Université de CAEN U.F.R. de Sciences Licence d’informatique Semestre 5 - Réseau Séquence 2 - Bases des réseaux [email protected] (d’après [email protected]) 1 Avertissement Pour des raisons de sécurité, certains protocoles sont filtrés à certains niveaux. c’est pourquoi il est parfois demandé, ci-dessous, d’exécuter certaines commandes à partir de la machine "mike", qui a plus de droits que les autres. Dans ce cas, vous devez au préalable vous connecter sur mike à partir de votre poste de travail en tapant : ssh mike.info.unicaen.fr 2 Accès aux machines distantes La commande ping permet d’envoyer des paquets à une machine et de recevoir une réponse — Essayer avec la machine voisine, avec mike, www, ... — Essayer avec des machines distantes, d’abord depuis votre machine, puis depuis mike La commande traceroute (/usr/sbin/traceroute <nom-de-machine>) visualise les passerelles traversées : — Essayez à partir de mike, pour des machines extérieures (exemples www.microsoft.com, www.renater.fr, www.kame.net, ...) — Dans les cas où ça semble possible, essayer de trouver la localisation géographique des machines listées (regardez les noms des passerelles, les domaines dns). 3 Interrogation du DNS (correspondance noms-adresses) Essayez la commande host ou dig avec divers paramètres sur : — des machines du domaine info.unicaen.fr (on peut obtenir la liste des machines par host -l info.unicaen.fr) — des machines extérieures (par exemple domaine unicaen.fr, ismra.fr, ...ou plus loin) en essayant des noms génériques de machines tels que www, smtp, mail, ftp, ... Pensez à demander pas seulement des enregistrements "A" mais aussi MX, NS, SOA, TXT,... (utilisez l’option -t <type>) Essayez de répondre aux questions suivantes (ceci pour un certain nb de machines, internes ou extérieures) : — adresse(s) IP correspondant au nom — autres noms de la machine — Remarquez à quelle classe (A, B ou C) appartiennent les adresses trouvées, et si elles sont privées ou publiques (recherchez sur le web la liste des adresses privées). — Les machines ont-elles des adresses ipv6 ? 1 4 Utilisation d’une application : ftp Ssh permet de lancer des commandes sur une machine distante, mais il faut rester connecté pendant toute la durée d’utilisation (édition de fichiers notamment). Ftp permet de copier des fichiers préalablement édités en local, dans un sens ou dans l’autre, entre votre machine locale (à votre domicile par exemple) et votre compte, ou bien entre une serveur public offrant différents fichiers et votre machine locale. 4.1 Accès à un serveur anonyme. Il en existe de nombreux sur Internet, mais le fait d’être en réseau privé interdit cet accès direct, sauf à partir de mike, cf. ci-dessous. — Connectez-vous à mike par ssh ou ssh -X — utilisez le ftp commande ligne de mike pour vous connecter à un serveur ftp extérieur, par exemple ftp.crihan.fr — tapez alors "anonymous" comme login, et votre adresse électronique comme mot de passe. — Regardez les répertoires, fichiers disponibles (commandes ls, cd) — copiez des fichiers disponibles dans votre compte (commande get) Recommencez les mêmes commandes au moyen du client ftp graphique gftp (précisez port 21). 4.2 Accès authentifié. Pour des raisons de sécurité, nous n’avons plus de serveur ftp avec accès contrôlé par mot de passe. Il faut utiliser sftp ou scp, versions sécurisées de ftp et de la copie, basées sur ssh. Utilisez le client graphique gftp pour vous connecter à sully en sftp (port 22). Afin d’avoir accès à autre chose que vos fichiers (que vous avez en direct), demandez à votre binôme de taper ses login et mot de passe. Vous obtenez l’accès à ses fichiers, avec ses droits (ne les effacez pas, merci pour lui ou elle !). Vous pouvez aussi, et c’est sans doute plus utile, le faire depuis chez vous avec votre système et client sftp favori, il en existe des gratuits pour Windows ou MacOSX. Votre fournisseur d’accès et hébergeur de pages personnelles propose le plus souvent un système de gestion de contenu pour ceux qui ne savent pas créer de pages html, mais maintient l’alimentation par ftp en mode “expert”. Les mots de passe voyagent alors en clair sur le réseau. 5 Voir les couches de protocole dans un échange via le réseau Le but de cette section est de voir un (ou plusieurs) échange(s) en analysant les différents niveaux de protocole. Pour ceci, vous pouvez utiliserez “netdump”pour capturer les trames et l’analyseur wireshark pour les visualiser. Dans un premier temps, lancez un client mail (Thunderbird par exemple et configurez votre accès par pop ou imap) Vérifiez que vous avez le droit d’utiliser la commande “netdump-tp” à l’aide de la commande “sudo -l”. Lancez le client mail, lancez la capture avec la commande “sudo netdump-tp” puis (rapidement) lancez la récupération de votre courrier. Ensuite regardez ce qui a été capturé grâce à l’utilitaire wireshark. Remarquez en particulier l’échange de mot de passe en clair. Observez la succession des événements, puis analysez de façon plus fine les échanges en regardant les détails de chaque couche de protocole (Ethernet, IP, TCP, application concernée). Vous pouvez recommencer l’expérience avec un autre échange (par exemple en http, ou/et en ssh, dans ce dernier cas observez ... que vous ne pouvez pas voir grand-chose au niveau application). Observez également un échange utilisant UDP et pas TCP, par exemple une requête DNS (filtrez par port 53). Si vous ne filtrez pas, vous obtenez beaucoup de “bruit”, notamment tout ce qui est diffusé dans le réseau (trames à destination de toutes les machines). 2