deb Zebra gt enable Password Routeur3 deb Zebra configure terminal Routeur3 deb Zebra config no ip route 11 0 0 0 8 12 0 0 1 Route
59. 69115 Ack 4072903316 win 9 0 485266 192 192 SMB Echo Request 10 0 485490 192 16 192 SMB Echo Response 11 0 541088 192 1 213 HTTP GET shopping images produitl0_photo2_485 jpg HTTP L 1 2 0 592640 217 12 192 168 223 21 HTTP Continuation 13 0 592834 192 168 2 217 12 10 99 TCP 32803 gt http ack Seq 927602585 ack 3611141092 win 30536 14 0 593743 215 186 346 128 192 168 223 44 TCP http gt 1334 FIN ACK Seq 1789588529 ack 74756984 win 643 15 0 593082 192 168 223 44 213 186 34 128 TCP 1334 gt http ACK Seq 74756984 ack 1789586326 win 16800 Le 184 A BNANNS 212 126 24 179 109 1482 922 AA To httn s 1224 farv eon 1 7006009620 Ark 74766004 win GA2 I ar P G Frame 1 60 bytes on wire 60 bytes captured arrival Time mar 14 2005 10 36 51 501058000 Time delta from previous packet 0 000000000 seconds Time relative to first packet 0 000000000 seconds Frame Number 1 Packet Length 60 bytes Capture Length 60 by ethernet II E oF TEE OS Cehtictissttestiet tet Destination ffiff GE fF fF ff Broadcast Source 00 c0 9f 1b 41 ad QUANTA 1b 41 a0 Type ARP CO0x0806 Trailer 00000000000000000000000000000000 S Address Resolution Protocol request Hardware type Ethernet O0x0001 Protocol type IP COx0800 Hardware size 6 Protocol size 4 opcode request Ox0001 1 08 O D eo J co a8 df fo 00 90 90 0 00 Se dF fe 00 00 00 00 00 00 00 00 00 0 00 00 00 00 00 Le premier volet nous r sume
60. 9 Le routage IP dynamique OSPF 155 Atelier 10 Audit de s curit 173 S quence 6 NAS et SAN 181 5 8 3992 TG PA 00 s Sequence 1 Trame Ethernet Dur e indicative 1 heure Cette s quence explique la composition d une trame Ethernet gt Contenu 1 Introduction ea La nues 7 2 Les trames par la pratique 8 3 Format d une trame Ethernet 9 4 Formats de la partie donn es d une trame Ethernet 10 gt Capacit s attendues e Savoir analyser une trame 1 Introduction Vous vous rappelez le cheminement des donn es dans le mod le OSI Syst me A Donn es originales DONN ES Donn es modifi es par le protocole z 7 Application p p DONNEES de couche 7 Donn es modifi es par le protocole 6 Pr sentation d he 6 ii P P 2 DONNEES oe af i Ces modifications ou Donn es modifi es par le protocole j 5 Session RUE D DONN ES ajouts de donnees de couche 5 c est ce qu on appel z z le ENCAPSULATION D coupage des donn es en seg 4 Transport D1 D2 D3 7 ments Ajout d un en t te r seau a chaque 3 R seau J q D B o v2 03 segment os Ajout d un en t te et queue de 2 ES 2 Liaison de donn es D1 D2 D3 trame a chaque paquet D L LJ LI Transformation de chaque trame en 1 Physique A 0110 1110 0010 bits et transmission Nous allons
61. ANA Internet Assigned Numbers Authority ou ses d l gations Classiquement les multinationales les op rateurs de t l com ou les fournisseurs d acc s Internet d tiennent un syst me autonome Pour assurer le routage entre les syst mes autonomes un protocole de type EGP Exterior Gateway Protocol doit tre mis en uvre Dans le cas d Internet c est g n ralement BGP Border Gateway Protocol qui assume cette mission BGP est un protocole support par Zebra OSPF est le protocole de routage dynamique le plus r pandu l int rieur des r seaux d entreprise Les routeurs s changent des informations sur les r seaux qu ils connaissent en affectant en particulier une m trique un poids chaque r seau partir ce ces informations l algorithme du SPF qui tourne sur chaque routeur est capable de fabriquer une v ritable carte topologique du r seau Cette carte est optimis e puisque l on cherche tablir les meilleures routes meilleur peut vouloir dire plus rapide mais aussi plus s r ou moins co teux Si vous voulez approfondir Il faudrait approfondir la question du filtrage de la diffusion des routes En effet le premier inconv nient d un protocole de routage dynamique comme OSPF est sa volubilit I a tendance d voiler tout un tas d informations sur les r seaux qu un administrateur consciencieux n a pas forc ment envie de r v ler Pour limiter la diffusion des routes au strict mini
62. BTS Informatique de gestion 2 ann e Option administrateur de r seaux locaux d entreprise Pac me Massol Thierry Savary Architecture mat rielle des syst mes informatiques Cours sp cifique ARLE Directrice de publication Val rie Brard Trigo Les cours du Cned sont strictement r serv s l usage priv de leurs destinataires et ne sont pas destin s une utilisation collective Les personnes qui s en serviraient pour d autres usages qui en feraient une reproduction int grale ou partielle une traduction sans le consentement du Cned s exposeraient des poursuites judiciaires et aux sanctions p nales pr vues par le Code de la propri t intellectuelle Les reproductions par reprographie de livres et de p riodiques prot g s contenues dans cet ouvrage sont effectu es par le Cned avec l autorisation du Centre fran ais d exploitation du droit de copie 20 rue des Grands Augustins 75006 Paris Conseils g n raux Objectifs Ce fascicule est le cours sp cifique sur l Architecture Mat rielle des Syst mes Informatiques pour les tudiants ayant choisi l option Administrateurs de R seaux Locaux d Entreprise Vous devez au pr alable avoir tudi le 3988 tomes 1 et 2 C est particuli rement important ce sont les notions fondamentales et il est probable qu une part importante de l examen porte sur le 3988 Si vous avez acquis ces notions vous pouvez alors tr s utilement compl ter vos comp tences avec l tude
63. K Seo 927602585 Ack 3611141092 win 30536 14 0 593743 192 168 223 44 TCP http gt 1334 FIN ACK Seq 1789588529 ack 74756984 win 643 15 0 593982 213 186 34 128 TCP 1334 gt http ack Seqe74756984 Ack 1789586326 winel6800 LE 14 RANAS Q 142 222 AA ro trn x 1224 farv Sant 7206802620 arb7476A0R4 wit or pA Arrival Time mar 14 2005 10 36 51 55 Time delta from previous packet 0 000824000 seconds Time relative to first packet 0 050764000 secands Frame Number 4 Packet Length 64 bytes Capture Length 64 bytes G ethernet I1 src 00 01 03 17 51 61 DST 00 06 b1 11 4a fe Destination 00 06 b1 11 4a fe Sonicwal_11 4a fe Source 00 01 03 17 51 61 3COM_17 51 61 Type IP Ox0800 Internet Protocol Src Addr 192 168 223 31 192 168 223 31 DSt Addr 83 177 164 38 83 177 164 38 version 4 Header length 20 bytes Boifferentiated Services Field 0x00 DSCP 0x00 Default ECN 0x00 Total Length 50 Identification 0xch65 BFlags 0x04 r 00 06 bl 11 4a fe 00 01 03 17 51 61 08 00 45 00 00 32 cb 65 40 00 80 06 97 cO cO a8 df 1f 53 bl 0020 a4 26 90 95 17 Oc db 62 8d bl f2 c3 92 0e 50 18 x a 0030 3f 59 39 40 00 00 03 01 00 00 00 00 04 00 03 00 9 File lt capture gt Drops 0 Reset Apply Le but du jeu est de trouver dans cette trame les MAC et IP de la source et de la des tination Alors reprenons la s quence hexad cimale du volet 3 0000 00 06 b1 11 4a fe 00 01 03 17 51 61 08 00 45 00 0010
64. LL dn objectClass top objectClass OpenLDAProotDSE search result search 2 result 0 Success numResponses 2 numEntries 1 e Les principales commandes Le paquetage OpenLDAP contient deux d mons slapd et s urpd e le d mon slapd est le d mon LDAP autonome que vous devez ex cuter pour prendre en charge LDAP e le d mon s urpd contr le la duplication des annuaires LDAP sur un r seau Nous ne mettrons pas en uvre cette fonctionnalit OpenLDAP contient galement certains utilitaires pour l ajout la modification et la sup pression d entr es dans un annuaire LDAP e Idapmodify modifie des entr es dans l annuaire e Idapadd ajoute des entr es l annuaire e Idapsearch recherche des entr es dans l annuaire e Idapdelete efface des entr es dans l annuaire 45 8 3992 TG PA 00 Atelier 2 e Cr ation de la racine Cr ons la racine de notre annuaire ainsi que l enregistrement correspondant l administra teur Avec votre diteur favori tapez le fichier societe txt ci dessous mv2 debian etc Idap vi societe txt La racine de l annuaire dn dc labocned dc fr dc labocned objectClass top objectClass domain objectClass domainRelatedObject description Notre labo du CNED associatedDomain labocned fr dn cn root dc labocned dc fr objectClass organizationalRole cn root Donnons quelques explica
65. Link ID ADV Router Age Seq CkSum 11 0 0 2 12 0 0 1 981 0x80000001 Oxda39 12 0 0 2 192 168 3 254 1063 0x80000001 Ox5dOb Summary Link States Area 0 0 0 1 Link ID ADV Router Age Seq CkSum Route 21 0 0 0 30 0 0 1 837 0x80000001 Ox0d08 21 0 0 0 8 22 0 0 0 30 0 0 1 702 0x80000001 0x64a5 22 0 0 0 8 30 0 0 0 30 0 0 1 976 0x80000001 0x33e2 30 0 0 0 8 172 18 0 0 30 0 0 1 599 0x80000001 Ox4a0d 172 18 0 0 24 169 8 3992 TG PA 00 Atelier 9 Ces trois tableaux pr sentent de fa on synth tique l ensemble des LSA stock s dans la base topologique Le premier tableau contient des LSA diffus s par chaque routeur Ils d crivent l tat des interfaces de chaque routeur Le deuxi me tableau contient des LSA diffus s par le routeur d sign Ils d crivent la liste des routeurs pr sents dans chaque r seaux Le dernier tableau contient un r sum des routes diffus es par le routeur de bordure de zone ABR Ce sont des routes qu il a re u via le backbone par les routeurs des autres zones L ge et le num ro de s quence sont utilis s pour mettre jour la base lorsque des LSA sont re us Le check sum est utilis pour contr ler l int grit des LSA Pour obtenir des informations d taill es sur chaque LSA vous pouvez compl ter la com mande show ip ospf database par router network ou summary Par exemple show ip ospf database router 192 168 3 254 qui correspond la troisi me ligne du premier tableau vous apprendra que c
66. OI4 p n v s one9 xneaing BI aiqevod R eu qezdwog equewuduy equewuduy ve 1091 0 9L ZAL WIAA S209Y p 0d YUGZL OSE TLE lt lt 6z S 0891 ZZGL LYd LYN 1esoeuso snaynoy aang sysqoL 6Z 9 0 89L 251 pew namas vasg 0 9L ZZL uewoq ap 1N2194U07 GOH N n SN n v s senbiuy98 1 Xne907 inayenuuuos Xneasng xneaoj s p ajquiasua SJANOO XNPSiNg IIM wog ej SUN amuedul 159 une inb XNE90 p uoz ej yu w jes5 uI JUeJANOD aWWOo S318PISUO9 JUOS IHI 59992 p S ulod 37 BJON S SA pzO ISAS yausayu s3004 Iva e1sea eguBbisse assaupy 62 L 0 S9 ZL LYd LYN wa u manoy 6Z Z 0 89L ZEL jouenxSjeuenuy sam nameg 119 8 3992 TG PA 00 S quence 5 120 Voici le sch ma conseil toujours avoir le sch ma annexe sous les yeux on d grafe les annexes importantes Bon analysons la proposition de corrig Le paquet est envoy du serveur HTTP 192 168 0 2 sur le port 1060 comme l indique le texte et a destination du serveur de bases de donn es 172 16 0 66 pour le port 2020 Mais le paquet est pris en charge par le routeur NAT qui va assurer la translation de certaines valeurs En effet l adresse 172 16 0 66 et le port 2020 vont tre convertis en l adresse 192 168 0 5 et le port 5600 Les valeurs d finitives seront donc Adresse IP source 192 168 0 2 Port source 1060 Adresse IP Destination
67. P DHCP comme tout protocole de la pile TCP IP est d fini par les RFC 2131 et 2132 Nous avons vu que la requ te DHCPREQUEST de l tape est une diffusion Probl me les routeurs ne routent pas les broadcast Donc si le ou les serveurs DHCP ne sont pas sur le m me r seau que le client a ne passe pas illustration DHCPREQUEST Serveur DHCP PC client 192 168 1 0 24 192 168 2 0 24 Broadcast Je ne sais pas faire Solution Il faudrait installer un serveur DHCP sur le r seau du client Autre solution Oui la RFC 1542 si elle est prise en charge par le routeur permet de configurer le routeur en agent relais DHCP Agent relais DHCP quipement capable de transmettre sur un autre r seau ou sous r seau les diff rentes requ tes DHCP Cela peut tre un routeur mat riel ou un routeur logiciel bien s r DHCP et technologies sans fil Dans les technologies sans fil nous avons un point d acc s access point L antenne pour simplifier Quelques mod les AP int grent la RFC 1542 il est possible d y configurer un agent relais DHCP Mieux quelques mod les int grent un service DHCP on peut alors directement confi gurer DHCP sur le AP 19 8 3992 TG PA 00 Atelier1 Chiffrement des communications Dur e indicative 2 heures gt Objectif Mettre en place des connexions r seau chiffr es afin de rendre les donn es illisibles qui n est pas autoris gt C
68. P il enl ve toutes les infos des couches 1 amp 2 l il remplace l IP du destinataire par la vraie qu il a dans sa table CQFD Et au retour lorsque le serveur web r pond Eh bien il fait la m me chose dans l autre sens Il remplace la vraie IP par une factice le client n y voit que du feu Vous allez voir tout la fin la solution de l tude de cas de 2004 vous allez vous dire finalement c est un jeu d enfant La translation de port PAT Vous vous souvenez aussi de la s quence 9 Bien s r Eh bien chaque application utilise un port de communication diff rent qui est identifi par un num ro de port Message a i 192 168 1 1 Port 80 Messagerie Dans l analyse d une trame on retrouve bien s r le port de communication du service Et si on le cachait aussi le vrai port Qui c est qui va emb ter mon serveur web si je le mets sur le port 4066 vitez xx80 d accord Avant de le trouver sur 4066 il faudra que le client soit au courant ou passe en revue mes ports ouverts on parle alors de scan de ports un des logiciels les plus connus est nmap Eh bien m me principe que le nat c est le routeur qui va changer dans la transmission externe le vrai port vu de l ext rieur ce sera peut tre le 80 port natif d un service web mais le vrai sera 4066 et hop 8 3992 TG PA 00 Filtrage NAT et PAT 5 Combinaison NAT PAT par l exemple
69. R seau Moyen de destination de l atteindre cout 192 168 1 0 R2 22 Sur R5 on aura l extrait suivant R seau Moyen de destination de l atteindre 192 168 1 0 R4 20 158 8 3992 TG PA 00 Le routage IP dynamique OSPF Le fonctionnement d OSPF un peu plus en d tail Pour administrer un r seau OSPF correctement il est indispensable de comprendre le fonctionnement interne du protocole l int rieur d une m me zone les routeurs fonctionnant sous OSPF doivent pr alable ment remplir les t ches suivantes avant de pouvoir effectuer leur travail de routage 1 tablir la liste des routeurs voisins 2 lire le routeur d sign et le routeur d sign de secours 3 d couvrir les routes 4 lire les routes utiliser 5 maintenir la base de donn e topologique 0 tat initial Le processus de routage OSPF est inactif sur tous les routeurs de la figure 1 1 tablir la liste des routeurs voisins Hello my name is R1 and I m an OSPF router Les routeurs OSPF sont bien lev s D s qu ils sont activ s ils n ont qu une hate se pr senter et faire connaissance avec leurs voisins En effet lorsque le processus de routage est lanc sur R1 commande router ospf des paquets de donn es appel s paquets HELLO sont envoy s sur chaque interface o le routage dynamique a t activ commande network L adresse multicast 224 0 0 5 est utilis e tout routeur OSPF se consid re
70. ____ S liste des Utilisateurs exception 2f Mettre jour les r gles iptables lt Red marrer DansGuardian Figure 7 filtrage sur les contenus On peut donc filtrer l acc s des sites sur mots interdits contenus dans les pages extensions de fichiers interdites par exemple exe avi zip pif types mime interdits c est une autre fa on d interdire certains types de fichiers en particulier dans les pi ces jointes aux courriers lectroniques On peut enfin tout bloquer puis ne d finir que quelques exceptions sur les URL adresses IP sites ou utilisateurs 125 8 3992 TG PA 00 Atelier 7 Manipulations 1 La premi re tape consiste indiquer MNF quelle interface correspond internet Nous pourrons ensuite configurer le proxy Allez dans l onglet Acc s internet puis cliquez sur C ble et LAN S lectionnez eth1 comme interface internet Contr lez la configuration propos e en principe il n y a rien changer Cliquez sur suivant puis sur appliquer 2 Activez le service proxy web en mode transparent Allez maintenant dans URLFilter services proxy web Ajoutez votre LAN sous la forme 10 0 0 0 8 en tant que r seau autoris 3 Toujours dans URLFilter interdisez l acc s l URL de destination 192 168 0 1 Sous Windows essayez de vous connecter 192 168 0 1 avec le navigateur Le proxy vous r pond impitoyablement
71. a 48 OS Quit 1 Type 1 Units 1 Write Toggle bootable flag of the current partition N oubliez pas Write la fin pour crire les donn es de la table de partition du disque ce stade la nouvelle partition a t enregistr e sur le disque Il faut passer maintenant au formatage 67 8 3992 TG PA 00 Atelier 3 e Formatage Je ne vous apprendrai rien en vous disant que chaque syst me d exploitation poss de son propre syst me de fichiers Le syst me de fichiers de pr dilection de Linux est ext3 mv2 debian mke2fs j dev hdb1 mke2fs 1 40 WIP 14 Nov 2006 Etiquette de syst me de fichiers Type de syst me d exploitation Linux Taille de bloc 4096 log 2 Taille de fragment 4096 log 2 2097152 i noeuds 4194280 blocs 209714 blocs 5 00 r serv s pour le super utilisateur Premier bloc de donn es 0 Nombre maximum de blocs du syst me de fichiers 0 128 groupes de blocs 32768 blocs par groupe 32768 fragments par groupe 16384 i noeuds par groupe Superblocs de secours stock s sur les blocs 32768 98304 163840 229376 294912 819200 884736 etc criture des tables d i noeuds compl t Cr ation du journal 32768 blocs compl t criture des superblocs et de l information de compatibilit du syst me de fichiers compl t Le syst me de fichiers sera automatiquement v rifi tous les 22 montages ou apr s 180 jours selon la premi re ventualit Utiliser tune2fs c ou i
72. abricant Cisco CCNA INTRO Guide de certification Pr paration la certification 4 a 8 3992 TG PA 00 Liens Les liens qui suivent sont ceux que je consulte r guli rement il en existe d autres Lorsque des liens sont relatifs une s quence en particulier je ne les cite pas ici mais la fin de la s quence liens test s et valides au 15 juillet 2007 http www reseaucerta org http adaig free fr etudiant site php3 http christian caleca free fr http www laissus fr cours cours html http www urec cnrs fr cours http abcdrfc free fr http www themanualpage org reseau http www docsdunet com http www reseaux telecoms net http www labo cisco com Et beaucoup d autres il est logique que le r seau Internet regorge de sources de formations et d informations sur TCP IP et les r seaux informatiques Vous avez de quoi vous occuper un bon bout de temps Sommaire S quence 1 Trame Ethernet 7 S quence 2 Surr seau supernetting 13 S quence 3 Approfondissement DHCP 17 Atelier 1 Chiffrement des communications 21 Atelier 2 Mise en place d un annuaire LDAP 37 S quence 4 Un peu de th orie sur LDAP 000 59 Atelier 3 Gestion des disques 65 Atelier 4 Gestion des pannes reprise 79 Atelier 5 Les seripts shell 85 Atelier 6 Le firewalling 0 99 S quence 5 Filtrage NAT et PAT 113 Atelier 7 Proxy 121 Atelier 8 Le routage IP statique 00 131 Atelier
73. admin dc labocned de2fr my2 debian31r5 Microsoft Virtual PC 2004 Outil de configuration des paquets mv2 deblan31r5 Microsoft Virtual PC 2004 Outil de configuration des paquets Ici il faut renseigner le compte de l administrateur LDAP cn admin dc labocned dc fr SON mot de passe Chiffre Choisissez lt Chiffr gt 8 3992 TG PA 00 31 Atelier 2 NSS Name Service Switch NSS est le service qui permet de faire abstraction de la fagon dont sont stock es les infor mations concernant les utilisateurs les groupes etc C est ce que nous voulons que les utilisateurs aient t cr s de fa on standard useradd ou via Idap fichier Idif Nous voulons qu ils puissent s authentifier de la m me fa on libnss librairie name service switch Un programme login passwd ayant besoin de ce genre d infos doit savoir comment acc der aux fichiers o ils sont stock s comment ils sont organis s La librairie NSS permet de s affranchir de cette contrainte Le programme ne sait pas o sont stock es les informations il a juste un ensemble de fonctions sa disposition pour manipuler les donn es Cela permet entre autre de d localiser les comptes de etc passwd vers une base de donn es ou un annuaire Idap bien s r sans avoir retoucher les programmes La librairie se charge d aller chercher les infos au bon endroit elle g re de nombreuses bases de donn
74. ager une base d infor mations sur les utilisateurs les mat riels et les logiciels du syst me informatique gt Conditions pr alables Aucune en particulier gt Consid rations techniques Aucune en particulier gt Liens http Awww openldap org http Awww coagul org article pbhp3 id_article 172 http Avww id imag fr svarrett download polys Tutorial_LDAP_HTML index html Introduction Imaginez que vous tes le patron d une petite entreprise Vous d cidez de vous informa tiser Vous achetez quelques ordinateurs isol s que vous mettez sur le bureau de quelques employ s Ceux ci utilisent des produits bureautiques des logiciels de gestion standards et une application m tier tr s sp cifique Il leur faut saisir un mot de passe pour ouvrir une session sur leur machine puis un autre mot de passe pour leur logiciel de comptabilit et encore un autre mot de passe pour leur application Ensuite vous d cidez de connecter les ordinateurs en r seau Vous partagez des imprimantes des unit s de sauvegarde vos utilisateurs cr ent des dossiers partag s pour s changer des fichiers Pendant ce temps l vos affaires prennent de l ampleur le nombre de vos fournisseurs augmente ainsi que celui de vos clients Lorsque vous cherchez contacter un fournisseur il faut chercher leurs coordonn es dans un r pertoire ou dans un agenda ou regarder sur une facture ou encore consulter leur fichier dans votre logiciel de gesti
75. allons voir comment ajouter et mettre en uvre de nouveaux disques Ces donn es doivent aussi tre prot g es Nous allons voir comment mettre en place un syst me RAID logiciel Installation d un nouveau disque Commen ons par un petit exercice de r vision qui nous renvoie aux tous premiers ateliers Exercice 11 Comment se nomment les disques sous Linux Comment se nommerait la deuxi me par tition du premier disque IDE e Cr ation du nouveau disque virtuel Je vous invite bien s r lire la documentation de Virtual PC 2004 qui est fournie et stock e dans votre r pertoire d installation Documentation Dans Virtual PC s lectionnez votre mv2 debian clic droit param tres disque virtuel n 2 choisissez Assistant disque dur virtuel et cr ez un nouveau disque virtuel que vous stocke rez dans le r pertoire de mv2 debian 65 8 3992 TG PA 00 Atelier 3 Emplacement du disque dur virtuel Erregatrer dane C2 Machine Virtuele 2 Lux Deban 3115 ce Te KB Disque dur de mv 2 debian3 ir5 vhd Disque dur say de m2 debian vhd x Disques durs vituels vha x Aoier _ Param tres pour mv2 debian31r5 Disque dur de mv2 debian31r5 vhd y mv2 debian31r5 vmc Disque dur sauv de mv2 debian vhd Param tre Valeur actuelle E Nom du fichier mv2 debian31rs EE M moire 256 Mo lt Disque dur 1 Disque dur de mv2 debian31r5 vhd Disque dur 2 Disque dur sauv de mv2 debian
76. ar exemple France La R union Saint Denis nom Massol adresse 77 all e des saphirs tel 0262345346 Figure 1 un exemple d annuaire classique On voit appara tre une structure hi rarchique Dans l exemple donn lorsque je prends l annuaire de mon d partement il est sous entendu que cela fait partie des annuaires fran ais Ensuite les informations sont class es par ville puis par nom Lorsque l on a trouv le nom on obtient l adresse et le num ro de t l phone Voici quelques observations certains l ments la ville par exemple servent organiser les informations certains l ments sont porteurs d information par exemple le num ro de t l phone associ chaque personne dans l annuaire pour tre v ritablement identifi il faut dire Massol du 77 all e des saphirs Saint Denis de La R union en France 38 8 3992 TG PA 00 Mise en place d un annuaire LDAP Les annuaires LDAP Passons maintenant un annuaire informatique LDAP lightweight directory access pro tocol est un protocole internet client serveur largement r pandu En effet les principaux constructeurs informatiques l ont mis en uvre ou s en sont inspir s que ce soit Novell avec son NDS ou Microsoft avec Active DirectoryO e Pr sentation Un annuaire LDAP sert stocker des informations sur des gens utilisateurs ou contacts mais aussi sur des appareils ou des logiciels Par
77. c de 200 1 160 1 200 1 160 254 Voyons a en binaire IP toujours en binaire sous peine d erreurs r seau 1100 1000 0000 0001 1010 0000 0000 0000 masque sous r seau 1111 1111 1111 1111 1111 1111 0000 0000 Voyons ce que a donnerait avec un autre masque r seau 1100 1000 0000 0001 1010 0000 0000 0000 masque sous r seau 1111 1111 1111 1111 1110 0000 0000 0000 ici nous avons pris 5 bits dans I id r seau Nous avons cr un espace d adressage allant de petite en binaire 1100 1000 0000 0001 1010 0000 0000 0001 petite en d cimal 200 1 160 1 grande en binaire 1100 1000 0000 0001 1011 1111 1111 1110 grande en d cimal 200 1 191 254 CQFD n oubliez jamais l explication binaire dans vos copies 8 3992 TG PA 00 Sur r seau supernetting Mais alors Revenons l int r t d un tel syst me pour avoir un acc s permanent Internet vous savez qu il faut demander une adresse r seau un organisme charg de la gestion des IP NIC France par exemple Vous vous rappelez que les adresses IPv4 commen cent s puiser c est pour cela qu IPv6 est en gestation Alors en attendant que tous les routeurs de la plan te soient compatibles avec IPv6 on fait quoi Et bien lorsqu une soci t g n ralement ISP ou FAI demande une adresse de classe A ou B l organisme il est possible qu elle lui soit refus e parce qu il n y en a plus ou presqu
78. cn utilisateurs nom du groupe objectClass posixgroup objet d finissant un groupe gidNumber 600 un num ro arbitraire Ensuite nous l ajoutons la base mv2 debian etc Idap ldapadd x D cn admin dc labocned dc fr W f group1 txt Enter LDAP Password adding new entry cn utilisateurs ou pedagogie dc labocned dc fr 47 8 3992 TG PA 00 Atelier 2 e Cr ation d un utilisateur Nous allons ajouter un utilisateur au groupe d utilisateurs cr pr c demment et nous le placerons galement dans OU correspondante Voici les caract ristiques de l utilisateur Paul HOCHON mv2 debian etc Idap vi utill txt dn cn phochon ou pedagogie dc labocned dc fr uid phochon cn phochon sn Hochon objectclass top objectclass person identifiant de login common name nom de famille liste des objets utilis s objectclass posixAccount objectclass inetOrgPerson uidNumber 1234 gidNumber 600 un num ro arbitraire num ro du groupe pr c dent homeDirectory home phochon loginShell bin bash mail phochon labocned fr givenName Paul Vous constatez que de nombreux attributs sont associ s l objet On peut cumuler les classes d objet afin de l utiliser de diff rentes fa on Par exemple ici nous prenons la classe d objet posixAccount afin de permettre notre utilisateur de se connecter la
79. comme destinataire Ces paquets ont pour but de s annoncer aupr s de ses voisins Deux routeurs sont dits voisins s ils ont au moins un lien en commun Par exemple sur la figure 1 R1 et R2 sont voisins mais pas R1 et R3 Lorsque le processus de routage OSPF est lanc sur R2 celui ci r cup re les paquets HELLO mis par R1 toutes les 10 secondes valeur par d faut du temporisateur appel hello inter val R2 int gre l adresse IP de R1 dans une base de donn es appel e base d adjacences adjacencies database Cette base contient les adresses des routeurs voisins Vous pourrez visionner son contenu gr ce la commande show ip ospf neighbor R2 r pond R1 par un paquet IP unicast R1 int gre l adresse IP de R2 dans sa propre base d adjacences Ensuite g n ralisez ce processus l ensemble des routeurs de la zone Cette phase de d couverte des voisins est fondamentale puisque OSPF est un protocole tat de liens II lui faut conna tre ses voisins pour d terminer s ils sont toujours joignables et donc d terminer l tat du lien qui les relie 2 lire le routeur d sign c est moi le chef Dans une zone OSPF l un des routeurs doit tre lu routeur d sign DR pour Designated Router et un autre routeur d sign de secours BDR pour Backup Designated Router Le DR est un routeur particulier qui sert de r f rent au sujet de la base de donn es topologique repr sentant le r seau Pourquoi l
80. couvrir le contenu du message a serait tellement bien Vous savez quoi a existe Ca s appelle le chiffrement a cl s asym triques et c est m me la base de toutes les m thodes de chiffrement utilis es dans les r seaux informati ques Tout d abord nous allons expliquer le principe puis nous le mettrons en uvre dans deux situations 22 8 3992 TG PA 00 Chiffrement des communications Le chiffrement a cl s asym triques Partons d un petit exemple Supposons qu une personne A appelons la Alice d sire transmettre des donn es chiffr es a une personne B appelons la Bernard Bernard doit poss der un couple de cl s e une cl priv e que lui seul poss de et qui n est jamais transmise e une cl publique que Alice doit aussi poss der La cl doit lui tre transmise ou bien elle peut se la procurer dans un annuaire Le processus de chiffrement sera le suivant Cl publique Cl priv e de Bernard Bernard PE 5 2 5 Message Sg Message D ACE o gt chiffr aa chiffr go gt BERNARD D Ve D S Figure 1 exemple de chiffrement a cl s asym triques Exercice 3 Je sais que ce sch ma qui para t simple au premier abord pose toujours des probl mes lorsque l on interroge ensuite les tudiants Voici quelques questions de lecture afin d attirer votre attention sur les points importants e Qui est l metteur Qui est le destinataire
81. de ce cours Bien s r nul n est devin sur ce qui vous sera demand l examen Les r seaux informatiques pren nent une importance grandissante au sein des entreprises Et les aspects de disponibilit et de s curit sont des imp ratifs L volution des difficult s des exercices de l examen montre qu on en demande de plus en plus aux tudiants par exemple ces derni res ann es il a t demand des exercices sur le routage bien s r mais aussi sur l analyse de trames et de la translation d adresses et de ports des connaissances sur les r seaux sans fils sur les VLAN et la voix sur IP Bref vous devez comme tout administrateur r seaux en entreprise vous tenir inform des technologies tudier leur th orie et leur pratique en ne vous limitant pas ce seul fascicule de cours Encore une fois il n est pas question d crire une encyclop die Il serait anti p dagogique de vous noyer dans un flux de d tails techniques Rappelons que pour l option ARLE les questions d architecture mat rielle des syst mes informa tiques repr sentent environ 10 points coefficient 5 a l tude de cas plus la soutenance de projet et l preuve pratique cela fait coefficient 12 sur 22 Constitution du document Ce fascicule se compose e de s quences de cours e d ateliers de travaux pratiques qui peuvent ne pas tre en rapport direct avec la partie th o rique mais dont l int r t et la difficult p dagogique les placent ce
82. difficile tirer la le on suivante lorsque 10 sources vous disent de taper la commande xyz et qu il y a un tel message d erreur il faut trouver une expli cation phwinfo com forum archive index Cherchez Vous trouverez et comprendrez qu il s agit d un souci de version ne cherchez pas non plus le paquet apache2 common il a t remplac par apache2 2 common et aussi apache2 utils qui sont d j install s sur notre serveur Eh oui vous avez certainement trouv que la commande apache2 ssi certificate a disparue Et qu il faut maintenant cr er le certificat via les commandes de openssl http www free dever net index php Accueil et http www narno com blog debian apa Nous allons g n rer une cl priv e pour le domaine labocned fr nomm e labocned fr key mv2 debian etc ssl openssl genrsa des3 out labocned fr key 1024 Generating RSA private key 1024 bit long modulus eea Ee iE aaa ea e is 65537 0x10001 Enter pass phrase for labocned fr key lt tapez labocned par exemple gt Verifying Enter pass phrase for labocned fr key lt re saisissez le m me gt 27 8 3992 TG PA 00 Atelier 1 Nous allons formuler une demande de certificat nomm labocned fr csr mv2 debian etc ssl openssl req new key labocned fr key out labocned fr csr Enter pass phrase for labocned fr key lt saisissez votre pass labocned ici gt You are about to be asked to e
83. e 3 configuration du type de fonctionnement Signification des diff rents modes de fonctionnement Une configuration est n cessaire sur les postes Manuel clients Manuel avec authentifica Un mot de passe est demand l utilisateur pour tion passer au travers du proxy Les utilisateurs sont oblig s de passer par le Transparent proxy aucune configuration n est n cessaire sur les clients Le proxy transparent ne peut tre mis en uvre que lorsque la topologie du r seau a t con ue en cons quence Hub PROXY 192 168 30 254 Internet 7 a ee PC PC Serveur 192 168 30 10 192 168 30 20 192 168 30 199 201 252 19 160 N N m Figure 4 le proxy transparent exige d isoler les segments de r seaux en proxy transparent seuls les services web port 80 sont trait s 123 8 3992 TG PA 00 Atelier 7 e Param tres La configuration est relativement simple Le mode de Squid Le port de Squid La taille du cache de Squid en Mb L e mail de l administrateur de Squid transparent 3328 150 admin yourdomain com Figure 5 param tres du proxy Je pense que cet cran se passe de commentaire Filtrage Diff rents modes de filtrage sont propos s e Filtrage sur les adresses demand es Les fonctionnalit s suivantes sont propos es web d une liste de serveurs et ou URLS ou adresses IP La premi re chose
84. e IP de l h te scanner Cliquez Next Les plugins de Nessus sont en fait des programmes qui testent une ou plu sieurs vuln rabilit s on peut donc personnaliser le type d analyse que l on veut effectuer en s lectionnant les plugins utiliser Pour le moment voyons de quoi il retourne en laissant le choix propos enable all but dangerous Cliquez Next Nessus a une architecture client ser veur il est donc int ressant en r seau d installer un serveur dont le r le sera d inspecter et de surveiller la s curit des h tes et du r seau Pour notre premier scan nous sommes en localhost Cliquez Scan now Apr s initialisation le scan d marre 8 3992 TG PA 00 Audit de s curit Les r sultats du scan sont disponibles au format html Tenable Nessus Security Report Microsoft Internet Explorer Fichier Edition Affichage Favoris Outils Ori O DAG Prune germ SEB Adresse C Documents and Settings usercnediTenable Nessus reports htmlcurrent_report xml view _by_host xsl htm Tenable Nessus Security Report l Start Time Mon Aug 06 10 23 34 2007 Finish Time Mon Aug 06 10 26 57 2007 __ 127 001 3 Open Ports 12 Notes 0 Warnings 1 Holes Interpr tation des r sultats Nessus effectue un scan des ports TCP et UDP ouverts et teste les possibilit s d attaque par d ventuelles failles de s curit Le rapport indique ici 3 ports ouverts 12 Notes et surto
85. e Iface 192 168 2 0 255 255 255 0 U 0 0 0 eth0 localnet 255 255 255 0 U 0 0 0 eth0 11 0 0 0 255 0 0 0 U 0 0 0 eth1 12 0 0 0 s 255 0 0 0 U 0 0 0 eth2 default 192 168 1 1 0 0 0 0 UG 0 0 0 eth0 Cet appareil int gre automatiquement les adresses des r seaux directement connect s Ainsi Routeur2 deb peut communiquer avec l interface de Routeur 1 deb situ e dans le m me r seau 11 0 0 0 8 et aussi avec l interface de Routeur3 deb sur leur r seau com mun 12 0 0 0 8 146 8 3992 TG PA 00 Le routage IP statique ping 12 0 0 2 c 2 PING 12 0 0 2 12 0 0 2 56 84 bytes of data 64 bytes from 12 0 0 2 icmp_seq 0 ttl 255 time 10 3 ms 64 bytes from 12 0 0 2 icmp_seq 1 ttl 255 time 1 55 ms 12 0 0 2 ping statistics 2 packets transmitted 2 received 0 packet loss time 1000ms rtt min avg max mdev 1 553 5 931 10 309 4 378 ms Tous les appareils peuvent pinger leurs voisins imm diats mais pas au del Par exemple Routeur3 ne peut pas atteindre Routeur1 Routeur3 deb ping 11 0 0 1 PING 11 0 0 1 11 0 0 1 56 84 bytes of data From 192 168 3 254 icmp_seq 1 Destination Host Unreachable From 192 168 3 254 icmp_seq 2 Destination Host Unreachable Normal puisque le r seau 11 0 0 0 8 ne figure pas dans sa table de routage Le routage statique va consister a int grer manuellement les routes dans la table de rou tage du routeur Ouvrez sur routeur3 deb une session telnet avec zebra puis allez dans le mode
86. e Qui chiffre Avec quelle cl A qui appartient cette cl e Qui d chiffre Avec quelle cl qui appartient cette cl Exercice 4 Alice souhaite maintenant envoyer un message chiffr Charlotte Comment doit elle s y prendre Exercice 5 Sous quelle s condition s Bernard peut il envoyer un message chiffr Alice En supposant que cette condition soit remplie et en vous inspirant de la figure 1 repr sentez l change d un message chiffr de Bernard vers Alice 23 8 3992 TG PA 00 Atelier 1 SSL secure socket layer Le protocole SSL secure sockets layer a t con u par la soci t Netscape pour assurer une communication confidentielle et fiable entre deux applications un client et un serveur pour identifier le serveur et parfois le client SSL n cessite un protocole de transport s r comme TCP pour la transmission et la r ception de donn es Il permet la s curisation de tout protocole applicatif s appuyant sur TCP tels que HTTP LDAP NNTP SMTP FTP ou Telnet Dans la pratique les impl mentations prouv es de SSL s appliquent surtout HTTP HTTPs et LDAP LDAPs Le protocole est compos de deux couches qui s ins rent entre le protocole de transport et les protocoles applicatifs HTTP LDAP FTP etc SSL Handshake Protocol SSL Record Protocol TCP Figure 2 le protocole SSL Au niveau le plus bas juste au dessus d un protocole de transport s r se trouve
87. e destination du paquet ainsi que l adresse d une machine proximit situ e dans son r seau et qui joue le r le de la porte On l appelle la passerelle Elle oriente le paquet vers le prochain carrefour ce carrefour il y a un appareil qui oriente le paquet vers le prochain carrefour ce nouveau carrefour il y a un nouvel appareil qui oriente le paquet vers le prochain carrefour Et ainsi de suite jusqu arriver la passerelle du r seau de destination qui remet le paquet dans le r seau Le routeur L appareil dont nous parlons s appelle un routeur la passerelle est galement un routeur Le routage consiste faire circuler de routeur en routeur les paquets de donn es R seau physique D apr s D COMER Figure 1 architecture d internet Eh oui la magie d internet fait ressembler le r seau la figure A Nous avons l impression d tre tous directement reli s La r alit est plut t comme sur la figure B Un maillage de routeurs g r s par divers op rateurs 132 8 3992 TG PA 00 Le routage IP statique Pour donner une d finition plus technique du routeur disons que tout appareil qui poss de au moins deux interfaces r seau et qui est capable d mettre sur une interface un paquet recu sur une autre interface en fonction de r gles d finies dans une table de routage est un routeur Une machine sous Linux avec deux cartes r seau peut tre un routeur e La table de routage L administra
88. e et r aliser des t ches qui n cessitent habituellement les autorisa tions de root Un syst me Linux doit donc tre prot g des acc s physiques de personnes non habilit es Si vous voulez approfondir Sur le chapitre des sauvegardes il y a norm ment de choses dire e utiliser partimage e voir du c t de la commande rsync pour g rer une copie jour en perma nence des fichiers situ s dans un r pertoire mais sur une autre machine e programmer les sauvegardes avec les d mons CRON et ANACRON 24 8 3992 TG PA 00 Les scripts shell Dur e approximative de cet atelier 3 heures gt Objectif D couvrir les puissantes possibilit s propos es l administrateur par le langage de shell Vous allez cr er des scripts en langage de shell afin d automatiser des t ches d adminis trations gt Conditions pr alables Aucune en particulier gt Consid rations techniques Cet atelier va faire appel vos connaissances acquises tout au long de ce cours Mais aussi des comp tences issues de votre cours d algorithmique et de programmation Je sup pose donc dans cet atelier que vous ma trisez les bases l mentaires de la programmation Le langage de shell n est pas un v ritable langage de programmation il est moins sophis tiqu L int r t est de permettre le traitement de lots de commandes shell en y ajoutant ventuellement des conditions Toutefois vous devrez savoir ce qu est une variable une
89. e la configuration r seau avec la commande ifcon fig Toujours avec ifconfig corrigez si n cessaire il faudra ensuite refaire la configuration des cartes dans le firewall Vous devriez maintenant pouvoir vous connecter partir de la station V rifiez galement avec la commande netstat qu un serveur coute bien sur le port TCP 8443 Si ce n est pas le cas red marrez le serveur Si cela ne fonctionne toujours pas le plus simple est peut tre de r installer en reprenant pas pas Le login ne fonctionne pas cause des cookies Et pourtant le navigateur autorise les cookies Une seule cause l heure entre le firewall et la station diff re Il faut que les deux horloges soient peu pr s synchronis es on n est pas la seconde pr s quand m me Modifiez l heure sur la station et ou sur le firewall en ligne de commande avec la commande date Les images ne s affichent pas J ai eu ce probl me parce que le navigateur tait trop vieux ou trop bogu J ai mis jour mon vieux ie4 avec un ie5 et a a march Ce probl me n est pas trop grave dans la mesure o la configuration du firewall demeure possible Configuration syst me Ne pas utiliser les boutons de navigation retour la page pr c dente du naviga teur mais ceux propos s par MNF dans les pages html Toujours faire APPLIQUER apr s une modification de configuration 104 8 3992 TG PA 00 Le firewalling Allez dans configuration
90. e plus On lui affecte alors un bloc d adresses de classe C de 200 1 160 0 200 1 191 0 avec un netmask de 255 255 224 0 dans notre exemple et le tour est jou Des entreprises peuvent galement opter pour un adressage priv en sur r seau Pour la m me raison que les ISP ou FAI une entreprise peut faire une demande d adresse publique et se voit refuser une adresse de classe A ou B malgr un nombre important d h tes elle ne s appelle pas Microsoft par exemple Il ne lui reste plus qu faire du sur r seau Inconv nient pour les routeurs Dans notre exemple de bloc de 200 1 160 0 200 1 191 0 avec pour netmaskO 255 255 224 0 combien faut il de routes dans la table de routage CIDR Classless Internet Domain Routing La technique du CIDR permet de n avoir qu une seule entr e dans la table de routage Cette entr e est petite adresse du bloc netmask Dans notre exemple cela donne 200 1 160 0 255 255 224 0 Une autre notation est utilisable vous la connaissez d j laquelle 200 1 160 0 19 19 tant le nombre de bits cons cutifs 1 dans le netmask CIDR r duit donc la taille des tables de routage Voir RFC 1519 pour plus de d tails Deux fois que j utilise le terme anglo saxon netmask sinon je devrai l appeler masque de sous r seau pour vous embrouiller sur les sur r seaux y a pas mieux 15 8 3992 TG PA 00 Sequence 3 Approfondissement DHCP Dur e indicative 2 heures Cette s q
91. e routeur est reli deux r seaux un de transit 12 0 0 0 8 et un d extr mit stub 192 168 3 0 24 Enfin si vous voulez consulter la table de routage obtenue apr s traitement par SPF des diff rents LSA vous n aurez qu saisir un show ip ospf route Rappel important il y a une diff rence entre cette table et celle utilis e par le d mon zebra pour le routage pro prement dit Souvenez vous que Quagga est multi protocole et qu il a une architecture modulaire Chaque d mon calcule une table de routage partir des informations dont il dispose et qui ne sont pas n cessairement les m mes pour chaque d mon Ensuite ils transmettent chacun leur table au d mon zebra qui en fait la synth se Cette synth se constitue la v ritable table de routage utilis e pour router les paquets Nous avons fait un tour d horizon des principales commandes de Quagga permettant de surveiller l tat de ospfd Il y en a encore beaucoup d autres que je vous laisse d couvrir faites un show ip ospf par exemple Il nous reste observer la table de routage obtenue par Quagga Quittez ospfd et connectez vous sur le d mon zebra telnet localhost 2601 Routeur3 deb Zebra gt show ip route K kernel route C connected S static R RIP O OSPF B BGP gt selected route FIB route O gt 11 0 0 0 8 110 20 via 12 0 0 1 eth0 00 12 48 O gt 12 0 0 0 8 110 10 is directly connected eth0 00 14 09 C gt 12 0 0 0 8 is directl
92. e2 mods enabled Il cherchera dans ce fichier ssl conf le path des certificats Aussi nous allons copier les fichiers labocned fr key et labocned fr crt dans un unique r pertoire ssl que nous allons cr er dans etc apache2 mv2 debian etc apache2 mkdir ssl mv2 debian etc apache2 cp etc ssl labocned fr csr etc apache2 ssl labocned fr csr mv2 debian etc apache2 cp etc ssl labocned fr key etc apache2 ssl labocned fr key Ajustons les permissions mv2 debian etc apache2 chown R root root etc apache2 ssl mv2 debian etc apache2 chmod R o rwx etc apache2 ssl Un serveur http s curis ne se positionne pas sur le port 80 mais sur le port 443 Il faut modifier etc apache2 ports conf mv2 debian etc apache2 vi etc apache2 ports conf Listen 80 Listen 443 Occupons nous maintenant du site qui sera accessible en s curis Gilbert et ses collegues garderont leur sites personnels respectifs bien s r Nous allons cr er un nouveau site qui lui sera destin a mettre a dispositision des donn es s curis es Cr ons le a la racine du service dans var www 29 8 3992 TG PA 00 Atelier 1 mv2 debian var wwwi mkdir secure Cr ons une page dans ce r pertoire var www secure index html lt html gt lt head gt lt title gt Page chiffr e lt title gt lt head gt lt body gt lt h1 gt Bienvenue sur une page s curis e lt h1 gt lt body gt lt html gt
93. ec Apache est il disponible mv2 debian ssl conf ssl load ls etc apache2 mods available mod_ssl est il activ mv2 debian ls etc apache2 mods enabled Pas de ssl en vue Alors activons le la commande a2enmod est une contraction de apache2 enable module mv2 debian a2enmod ssl Module ssl installed run etc init d apache2 force reload to enable x 8 3992 TG PA 00 Chiffrement des communications Bien s r nous relancerons Apache2 le moment venu puisque nous modifions sa configura tion En attendant v rifions l effet de notre commande mv2 debian ls etc apache2 mods enabled ssl conf ssl load mod_ssl est maintenant actif Nous allons cr er un certificat de s curit pour notre service a cr e donc nos cl s publi que et priv e attach es a un certificat de s curit mv2 debian apache2 ssl certificate bash apache2 ssl certificate command not found note contrairement aux ateliers des fascicules 3988 destin s aux deux options vous tes ici dans la partie des administrateurs r seaux c est quoi la diff rence Un d veloppeur d applications sait d bugger des messages d erreur lors de la compilation de ses programmes mais n aime pas les messages d erreur lors d installations ou de configurations de services r seaux vous c est l inverse Bon ici ce n est pas tr s
94. er If the host allows these recursive queries via UDP then the host can be used to bounce Denial of Service attacks against another network or system Le 2 warning concerne galement l administration de mon domaine port UDP 53 Ici Nessus me signale que mon serveur autorise les requ tes DNS distantes ne pas m inqui ter si c est un serveur interne mais s il est externe cela veut peut engendrer une attaque par d ni de service en effectuant des requ tes DNS r cursives et mon service tombe Bien qu alarmant cela pourrait tre pire Nessus Scan Report Mozilla Firefox sx fichier ponn amensge Alerh Marque pages Oupls Aide e ae 2 T D S 0092 1688 scape remy 168 1 ofeg retum to top F Analysis of Host Address of PoruService Issue regarding Host Port 192 168 0 1 ftp 21 tep Security warning s found 192 168 0 1 ssh 22 cp Security hole found 192 168 0 1 telnet 23 tcp Security warning s found 192 168 0 1 domain 534cp Security hole found 192 168 0 1 http 80cp Security notes found 192 168 0 1 pop3 110 tcp Security notes found 192 168 0 1 netbios ssn 139 tcp Security hole found 192 168 0 1 idap 38 tcp Security warning s found 192 168 0 1 https 443 lep Security hole found 192 168 0 1 printer 515 cp No Information 192 168 0 1 msg 1241 tcp Security warning s found presasat teens sos a Termin ars 179 8 3992 TG PA 00 Atelier 10 Co
95. er le programme externe Hydra pour attaquer les mots de passe l aide d un dictionnaire e les services jug s faibles on sugg re par exemple de remplacer Telnet par SSH e les d nis de service contre la pile TCP IP Installation sur windows xp mv1 xp Nessus est compos d une partie serveur et d une partie client Sous mv1 xp t l chargez Nessus sur le site officiel et inscrivez vous vous recevrez un code d activation par e mail Installez Nessus 3 sur mv1 xp activez le et t l chargez les mises jour et plugins 174 8 3992 TG PA 00 Audit de s curit amp my1 xp Microsoft Virtual PC 2007 Action Edition CD Disquette Nessus 3 Fichier Edition Affichage Favoris Outils Pr c dente z z JO Rechercher Ke Dossiers Ez Adresse C Nessus 3 S porle Nessus 3 1 0 6 1 Bureau Setup Launcher B B Mes documents Tenable Network Security S W Poste de travail a E BB Disquette 314 a AA U B Disque local C g S sanea is Plugin installation is in progress please wait CD Program Files a gt wINDows 2 Lecteur DYD D Status Installed 5797 of 15255 plugins GF Pneu de fau Ti amp Ch Documents partag s Documents de userc amp g Favoris r seau Corbeille Update Progress Purge the plugin database at update slower amp mv1 xp Micra Edition CD Lancez Nessus Tonable Nessus Vuinorability Scan
96. es ces r gles sont contenues dans des tables qui ont chacune un r le particulier e nat pour faire de la transformation d adresses indispensable pour partager un acc s internet sur un r seau Nous l avons d j utilis e dans le tout dernier atelier du tome 1 du cours 3988 e mangle pour modifier les en t tes des paquets IP nous ne l utiliserons pas ici e filter pour filtrer les paquets c est tr s int ressant 99 8 3992 TG PA 00 Atelier 6 Chaque table est associ e a une ou plusieurs chaines Chaque chaine intervient a un endroit sp cifique Paques rout s Paques rout s Paquets entrants Paquets sortants Paquets Paquets destination envoyes par une appli locale OUTPUT Applications Applications locales locales Firewal Figure 1 architecture de netfilter Dans cet atelier nous nous concentrons sur la table filter Les trois chaines associ es a cette table se nomment e INPUT pour les paquets entrants dans le firewall destination des applications fonc tionnant dans le firewall e OUPTUT pour les paquets sortants du firewall mis par les applications fonction nant dans le firewall e FORWARD pour les paquets qui sont simplement transmis par le firewall sans passer par les applications Ainsi par exemple si je veux filtrer certains paquets qui transitent par mon firewall j ajouterais une ou plusieurs r gles la table nomm e FORWARD L architecture
97. es exceptions autorisent un certain trafic Chaque paquet est analys et compar avec chaque r gle en respectant l ordre Lorsqu une correspondance est trouv e l action est ex cut e et le traitement est termin Si aucune correspondance n est trouv e les politiques par d faut sont appliqu es le paquet est donc d truit Les conditions des r gles portent sur les zones les adresses IP ou des plages le sens des paquets et les services concern s Si vous voulez approfondir Nous n avons qu effleur les capacit s du pare feu mais je pense que vous savez maintenant l essentiel En fonction de situations auxquelles vous serez confront vous serez amen aller plus loin 8 3992 TG PA 00 111 Sequence 5 Filtrage NAT et PAT Dur e indicative 2 heures Cette s quence explique les techniques NAT et PAT qui sont compl mentaires au filtrage et surtout comment elles se combinent entre elles _ gt Pr requis Avoir compris la notion de filtrage par un firewall gt Contenu 1 Introduction us nana 113 2 Rappel sur le filtrage 114 3 La translation d adresse NAT 115 4 La translation de port PAT 116 5 Combinaison NAT PAT par l exemple 117 6 R solution de l exercice tude de cas 2004 118 gt Capacit s attendues e Etre capable d expliquer le principe de ces techniques de s curit e Etre capable de r soudre des exercices sur ces techniques voire les combina
98. esp re que vous avez la m me configuration Si ce n est pas le cas vous pouvez annuler une ligne contenant une erreur en vous remettant au m me endroit o vous avez saisi la commande et en saisissant nouveau la commande mais en la faisant pr c der de no Pour enregistrer la configuration je vous rappelle que l on saisit Routeur1 deb OSPF copy running config startup config 167 8 3992 TG PA 00 Atelier 9 Etat des routeurs Nos petits routeurs ont en principe bien travaill Dans chaque zone ils ont lu leur chef le DR ils ont chang leurs connaissances et calcul une magnifique table de routage ultra optimale En r sum les deux stations d extr mit de la figure doivent pouvoir s atteindre avec une commande ping Si jamais ce n est pas le cas c est que probablement vous vous tes tromp dans une configuration Dans ce cas reprenez la configuration de chaque appareil Utilisez les outils ping tcpdump et traceroute pour contr ler votre configu ration et suivre les paquets Et n oubliez pas que dans un ping il y a un aller mais aussi un retour Afin d illustrer ce dont nous avons discut dans la toute premi re partie de cet article examinons l tat du routeur R1 Nous pouvons faire un diagnostic tr s complet de l appa reil en utilisant les nombreuses sous commandes de show ip ospf Vous constaterez que les informations fournies par ospfd sur son tat sont tr s d taill es Dans un
99. ette fa on 1 en premier lieu les exceptions sont trait es dans l ordre o elles ont t d finies Si une exception est remplie l action est r alis e puis le traitement est abandonn 2 si aucune exception n a t remplie on traite les politiques par d faut dans l ordre o elles ont t d finies 3 si aucune politique par d faut n a t remplie le paquet est transmis 109 8 3992 TG PA 00 Atelier 6 e Traitement des r gles le journal Le firewall g n re une trace des connexions ce qui est pratique pour v rifier et corriger le fonctionnement de l appareil menu Surveillance Journaux Firewall Logs Summary start interval chain 67 mai 15 12 34 57 00 04 2506 Shorewall fw2all REJECT 13 mai 15 14 39 29 00 02 34 06 Shorewall lan2all REJECT 13 mai 15 17 30 00 00 01 00 06 Shorewall FORWARD REJECT 10 mai 15 03 53 51 00 08 32 59 Shorewall INPUT REJECT 10 mai 15 12 35 56 00 04 04 09 Shorewall ian2all REJECT mai 15 13 43 51 00 00 45 12 Shorewall lan2all REJECT mai 15 14 29 07 00 00 06 02 Shorewall lan2all REJECT mai 15 17 30 02 00 01 00 01 Shorewall FORWARD REJECT mai 15 17 35 01 00 00 00 19 Shorewall lan2all REJECT mai 15 03 48 55 00 00 00 50 Shorewall fw2altREJECT mai 15 12 19 13 00 00 00 04 Shorewall OUTPUT REJECT mai 15 12 19 13 00 00 12 06 Shorewall FORWARD REJECT mai 15 12 15 07 00 00 00 03 ShorewallFORWARD REJECT mai 15 14 48 43 00 00 00 09 Shorewallwan2all DROP a ue onoma
100. exemple D partement gestion D partement informatique mot de passe xzp456fd email pmassol labocned fr tel 0262234558 nom laser _109 Commentaire Couleur 16ppm IP 192 168 0 109 Figure 2 un exemple d annuaire LDAP La racine root de cet annuaire correspond notre nom de domaine labocned fr Les d partements servent organiser les objets contenus dans notre annuaire en langage LDAP on appelle a des unit s d organisation souvent appel es OU pour organisatio nal unit Les objets contenus dans les unit s d organisation sont d crits par un certain nombre de donn es que l on appelle attributs O comme a son habitude cet diteur s est tr s largement inspir du protocole mais comme par hasard son produit n est pas conforme la RFC d finissant LDAP 39 8 3992 TG PA 00 Atelier 2 e Installation des paquetages n cessaires Nous allons travailler avec une impl mentation libre de LDAP openidap penLDAP http www OpenLDAP org http www openldap org Installation des paquetages mv2 debian apt get install Idap server ldap client Ce qui aura pour effet d installer les paquets suivants slapd Idap utils et des librairies Suite au d paquetage quelques crans de premi re configuration vous seront propos s mv2 debian3115 Microsoft Virtual PC 2004 MT Configuration de slapd Title este Attention la formulation
101. exemple de liaison fibre sp cialis e puisqu il se connecte directement au LAN Le SAN est videmment beau coup plus cher mise en place d un r seau sp cialis reli par fibre de nombreux et on reux mat riels Convergence des deux technologies Attention nous sommes ici en pleine anticipation le sujet est d actualit les fabricants proposent leurs premi res solutions et je ne sais pas lire dans les lignes de la main Prenez ces informations avec toutes les pr cautions d usage tenez une veille technolo gique sur le sujet Il y a c est clair un vrai besoin de solutions interm diaires les deux technologies apparais sant comme extr mes soit pas ch res mais pas top soit excellentes mais tr s ch res ISCSI est pr sent comme une cause de cette convergence ISCSI Internet Small Computer System Interface est un d riv de notre SCSI pour les disques durs adapt aux r seaux TCP IP ISCSI peut donc remplacer la liaison fibre optique des SAN au d triment de la per formance De plus les protocoles FCIP iFCP ou encore infiniband pourraient apporter des r ponses aux interconnexions de SAN ou NAS Bref ces deux technologies sont appel es se d velopper vers un compromis entre haute disponibilit et co t Et nous en resterons l pour le moment 8 3992 TG PA 00
102. fait dans le coup 46 8 3992 TG PA 00 Mise en place d un annuaire LDAP e Cr ation d une unit d organisation Afin de bien organiser nos donn es nous allons maintenant cr er une unit d organisa tion que nous appellerons p dagogie Les OU refl tent g n ralement la structure de l entreprise les services Ensuite dans une OU on peut cr er d autres OU ou des objets en rapport avec le service ses groupes d uti lisateurs ses utilisateurs ses contacts ses mat riels etc Toujours avec votre diteur de texte favori cr ez un fichier ou1 txt mv2 debian etc Idap vi oul txt dn ou pedagogie dc labocned de fr objectclass organizationalUnit objet d finissant un OU ou pedagogie nom de l O Ensuite nous l ajoutons la base mv2 debian etc ldap Idapadd x D cn admin dc labocned dc fr W f ou1 txt Enter LDAP Password adding new entry ou pedagogie dc labocned dc fr Exercice 7 Nous avons d j utilis la commande Idapsearch partir de l aide en ligne ou de toute autre source trouvez la commande taper afin d obtenir le nom de I OU cr e et rien que a 1 e Cr ation d un groupe d utilisateurs Nous allons cr er un groupe d utilisateurs que nous placerons dans l OU p dagogie Toujours avec votre diteur de texte favori cr ez un fichier groupe1 txt mv2 debian etc Idap vi group1 txt dn cn utilisateurs ou pedagogie dc labocned dc fr
103. fuser sur ce r seau des annonces de routes ce qui consomme inutilement de la bande passante Par cons quent nous allons d sactiver cette diffusion Routeur3 deb OSPF config router passive interface eth1 Ainsi aucune route n est diffus e sur cette interface De m me aucune annonce de route ne sera prise en compte Le r seau sera consid r comme tant d extr mit stub 165 8 3992 TG PA 00 Atelier 9 Affichage de la configuration Affichons la configuration compl te de R1 Routeur1 deb OSPF config router end Routeur1 deb OSPF show running config Current configuration hostname routeur1 deb OSPF password routeurcned log file var log quagga ospfd log debug ospf packet hello send detail interface eth0 interface eth1 interface lo router ospf network 11 0 0 0 8 area 0 0 0 1 network 30 0 0 0 8 area 0 0 0 0 line vty end 166 8 3992 TG PA 00 Le routage IP dynamique OSPF Affichons la configuration compl te de R3 Routeur3 deb OSPF show running config Current configuration hostname routeur3 deb OSPF password routeurcned log file var log quagga ospfd log debug ospf packet hello send detail interface eth0 interface eth1 interface lo router ospf passive interface eth1 network 12 0 0 0 8 area 0 0 0 1 network 192 168 3 0 24 area 0 0 0 1 line vty end J
104. fying a superuser on the database This is needed for syncrepl rootdn cn admin dc labocned dc fr Where the database file are physically stored for databse 1 directory var lib Idap La ligne de suffixe nomme le domaine pour lequel le serveur LDAP fournira les informa tions Nous aurons donc suffix dc labocned dc fr dc signifie domain component L ensemble des dc correspond g n ralement au nom de domaine DNS L entr e rootdn d crit l administrateur de l annuaire D commentez cette ligne ainsi rootdn cn admin dc labocned dc fr cn signifie common name et correspond au nom de l objet Il faut ensuite g n rer un mot de passe pour cet admin Ajoutez la ligne rootpw lt votre mot de passe gt Attention L il sera en clair Il est donc pr f rable d en g n rer un crypt et ensuite de le recopier Prenons par exemple le mot de passe labocned mv2 debian etc ldap slappasswd New password lt tapez labocned gt Re enter new password lt re tapez labocned gt SSHA ACSuFlmjG1Yy1zqx8w f70s7KDVoz2ds C est donc cette cha ne tout fait compr hensible que vous indiquerez rootpw 43 8 3992 TG PA 00 Atelier 2 Toujours dans slapd conf v rifiez les droits sur la base access to attrs userPassword shadowLastChange by dn cn admin dc labocned dc fr write by anonymous auth by self write by none 21 access to dn base by read al access
105. git de travailler le netmask pour augmen ter la capacit du nombre d h tes Principe La mise en sur r seau ou adressage en sur r seau consiste affecter un bloc d adresses de classe C par exemple plut t qu une seule adresse de classe B Ce bloc c est dire plusieurs adresses r seaux contigu s peut alors tre consid r comme une classe virtuelle situ e entre la classe B et la classe C 13 8 3992 TG PA 00 S quence 2 ro Cas d utilisation L adressage en sur r seau est con u pour les fournisseurs d acc s Internet FAI Pourquoi Le NIC n assigne de grands blocs d adresses de classe C qu aux providers ISP lesquels peuvent ensuite les redistribuer en petits blocs des organismes qui ont besoin de plu sieurs adresses comme les FAI Comment a marche Facile c est le syst me inverse du sous r seau Rappel des sous r seaux on prend quelques bits de l id h te pour obtenir plusieurs sous r seaux illustration Classe C 1 octet 2 octet 3 octet 4 octet lt lt gt Id r seau A Id h te Alors si on fait l inverse Classe C 1 octet 2 octet 3 octet 4 octet lt gt 4 Id r seau Id h te On prend quelques bits de l id r seau pour augmenter le nombre d h tes on agr ge plusieurs adresses de classe C un bloc Exemple Soit l adresse r seau 200 1 160 0 avec un masque 255 255 255 0 Les adresses h tes vont don
106. gne 2 mais en fait il n y aura pas d affichage Ce qui aurait d tre affich est pass en param tre la commande cut par le symbole 3 la commande cut est pr vue pour d couper une ligne en un certain nombre de champs Il faut lui indiquer le caract re s parateur de champs et le champ que l on souhaite obtenir ici le premier Consultez le man de cut 4 enfin le r sultat de tout a donc le premier champ extrait de la ligne est plac dans une variable d nomm e nom Le r sultat attendu est mv2 debian tp sh etc passwd Le compte de l utilisateur root est situ dans root Le compte de l utilisateur bin est situ dans bin Le compte de l utilisateur daemon est situ dans sbin Exercice 22 Vous avez un fichier de donn es contenant une liste d utilisateurs avec leur mot de passe Voici un exemple de ce fichier mv2 debian cat users txt toto passtoto titi passtiti tata passtata Vous voulez automatiser la cr ation d utilisateurs Vous proposerez un script qui prend en param tre le nom du fichier de donn es v rifie son existence puis qui cr e les utilisateurs commande useradd et d finit leur mot de passe commande passwd Sachez que la commande exit 1 permet de quitter le script tout moment en renvoyant un code d erreur 96 8 3992 TG PA 00 Les scripts shell Le r sultat doit tre le suivant mv2 debian tp sh Usage
107. gt lt dump gt lt pass gt proc proc proc defaults 0 0 ad dev md0 ext3 defaults errors remount ro 0 1 dev md1 home ext3 defaults usrquota 0 2 nm Ajoutez ventuellement grpquota si vous souhaitez g rer les quotas au niveau des groupes Remontez le syst me de fichier mv2 debian mount o remount home Testez le fonctionnement des quotas mv2 debian quotacheck home v quotacheck Scanning dev md1 home done e Attribution de quotas un utilisateur Pour attribuer un quota a un utilisateur tapez la commande suivante en indiquant un utilisateur valide mv2 debian edquota gilbert Disk quotas for user gilbert uid 1003 Filesystem blocks softhard inodes soft hard dev mdi 44 0 0 11 0 0 8 3992 TG PA 00 75 Atelier 3 La premi re colonne correspond au nom du syst me de fichiers dot d un quota activ La deuxi me colonne elle affiche la place occup e en Ko actuellement par l utilisateur Les deux colonnes suivantes sont utilis es pour d terminer les limites douces soft limits et dures hard limits Une limite dure correspond la quantit maximale d espace disque qu un utilisateur ou groupe peut employer Une fois cette limite atteinte aucun espace suppl mentaire ne peut tre utilis La limite douce d finit la quantit maximale d espace disque pouvant tre utilis e N anmoins contrairement la limite dure la limite douce peut tre d pass e pendant u
108. ichier slapd conf qui se trouve dans etc dap contient les informations de configura tion n cessaires a votre serveur LDAP slapd Il vous faudra diter ce fichier pour le rendre sp cifique a votre domaine Voici a quoi il ressemble avant de le configurer Allow LDAPv2 binds allow bind_v2 This is the main slapd configuration file Global Directives Schema and objectClass definitions include etc Idap schema core schema include etc Idap schema cosine schema include etc Idap schema nis schema include etc ldap schema inetorgperson schema Where the pid file is put The init d script will not stop the server if you change this pidfile var run slapd slapd args Read slapd conf 5 for possible values logleval 0 Where the dynamically loaded modules are stored modulepath usr lib Idap moduleload back_bdb The maximum number of entries that is returned for a search operation sizelimit 500 The tool threads parameter sets the actual amount of cpu s that is used for indexing Tool threads 1 RER Specific Directives for database 1 of type bdb Database specific directives apply to this database until another database directives occurs database bdb The base of your directory in database 1 suffix dc labocned dc fr 42 8 3992 TG PA 00 rootdn directive for speci
109. il laisse passer les flux http du WAN vers le LAN Essayez de vous connecter a votre serveur web depuis la station Page d accueil Cliquez ici pour vous connecter Figure 8 cran d accueil affich au travers du firewall L cran ci dessus montre une page d accueil cr e dans un pr c dent atelier situ e sur le serveur web Les r gles e D finition d une r gle Une r gle est compos e d un ensemble de param tres qui constituent les conditions ET E Pre defined Services or Custom Port s ES Zzom O Ex Zone Interface IP or Subnet Port Traduction d adresse r seau FP source SNAT Figure 9 contenu d une r gle de firewall 106 8 3992 TG PA 00 Le firewalling Observez sur la page ci dessous la signification de ces diff rents param tres Champ Signification ID de la r gle Le num ro identifiant de la r gle Action L action entreprise pour les paquets IP qui correspondent avec cette r gle voir tableau suivant Logging Si ce champ vaut info une trace de la connexion est enregistr e dans le journal syst me Services Protocole applicatif contr ler http ftp etc ou son num ro de port pr d finis Protocole Le type de protocole contr ler g n ralement TCP UDP ICMP Doit tre coh rent avec le service Client La zone depuis laquelle la paquet provien
110. index 4 metric 1 mtu 1500 lt UP BROADCAST RUNNING MULTICAST gt HWaddr 00 03 ff 2b 42 02 141 8 3992 TG PA 00 Atelier 8 Vous avez quatre interfaces lo et trois Ethernet Zebra a gard la configuration IP au moment du d paquetage de Quagga les modifications ifconfig n ont pas t prises en compte Nous allons le faire Visionnez le contenu de votre table de routage shTAB ip roTAB Zebra gt show ip route Codes K kernel route C connected S static R RIP O OSPF I ISIS B BGP gt selected route FIB route K gt 0 0 0 0 0 via 192 168 1 1 eth0 C gt 127 0 0 0 8 is directly connected lo C gt 192 168 1 0 24 is directly connected eth0 La 1 route K correspond la configuration de passerelle par d faut que nous avons effectu l installation 127 0 0 0 8 correspond l adresse de bouclage logiciel Et enfin la route du r seau auquel appartient l interface elle m me Pour le reste le routeur n a aucune id e de la fa on d acheminer les paquets de donn es vers tel ou tel r seau il enverra vers la passerelle par d faut Le but de ce TP est de configurer correctement les interfaces et les tables de routage pour que l ensemble des appareils puissent s atteindre au travers des trois routeurs 142 8 3992 TG PA 00 Le routage IP statique Configuration g n rale du routeur e Passage au mode privil gi Toute configuration n cessite de passer en mode privil
111. interface eth2 ipv6 nd suppress ra interface lo interface sit0 ipv6 nd suppress ra line vty end Zebra configure terminal Zebra config Cela se fait par la commande hostname Attribuez chaque routeur un nom significatif Par exemple pour le routeur 2 Zebra config hostname routeur2 deb Zebra e S curisation du routeur L acc s au routeur et son mode de configuration doit tre prot g 144 routeur2 deb Zebra config j 8 3992 TG PA 00 Le routage IP statique e Activez le chiffrement des mots de passe Lorsque nous avons utilis la commande write term nous avons pu constater que le mot de passe n tait pas chiffr R solvons ce probl me routeur2 deb Zebra config service password encryption e Attribuez un mot de passe pour l acc s au mode VIEW du routeur en remplacement de foo Il doit commencer par une lettre ou un chiffre routeur2 deb Zebra config password e Attribuez un mot de passe pour l acc s au mode ENABLE du routeur II doit galement commencer par une lettre ou un chiffre routeur2 deb Zebra config enable password e Consultez la configuration Routeur2 deb Zebra config write terminal Current configuration hostname routeur2 deb Zebra password 8 7cwtLNkwin40c enable password 8 9Ghk 7S7yaDo6 service password encryption interface eth0 ipv6 nd suppress ra interface eth1
112. ion minimal qu il faudra saisir sur chaque routeur Editez un fichier etc quagga zebra conf vi etc quagga zebra conf hostname Zebra password routeurcned Lorsque le service Quagga se lance il ex cute son fichier etc quagga daemons pour savoir quel s d mon s il doit d marrer ditez le pour obtenir zebra yes bgpd no ospfd no ospf6d no ripd no ripngd no isisd no Et relancez quagga etc init d quagga restart Connexion au routeur Quagga dispose d une interface telnet pour chaque d mon Pour configurer le d mon zebra il faut se connecter sur le port 2601 Par exemple sur routeur2 deb telnet localhost 2601 Trying 127 0 0 1 Connected to localhost localdomain Escape character is J Hello this is Quagga version 0 99 5 Copyright 1996 2005 Kunihiro Ishiguro et al User Access Verification Password Zebra gt l invite Password saisissez le mot de passe que vous avez indiqu dans le fichier etc quagga zebra conf aucun caract re n appara t lors de la saisie c est normal invite devient Zebra gt Zebra est le nom par d faut que vous changerez plus tard 139 8 3992 TG PA 00 Atelier 8 e Prise en main de Zebra principes L invite L invite prompt a une importance capitale la suite du nom de l appareil on peut savoir dans quel m andre de l arborescence des menus de configuration on se trouve Une invite termin e par un gt
113. ire un routeur d sign Cela r pond trois objectifs e r duire le trafic li l change d informations sur l tat des liens car il n y a pas d change entre tous les routeurs mais entre chaque routeur et le DR e am liorer l int grit de la base de donn es topologique car il y a une base de don n es unique e acc l rer la convergence en cas de modification de la topologie du r seau panne d un routeur par exemple 159 8 3992 TG PA 00 Atelier 9 Comment lire le DR Autrement dit qui va se taper la corv e d expliquer a ses petits camarades la topologie du r seau On ne demande pas qui sait parler anglais ou couper les cheveux comme au temps de la conscription Mais comme il faut bien un crit re le rou teur lu est celui qui a la plus grande priorit La priorit est un nombre sur 8 bits fix par d faut 1 sur tous les routeurs Pour d partager les routeurs ayant la m me priorit c est celui avec la plus grande adresse IP qui est lu Le BDR sera le routeur avec la deuxi me plus grande priorit Afin de s assurer que votre routeur pr f r sera lu DR il suffit de lui affecter une priorit sup rieure 1 avec la commande ospf priority Vous devrez faire ceci avant d activer le processus de routage sur les routeurs car une fois lu le DR n est jamais remis en cause m me si un routeur avec une priorit plus grande appara t dans la zone 3 D couvrir les routes Il faut maintenant co
114. is l ext rieur 101 8 3992 TG PA 00 Atelier 6 Pr paration de l atelier e Topologie de travail Dans cet atelier nous allons modifier la topologie habituelle afin de se rapprocher au mieux de la r alit Un firewall est un rempart entre diff rents r seaux Vous mettrez donc en uvre la topologie suivante ema Station 192 168 0 1 Firewall 255 255 255 0 l 192 168 0 254 W 10 0 0 254 10 0 0 1 255 255 255 0 255 0 0 0 255 0 0 0 Serveur WAN LAN Figure 3 topologie de travail L appareil qui servira de firewall aura deux cartes r seau Chacune sera reli e un r seau et une zone particuli re Pour tre pleinement efficace le pare feu doit isoler physique ment les r seaux concern s Il faudra modifier la configuration r seau de la station et lui retirer pour les tests la r f rence au serveur DNS situ sur le serveur puisque cette machine ne fait plus partie du r seau 192 168 0 0 Exercice 24 Quelle adresse de passerelle doit tre configur e sur le serveur et sur la station e Installation de MNF Apr s avoir modifi les configurations r seau sur le serveur et la station vous installez la MNF sur l ordinateur qui fera office de pare feu L installation ne doit pas poser de probl mes particuliers Vous constaterez que l on vous demandera deux mots de passe admin c est l utilisateur avec lequel vous vous connecterez pour configurer le firewall partir de l
115. l universit du Michigan pour rempla cer le protocole d acc s DAP jug trop lourd et donc peu performant 59 8 3992 TG PA 00 S quence 4 60 Un annuaire sert donc g rer hi rarchiquement des objets eh oui parfois m me un uti lisateur doit tre consid r comme un objet Un annuaire est donc une base de donn es Mais c est une base de donn es un peu particuli re il est tr s performant en lecture et un peu moins en criture C est ainsi qu il sera capable tr s rapidement de trouver un objet dans l organisation et d en retourner les attributs mais il mettra un peu plus de temps pour ins rer de nouveaux objets Organisation d un annuaire LDAP LDAP est organis suivant une structure arborescente hi rarchique un peu comme le syst me de gestion de fichier de Linux a cned labocned D pt info D pt co Class da Class arl amp groupOfNa amp groupOfNa mes2 e d person _ person2 L arbre est appel DIT Directory Information Tree commence par une racine Puis se greffent les diff rentes branches et chaque n ud se trouve une DES Directory Service Entry une entr e de l annuaire Chaque entr e correspond un objet on parle d objet car cela peut correspondre cer tes une personne mais aussi un groupe de personnes une imprimante etc Comme un annuaire est une base de donn es chaque objet est caract ris par des attri buts qui peuvent prend
116. l phone personnel qui est maintenant le 0323453235 En utilisant la commande Idapmodify faites la modification Contr lez le r sultat avec la commande Idapsearch Exercice 9 Ajoutez Paul HOCHON l attribut title avec la valeur Enseignant Contr lez le r sultat avec la commande Idapsearch Exercice 10 Avec Idapdelete supprimez l utilisateur Paul HOCHON 57 8 3992 TG PA 00 Atelier 2 D pannage Faites tr s attention aux espaces en particulier en fin de ligne Il ne doit y en avoir aucun Cela m a caus pas mal de d boires Si vous voulez repartir sur une base LDAP vide arr tez le d mon ldap d truisez les fichiers usr lib Idap puis red marrez le serveur Un annuaire LDAP est un endroit central o sont stock s et organis s des objets du syst me informatique de l entreprise La structure d un annuaire LDAP est hi rarchique La racine est g n ralement repr sent e par le nom de domaine de l entreprise Les unit s d organisation sont des sortes de dossiers dans lesquels on place des objets Les objets peuvent tre des utilisateurs des contacts des appareils ou des logiciels Chaque cat gorie d objet est d finie par une classe Chaque classe permet de savoir quels attributs peuvent tre associ s l objet L annuaire peut ensuite servir de r f rence de nombreuses applications de l en treprise messagerie identification des utilisateurs login samba web ftp etc
117. l est connect Routeur3 R parons cette erreur en informant Routeur1 sur la fa on d atteindre 12 0 0 0 8 Il faut passer par son voisin Routeur2 dont l adresse est 11 0 0 2 Sur le routeur en mode ter minal de configuration il faut saisir Routeur1 deb Zebra config ip route 12 0 0 0 8 11 0 0 2 Affichons a nouveau la table de routage Routeur1 deb Zebra config end Routeur1 deb Zebra show ip route Codes K kernel route C connected S static R RIP O OSPF I ISIS B BGP gt selected route FIB route K gt 0 0 0 0 0 via 192 168 1 1 eth0 C gt 11 0 0 0 8 is directly connected eth1 S gt 12 0 0 0 8 1 0 via 11 0 0 2 eth1 C gt 127 0 0 0 8 is directly connected lo C gt 192 168 1 0 24 is directly connected eth0 149 8 3992 TG PA 00 Atelier 8 La route apparait Elle est not e S pour Statique Revenons dans le shell Linux de Routeur1 deb La commande tcpdump nous montre que maintenant Routeur1 deb sait r pondre a Routeur3 deb Routeur1 deb tcpdump i eth1 tcpdump listening on eth1 03 59 51 904868 12 0 0 2 gt 11 0 0 1 icmp echo request DF 03 59 51 904868 11 0 0 1 gt 12 0 0 2 icmp echo reply 03 59 52 864868 12 0 0 2 gt 11 0 0 1 icmp echo request DF 03 59 52 864868 11 0 0 1 gt 12 0 0 2 icmp echo reply Si l on revient sur Routeur3 le ping fonctionne d sormais sans probl me Routeur3 deb ping 11 0 0 1 c 2 PING 11 0 0 1 11 0 0 1 from 1
118. machine d o tous les attributs qui vous rappellent le fichier etc passwd et nous prenons aussi inetOrgPerson car je veux pouvoir consulter l annuaire partir de mon logiciel de messagerie attribut mail en particulier Comment conna tre les classes d objet Dans cet atelier il n est pas question de d tailler tous les possibilit s de LDAP et tous les objets Voyez la section Pour approfondir Ensuite nous l ajoutons la base mv2 debian etc Idap Idapadd x D cn admin dc labocned dc fr W f util1 txt Enter LDAP Password adding new entry cn phochon ou pedagogie dc labocned dc fr e Ajout d un mot de passe Si je veux que mon utilisateur puisse se connecter il lui faut un mot de passe mv2 debian etc Idap Idappasswd x D cn admin dc labocned dc fr W cn phochon ou pe dagogie dc labocned dc fr s mon_mot_de_passe Enter bind password Result Success 0 48 8 3992 TG PA 00 Mise en place d un annuaire LDAP Il faut indiquer correctement le dn cn phochon ou pedagogie dc labocned dc fr de notre utilisateur Connexion de l utilisateur Nous voulons que notre utilisateur Paul HOCHON puisse se connecter comme un utilisateur classique souvenez vous des premiers TP Mais l a se complique un petit peu Jusqu pr sent lorsqu un utilisateur se connecte le processus login demande l utilisa teur de saisir un nom et un mot de passe p
119. mum ospfd int gre un m canisme d access lists Le deuxi me inconv nient d un protocole de routage dynamique comme OSPF est sa na vet Il croit tout ce qu on lui dit Un petit malin pourrait s amuser a diffuser des routes farfelues vos routeurs ce qui pourrait provoquer des d nis de service Pour pallier cela on peut activer l authentification des annonces sur une zone gr ce une commande du style area 1 authentication message digest 8 3992 TG PA 00 171 Audit de s curit Dur e approximative de cet atelier 4 heures gt Objectif A la fin de cette s ance vous serez en mesure d installer et mettre en uvre le logiciel libre Nessus dont l objectif est de dresser un bilan complet des ventuelles failles de s cu rit d un syst me informatique gt Consid rations techniques Vous pouvez faire l audit de n importe quelle machine sous Linux ou windows En ce qui concerne cet atelier nous r aliserons l audit de notre serveur Linux mv2 debian avec lequel nous travaillons depuis le d but de ces ateliers Elle est int ressante car nous avons install de nombreux services r seau Nous utiliserons la version 3 de Nessus gt T l chargement et documentation Introduction Un syst me informatique est par d finition compos de nombreux l ments le noyau les diff rentes librairies les services les applications Chacun est potentiellement une faille de s curit La difficult pour l administ
120. mv2 debian ls home gilbert index html home gilbert index html On peut bien s r restaurer tout le contenu de la sauvegarde Par contre on ne peut pas filtrer avec des jokers Consultez l aide en ligne de la commande tar pour conna tre toutes les possibilit s e Cr ation d images disque l utilitaire libre partimage est tr s int ressant pour cloner des partitions enti res Je vous laisse le d couvrir http www partimage oro Les modes de d marrage du syst me Linux offre plusieurs possibilit s de d marrer une machine en panne e Le mode interactif Vous avez un service un d mon Linux mal configur qui vous bloque le d marrage Ce n est pas un probl me Lors de la s quence de d marrage Linux vous indique qu il passe en mode interactif juste avant la s rie de OK Si vous appuyez sur la touche correspon dant la lettre ce moment l vous pourrez ensuite choisir les services d marrer ou non e Le mode maintenance Dans certaines conditions perte du mot de passe root services r seaux mal configur s interface graphique mal configur e vous pouvez avoir besoin de d marrer le systeme dans un mode minimal afin de r aliser des op rations de maintenance ou de r cup ration l g res Pour acc der ce mode vous devez l indiquer au noyau Linux avant son chargement Vous en avez la possibilit lorsque l invite de d marrage s affiche recovery mode 81 8 3992 TG PA 00
121. n l Afficher licdne dans la zone de notification une fois Serveur DNS euchaire 80 10 246 12 V M indques si cette connexon a une connectivit li nexstante d marrer Connexions r seau 4 Etat de Connexion au L Propri t s de Connex Figure 5 configuration de la passerelle par d faut 151 8 3992 TG PA 00 Atelier 8 D pannages Q Je ne sais pas retirer les adresses IP d j configur es sous Linux R ditez le contenu des fichiers etc network interfaces et supprimez les lignes incrimi n es Ensuite red marrez le service etc init d networking een inux developpez com fa Q Je n arrive pas ouvrir de session Telnet R Soit vous n indiquez pas le num ro de port 2601 apr s l adresse IP soit le d mon zebra n est pas lanc Faites un ps ax pour v rifier S il n appara t pas faites un zebra d Q J ai oubli un mot de passe R Bravo Editez le fichier etc quagga zebra conf et retirez les lignes password et service password encryption Q J ai saisi une mauvaise commande et je ne sais pas la supprimer R Vous devez faire exactement comme si vous vouliez saisir nouveau cette commande mais vous faites pr c der le tout de no Exemple J ai saisi une mauvaise adresse 99 0 0 9 8 sur l interface ethO de mon routeur Routeur1 deb Zebra gt enable Password Routeur1 deb Zebra Routeur1 deb Zebra config interface eth0
122. n rale est la suivante While condition do commande done Essayons le script9 sh l bin bash var0 0 while var0 lt 10 do echo n var0 n supprime le retour chariot var0 var0 1 expr permet de faire un calcul var0 var0 1 done 92 8 3992 TG PA 00 Les scripts shell Exercices Cette partie n est consacr e qu des exercices J esp re vous montrer comment on peut progressivement construire un script Pour vous aider utilisez les documents indiqu s dans la rubrique d pannage Utilisez galement les nombreuses sources disponibles sur inter net L objectif est d arriver un r sultat co te que co te Exercice 14 crivez un script qui affiche tout simplement le message Vive Linux R sultat attendu mv2 debian tp sh Vive Linux Exercice 15 Modifiez le script pr c dent afin d afficher le message Vive suivi d un texte pass en param tre au script R sultat attendu mv2 debian tp sh Vive mv2 debian tp sh toto Vive toto Exercice 16 M me question en contr lant le nombre de param tres S il est incorrect on affiche un message d erreur mv2 debian tp sh Vous devez fournir UN param tre mv2 debian tp sh toto titi Vous devez fournir UN param tre mv2 debian tp sh toto Vive toto Exercice 17 Afficher les trois noms riri fifi et loulou en u
123. n certain temps On se r f re cette dur e sous le terme p riode de gr ce Cette derni re peut tre exprim e en secondes minutes heures jours semaines ou mois Elle sera param tr e un peu plus loin La deuxi me partie correspond aux inodes On peut tablir des quotas sur le nombre de fichiers r pertoires et non sur leur volume L utilit de cette fonctionnalit reste a d montrer Activer les quotas mv2 debian quotaon a Exercice 13 Lancez la commande edquota sur votre utilisateur Relevez l espace occup actuellement par ses fichiers Introduisez une certaine limite douce sup rieure cette valeur puis une limite dure encore sup rieure Maintenant vous allez d passer les limites Connectez vous sous cet utilisateur puis dans son compte utilisateur avec une commande du style dd if dev zero of grosfichier count lt x gt bs lt taille_en_octets gt vous allez chercher a atteindre la limite douce puis la limite dure Cette commande va cr er un fichier rempli de z ros d une taille de x fois taille _en_octets A vous de trouver les bonnes valeurs En parall le en tant que root dans un autre terminal vous tudierez l volution avec la commande repquota home 1 Comprenez les fichiers ou r pertoires d tenus par l utilisateur 76 8 3992 TG PA 00 L installation physique d un nouveau disque est suivie de son partitionnement fdisk de son formatage mke2fs et de son montage da
124. n du syst me de fichiers vous pouvez utiliser la commande tar puis graver le r sultat sur un c d rom l envoyer sur un disque partag sur le r seau ou sur une bande Prenons un exemple nous allons archiver et compresser tous les fichiers de nos utilisa teurs en les pla ant dans une archive nomm e sauve tgz Elle sera plac e dans le r per toire courant mv2 debian tar cpzPf sauve tgz home Contr lons mv2 debian ls la al rW I r 1root root 170952 2007 07 24 09 34 sauve tgz bal On peut lister les fichiers contenus dans l archive et filtrer l affichage Par exemple pour l utilisateur gilbert mv2 debian tar tzf sauve tgz grep gilbert Lal home gilbert public_html home gilbert public_html form html home gilbert public_html index html home gilbert public_html form php home gilbert public_html liste php home gilbert bash_history home gilbert index html hal Dans le but de restaurer partir de l archive supprimons un de ses fichiers dans son r per toire bien s r vous ne faites pas les manipulations sur des utilisateurs r els mv2 debian rm home gilbert index html mv2 debian ls home gilbert index html ls home gilbert index html Aucun fichier ou r pertoire de ce type 80 8 3992 TG PA 00 Gestion des pannes reprise Maintenant restaurons mv2 debian tar xzvPf root sauve tgz home gilbert index html home gilbert index html
125. n mesure de monter la topologie ci dessous eth2 non eth1 non configur ethi 110 0 2 eth2 120 0 1 configur Ske eth2 11 00 1 eth1 12 0 0 2 SS Routeur1 Routeur3 ethO 192168 1 254 ethO 192 168 2 254 eth0 192 168 3254 A Hu Hus Huis e L LA td e Las e dai x 192 168 1 1 192 168 1 2 192 168 2 1 192 168 2 2 192 168 3 1 192 168 3 2 Figure 3 topologie de r seau d exp rimentation eth1 11 0 0 1 8 eth1 11 0 0 2 8 eth2 12 0 0 1 8 eth 1 12 0 0 2 8 routeur1 deb routeur2 deb routeur3 deb ethO 192 168 1254 24 ethO 192 168 2 254 24 eth0 192 168 3 254 24 mv 1 xp labocned fr mv2 debian labocned fr 1P 192 168 1 1 24 P 192 168 3 1 24 Sch ma du r seau de l atelier Nous avons besoin de trois machines sous Linux qui joueront le r le de routeur en dispo sant chacune de trois interfaces r seau Sur une interface un r seau local sera connect Les liens repr sent s par des clairs symbolisent un r seau tendu Ils seront simul s avec un c ble crois Ethernet ou via un hub ou un switch pour ceux qui feraient les ateliers avec du mat riel physique Vous devez donc installer trois ordinateurs avec plusieurs cartes r seau dans chacun Mise en place du serveur mv2 debian labocned fr Il n y a que l adresse IP retoucher notre actuelle machine virtuelle Vous verrez cela en temps utile lorsque vous ferez vos essais de connexions Mise en place du poste client mv1 xp labocned fr
126. nclusion Nessus est un outil performant qui peut viter de parcourir sans cesse les forums s abon ner de multiples revues des listes de diffusions etc Ceci dit comme toujours dans le domaine de la s curit vous devez avoir une confiance limit e La plupart des probl mes de s curit proviennent de services qui ne sont pas mis jour ou mal configur s Sans tomber dans la paranoia quelques recommandations e bien se documenter lorsque l on installe et configure un service e effectuer des mises jour syst matiques en tant abonn des sources de s curit par exemple http www certa ssi gouv Fr e effectuer p riodiquement des analyses Nessus peut aider l administrateur dans sa fastidieuse t che de mise jour de ses ordi nateurs Nessus est une base de donn es de toutes failles informatiques coupl e un logiciel simulant des attaques Le r sultat est un bilan indiquant toutes les sources potentielles de probl me et la fa on d y rem dier Si vous voulez approfondir Lisez l excellent magazine MISC d di la s curit 180 8 3992 TG PA 00 Sequence 6 NAS et SAN Dur e indicative 1 heure Cette s quence pr sente deux technologies de stockage proches l une de l autre D Pr requis e Aucun gt Contenu 1 Introduction ssi sssitssansstninasoiasiidsvteandacdanastavitanlnaddacadodianaidandiaein 181 2 NAS Network Attached Storage 0 00000 ee 182 3 SAN S
127. ner cran d accueil de Nessus Welcome to Nessus Vulnerability Scanner 8 3992 TG PA 00 S wakome Nessus is a complete network vunerabilty scanner which includes high speed checks for oe D aura race PU of he most commonly vodad vuneranines a waa vaty of saring Choisissez Start Scan Task nous allons D en frosts TT an ce mo tout d abord effectuer un scan local Other Options 5 AT 19 Address Bock D sur cette machine avant de l utiliser en _ eo r seau See Also Help Shout mossus 175 Atelier 10 176 FI Tenable Nessus Vulnerability Scanner Other Options Address Book Wi Manage P Y Vedate Plugins See Also Heb See Also Helo Other Options H are implamanted n nasi Nessus curty check By selecting plugins Enable all but dangerous pluc Enable all plugins with def C Choose a predefined p Define my pobey For a O 534 Scan from the loca Scan from a remote Nessus serv Name or IP address Username Password G can Scan in progress of 1 hos s separated by comma an IP a target amp must be resolvable you to scan from a remote local host If not please prowde Most being scanned Progress Open Ports Notes Warnings Holes 127003 2 3 4 0 0 S lectionnez dans la liste la seule don n e pr sente localhost C est ici qu il faudra plus tard saisir l adress
128. nous avons r initialis etc quagga zebra conf et que vous devez r initialiser les interfaces r seaux dans zebra Vous devez ensuite activer les deux d mons zebra et ospfd sur chaque routeur Orn principe vous l avez fait lors de l atelier pr c dent 163 8 3992 TG PA 00 Atelier 9 vi etc quagga daemons zebra yes bgpd no ospid yes ospf6d no ripd no ripngd no isisd no etc init d quagga restart Enfin sur R1 entrez dans le terminal de configuration de ospfd via le port telnet 2604 telnet localhost 2604 Hello this is Quagga version 0 99 5 Copyright 1996 2005 Kunihiro Ishiguro et al User Access Verification Password Routeur1 deb OSPF gt enable Routeur1 deb OSPF Si vous avez envie de suivre pr cis ment les changes de messages entre routeurs Zebra propose un puissant m canisme de d bogage gr ce la commande debug je vous laisse d couvrir tous ses param tres Supposons que je veuille garder une trace de tous les messages HELLO mis par R1 Routeur1 deb OSPF configure terminal Routeur1 deb OSPF config log file var log quagga ospfd log Routeur1 deb OSPF config debug ospf packet hello send detail V rifiez que le r pertoire var log quagga existe 164 8 3992 TG PA 00 Le routage IP dynamique OSPF e Activation du processus de routage Dans le mode config nous allons activer le processus OSPF Routeur1 deb OSPF config route
129. ns etc fstab Le RAID est une technologie de s curit appliqu e aux disques Linux sait mettre en uvre du RAID logiciel Le RAID1 ou mirroring duplique les donn es crites sur un disque sur tous les autres inclus dans le groupe La d finition du groupe avec mdadm Le type de partition des disques doit tre pass en fd puis le groupe est cr avec la commande mdadm create etc Ensuite le nouveau syst me de fichiers est g r comme un disque unique on n utilise plus les partitions individuelles mais le groupe r f renc par dev mdx I Le RAID ne remplace pas les sauvegardes Les quotas permettent de limiter automatiquement la place occup e par les fichiers des utilisateurs Le fichier etc fstab doit tre modifi afin d indiquer sur quelles partitions on veut des quotas Ensuite la commande edquota permet de d finir pour chaque utili sateur ou chaque groupe la quantit d espace allou e 77 8 3992 TG PA 00 Gestion des pannes reprise Dur e approximative de cet atelier 2 heures gt Objectif Faire des sauvegardes et tudier les principaux moyens de d marrer un syst me Linux en panne gt Conditions pr alables Aucune en particulier gt Consid rations techniques Poss der une unit de sauvegarde sur bande ou un graveur de disque pourrait tre un bon compl ment cet atelier Introduction Il peut arriver que des probl mes divers des manipulations de mauvaises configurations etc
130. nstituer la base de donn es topologique Les routeurs communi quent automatiquement les routes pour les r seaux qui participent au routage dyna mique ceux d clar s avec la commande network Quagga Zebra tant multiprotocole il peut galement diffuser des routes provenant d autres sources que OSPF gr ce la commande redistribute Chaque routeur non DR ou BDR tablit une relation maitre esclave avec le DR Le DR ini tie l change en transmettant au routeur un r sum de sa base de donn es topologique via des paquets de donn es appel s LSA Link State Advertisement Ces paquets com prennent essentiellement l adresse du routeur le co t du lien et un num ro de s quence Ce num ro est un moyen pour d terminer l anciennet des informations re ues Si les LSA re us sont plus r cents que ceux dans sa base topologique le routeur demande une information plus compl te par un paquet LSR Link State Request Le DR r pond par des paquets LSU Link State Update contenant l int gralit de l information demand e Ensuite le routeur non DR ou BDR transmet les routes meilleures ou inconnues du DR L administrateur peut consulter la base de donn es topologique gr ce la commande show ip ospf database 4 lire les routes utiliser Lorsque le routeur est en possession de la base de donn es topologique il est en mesure de cr er la table de routage L algorithme du SPF est appliqu sur la base topologique Il en ress
131. nt Introduction Le sujet d tude de cas de la Nouvelle Cal donie 2004 proposait un exercice sur la s cu rit tr s int ressant mais pas si facile Extrait de l tude de cas Pour maintenir la s curit interne de l entreprise VISTE la soci t de service propose de ne pas mettre les serveurs HTTP et Mail sur le r seau interne Sur le routeur G n ral les r gles suivantes ont t crites R gles NAT Network Address Translation PAT Port Address Translation appliqu es sur l interface 172 16 0 129 TT REC es 172 16 0 66 2020 192 168 0 5 5600 113 8 3992 TG PA 00 S quence 5 ro 114 R gles de filtrage appliqu es sur l interface 172 16 0 129 Port IP Port Na r gle Interlace KLIP Source Source Destination Destination Acon 1 172 16 0 129 7 E i Refus Les r gles de filtrage s appliquent dans l ordre de leur num ro Principes d association des r gles de filtrage et de NAT PAT sur une interface Interface gt gt gt Sortie Filtre NAT PAT E Entr e e Sur un paquet en sortie d une interface on applique d abord les r gles de filtrage puis les r gles NAT PAT e Sur un paquet en entr e d une interface on applique d abord les r gles NAT PAT puis les r gles de filtrage Le serveur HTTP utilise le port 1060 pour communiquer et le serveur de bases de don n es le port 2020 Comment faire pour ne pas s y perdre R
132. nt d crit par une suite d attributs exemple CommonName est un attribut Chaque attribut est d crit par e un nom identifiant CommonName par exemple e un OID identifiant d objet e s il peut prendre une ou plusieurs valeurs on dira qu il est mono ou multi valu e une syntaxe et des r gles e un indicateur d usage e un format ou une limite de taille Le DN Distinguished Name Dans l arborescence chaque entr e peut tre rep r e gr ce au DN Distinguished Name Cela correspond au chemin dans l arborescence qui conduit l objet dans notre exemple le DN de person serait uid person ou dept info dc cned dc fr uid user identifier ou organizational unit dc domain component Les commandes LDAP LDAP nous met disposition un certain nombre de commandes qui permettent d acc der et de modifier on s en sert comme des commandes de manipulation de fichier cp mv Commande LDAP Search Recherche dans l annuaire des objets Compare Comparaison de deux objets Add Ajouter une entr e Modify Delete Suppression d un objet Rename Modifier le DN d une entr e Bind Se connecter au serveur Unbind Se d connecter Abandon Abandon d une commande en cours Description Modifier une entr e a 8 3992 TG PA 00 Un peu de th orie sur LDAP vl Notion d h ritage Un objet qui dans l arborescence d pend d un autre objet est dit
133. nter information that will be incorporated Into your certificat request What you are about to enter is what is called a Distinguished Name or DN There are quite a few fields but you can leave some blank For some fields there will be a default value If you enter the field will be left blank Country Name 2 letter code AU lt tapez fr gt Sate or Province Name full name Some State lt laissez vide ENTER gt Locality Name eg city lt laissez vide ENTER gt Organization Name eg company Internet Widgits Pty Ltd lt saisissez labocned gt Organizational Unit Name eg section lt saisissez labocned gt Common Name eg YOUR name lt laissez vide ENTER gt Email Address lt laissez vide ENTER gt Please enter the following extra attributes To be sent with your certificate request A challenge password lt saisissez labocned par exemple ce n est pas raisonnable bien s r mais ici c est un atelier gt An optional company name lt saisissez labocned gt Ouf Il faudrait faire signer ce certificat par un tiers de confiance Bien Nous allons cr er un certificat de test Pourquoi de test Et pourquoi pas un vrai de vrai R fl chissons Nous avons dit que le certificat tait une sorte de pi ce d identit num rique pour un ser veur Imaginez que chacun d entre nous se fasse sa propre carte d identit Quelle valeur aurait elle aux yeux des autres Pour
134. o Vous n avez pas saisi de pr nom else echo Bonjour prenom nom fi 90 8 3992 TG PA 00 Les scripts shell e Faire des boucles Le langage int gre diff rentes structures r p titives le for pour et le while tant que Le for Lorsque l on conna t d avance le nombre d it rations on utilise g n ralement la struc ture for for variable in liste do commandes utilisant variable done Par exemple le script7 sh l bin bash Liste les plan tes for planete in Mercure V nus Terre Mars Jupiter Saturne Uranus Neptune Pluton do echo planete done Le r sultat est le suivant mv2 debian script7 sh Mercure V nus Terre Mars Jupiter Saturne Uranus Neptune Pluton 91 8 3992 TG PA 00 Atelier 5 Ce qui fait que pour compter jusqu 10 il faudrait r diger un script8 sh de cette mani re l bin bash Syntaxe standard forain12345678910 do echo n a done Bof a marche mais ce n est pas terrible Heureusement bash accepte une syntaxe pro che du langage C comme dans le script8 sh l bin bash Syntaxe style C LIMITE 10 initialisation de la variable for a 1 a lt LIMITE a Double parenth ses et LIMITE sans do echo n a done Le while Lorsque l on ne conna t pas a l avance le nombre d it rations on utilise une boucle while La syntaxe g
135. ole OSPF et vous saurez faire une configuration l mentaire du routage dynamique afin que vos rou teurs s changent leurs informations gt Conditions pr alables Idem atelier pr c dent gt Consid rations techniques Idem atelier pr c dent gt Avertissement Idem atelier pr c dent Introduction Ne faire que du routage statique sous Zebra n a pas vraiment de sens Le noyau de Linux sait d j tr s bien le faire Ce qu il ne sait pas faire c est mettre en uvre un protocole d change des informations de routage en sa possession Ici Zebra va pleinement jouer son r le e Avant OSPF Historiquement un des premiers protocoles de routage IP dynamique est RIP Routing Information Protocol C est un excellent moyen p dagogique pour aborder la probl matique du routage dynamique Mais en r alit il est tr s peu utilis en exploitation car il souffre de certaines limitations et d fauts qui le cantonnent des r seaux de taille moyenne e le diam tre maximum d un r seau g r avec RIP est limit 15 routeurs soit 16 seg ments de r seau e RIP est un gros consommateur de bande passante du fait de la m thode utilis e pour diffuser les informations de routage toutes les 30 secondes l int gralit de la table RIP est diffus e m me si elle n a subi aucune modification C est f cheux en particu lier sur des liaisons lentes ou factur es au volume de donn es transf r es 8 3992 TG PA
136. on Idem pour vos clients Puis vous d cidez de connecter votre entreprise Internet vous pouvez ainsi exp dier et recevoir des messages Mais o sont stock es les adresses emails de vos correspondants sur une machine sur plusieurs Sur le poste de la secr taire ou celui du comptable 37 8 3992 TG PA 00 Atelier 2 Continuons Vos affaires marchent tr s bien Vous rachetez un de vos concurrents Pour faire des conomies vous d cidez de fusionner certains services En particulier vous nom mez un informaticien chef charg de piloter l informatique dans les deux entreprises qui n en font plus qu une seule Un utilisateur de l autre entreprise vous appelle car il a un probl me d impression sur son poste mais quelle est son adresse IP sa configuration l im primante qu il utilise habituellement etc Passons Ensuite vous d cidez de mettre en place un Extranet avec vos fournisseurs de nouveaux probl mes apparaissent quelles applications ont ils acc s avec quels droits quels mots de passe etc Je pourrais continuer longtemps cette histoire L id e est de vous sensibiliser au fait qu il devient n cessaire dans certaines entreprises de mettre en place un syst me de gestion centralis des utilisateurs des contacts des ressources etc Ce syst me s appelle un annuaire Dans la vraie vie qu est ce qu un annuaire Tout simplement un endroit central o l on peut trouver des informations sur des gens P
137. on co t est moindre pour l quivalent ses fonctionnalit s sont int gr es RAID 1 ou 5 sauvegarde int gr e sa facilit d int gration et de maintenance au sein de r seaux Ethernet C est pour cela que des entreprises optent pour cette solution de serveurs pour des capa cit s de stockage atteignant les 100 To 182 8 3992 TG PA 00 NAS et SAN w SAN Storage Area Network M me si l acronyme est proche jusqu constituer la source d erreur la plus fr quente chez les tudiants la simple traduction du sigle porte en elle la diff rence r seau d es pace de stockage Alors que le ou les serveurs NAS sont directement connect s au r seau de l entreprise le SAN est un r seau part un r seau de stockage qui est interconnect au r seau de l entreprise Serveur Ordinateur Imprimante Interconnexion fibre channel ou iSCSI J R seau SAN Oh fibre channel iSCSI aucun cours n en a parl je sais mais il n est pas souhaitable d crire une encyclop die cela vous perdrait Sachez simplement qu il s agit de deux technologies de connexion tr s rapides et que vous pourrez trouver davantage d infor mations sur Internet 183 8 3992 TG PA 00 S quence 6 184 NAS ou SAN Vous avez bien compris que ces deux technologies proposent aux entreprises qui en ont besoin des solutions de stockage haute capacit et performance C est leur point commun Leur
138. onc notre premier script aura cette t te la l bin bash echo Bonjour le monde Editez ce script avec vi sauvegardez le sous le nom script1 sh Listez le contenu mv2 debian ls la rw r tr 1 root root 36 2007 07 24 10 30 scripti sh Ensuite il faut lui attribuer les permissions d ex cution mv2 debian chmod u x scripti sh Maintenant essayons de l ex cuter mv2 debian script1 sh bash scripti sh command not found Impossible de l ex cuter alors que nous sommes dans le r pertoire qui contient le fichier Quelle est la raison En fait une variable du shell contient les chemins dans lesquels il faut chercher les fichiers ex cutables Cette variable s appelle PATH et il est possible de consulter son contenu de cette fa on mv2 debian echo PATH lusr local sbin usr local bin usr sbin usr bin sbin bin usr bin X11 86 8 3992 TG PA 00 Les scripts shell Rien n indique le r pertoire courant D s lors il y a plusieurs solutions e soit ajouter au chemin le qui repr sente le r pertoire courant mv2 debian PATH PATH e soit sp cifier devant le script le r pertoire courant mv2 debian script1 sh Bonjour le monde e R cup rer des param tres On peut passer au script une liste de param tres en les indiquant la suite du nom du script et en les s parant par des espaces Les valeurs de ces param tres sont r cup rable
139. onditions pr alables Votre serveur web Apache doit tre op rationnel gt Consid rations techniques Nous poursuivons nos p r grinations dans le logiciel Linux et entamons un point de plus en plus important dans le secteur informatique le chiffrement des donn es Nous met trons en uvre ce concept dans deux situations chiffrement des donn es chang es par un serveur Web vous avez d j certainement utilis peut tre sans le savoir le protocole https puis chiffrement d une communication via un terminal un telnet chiffr SSH Introduction Commen ons par d finir quelques termes de vocabulaire Qu est ce que chiffrer C est tout simplement l op ration par laquelle un message en clair est transform en un message inintelligible pour tout intercepteur qui ne dispose pas de la cl La cl repr sente la m thode et ou l information n cessaire au d chiffrement Enfin petite pr cision de vocabulaire on devrait dire chiffrement et non pas cryptage ainsi que d chiffrement et non pas d cryptage Le terme de d cryptage consiste tenter de d couvrir le sens d une information chiffr e sans y tre autoris 21 8 3992 TG PA 00 Atelier 1 Exercice 1 Vous tes un chef gaulois et vous voulez envoyer un message strat gique l un de vos alli s mais vous craignez que les Romains n interceptent ce message Dans ce cas votre plan serait an anti Vous voulez donc que votre message dans l ventuali
140. ort une table de routage contenant les routes les moins co teuses Il faut noter que sur une base de donn es topologique importante le calcul consomme pas mal de ressources CPU car l algorithme est relativement complexe 5 Maintenir la base topologique Lorsqu un routeur d tecte un changement de l tat d un lien cette d tection se fait grace aux paquets HELLO adress s p riodiquement par le routeur ses voisins celui ci met un paquet LSU sur l adresse multicast 224 0 0 6 le DR et le BDR de la zone se consid rent comme destinataires Le DR et le BDR int gre cette information sa base topologique et diffuse l information sur l adresse 224 0 0 5 tous les routeurs OSPF sans distinction C est le protocole d inondation Toute modification de la topologie d clenche une nouvelle ex cution de l algorithme du SPF et une nouvelle table de routage est constitu e 160 8 3992 TG PA 00 Le routage IP dynamique OSPF Voil pour les principes fondamentaux d OSPF mais des notions importantes restent a vo quer si vous souhaitez d ployer OSPF sur de grands r seaux en particulier sur le fonction nement d OSPF sur un r seau point point et sur l agr gation de routes Si vous voulez approfondir reportez vous au livre de C Huitema cit en bibliographie qui bien qu un peu ancien est tr s complet sur la question Bien s r vous pouvez toujours vous plonger dans les diff rentes RFC qui constituent OSPF la RFC 2328 en
141. our sp cifier le protocole de niveau 3 exemple 08 00 pour IP 08 06 pour ARP e On trouve ensuite les donn es de 46 1500 octets si le message fait moins de 46 octets on remplit avec des z ros a s appelle la s quence de bourrage e Enfin 4 octets pour le calcul d int grit de la trame Reprenons notre capture ARP exemple pour le volet 3 0000 ff ff ff ff ff ff 00 cO 9f 1b 41 ad 08 06 00 01 0010 08 00 06 04 00 01 00 c0 9f 1b 41 ad c0 a8 df fb 0020 00 00 00 00 00 00 c0 a8 df fc 00 00 00 00 00 00 0030 00 00 00 00 00 00 00 00 00 00 00 00 Alors analysons mais nous avons besoin de deux informations importantes le logiciel Ethereal te le pr ambule de synchronisation m me dans le 3 volet hexad cimal les 0000 0010 0020 etc repr sentent l offset l adresse des octets l in t rieur de la trame Alors comptons les octets comme de bons petits coliers e 6 octets MAC destination ff ff ff ff ff ff c est une de broadcast destin e donc toutes les machines du r seau e 6 octets MAC source 00 c0 9f 1b 41 ad sous linux la commande ifconfig confir merait que c est bien l MAC de ma carte e 2 octets type de trame 08 06 cela confirme ce code est celui du protocole ARP je comprends mieux pourquoi l MAC de destination est un broadcast e La suite 46 octets les donn es termin es par une s quence de bourrage 00 pour faire les 46 octets minimum 9 8 3992 TG PA 00 e
142. ous allez vous d brouiller tout seul Voici seulement les consignes Votre mission consiste mettre en uvre un serveur SSH sur votre serveur Linux le ser veur s appelle sshd et vous aurez probablement des paquetages installer Ensuite vous installerez un client sur votre machine Windows l heure actuelle Windows O REO pas de client compatible SSH Je vous conseille d uti Enfin on n est jamais trop prudent non plus Un administrateur de r seau qui se respecte toujours tendance tre un parano aque 35 8 3992 TG PA 00 Le chiffrement des donn es permet de les rendre illisibles qui n est pas auto ris La m thode a cl s asym triques est la plus r pandue La cl publique du destinataire sert a chiffrer La cl priv e du destinataire lui sert a d chiffrer L algorithme le plus r pandu est SSL Il sert s curiser les protocoles applicatifs tels http Idap etc Si vous voulez approfondir Vous pouvez vous documenter sur le fonctionnement des protocoles de chiffre ment comme RSA Idea Blowfish etc Vous pouvez vous int resser au chiffrement d autres protocoles applicatifs ftps pops imaps etc Consultez http www gnupgp org pour voir comment on peut chiffrer et signer des messages lectroniques 35 8 3992 TG PA 00 Mise en place d un annuaire LDAP Dur e indicative 3 heures gt Objectif Mettre en uvre le gestionnaire d annuaire OpenLDAP afin de part
143. ous pouvez tr s utilement reprendre les exemples de la s quence 15 du cours 3988 pour vous rafra chir la m moire c est m me conseill Bon admettons que le passage de la trame soit accept par les r gles de filtrage Le routeur laisse passer la trame a destination de IP xxxx Mais si nous voulons plus de s curit 3 La translation d adresse NAT NAT signifie Network Address Translation en fran ais translation d adresse r seau Avant de voir comment voyons pourquoi Dans le message accept par le routeur quelle tait l adresse du destinataire La vraie adresse IP du destinataire donc la source connaissait cette adresse Est ce toujours souhaitable Si la source est l administrateur d un serveur web par exemple et qu il veut l administrer de chez lui aucun souci Mais si c est l internaute lambda avez vous envie qu il connaisse l adresse IP de votre tout nouveau serveur web Quelles sont ses intentions Comment peut on lui cacher Simple on en met une autre la place seul le routeur conna t la vraie adresse destination 192 168 16 2 Je voudrais contacter 200 15 3 16 Ordinateur Ordinateur Ordinateur Internet Ethernet D accord 192 168 16 2 C est pour toi Imprimante eaten 115 8 3992 TG PA 00 S quence 5 116 Alors comment a marche Oh en th orie c est tr s simple le routeur d sencapsule le message jusqu au datagramme I
144. peut demander au client un certificat en envoyant un message certificate request Finalement le serveur envoie le message server_done qui signifie la fin de cette phase et que le serveur se met en attente Phase 3 authentification du client et change des cl s Le client doit v rifier que le certificat envoy par le serveur est valide et que les autres param tres sont corrects Si le serveur a demand au client d envoyer un certificat le client envoie un message certificate contenant le certificat s il n a pas de certificat il envoie un message no_certificate Il g n re ensuite partir de l algorithme de chiffrement choisi une pr cl secr te pre_ master_key Il envoie un message client key_exchange contenant la pr cl secr te chiffr e l aide de la cl publique du serveur Pour finir cette phase le client envoie un message certificate_verify pour indiquer que le certificat du serveur a t v rifi Phase 4 fin Le serveur v rifie ventuellement la validit du certificat du client Il d chiffre ensuite la pr cl secr te l aide de sa cl priv e Le client et le serveur r alisent une m me s rie d op rations pour obtenir des cl s secr tes de session partir de la pr cl secr te et des donn es al atoires chang es pr c demment Le client envoie enfin le message finished qui valide l change de cl s Le serveur r pond en envoyant son message finished Les deu
145. pour craser la valeur Tout est ok 68 8 3992 TG PA 00 Gestion des disques e Montage Vous savez que pour avoir acc s a une unit de disque il faut la monter mv2 debian mkdir mnt disque2 mv2 debian mount dev hdb1 mnt disque2 kjournald starting Commit interval 5 seconds EXT3 FS on hdb1 internal journal EXT3 fs mounted filesystem with ordered data mode mv2 debian ls mnt disque2 la total 24 Crwxr x1 x 3root root 4096 2007 07 22 16 31 drwxr x1 x 3root root 1024 2007 07 22 16 44 drwx 2root root 16384 2007 07 22 16 31 lost found C est bien joli mais je n ai pas envie de taper ces commandes chaque fois J aimerais que le disque soit mont automatiquement chaque d marrage Modifiez le fichier etc fstab ainsi mv2 debian cat etc fstab letc fstab static file system information lt file system gt lt mount point gt lt type gt lt options gt lt dump gt lt pass gt proc proc proc defaults 0 0 dev hda1 ext3 defaults 0 1 dev hda2 home ext3 defaults 0 0 dev hda3 none swap sw 0 0 dev hdb1 mnt disque2 ext3 defaults 0 0 La derni re ligne a t ajout e Pour le d tail des options regardez man fstab e Test d une partition Il faut d abord d monter la partition mv2 debian umount mnt disque2 mv2 debian fsck dev hdb1 fsck 1 40 WIP 14 Nov 2006 e2fsck 1 40 WIP 14 Nov 2006 dev
146. r le trafic de routage de r duire la fr quence des calculs du plus court chemin par l algorithme SPF ainsi que d avoir une table de routage plus petite ce qui acc l re la convergence Les routeurs R1 et R4 sont particuliers puisqu ils sont cheval entre plusieurs zones on les appelle ABR pour Area Border Router ou routeur de bordure de zone Ces routeurs maintiennent une base de donn es topologique pour chaque zone laquelle ils sont connect s Les ABR sont des points de sortie pour les zones ce qui signifie que les informations de routage destin es aux autres zones doivent passer par l ABR local la zone L ABR se charge alors de retransmettre les informations de routage au backbone Les ABR du backbone ensuite redistribueront ces informations aux autres zones auxquelles ils sont connect s 161 8 3992 TG PA 00 Atelier 9 Place a la pratique Nous allons travailler avec la topologie ci dessous Comme dans l atelier pr c dent pour tre vraiment int ressant un TP sur le routage n cessite plusieurs machines Virtual PC il existe d autres logiciels de ce type comme VMware permet d muler toutes ces machines Zone 0 172 18 0 254 192 168 3 254 192 168 3 1 Zone 9 Zone 2 772 180 7 Figure 5 la topologie de travail Le r seau a t d coup en trois zones Vous remarquez que la zone 0 permet de f d rer l ensemble du r seau Il s agit du backbone dont nous avons
147. r ospf Routeur1 deb OSPF config router e Activation des annonces de routes Le processus de routage OSPF est activ mais rien ne se passe Il faut indiquer sur quel s r seau x on souhaite que le routage dynamique soit op rationnel Ceci se fait par la com mande network De plus il faut indiquer quelle zone sera rattach le r seau Sur la figure 5 on voit que R1 est reli deux r seaux Le r seau 30 0 0 0 8 est attach la zone 0 et le r seau 11 0 0 0 8 la zone 1 La configuration se fait donc de cette mani re Routeur1 deb OSPF config router network 30 0 0 0 8 area 0 Routeur1 deb OSPF config router network 11 0 0 0 8 area 1 Que se passe t il sur le r seau R1 envoie des paquets HELLO sur les interfaces pour les quelles la commande network a t saisie Mais personne n est la pour les couter Activez le routage sur R2 en adaptant les commandes aux sp cificit s du routeur Je vous aide un peu Sur R2 vous r aliserez les configurations suivantes Routeur2 deb OSPF config router network 11 0 0 0 8 area 1 Routeur2 deb OSPF config router network 12 0 0 0 8 area 1 Enfin sur R3 vous r aliserez les configurations suivantes Routeur3 deb OSPF config router network 12 0 0 0 8 area 1 Routeur3 deb OSPF config router network 192 168 3 0 24 area 1 Mais sur R3 il y a une particularit Le r seau 192 168 3 0 24 contient des ordinateurs mais aucun routeur La commande network va dif
148. rage Donn es de 2 65 5170 IHL Internet Header Length ou longueur d en t te en mots de 32 bits FO Fragment Offset indique si le fragment est suivi d autres fragments 8 3992 TG PA 00 Trame Ethernet Prenons un exemple capturons lt capture gt Ethereal ae re 213 x File Edit Capture Display Tools Halp No Time Source Destination Pratocot_ Info 1 0 000000 QUANTA_1b 41 ad Broadcast ARP who has 192 168 223 252 Tell 192 168 223 251 2 0 037374 10 86 11 100 10 86 11 127 NBNS Name query NB ECDI3 D gt 3 0 049940 83 177 164 38 192 168 223 31 TCP 5900 gt 37013 PSH AC eg 4072903033 ACk 3680669105 wins 4 0 050764 F 83 177 38 37013 5900 PSH ACK 69105 Ack 4072903182 Win 5 0 164213 192 168 221 7 192 168 223 255 NETLOGON SAM LOGON request from client 6 0 260482 192 168 221 7 192 168 223 255 NBNS Name query NB J0E CHAUVET LAN lt 00 gt 7 0 389754 83 177 164 38 192 168 223 31 TCP 5900 gt 37013 PSH ACK Seq 4072903182 Ack 3680659115 Win 8 0 390557 192 168 223 31 83 177 164 38 TCP 37013 gt 5900 PSH ACK Seq 3680669115 ACk 4072903316 wins S 0 485266 192 168 223 13 192 168 223 26 SMB Echo Request 10 0 485490 192 168 223 26 192 168 223 13 SMB Echo Response 11 0 541088 192 168 223 44 213 186 34 128 HTTP GET shopping images produit10_photo2_485 jpg HTTP 1 1 12 0 592640 217 12 10 99 192 168 223 21 HTTP Continuation 13 0 592834 192 168 223 217 12 10 99 TCP 32803 gt http AC
149. rateur consiste suivre pr cis ment toutes les alertes qui surviennent ici ou l sur internet et mettre jour r guli rement son syst me Un outil capable de tester automatiquement la solidit d un syst me en recherchant dans une base de donn es jour toutes les failles connues un moment donn est un alli tr s pr cieux C est la raison pour laquelle nous allons travailler avec le produit Nessus 8 3992 TG PA 00 173 Atelier 10 Pr sentation de Nessus La source principale d informations et de documentation est bien s r le site officiel http www nessus oro Mais pour avoir une pr sentation g n rale et synth tique je vous invite consulter fr wikipedia org wiki Nessus_ 28logiciel 29 Nessus est un outil de s curit informatique Il signale les faiblesses potentielles ou av r es sur les machines test es Ceci inclut entre autres e les services vuln rables des attaques permettant la prise de contr le de la machine l acc s des informations sensibles lecture de fichiers confidentiels par exemple des d nis de service e les fautes de configuration relais de messagerie ouvert par exemple e les patchs de s curit non appliqu s que les failles corrig es soient exploitables ou non dans la configuration test e e les mots de passe par d faut quelques mots de passe communs et l absence de mots de passe sur certains comptes syst mes Nessus peut aussi appel
150. re une ou plusieurs valeurs Comme pour une base de donn es l attribut le plus significatif est l OID Object Identifier Le sch ma est l ensemble des caract ristiques de tous les objets description de leurs classes de leurs attributs etc Nous venons de pr senter quoi ressemble un annuaire LDAP et de d finir un vocabu laire entrons un peu plus dans le d tail 8 3992 TG PA 00 Un peu de th orie sur LDAP 3 Les objets LDAP 3A Les classes d objets LDAP Un objet LDAP appartient une ou plusieurs classes d objets Ces classes d finissent les attributs obligatoires et optionnels qui d crivent l objet en voici une liste exemple Classe d objets Attributs obligatoires Attributs optionnels OrganizationalUnit e OU e BusinessCategory e Description Unit Organisationnelle e ObjectClass e FacsimileTelephoneNumber e Location e PostalAdress e SeeAlso e TelephoneNumber InetOrgPerson e CommonName e BusinessCategory e CarLicense Personne de l organisation Surname e DepartmentNumber e Description e ObjectClass e EmployeeNumber e FacsimileTelephone e Number e GivenName e Mail e Manager e Mobile e OrganisationalUnit e Pager e PostalAdress e RommNumber e Secretary e SeeAlso e TelephoneNumber e Title e LabeledURI e UID 61 8 3992 TG PA 00 S quence 4 3B 3C gt Les attributs Chaque entr e de l annuaire correspond donc un enregistreme
151. read them you have to provide the pass phrases Server secure labocned fr 443 RSA Enter pass phrase lt tapez votre phrase pass gt 22 8 3992 TG PA 00 Chiffrement des communications V rifions que tout a t pris en compte Contrairement au serveur web classique qui coute sur le port TCP 80 notre serveur https coute sur le port 443 netstat ltn Connexions Internet actives seulement serveurs Proto Recv O Send O Adresse locale Adresse distante Etat tcp 0 0 0 0 0 0 80 0 0 0 0 LISTEN tcp 0 0 0 0 0 0 443 0 0 0 0 LISTEN Notez que le serveur web classique est toujours actif Sur le client V rifions dans les options Internet que notre navigateur supporte bien le SSL Options Internet AE G n ral S curit Confidentialit Contenu Connexions Programmes Avance Param tres amp S curit Activer l Assistant Profil Activer l authentification int gr e de Windows n cessite un red ma Autoriser le contenu actif s ex cuter dans les fichiers de la zone Ou _ Autoriser le contenu actif des CD s ex cuter sur la zone Ordinateur F Autoriser le logiciel s ex cuter ou s installer m me si la signature r Avertir en cas de changement entre mode s curis et non s curis Avertir pour les sites dont les certificats sont non valides Avertir si les formulaires soumis sont redirig s _ Ne pas enregistrer les pages crypt es sur le disque a
152. s Voyons le sujet R gles de filtrage appliqu es sur l interface 172 16 0 129 N r gle Interface IP Source Fort i Fort Action Source Destination Destination 1 172 16 0 129 i i Refus Les r gles de filtrage s appliquent dans l ordre de leur num ro Principes d association des r gles de filtrage et de NAT PAT sur une interface Interface gt gt gt Sortie Filtre NAT PAT Entr e e Sur un paquet en sortie d une interface on applique d abord les r gles de filtrage puis les r gles NAT PAT e Sur un paquet en entr e d une interface on applique d abord les r gles NAT PAT puis les r gles de filtrage Le serveur HTTP utilise le port 1060 pour communiquer et le serveur de bases de don n es le port 2020 8 3992 TG PA 00 Filtrage NAT et PAT Question Donner les adresses IP et les ports source et destination d un paquet envoy par le ser veur HTTP au serveur de bases de donn ees A Ieu creo lEAEN Op UoREYS geug Nenen ap uogas Leyo neaeg ap uogas jeyo ayewudw j unayesyusou0D ver Lorza ener verze HM dOHG sis 229Y P IUIOd wud O2 s S GDL valet OSL ZZL PZ OEL O SL ZLL vz einn9 sysugot 1O9L Z OL ZZL dOHG Jnana M s8994 p uiod i namoy POEL SSL ZZL ganep zene Lanea EAEn ep UONEIS BAS OP UCNEIS IPAEN ap UOREIS ass 0 St ZLE m qezdwog seguuog ap seg SJ IY
153. s MNF supporte les protocoles FTP HTTP et HTTPS il ne g re donc pas SMTP POP ou NNTP Il coute sur un port sp cifique 3128 par d faut mais il est possible d utiliser 8080 plus habituel pour un proxy Fonctionnement Observons tout d abord l acc s un site web sans passer par un proxy 1 GET index html waw domaine com a p ce Client Serveur Web Figure 1 Acc s web sans proxy Le client demande directement au serveur web de lui envoyer une page Si un autre client du r seau demande la m me page le serveur web est contact nouveau 121 8 3992 TG PA 00 Atelier 7 Avec un proxy litt ralement proxy signifie mandataire en frangais toutes les requ tes passent par un interm diaire voir figure ci dessous Proxy 1 GET index html Ana aine com 4_ GET index html eo 5 yl Client 2 Serveur We Cache ACL Figure 2 Acc s web avec proxy 1 Le client demande une page 2 La requ te est intercept e par le proxy Celui ci v rifie ses ACL Si la requ te est inter dite un message d erreur non repr sent sur la figure est envoy au client 3 Si la requ te est autoris e le proxy v rifie si la page est d j dans son cache autrement dit si elle a t demand e r cemment Si c est le cas elle est envoy e directement au client sans passer par le serveur web Si la page ne figure pas dans le cache le proxy transmet la requ te au ser
154. s via des variables 1 2 etc Mais contrairement aux langages de programmation classi ques ils ne peuvent pas tre modifi s Par exemple on peut faire le script2 sh l bin bash echo Bonjour 1 et bonne journ e Ce qui donne mv2 debian script2 sh toto Bonjour toto et bonne journ e On peut galement conna tre le nombre de param tres pass un script avec la variable Par exemple script3 sh l bin bash echo Vous avez saisi param tres Ce qui donne mv2 debian script3 sh paral para2 Vous avez saisi 2 param tres mv2 debian script3 sh paral para2 para3 Vous avez saisi 3 param tres Enfin sachez que la variable 0 repr sente le nom du script 87 8 3992 TG PA 00 Atelier 5 e Tester des conditions Un script peut contenir des structures conditionnelles Le mod le g n ral est if condition then action1 else action2 fi Note la place du then et du else seuls sur la ligne est importante et respectez les espaces Par exemple le script4 sh l bin bash if 2 then echo Bonjour 2 1 et bonne journ e else echo Syntaxe 0 nom prenom fi Attention aux espaces Ce qui donne comme r sultat mv2 debian script4 sh Syntaxe script4 sh nom prenom mv2 debian script4 sh HOCHON Paul Bonjour Paul HOCHON et bonne journ e 8 3992 TG PA 00 Les scripts shell De nombre
155. s diff rences e le NAS est directement accessible sur le LAN de l entreprise e le SAN est un r seau part enti re qui est interconnect au LAN de l entreprise Le SAN propose donc de bien meilleures caract ristiques mais il est aussi beaucoup plus cher Chacune r pond a un besoin diff rent et doit tre adapt e au cas par cas Mais pour vous donner une image en g n ral le SAN conviendra peut tre mieux aux grandes entreprises tandis que le NAS r pondra peut tre au besoin des PME PMI Comparatif des deux technologies e Qualit de service Qos le LAN qui accueille le NAS n offre pas les m mes garan ties que le SAN dont le switch assure en outre une garantie de d bit 100 Mbits s via fibre optique Les entreprises qui ont des applications critiques n cessitant une haute qualit de service auraient int r t a opter pour un SAN e Disponibilit le SAN assure une redondance accessibilit en cas de panne d un de ses l ments au niveau des cartes HBA Host Bus Adapter des serveurs et des switchs Le NAS n int gre pas nativement cette redondance e H t rog n it le NAS s adapte tr s bien aux environnements h t rog nes il est interop rable avec des environnements UNIX et windows L interop rabilit d un SAN est plus complexe tant donn le nombre de mat riels serveurs switchs baies de disques issus de fabricants diff rents e Co t solution plus simple le NAS n a m me pas besoin par
156. s produits CISCO un acteur important dans le milieu du routage Ce sont des appareils que vous risquez de rencontrer en entreprise gt Avertissement Ce support de cours et le suivant s inspirent directement d articles que votre humble servi teur a crit pour Linux Magazine http www linuxmag france org Achetez cet excellent magazine Et du m me document mis jour en 2007 par Philippe Latu contributeur de nombreux documents libres concernant les logiciels dans le cadre du projet inetdoc http www linux france org prj inetdoc telechargement Le projet inetdoc rec le de nombreux documents articles cours tp qui compl tent de facon indispensable nos ateliers 131 8 3992 TG PA 00 Atelier 8 Introduction Dans cette introduction nous pr sentons les concepts importants li s au routage Ces points ont d ja t abord s dans le cours 3988 tome 2 e Quelques d finitions Imaginez que vous souhaitiez rendre visite quelqu un Vous connaissez son adresse et dans votre t te vous avez la plupart des l ments importants pour vous diriger sortir de la maison prendre droite au feu tourner gauche marcher jusqu au rond point tourner droite etc Dans l univers informatique c est sensiblement diff rent Lorsqu un ordinateur met un paquet de donn es destination d un ordinateur situ dans un autre r seau il ne sait pas quelle route il va prendre La seule chose connue est l adresse d
157. script1 sh est un fichier script2 sh est un fichier script3 sh est un fichier script4 sh est un fichier script5 sh est un fichier script6 sh est un fichier script7 sh est un fichier script8 sh est un fichier script9 sh est un fichier tmp est un r pertoire tp sh est un fichier Exercice 20 Vous faites un script qui balaye le contenu du fichier etc passwd et en affiche chaque ligne Pour ce faire vous utilisez une boucle sur le mod le suivant while read ligne do vos_instructions done lt etc passwd Cette boucle utilise le principe de la redirection de fichier repr sent e par le lt Le fichier est pass ligne par ligne a la boucle Chaque ligne est r cup r e dans une variable nom m e ligne Le r sultat attendu est le suivant mv2 debian tp sh root x 0 0 root root bin bash bin x 1 1 bin bin bin sh daemon x 2 2 daemon sbin bin sh adm x 3 4 adm var adm bin sh 95 8 3992 TG PA 00 Atelier 5 Exercice 21 Vous savez que le fichier etc passwd est d coup en un certain nombre de champs On vous demande de modifier le script pr c dent afin d afficher le fichier d une fa on agr able lire Pour d couper un champ d une ligne vous pouvez utiliser l instruction suivante nom echo ligne cut d f1 Expliquons cette instruction qui n a rien de simple au premier abord 1 L instruction echo ligne affiche le contenu de la variable li
158. ser des variables des saisies des affichages des conditions et des boucles Si vous voulez approfondir J esp re vous avoir communiqu les bases du langage bash et vous en avoir mon tr les potentialit s L approfondissement viendra de lui m me en fonction de vos besoins d administrateur Vous savez que Unix est bas sur des scripts Consultez par exemple le contenu des r pertoires etc rc Vous verrez que ce sont les scripts lanc s au d marrage de la machine 8 3992 TG PA 00 Le firewalling Dur e approximative de cet atelier 3 heures gt Objectif Aborder la configuration d un l ment de s curit d sormais indispensable dans les entreprises le pare feu ou firewall A la fin de cet atelier vous saurez installer le pare feu Mandrake Multiple Network Firewall configurer les interfaces r seau les zones et d finir quelques r gles l mentaires gt Conditions pr alables Votre serveur Linux doit tre op rationnel ainsi que les diff rents services que nous avons install s jusqu pr sent en particulier http et ssh gt Consid rations techniques Une troisi me machine qui fera office de firewall est n cessaire Si vous ne pouvez pas disposer du m me logiciel lisez tout de m me cet atelier Introduction Un firewall est un appareil qui applique un ensemble de r gles qui filtrent ou modifient les paquets re us ou mis en fonctions de certaines conditions Sous linux avec iptabl
159. syst me puis dans cartes r seau Affectez ou v rifiez la carte eth0 dans la zone LAN et la carte eth1 dans la zone WAN Cartes r seau gt Configuration des cartes Ethernet eth lan 10 0 0 254 255 0 0 0 static zF w admin ethi wan 192 168 0 254 255 255 255 0 static i mi admin Figure 6 configuration des cartes r seau Contr lez galement la configuration IP des cartes Enfin constatez que l interface d administration a bien t positionn e sur ethoO V rifiez la configuration des zones du pare feu dans Configuration du pare feu D finition des zones D finition des zones gt Definition des zones interfaces et h tes Consulter l aide avant de d marrer la configuration Attention l ordre dans les listes de zones et d h tes est important dans certains cas Configuration syst me Acc s a Internet Services 1lan LAN local_area_network 7 li Configuration du 2dmz DMZ demilitarized_zone Ey mi poresied 3 wan NET internet Y E D finition des zones E Traduction d adresses r seau de masque 5 par d faut Bi Exceptions Bi Liste noire E Tos Bi Tunnels VPN Surveillance Outils Figure 7 configuration des zones 105 8 3992 TG PA 00 Atelier 6 Si tout est correctement configur vous devez avoir acc s au serveur web a partir de la station En effet comme il le sera dit plus loin le firewall poss de un certain nombre de r gles par d faut En particulier
160. system are free software the exact distribution terms for each program are described in the individual files in usr share doc copur ight Debian GNU Linux comes with ABSOLUTELY NO WARRANTY to the extent permitted by applicable law 1 chec depuis la derni re connexion Le dernier chec tait le dim 22 jui 2897 12 36 45 CEST sur ttuyZ2 phochon mv2 deb ian 55 8 3992 TG PA 00 Atelier 2 e Utilisation de l annuaire partir de Windows Eh oui quand m me c est l objectif Si vous essayez maintenant Ouverture de session Windows Copynght 1985 2001 Corporation Utilisateur phochon Se connecter LABOCNED i C Ouvrir la session en utilisant une connexion par modem Arr ter le syst me Options lt lt a ne marchera pas le domaine labocned fr est g r par Samba et l authentification de phochon par Idap mais les deux ne sont pas encore li s http cj tronquet free fr doc samba3ldap php http contribs martymac com OpenLDAPFormationEOF Formation OpenLDAP EOF pdf Tout d abord nous avons mentionn que LDAP fonctionne selon des objectClass lesquels sont organis s selon un sch ma nous allons incorporer le sch ma samba a LDAP le paquetage Samba doc doit tre install mv2 debian etc Idap schema cp usr share doc samba doc examples LDAP samba schema gz Puis le d compresser mv2 debian etc Idap schema gunzip etc Idap samba schema gz Modifiez etc
161. t ou il serait r cup r par un Romain soit incompr hensible 1 Proposez une solution 2 Donnez un exemple Vous avez compris que le but recherch en informatique est de rendre illisibles les don n es stock es ou chang es au travers des r seaux Apr s les diff rents TP que nous avons r alis s je pense que vous avez maintenant conscience que les r seaux ne sont pas s rs car la plupart des informations circulent en clair elles sont donc non chiffr es Si vous voulez que le ou les destinataires de votre message soient en mesure de le d chif frer il faut qu il connaisse la cl Exercice 2 Imaginez plusieurs solutions pour fournir vos interlocuteurs la cl pour d chiffrer vos messages R fl chissez aux risques et contraintes que cela suppose Imaginez en particulier que vous n avez pas un seul interlocuteur mais des dizaines voire beaucoup plus Vous comprenez o je veux en venir Rendre les messages illisibles est une premi re probl matique Mais transmettre et prot ger la cl est sans doute une probl matique encore plus complexe a serait tellement plus simple si on pouvait chiffrer et d chiffrer non pas avec la m me cl mais avec deux cl s diff rentes Avec une cl connue de tous je chiffrerais mon message Dans ce cas la diffusion de la cl ne poserait pas de probl me Ensuite seule la personne titulaire de la cl de d chiffrement le destinataire du message pourrait d
162. t La correspondance peut tre r duite en sp cifiant une adresse IP et ou un masque r seau pr cis Laissez dans le champ pour que la requ te corresponde n importe quel port ou adresse IP Serveur La zone vers laquelle le paquet est dirig La correspondance peut tre r duite en sp cifiant une adresse IP et ou un masque r seau pr cis Laissez dans le champ pour que la requ te corresponde n importe quel port ou adresse IP Lorsqu un paquet remplit une r gle il faut dire au pare feu ce qu il doit en faire Action Signification Accepter ACCEPT Le paquet est autoris Rejeter REJECT Le paquet est d truit et un message destination impossible a join dre est retourn au client Retirer DROP Le paquet est d truit aucune r ponse n est faite au client Exercice 25 En compl tant le tableau suivant donnez la r gle qui interdit l acc s au web sur le WAN depuis le LAN et la r gle qui autorise SSH de l ext rieur vers le lan Vous avez le droit de consulter la documentation du logiciel bien s r Action Logging Service Client Serveur 107 8 3992 TG PA 00 Atelier 6 e Traitement des r gles la politique par d faut Tout d abord on d finit une politique par d faut En g n ral il s agit de refuser tous les paquets C est la politique par d faut propos e par MNF Allez dans Configuration du pare feu R gles par d faut
163. t me dev ndb1 1 3328816777120 fdD tection auto RAID Linux Commande m pour aide w La table de partition a t modifi e Faire idem pour hdb2 Activons la swap de hdb mv2 debian mkswap dev hdb3 mv2 debian swapon a Et red marrez pour que les modifications soient prises en compte comme Linux vous l a expliqu e Activation du RAID Un groupe de disques RAID se monte ensuite comme un disque classique Il sera vu comme un disque unique le mirroring tant g r par le noyau Nous devons donc cr er un mdO pour g rer le mirroir hda1 hdb1 et un md1 pour hda2 hdb2 attention de noter missing pour hda afin de conserver les donn es 72 8 3992 TG PA 00 Gestion des disques mv2 debian mdadm create dev md0 level 1 raid devices 2 missing dev hdb1 md bind lt hdb1 gt md md0 raid array is not clean starting background reconstruction md raid1 personality registered as nr 3 raid1 raid set md0 active with 1 out of 2 mirrors mdadm array dev md0 started mv2 debian mdadm create dev md1 level 1 raid devices 2 missing dev hdb2 Indiquons le type de syst me de fichier de dev md0 et dev md1 mv2 debian mkfs ext3 dev md0 mv2 debian mkfs ext3 dev md1 e Montage des disques RAID Si vous regardez le syst me mv2 debian cat etc fstab etc fstab static file system information lt file system gt lt mount point gt lt type gt lt options gt lt d
164. t endroit Indications d quipement mat riel et logiciel l issue des ateliers du cours 3988 vous tes l heureux administrateur d un petit r seau de deux postes 1 sous windows XP 1 sous Linux Debian mul s par des machines virtuelles Virtual PC2004 Que vous faut il de plus pour tudier ce cours Rien d autre Est il n anmoins int ressant si financi rement je peux investir 200 300 de plus d acheter autre chose Oui bien s r Un peu plus bas vous trouverez une bibliographie indicative les ouvrages r seaux sont nombreux j ai s lectionn ceux l pour vous 3 8 3992 TG PA 00 G Conseils d apprentissage Tous les conseils d apprentissage qui vous ont t prodigu s dans votre scolarit comme dans les autres cours de ce cursus sont bien s r valables Ce n est pas la peine de d vorer enti rement ce cours en septembre les preuves de l examen sont en mai juin vous risqueriez d avoir oubli l essentiel Travaillez r guli rement Et de temps en temps n h sitez pas en remettre une couche C est dire revoir une s quence ou un chapitre refaire un exercice ou un atelier allez voir sur Internet si c est expliqu pareil etc N h sitez pas non plus demander votre tuteur des exercices suppl mentaires il en a certainement une bonne collection et se fera un plaisir de vous les corriger Vous vous pr parez exercer un m tier o le ma tre mot est travail
165. t plus maintenu et son successeur est quagga mais cela ne change pas grand chose ttp www zebra org ttp www quagga ne Architecture de Zebra gt Zebra fonctionne sous Linux et BSD C est un routeur multi protocole compos d une suite de d mons un par protocole de routage dynamique plus un d mon central zebra utilis pour le routage statique De plus lorsque le routage dynamique est mis en uvre il est charg de synth tiser dans une table de routage unique les informations rapport es par les autres d mons Son architecture g n rale est la suivante NOYAU LINUX Figure 4 architecture de Zebra D marrage du d mon Quagga comme nos autres paquetages dans les ateliers pr c dents poss de son r per toire dans etc ls etc quagga daemons debian conf La documentation est incluse dans le paquetage et disponible sur le site dans divers for mats dont pdf nttp www quagga net docs php Lisez la Quagga est compos de 5 d mons processus en utilisation et un d mon manager e ripd ripngd ospfd ospf6d bgpd d mons prenant en charge les protocoles de rou tage e zebra le manager Chacun de ces d mons coute sur un port et peut tre acc d par terminal Chacun de ces d mons a galement son fichier conf il faut donc cr er le notre 138 8 3992 TG PA 00 Le routage IP statique Zebra ne peut pas d marrer sans un fichier de configurat
166. tilisant imp rativement une boucle for R sultat attendu mv2 debian tp sh riri fifi lolou 93 8 3992 TG PA 00 Atelier 5 Exercice 18 Demander l utilisateur de saisir un nom de fichier ou de r pertoire D abord le script v rifie s il existe dans le r pertoire courant S il existe le script indique s il s agit d un fichier ou d un r pertoire R sultat attendu en supposant que le r pertoire tmp et le fichier script1 sh existent mv2 debian tp sh Entrez un nom de fichier ou de r pertoire a Cela n existe pas dans le r pertoire courant mv2 debian tp sh Entrez un nom de fichier ou de r pertoire efo jevhj Cela n existe pas dans le r pertoire courant mv2 debian tp sh Entrez un nom de fichier ou de r pertoire tmp C est un r pertoire mv2 debian tp sh Entrez un nom de fichier ou de r pertoire scripti sh C est un fichier Exercice 19 Vous transformez le script pr c dent de facon a ce qu il parcoure tous les fichiers du r pertoire courant et indique le type de chaque objet trouv Vous utiliserez la boucle suivante for nom in Le contenu du r pertoire est le suivant mv2 debian ls script1 sh script3 sh scriptd sh script7 sh script9 sh tp sh script2 sh script4 sh script6 sh script8 sh tmp 94 8 3992 TG PA 00 Les scripts shell Le r sultat attendu est le suivant mv2 debian tp sh
167. tion d un routeur consiste configurer les routes d un routeur Une route est d finie par un r seau de destination et l adresse d un routeur voisin prochaine tape vers le r seau de destination Une table de routage est une liste de routes utilis e par le routeur pour prendre des d cisions quant la direction donner pour un paquet re u sur l une de ses interfaces Par exemple une table de routage peut ressembler cela R seau Masque Passerelle Interface Localhost 255 0 0 0 127 0 0 1 lo 192 168 0 0 255 255 255 0 192 168 0 254 eth0 192 168 1 0 255 255 255 0 192 168 0 254 eth1 Le routage statique par opposition au routage dynamique consiste saisir manuellement les routes dans le routeur c est tr s formateur pour comprendre le fonctionnement e Prise de d cision Il faut tout d abord se rappeler que tous les paquets IP mis par une machine ont la t te suivante EN TETE ZONE DE DONNEES Figure 2 structure d un paquet L en t te contient entre autres les adresses IP de l metteur et du destinataire Lorsqu un routeur re oit un paquet sur l une de ses interfaces Il extrait l adresse IP de destination Puis il parcourt la table de routage la recherche d une correspondance en appliquant le masque r seau de chaque ligne de la table de routage l adresse IP de destination Si une correspondance est trouv e il met le paquet sur l interface r seau concern e Sinon de
168. tions e dn distinguished name est un identifiant Il correspond la cha ne compl te permet tant de retrouver une information dans l annuaire voir plus loin On note ici que le dn correspond a la racine e objectclass d finit une sorte de dictionnaire des donn es pour l objet que nous sommes en train de cr er Il indique quels attributs peuvent tre associ s l objet Il existe de nombreuses classes d objet que l on utilise en fonction des besoins Par exemple lorsque l on cr e un utilisateur on utilisera un objectclass diff rent de celui pour une imprimante Puis l aide de la commande dapadd ajoutons ces informations l annuaire mv2 debian etc Idap Idapadd x D cn admin dc labocned dc fr W f societe txt Enter LDAP Password lt tapez votre mot de passe en clair gt adding new entry dc labocned dc fr La commande dapadd contient un certain nombre de param tres e x afin de ne pas utiliser l authentification sasl par d faut semble t il eD indique que nous allons faire figurer le dn de l administrateur cn root dc labocned dc fr e W afin que le logiciel nous demande le mot de passe de l administrateur vous sai sirez le mot de passe en clair que vous avez cr lors de la configuration du fichier sladp conf e f pour indiquer le fichier qui contient les informations ajouter O si a vous rappelle votre cours d analyse MERISE vous tes tout
169. to by dn cn admin dc labocned dc fr write by read T ajouter Tous les utilisateurs authentifi s peuvent modifier certaines valeurs d attributs access to attrs userPassword sambaLMPassword sambaNTPassword description by self write by anonymous auth by none V rifiez que les droits affect s au r pertoire de travail directive directory dans le fichier slapd conf de LDAP sont corrects mv2 debian ls var lib la drwxr xr x2 openldap openldap 4096 2007 07 20 12 50 ldap Relancez le service mv2 debian etc ldap etc init d slapd restart Le d mon LDAP tant ex cut par le pseudo utilisateur open dap mv2 debian etc Idap ps aux grep slapd openldap 2818 0 0 1 4 14424 3796 Ssl 14 05 0 00 usr sbin slapd g openldap u openldap Celui ci doit avoir tous les droits sur le r pertoire Il est bon galement que root puisse crire dans ce r pertoire si vous faites des importations en bloc avec la commande sla padd par exemple Re d marrez le d mon slapd mv2 debian etc ldap etc init d sldapd restart 44 8 3992 TG PA 00 Mise en place d un annuaire LDAP Enfin lan ons une incantation qui nous permettra de v rifier le bon fonctionnement mv2 debian etc Idap ldapsearch x b s base objectclass extended LDIF LDAPv3 base lt gt with scope baseObject filter objectclass requesting A
170. tomatique comi Aucun com2 Aucun F vt Au cun R seau Cartes r seau 2 Son Activ fm Virtualisation par mat riel Non disponible Vous pouvez s lectionner le nombre de cartes r seau dont vous souhaitez Souris Pas d int gration du pointeur disposer sur cet ordinateur virtuel Vous pouvez s lectionner la carte Dossiers partag s Non install s r seau de l ordinateur physique qui sera utilis e pour les communications r x par r seau avec chaque carte r seau virtuelle Vous pouvez galement i Affichage Par d faut s lectionner le r seau local ou pour la premi re carte r seau le r seau Fermer Afficher le message partag Ce Cr 136 8 3992 TG PA 00 Le routage IP statique Installez maintenant Debian sur chacun des routeurs Lors de l installation Debian vous demandera de choisir une interface r seau pr f rentielle celle qui sera configur e pour pouvoir r cup rer les paquets n cessaires sur Internet Pour chacune vous laissez eth0 et configurez les adresses qui vous permettront de vous configurer sur Internet sans vous pr occuper ce moment l de la configuration du sch ma de l atelier Si vous avez un probl me de d pendances n oubliez pas apt get f install Je vais prendre exemple sur mon routeur2 deb car lui a 3 interfaces r seaux apr s ins tallation la configuration des interfaces est ifconfig a eth0 inet adr 192 168 1 252
171. torage Area Network 183 A NAS GU SAN mine adales sente 184 gt Capacit s attendues e Etre capable d expliquer le principe de ces deux technologies e tre capable d expliquer leur diff rence et d voquer leur convergence Introduction Dans certaines entreprises la capacit de stockage n cessaire peut devenir tr s impor tante Peu importe que vos serveurs disposent de 5 disques durs SCSI de 160 Go chacun nous parlons ici de besoins exprim s en To Ou plus C est dire qu il n est plus possible d envisager les solutions de stockage dites en atta chement direct directement connect DAS Direct Attached System Dans ce cas l il faut alors avoir recours d autres solutions Deux technologies dont les acronymes sont trompeurs sont envisageables e NAS Network Attached Storage e SAN Storage Area Network Attention surtout ne pas les confondre mais cette s quence est l pour a 181 8 3992 TG PA 00 S quence 6 NAS Network Attached Storage Il est int ressant de commencer d finir la technologie NAS en disant qu il s agit d un serveur d di au stockage Le serveur dispose d une adresse IP comme les autres Les donn es qu il stocke sont accessibles comme les autres ro Ordinateur N Ethernet J P f a EF Imprimante Serveur de stockage NAS Mais alors qu a t il de plus qu un serveur avec de nombreux disques s
172. tous ceux qui m ont r pondu que j accepte la proposition de configuration IP du serveur Dalton Le serveur Dalton accuse r ception par une requ te DHCPACK le client peut main tenant utiliser la configuration IP Sur le serveur Dalton cette configuration dans l tendue est maintenant coch e comme utilis e les ventuels autres serveurs ayant r pondu la demande notent que leur proposition n a pas t retenue et qu ils sont de nouveau libres Bail comme un appartement Quand cette dur e est coul e que se passe t il Par pr caution le locataire le client demande son serveur DHCP de renouveler son bail 50 du temps par une nouvelle requ te DHCPREQUEST e r ponse oui requ te DHCPACK bail renouvel pour la m me dur e e pas de r ponse ou r ponse non DHCPNACK le bail continue eh oui puisqu il n est pas termin pas d expulsion 8 3992 TG PA 00 Approfondissement DHCP WW A Le client locataire anxieux renouvelle cette demande 80 du temps requ te DHCPREQUEST e r ponse oui requ te DHCPACK bail renouvel pour la m me dur e e pas de r ponse ou r ponse non DHCPNACK le bail continue eh oui puisqu il n est pas termin pas d expulsion Oui mais quand le bail est fini Ou que le serveur r pond DHCPNACK Eh bien le client doit cesser d utiliser sa configuration IP et en redemander une autre retour l tape O Routage et DHC
173. ub gt quit Mise en place de quotas Il est bien pratique de pouvoir contr ler l espace qu occupent vos utilisateurs sur votre syst me de fichiers Certains peuvent en abuser surtout depuis l introduction d Internet Heureusement les quotas sont l e D claration d une partition avec quotas http www debnet info procedure linux quotas html Nous allons introduire des quotas sur notre partition RAIDO des comptes utilisateurs afin d viter que ce disque ne sature pas Les utilisateurs qui franchiront une certaine limite seront pr venus et auront un certain d lai pour r gulariser mv2 debian apt get install quota O 5i vous n avez pas pu faire le RAID vous pouvez quand m me faire les quotas en adaptant les exemples 74 8 3992 TG PA 00 Gestion des disques my2 debian3 115 Microsoft Virtual PC 2004 Outil de configuration des paquets WE Souhaitez vous envoyer des rappels La il s agit d un choix li la politique d administration Activez cette option si vous souhaitez que l utilitaire uarnquota soit ee phi pr afin d avertir les utilisateurs qui ont Faut 11 envoyer des rappels quotidiens aux utilisateurs qui d passent leurs quota 7 lt Oui gt Em Dans le fichier etc fstab ajoutez l indication usrquota sur la partition md0 etc fstab static file system information lt file system gt lt mount point gt lt type gt lt options
174. uence apporte quelques compl ments au protocole DHCP _ gt Pr requis Avoir assimil l adressage IP voir cours 3988 gt Contenu 1 Rappels ans 17 2 Comment a Marche 7 24 ut 18 3 Routag et DHOP acceso acapai tiers aan igpiel andesite ise decbataeaites 19 4 DHCP et technologies sans fil 19 gt Capacit s attendues tre capable d expliquer le fonctionnement du service DHCP tre capable de r soudre les probl mes de routage lors de l utilisation du service DHCP Rappel Il est parfois pr f rable d opter pour une configuration IP dynamique plut t que statique e facilit d attribution configuration unique du serveur pas des clients qui peuvent tre nombreux e volution facilit e du plan d adressage seul le serveur est a reconfigurer e facilit de gestion des postes itin rants ordinateurs portables par exemple Pour cela on configure un serveur DHCP DHCP dynamic host configuration protocol est un protocole qui peut fournir une configuration IP compl te un client adresse IP netmask passerelle adresses de serveurs WINS et DNS Cette configuration lui est attribu e sa connexion sur le r seau pour un temps d ter min appel le bail eh oui comme la location d un appartement Mais voyons a d un peu plus pr s 17 8 3992 TG PA 00 S quence 3 as Comment a marche Le client qui se r veille sur le r seau n a pas de configuration
175. uis v rifie sa validit avec le fichier etc passwd Ici Paul HOCHON n existe pas dans etc passwd v rifiez le si vous ne me croyez pas Il a t cr dans l annuaire Il faut donc expliquer aux m canismes de login d aller en premier dans etc passwd et au cas o l utilisateur n y figure pas d aller voir dans l annuaire http wiki debian net LDAPAuthentication PAM Pluggable Authentication Modules permet un mode d authentification modulaire facilement param trable Il existe donc un module PAM pour LDAP soit mv2 debian etc apt get install libpam ldap myv2 deblan3 1r5 Microsoft Virtual PC 2004 EE Renseigner l adresse IP du serveur Te ee LDAP 127 0 0 1 mv2 deblan31r5 Microsoft Virtual PC 2004 Ex Renseigner le dn de la base OO pp pe dc labocned dc fr dc labocned dc fr 49 8 3992 TG PA 00 Atelier 2 my2 debian3 1r5 Microsoft Virtual PC 2004 Outil de configuration des paquets _mv2 debian31r5 Microsoft Virtual PC 2004 Outil de configuration des paquets Ur 2 mv2 debian31r5 Microsoft Virtual PC 2004 Outil de configuration des paquets Nous sommes en LDAPv3 lt Oui gt cr er une base locale lt Oui gt la base LDAP demande une authentification ils ne parlent pas de l administrateur de la base a 8 3992 TG PA 00 Mise en place d un annuaire LDAP mv2 debian31r5 Microsoft Virtual PC 2004 Outil de configuration des cn
176. ump gt lt pass gt proc proc proc defaults 0 0 dev hda1 ext3 defaults errors remount ro 0 1 dev hda2 home ext3 defaults 0 2 Vous constatez que le disque hdb ou mdO0 n est pas mont Nous allons monter les partitions de md0 dans l arborescence et copier le contenu de cha que partition de hda dans la partition correspondante eh oui il faut bien initialiser le mirroring mv2 debian mount dev md0 mnt kjournal starting Commit interval 5 seconds EXT3 FS on md0 internal journal EXT3 fs mounted filesystem with ordered data mode mv2 debian cp dpRx mnt mv2 debian mount dev md1 mnt home mv2 debian cp dpRx home mnt home 73 8 3992 TG PA 00 Atelier 3 e Modification du fichier etc fstab Exercice 12 Il faut associer dans le fichier etc fstab notre syst me RAID avec les r pertoires et home de l arborescence Linux Vous le faites tout seul e Mise en place de grub Vous savez maintenant qu au d marrage il y a le chargeur grub Si le disque hda venait a tomber en panne Pour le moment les donn es ne seraient pas perdues puisqu elles sont mirror es sur le deuxi me disque mais le syst me ne pourrait pas d marrer sur ce disque de sauvegarde II nous faut y copier le chargeur mv2 debian grub install dev hdb mv2 debian grub grub gt device hd0 dev hdb grub gt root hd0 0 grub gt setup hd0 gr
177. ur3 deb Zebra config Dernier point n oubliez pas de configurer la passerelle par d faut sur les stations sans quoi elles ne sauraient pas comment faire sortir leurs paquets de leur r seau local La passerelle par d faut de chaque LAN est le routeur le plus proche Par exemple sur une station du premier r seau local 192 168 1 0 24 la passerelle sera 192 168 1 254 si c est sous Windows En rpg Connexions r seau G n ral Authentication Avance Gene S Se connecter en utilisant Les param tres IP peuvent tre d termin s automatiquement si votre E9 Cate Fast Ethenet PO base de Int r seau le permet Sinon vous devez demander les param tres IP appropri s votre administrateur r seau Cette connexion utilise les l ments suivants at Obtenir une adresse IP automatiquement a Aart pour las s sana Microsc Ulises l adresse IP suivante wi B Patege de fichiers et d imprimantes pour les r f W S Planificateur de paquets QoS Adesse IP 192 168 1 101 EZ Y Protocole Internet TCP IP Masque de cous seau 255 255 255 0 Passerelle par d faut 192 168 1 254 Description Obterir les adre des serveurs ON Protocole TCP IP Transmission Control Protocal nt Protocol Le protocole de r seau tendu par d faut Utiliser l adresse de serveur ONS suivante permet la communication entre diff rents r seaux Serveur DNS pr f r eo 10 246 2 minennmmnnt
178. ure qu il m a gentiment r pondu vous savez quoi son IP et son port d adminis tration et tant qu faire le mot de passe Ah la s curit n est plus ce qu elle tait 8 3992 TG PA 00 Sequence 2 Sur r seau Supernetting Dur e indicative 1 heure Cette s quence explique pourquoi et comment nous pouvons faire du sur r seaux gt Pr requis e L adressage IP voir cours 3988 et en particulier la notion de sous r seaux doit tre imp rativement acquise sous peine de tout m langer gt Contenu 14 Introduction thus 13 2 Comment a marche 7 44 dinnnudien 14 3 Mais alors on dan audio 15 gt Capacit s attendues e Etre capable de calculer des sur r seaux Introduction Le concept de sous r seaux a t con u en 1985 pour optimiser l utilisation de l espace d adressage IP Rappelez vous chaque fois qu une entreprise souhaite s ouvrir sur l Internet elle doit en particulier acqu rir une adresse publique Mais aujourd hui les adresses de classe A et B viennent manquer et le NIC h site donc fortement a en assigner Probl me Que peut on faire Passer IPv6 ou J ai demand une de classe B refus on m a dit une classe C ou rien mais avec une de classe C et un masque de sous r seau classique on ne peut adresser que 254 h tes Le principe de sur r seau sera valable pour toutes les classes mais il est plus particuli re ment destin aux r seaux de classe C il s a
179. uses possibilit s de comparaison existent Voici les principales Op rateur Description Op rateurs sur des fichiers Exemple e filename vrai si filename existe e etc shadow d filename vrai si filename est un r pertoire d tmp trash f filename vrai si filename est un fichier ordinaire f tmp glop L filename vrai si filename est un lien symbolique L home r filename vrai si filename est lisible r r boot vmlinuz w filename vrai si filename est modifiable w w var log x filename vrai si filename est ex cutable x x sbin halt file1 nt file2 vrai si file1 plus r cent que file2 tmp foo nt tmp bar file1 ot file2 vrai si file plus ancien que file2 tmp foo ot tmp bar Op rateurs sur les chaines z chaine vrai si la chaine est vide z VAR n chaine vrai si la chaine est non vide n VAR chainel chaine2 vrai si les deux chaines sont gales VAR totoro chainel chaine2 vrai si les deux cha nes sont diff rentes VAR tonari Op rateurs de comparaison num rique num eq num2 galit nombre eq 27 num ne num2 in galit nombre ne 27 num lt num2 inf rieur lt nombre lt 27 num le num2 inf rieur ou gal lt nombre le 27 num gt num2 sup rieur gt nombre gt 27 num
180. ut 1 faille de s curit en lisant la suite du rapport nous avons le d tail Par exemple la faille de s curit de mon syst me est la possibilit d ex cuter du code par un h te distant avec les privil ges syst me Mais Nessus m indique aussit t une solution un patch s curit Microsoft 177 8 3992 TG PA 00 Atelier 10 Scan de s curit sur le r seau scan du serveur debian EX Tenable Nossus Vulnerability Scanner Scan in progress 0 of 1 host s done L Relancez un scan depuis mv1 xp en indiquant en cible l adresse IP du ser veur debian mv2 192 168 1 102 Most being scanned Progress Open Ports Notes Warnings Holes 192 168 1 102 1 0 0 Interpr tation des r sultats Tenable Nessus Security Report Start Time Mon Aug 06 10 44 31 2007 Finish Time Mon Aug 06 10 50 40 2007 192 168 1 102 g192 168 1 102 8 Open Ports 29 Notes 2 Warnings 0 Holes 8 ports ouverts ce n est pas surprenant depuis le d but des ateliers nous avons install de nombreux services sur cette machine La synth se est e 29 notes dans le rapport ils sont symbolis s par l ic ne f e 2 alertes warnings dont le symbole est y e 0 trous de s curit s holes Je vous laisse interpr ter vos ig Notes je vais commenter ici mes 4 Warnings domain d The remote name server allows DNS zone transfers to be performed 53 tcp A zone transfer will allow the remote
181. ux cas peuvent se pr senter Soit il conna t un routeur par d faut et il lui trans met le paquet soit il le d truit sans en informer l metteur 133 8 3992 TG PA 00 Atelier 8 134 Prenons tout d abord un cas simple Exercice 28 Soit la table de routage suivante R seau LEE ITS Passerelle Interface localhost 255 0 0 0 127 0 0 1 lo 172 16 0 0 255 255 0 0 172 16 0 254 ethO 192 168 0 0 255 255 255 0 192 168 0 254 eth1 192 168 1 0 255 255 255 0 192 168 0 254 eth2 Pour une adresse de destination 192 168 0 35 indiquez et d montrez par le calcul sur quelle interface du routeur le paquet sera transmis Exercice 29 Continuons avec un cas plus d licat Du fait que les masque r seaux n ont pas forc ment une longueur fixe on peut tr s bien avoir une table de routage de ce type R seau Masque Passerelle Interface 11 1 2 0 255 255 255 0 11 1 2 254 eth0 11 1 0 0 255 255 0 0 11 1 0 254 eth1 11 0 0 0 255 0 0 0 11 0 0 254 eth2 192 168 1 0 255 255 255 0 192 168 0 254 eth2 Supposons qu un paquet ait une adresse de destination gale 11 1 2 5 Selon vous sur quelle interface sera t il transmis Puisque vous avez compris la th orie et que vous savez comment fonctionne un routeur passons maintenant aux manipulations 8 3992 TG PA 00 Le routage IP statique Contexte de l atelier e Topologie de travail Dans l id al il faudrait que vous soyez e
182. vantes Un Certificat Serveur contient les informations suivantes e Le nom de domaine du serveur www societe fr e Quelques informations optionnelles nom et adresse physique de la soci t etc e La cl publique du serveur certifier e La date d expiration du certificat e Un num ro de s rie unique e Le nom de l Autorit de Certification qui a d livr le certificat num rique Verisign Trust Network e La signature de l Autorit de Certification qui a d livr le certificat num rique au moyen de la cl secr te de l Autorit de Certification sorte de tampon de validation d un passeport lectronique Figure 7 rubrifiques d un certificat Le telnet chiffr SSH Vous allez maintenant faire la manipulation tout seul ou presque formation debian via ecp Vous connaissez telnet nous l avons utilis maintes reprises Je vous avais d conseill l poque de l utiliser en entreprise car celui ci n est absolument pas s curis Un petit malin sur votre r seau avec un logiciel de capture de trames peut tr s facilement r cup rer les informations que vous tapez en particulier votre mot de passe Le telnet s curis que vous allez mettre en uvre s appelle SSH Avec lui vous n avez rien craindreO Exercice 6 Vous tes dans votre dernier tome de cours vous devez apprendre travailler en auto nomie Je ne vais donc pas vous donner directement les commandes V
183. veur d sir Le serveur retourne la page Le proxy int gre cette page dans son cache Le client re oit la page demand e NO Wf Note tant donn que tout le trafic IP passe par le proxy celui ci collecte des informations sur les utilisateurs ce qui peut poser un probl me de confidentialit Access Control Lists ou Listes de Contr le d Acc s e Consid rations mat rielles Un proxy consomme beaucoup de ressources m moire et CPU II faut donc pr voir une machine puissante dot e d une m moire RAM importante et de gros disques SCSI De plus il ne faut pas oublier qu un proxy de par son r le d interm diaire est un com posant essentiel de la connectivit du r seau local Internet II faut donc consid rer une machine fiable quip e de composants de qualit et redondants RAID en particulier Enfin le proxy peut conserver dans son cache des informations confidentielles Il faut donc que l ordinateur soit s curis 122 8 3992 TG PA 00 Proxy Activation du proxy web Deux crans servent a d finir les param tres g n raux du proxy e Modes de fonctionnement Le proxy peut tre transparent ou manuel Squid est un programme proxy de cache Internet gratuit et tr s rapide Veuillez s lectionner le mode de fonctionnement du proxy FR Squid d sactiver transparent manuel Ae ue x manuel avec authentification L tat du filtrage du contenu Filtre du contenuks Figur
184. x parties sont maintenant identifi es le protocole handshake est termin et les communications s curis es chiffr es avec la cl secr te g n r e peuvent avoir lieu Toutes ces manipulations sont r alis es par le protocole mais il est bon que vous les connaissiez Passons maintenant l administration de notre serveur Web O Un certificat est une carte d identit num rique identifiant une machine Le certificat contient entre autres la cl publique Nous reviendrons sur cette notion un peu plus loin 25 8 3992 TG PA 00 Atelier 1 HTTPS le web chiffr Sur le serveur Le traditionnel lien IWWWw coagul org article php3 id_article 351 Dans cette partie je suppose que votre serveur web est en tat de marche Pour passer au web chiffr il faut adjoindre notre Apache un petit module nomm mod _ ssl module qui fait partie du projet openssl installons le paquet openssl mv2 debian apt get install openssl 0 mis jour 0 nouvellement install s 0 enlever Openssl est donc bien d j install partir de la version 2 le mod_ssl a t int gr Apache donc ce module a t install en m me temps que notre serveur mais n a pas t activ V rifions notre version d Apache c est juste pour s chauffer mv2 debian apache2 v Server version Apache 2 2 3 Server built Mar 27 2007 15 06 55 V rifions mod_ssl av
185. y connected eth0 O gt 21 0 0 0 8 110 40 via 12 0 0 1 eth0 00 11 18 O gt 22 0 0 0 8 110 50 via 12 0 0 1 eth0 00 10 16 O gt 30 0 0 0 8 110 30 via 12 0 0 1 eth0 00 12 13 C gt 127 0 0 0 8 is directly connected lo O gt 172 18 0 0 24 110 60 via 12 0 0 1 eth0 00 08 48 O gt 192 168 3 0 24 110 10 is directly connected eth1 00 14 19 C gt 192 168 3 0 24 is directly connected eth1 Les routes not es O ont t d couvertes par OSPF Entre crochets on observe la distance administrative du protocole 110 par d faut pour OSPF et le co t de la route pour acc der au r seau Dans ma topologie il n y a que des r seaux a 10 Mbits s donc avec un co t par d faut de 10 pour chaque lien 170 8 3992 TG PA 00 OSPF est un protocole de routage dynamique moderne robuste et con u pour les grands r seaux On constate qu il est nettement plus complexe que RIP Pas forc ment dans sa configuration mais dans son fonctionnement interne Un inconv nient de ce protocole est qu il peut tre gourmand en puissance de calcul et en m moire lorsque le r seau comporte beaucoup de routes ou qu il y a de fr quentes modifications de topologie OSPF est un protocole IGP Interior Gateway Protocol c est dire qu il agit au sein d un syst me autonome Un AS Autonomous System est un ensemble de r seaux g r s par un administrateur commun Chaque syst me autonome poss de un num ro identifiant sur 16 bits d livr par l I

Download Pdf Manuals

Related Search

Related Contents

Zeiss Ikon Contina II Instructions for Use  PhoenixSim 1.0 User Manual  Samsung SF-650 用戶手冊  Your PRIMERGY MX130 S1  Adhérents, usagers, bénévoles, quelle signification?  A2597F04_1  Lecon A1-1  

Copyright © All rights reserved. Failed to retrieve file