TP cyber sécurité 2

Exercice 1: Début du routage

En utilisant Packet tracer sous linux, refaites le schéma suivant :

Nous avons 2 réseaux différents. Choisissez un réseau de classe C pour le réseau 1

et un réseau de classe B pour le réseau 2, et mettez les adresses IP sur les Pcs.

Faites un ping entre les différents Pcs (Onglet Desktop, terminal prompt).

Nous avons 2 réseaux distincts, on rajoute un routeur (ex :2911) entre les deux
switches. Un routeur fait automatiquement le lien entre deux réseaux qui lui sont connectés.

Regardez la table de routage.

Ajoutez une passerelle de sortie aux différents PCs (default gateway). Refaites des
pings, et regardez ce que cela donne.

Exercice 2: le ROUTAGE et le NAT

En utilisant Packet tracer sous linux, refaites le schéma suivant :

 Les routeurs sont des routeurs 2911.

1) Combien y-a-t-il de réseaux différents sur ce schéma ?

2) Faites un plan d'adressage IP et utilisez le dans Packet tracer.
3) Une fois que toutes les interfaces ont un point vert (cf. schéma), vérifiez que le PC0
peut pinger le server0, et que le PC2 peut pinger le server1. (Onglet Desktop,
terminal prompt).
4) Mettez vous en mode simulation. En utilisant l'enveloppe à droite (qui correspond au
ping), regardez ce qu'il se passe en faisant un ping entre le PC2 et server1.
5) Maintenant, en mode temps réel, faites un ping entre le PC0 et le PC1. Est-ce que
cela fonctionne ? si oui, tant mieux, si non...
 Utilisez le mode simulation pour situer le problème.
 Identifiez le problème et corrigez-le

6) Une fois que tout fonctionne, repassez en mode simulation. Faites un ping entre le
PC0 et PC1. Dans le "simulation panel", des trames apparaissent. Cliquer sur le carré
de couleur d'une trame pour voir son contenu. Observez les informations de la
couche 2 et de la couche 3 ( @MAC, @IP), c'est à dire faites un tableau qui comporte
pour quelques trames 4 cases : @MAC source, @MAC destination, @IP source,
@IP destination. Que remarquez vous ?

7) Maintenant, on installe du PAT sur le Router 0

 Pour simplifier le TP, télécharger directement le fichier pkt à l'adresse :
https://perso.isima.fr/~palauren/packet/nat.pkt
 Faites la même chose que la question 6.
 Sur le CLI du routeur0, essayer la commande : #show ip nat translation
Qu'observez-vous ?

Exercice 3: routage dynamique

Télécharger directement le fichier pkt à l'adresse :

https://perso.isima.fr/~palauren/packet/rip.pkt

Laissez un peu de temps afin que toutes les liaisons deviennent vertes, et que le réseau se
stabilise (mais c'est invisible)

1) Combien y-a-t-il de réseaux différents sur ce schéma ?

2) Sachant que l'on utilise le protocole RIP. Celui-ci permet d'échanger entre chaque
routeur la connaissance des réseaux qu'il connait. Petit à petit, tout le monde va
savoir qui se trouve dans le réseau. (On verra sa configuration l'année prochaine).
Sachant que RIP utilise l'algorithme de plus court chemin.
Par où passerait un ping entre le PC0 et le PC2 ?

3) En mode simulation, essayer un ping entre le PC0 et le PC2 et vérifier que votre
réponse précédente était juste.?

4) Sauvegarder la configuration du routeur 5 en appuyant sur le bouton Save dans le

menu Config. RIP est aussi dynamique, s'il y a un problème dans le réseau, RIP
recalcule les itinéraires. Eteignez le routeur 5, que se passe-t-il ? Et si vous le
rallumez ?
Exercice 4: Visualisation des ports réseaux

1) Pour connaître les ports ouverts d'une machine à partir d'elle même
- utilisation de la commande : netstat ou ss (sous linux)
- quelles options utilisées ? (cf man ou help)

2) Connaître les ports ouverts d'une machine à partir d'une autre machine
- commande nmap -sS ou -sU ou -A @IP

3) Sur un PC, lancez le serveur http : sudo apachectl start

a. Vérifiez avec nmap et netstat que le serveur http tourne
b. Arrêter apache : apachectl stop

Exercice 5: Pare-feu sous linux

Sous linux, il existe un utilitaire qui sert de pare-feu : iptables. Ce programme sert à
manipuler les règles de filtrage de paquets au niveau du noyau Linux. Le noyau dispose de
listes de règles appelées chaînes. Les règles sont analysées les unes à la suite des autres
dans l'ordre de leur écriture. Les chaînes sont regroupées dans plusieurs tables dont :
- la table NAT (permet de faire du NAT/PAT), avec les chaînes suivantes :
 PREROUTING
 POSTROUTING
- la table FILTER, avec les chaînes suivantes :
 INPUT
 OUTPUT
 FORWARD

Un paquet rentrera toujours dans la machine via la chaîne PREROUTING et sortira toujours
de la machine via la chaîne POSTROUTING. Si le paquet doit être routé, il passera dans la
chaîne FORWARD. Les chaînes INPUT et OUTPUT quant à elles serviront respectivement à
placer des règles pour les paquets destinés au et émis par le pare-feu lui-même.
Chaque chaîne peut fonctionner selon trois politiques différentes :
ACCEPT: tous les paquets sont acceptés.
DROP: les paquets sont refusés sans notification à l'émetteur des paquets.
REJECT: les paquets sont refusés mais avec notification à l'émetteur des paquets.
A l'aide des règles affectables à chaque chaîne, il est possible d'autoriser, de restreindre ou
d'interdire l'accès à différents services réseaux, et ainsi modifier la politique de filtrage des
paquets de chaque chaîne.
Les commandes :
-A --append : Ajoute la règle à la fin de la chaîne spécifiée
Exemple :# iptables -A INPUT ...
-D --delete : Permet de supprimer une chaîne. On peut l'utiliser de 2 manières, soit en
spécifiant le numéro de la chaîne a supprimer, soit en spécifiant la règle à retirer.
# iptables -D INPUT --dport 80 -j DROP
# iptables -D INPUT 1
-R --replace : Permet de remplacer la chaîne spécifiée.
Exemple :# iptables -R INPUT 1 -s 192.168.0.1 -j DROP
-L --list : Permet d'afficher les règles.
# iptables -L # Affiche toutes les règles des chaînes de FILTER
# iptables -L INPUT # Affiche toutes les règles de INPUT (FILTER)
-F --flush : Permet de vider toutes les règles d'une chaîne.
Exemple :# iptables -F INPUT
-N --new-chain : Permet de créer une nouvelle chaîne.
Exemple :# iptables -N LOG_DROP
-X --delete-chain : Permet d'effacer une chaîne.
Exemple :# iptables -X LOG_DROP

Les options :
-j (jump) : Défini l'action à prendre si un paquet répond aux critères de cette règle: ACCEPT,
LOG, DROP...
Exemple :# iptables -A INPUT -p icmp -j DROP
-p --protocol : Spécifier un protocole : tcp, udp, icmp, all (tous)
Exemple :# iptables -A INPUT -p icmp -j DROP
-s --source : Spécifier une adresse source à matcher
Exemple :# iptables -A INPUT -p tcp -s 192.168.42.42 -j ACCEPT
-d --destination : Spécifier une adresse destination
Exemple :# iptables -A FORWARD -p tcp -d 10.1.0.1 -j ACCEPT
-i --in-interface : Spécifier une interface d'entrée
Exemple :# iptables -A INPUT -p icmp -i eth0 -j DROP
etc... voir man iptables

Cet exercice se fait avec un binôme pour la question 2

1) Mettre en place une règle de filtrage pour interdire le ping

2) Utilisez des règles de filtrage pour que seul votre binôme puisse accéder en ping à votre
ordinateur, mais personne d'autres.