TP Administration réseau sous Linux

(configuration des interfaces réseau ; serveur X sous Windows, commandes et applications

réseau ; protocoles ARP, ICMP et DNS ; VLAN ; VoIP)

(version du 13.12.2008)

1. Prise en main de l'environnement

Votre mission sera – si vous l'acceptez – la mise en place d'un serveur Linux sur lequel vous allez
configurer les différentes applications réseau : un serveur DNS, un serveur HTTP et un serveur de
téléphonie (VoIP, Voice over IP). Attention : ce document ne s'autodétruira pas dans 5 secondes!
Le système Linux sur lequel vous allez travailler - avec les pleins pouvoirs de l'utilisateur root - est un
environnement Linux openSUSE 11.0. La machine sur laquelle ce système d'exploitation est installé,
n'est pas accessible physiquement. Il s'agit en fait d'une machine virtuelle sur un serveur "XEN". Ce
dernier (appelé la machine hôte, host system) exécute plusieurs machines virtuelles (appelées invités,
guests systems) en parallèle. Pour le TP, un système Linux openSUSE est préinstallé. La virtualisation
rend possible le travail en parallèle sur une douzaine de systèmes qui sont hébergés physiquement sur une
seule machine serveur (cf. annexes TP réseaux).

1.A. Organisation du TP

L'environnement du TP est conçu pour un travail en binôme. Les groupes sont numérotés de 1 à 7.
Chaque groupe travaille sur sa propre machine virtuelle nommée "groupXX", où XX correspond au
numéro de votre groupe. Chaque groupe dispose également d'un compte utilisateur "groupXX" sur le
serveur XEN (la machine hôte). Le serveur XEN ne sera pas accessible physiquement et il faudra s'y
connecter à distance, a priori en utilisant SSH.
Cet accès à distance vous permettra dans un premier temps de démarrer votre machine virtuelle (celle
correspondant à votre groupe) puis de commencer sa configuration réseau. Ensuite, pour plus de confort,
il sera possible d'afficher le bureau à distance avec Xming. Le schéma suivant montre l'architecture de cet
environnement.
Serveur XEN
(hébergant les machines virtuelles)

Internet

139.124.21.95

139.124.21.250

passerelle
Internet ESIL

ordinateurs salle TP

Figure 1 : schéma réseau simplifié de l'environnement de travail

ESIL 2008/2009 TP Réseaux A.Meyer, C.Pain-Barre, N.Baudru

 TP 3 – Administration Réseau sous Linux
Page 2/11

Chaque binôme utilisera – si possible - deux postes de travail sous Windows. Le deuxième poste (celui
sur votre droite) est exclusivement réservé à l'affichage des fenêtres de votre système Linux distant (soit
des fenêtres X11 individuelles soit le bureau X-Windows Xfce).
La première étape consiste à démarrer votre machine virtuelle (MV) et à configurer les interfaces réseau
de votre station/serveur Linux. Votre machine virtuelle ne possède pas encore d'adresse IP publique en
139.124.21.0/24. Elle est toutefois accessible indirectement par l'adresse locale 192.168.1.xx à partir du
serveur XEN.
Serveur XEN
(hébergant les machines virtuelles)

Internet
serveur "XEN"
= système hôte (dom0)
adresse IP publique adresse IP locale
139.124.21.95 192.168.1.10
eth0 eth1
commutateur
salle TP pontage virtuel
139.124.21.0/24 LAN virtual 192.168.1.0/24
xenbr0 pontage virtuel
139.124.21.250
xenbr1

passerelle
Internet ESIL

139.124.21.96 192.168.1.7
eth0 192.168.1.1
eth1 139.124.21.242 eth1
ordinateurs salle TP 139.124.21.96 192.168.1.2 eth0
avec serveur X Xming eth0 eth1
.. .. .. ..
group01 group07
group02
machines virtuelles avec Linux openSUSE 11.0

Figure 2 : schéma réseau détaillé de l'environnement de travail

1.B. Prise en mains de la machine virtuelle

Exercice 1 : Accès à distance au serveur XEN et démarrage de la machine

virtuelle

a) Utiliser Putty pour ouvrir une session SSH sur le serveur XEN. Utilisez votre nom de groupe
"groupXX" pour le login avec le mot de passe qui vous a été communiqué. Enregistrez votre
connexion Putty sous le nom "serveur XEN" pour une réutilisation ultérieure.

b) Activez votre machine virtuelle (MV) avec la commande:

groupXX@server:~> sudo ./start

c) Affichez le contenu du répertoire actuel (= votre répertoire personnel sur le serveur XEN).
En plus du script start, vous trouverez les scripts reboot, shutdown et destroy. La
commande suivante permet de rebooter votre serveur Linux (redémarrage contrôlé):

groupXX@server:~> sudo ./reboot

ESIL 2008/2009 TP Réseaux A.Meyer, C.Pain-Barre, N.Baudru

 TP 3 – Administration Réseau sous Linux
Page 3/11

Le script shutdown permet d'arrêter la MV (signal TERM):

groupXX@server:~> sudo ./shutdown

Et, pour finir, le script destroy force l'arrêt la MV (signal KILL). Cette commande sera à
utiliser en cas d'urgence, i.e. si la MV ne réagit plus à la commande shutdown (i.e. lorsque la
MV s'est "plantée").

groupXX@server:~> sudo ./destroy

Figure 3 : session SSH sur le serveur XEN

Exercice 2 : Configuration des interfaces réseau (ifconfig, ifup, ifdown)

De manière générale, pour intégrer un système (routeur, ordinateur, serveur, etc.) dans un réseau TCP/IP,
il suffit de configurer l'adresse IP de son interface réseau. Dans notre cas c'est l'interface eth0 de la
machine virtuelle raccordée "virtuellement" sur notre LAN. Cet interface est alors appelé interface
public et son adresse IP adresse IP publique. Plus précisément, cette interface est reliée à un switch
virtuel sur le serveur XEN, qui lui-même est relié à l'interface réseau physiquement installée dans le
serveur XEN (cf. Figure 2).

a) A partir de votre session actuelle sur le serveur XEN, ouvrir une deuxième session SSH en tant
que root sur votre machine virtuelle (adresse 192.168.1.xx) en utilisant le mot de passe "secret" :

groupXX@server:~> ssh root@192.168.1.XX

Password:
Last login: Fri Apr 25 10:14:04 2008 from localhost
Have a lot of fun...
linuxXX:~ #

b) Si tout se passe bien, l'invite linuxXX~# de votre MV se présente et vous êtes désormais root
sur votre machine virtuelle.

ESIL 2008/2009 TP Réseaux A.Meyer, C.Pain-Barre, N.Baudru

 TP 3 – Administration Réseau sous Linux
Page 4/11

c) Changer le mot de passe avec la commande passwd et mettre celui qui vous a été communiqué
pour votre groupe (passwd râle à cause de la qualité du mot de passe mais ce n'est pas grave).

d) Afficher les interfaces réseau sur votre système avec ifconfig. Quelles sont les trois interfaces
présentes sur votre système ? Quel est celui ayant déjà une adresse IP associée (obtenue par
DHCP) ? Quelle est leur adresse MAC et leur MTU ?

e) Configurer votre adresse IP publique sur l'interface eth0 à l'aide de la commande ifconfig :

linux00:~ # ifconfig eth0 <adresse-IP> netmask <masque> up

où <adresse-IP> correspond à votre adresse IP publique qui vous a été communiquée et

<masque> au masque de sous-réseau utilisé dans notre LAN . Quelle est l'adresse de diffusion
(broadcast) ?

ATTENTION !
Configurez l'interface public (eth0) de votre système Linux avec une extrême prudence.
Si, en effet, vous configurez une adresse IP déjà utilisée dans le LAN, nous obtenons une
collision entre les adresses IP de deux interfaces du LAN et l'administrateur de l'ESIL se
pointera aussitôt chez nous. Si vous configurez par erreur l'adresse IP du serveur XEN sur
votre interface eth0, le serveur XEN ne sera plus accessible !

f) Puis, vérifier la configuration avec ifconfig. Le paramètre -a permet notamment d'afficher les
informations sur les interfaces non actives (down). Sans l'option -a on n'obtient que les interfaces
actives (up) :

linux00:~ # ifconfig -a

g) Vérifier le bon fonctionnement de l'interface réseau avec un ping à partir de l'invite de

commandes MS-DOS de votre poste de travail.

h) Quels paramètres réseau sont indispensables pour permettre une communication TCP/IP à
l'intérieur d'un réseau IP: adresse IP (IP address), passerelle par défaut (default gateway), serveur
DNS (name server), nom d'hôte (host name), nom de domaine (domain name) ?
Astuce: utilisez la commande ping pour repérer les réseaux IP accessibles. Vous pouvez par
exemple envoyer un ping au routeur de votre LAN (passerelle), à votre poste de travail Windows
ou à l'adresse 87.248.113.16 (www.yahoo.com).

i) Quelle est la ligne de commande permettant d'utiliser comme adresse physique (MAC) de
l'interface eth1 l'adresse 00:0F:1B:13:34:9A qui est différente de celle "fondue" dans la carte (si !
Si ! C'est possible si le pilote le permet) ?

j) Pour l'instant, la configuration réseau est éphémère. Pour la conserver il faut modifier les
paramètres suivants dans le fichier /etc/sysconfig/network/ifcfg-eth0:

ESIL 2008/2009 TP Réseaux A.Meyer, C.Pain-Barre, N.Baudru

 TP 3 – Administration Réseau sous Linux
Page 5/11

BOOTPROTO='static'
IPADDR='<votre adresse-IP publique>/<votre masque>'
MTU='1500'
NAME='Carte réseau virtuelle sur interface public eth0'
STARTMODE='auto'
USERCONTROL='no'

k) Activer l'interface eth0 avec la commande ifup (la commande ifdown permet de désactiver
un interface)

linux01:~ # ifup eth0

l) Redémarrer votre serveur Linux avec la commande shutdown -r now

linux01:~ # shutdown -r now

et attendre environ 15 secondes, le temps que votre système Linux redémarre.

Exercice 3 : Afficher le bureau Xfce à distance (Xming, XLaunch)

Votre système Linux possède maintenant une adresse IP publique, accessible via notre LAN. Ceci est
suffisant pour communiquer avec votre station/serveur (cf. exercice 2.h), par exemple pour obtenir le
bureau Xfce à distance en utilisant le serveur X Xming sous Windows. Une fois le bureau affiché, nous
pouvons poursuivre la configuration réseau.

a) Fermer toute instance de Xming (icône dans la barre des tâches). Utiliser XLaunch (un assistant
pour Xming) pour afficher le bureau de Xfce de votre serveur Linux (cf. annexes). Utilisez les
paramètres suivantes:
- One Window , Display number 0
- Open session via XDMCP
- Connect to host : <adresse IP publique de votre serveur>
- Additional parameters for Xming : -screen 0 1024 768 -scrollbars
- Enregistrer un raccourci sur votre bureau Windows avec Save configuration

b) Lancer l'application Firefox à partir d'une fenêtre terminal et essayez de consulter la page
http://www.yahoo.com. Pourquoi cela ne fonctionne-t-il pas ? Quels sont les paramètres à
configurer (théoriquement) pour pouvoir "surfer" sur Internet ?

linux01:~ # firefox &

c) Fermer toute instance de Xming. Redémarrer Xming directement via son raccourci. Le serveur X
est maintenant en écoute sur le Display :0 (icône dans la barre des tâches). Utiliser Putty pour
créer un tunnel X11 vers votre serveur (cf. annexes). Démarrer Wireshark à partir de la fenêtre de
SSH (donc sur votre serveur) :

linux01:~ # wireshark &

ESIL 2008/2009 TP Réseaux A.Meyer, C.Pain-Barre, N.Baudru

 TP 3 – Administration Réseau sous Linux
Page 6/11

Exercice 4 : Configuration de la table de routage (route)

La configuration de la table de routage se fait au moyen de la commande route sur Unix et Windows.
Cette commande permet entre autre d’ajouter ou de supprimer des routeurs vers des réseaux ou des
stations. Les informations importantes à spécifier lorsqu’on rajoute une route sont : le type de destination
(réseau ou hôte), son adresse IP, le masque de cette adresse (hôte ou réseau), le routeur associé
(passerelle) et éventuellement l’interface permettant de contacter le routeur (lo, eth0, ...). Sous Linux, il
est également possible d'interdire une destination en utilisant l'option reject. Consulter le manuel en ligne
de route en tapant man route.

a) Quelles sont les routes connues sur votre station/serveur Linux ? Affichez la table de routage de
votre station/serveur et expliquez leur rôle. Vous remarquez que ces routes ont été crées
automatiquement par le système !! Quelle est la commande pour afficher les valeurs numériques
à la places des noms ?

b) Quelle est la commande permettant d’ajouter le routeur 139.124.21.250 pour l’adresse

87.248.113.16 (www.yahoo.com), qui est accessible par l’interface eth0 ? Ajoutez ce routeur dans
la table de routage et envoyez un ping à 87.248.113.16.

c) Quelle est la commande pour supprimer cette entrée de la table de routage ?

d) Ajoutez une passerelle par défaut en utilisant les options suivantes. Vérifiez en envoyant un
ping à la station 87.248.113.16.

linux01:~ # route add default gw <adresse IP passerelle>

Dans certaines implémentations, la table de routage peut contenir les adresses de la station elle-
même. La colonne Indic (ou flags, selon l’installation) contient une combinaison d’indicateurs
donnant quelques renseignements sur la route. Parmi les indicateurs possibles, il y a U, H, G, D, M
et ! :
• U : la route est en service (activée) (up).
• H : la destination est un ordinateur (host). Sans cet indicateur, la destination est un réseau.
• G : la route n’est pas directe et la passerelle est un routeur (gateway). Sans cet indicateur, la
destination est directement accessible.
• D : la route a été créée par une redirection (message ICMP).
• M : la route a été modifiée par une redirection (message ICMP).
• ! : la route est rejetée (option reject).
Pour indiquer qu'un réseau est directement accessible par un interface présent dans la station (il y a
donc remise directe pour le réseau adjacent), Linux affiche la passerelle "0.0.0.0" ou "*" dans la
colonne passerelle (gateway). Sous Windows, c'est l'adresse IP de l'interface (par lequel le réseau
est directement joignable) qui est affichée. Suivant l'implémentation et le fabricant, une métrique
(priorité) peu être associé à chaque route. La colonne Iface (Linux) indique le nom de l'interface à
utiliser. Sous Windows c'est l'adresse IP de l'interface ou un numéro d'interface qui est affiché dans
la colonne Interface Address.
Indépendamment de tous ces paramètres spécifiques à certaines systèmes ou fabricants, les trois
paramètre destination, masque et passerelle forment la table de routage dans sa forme minimale.

ESIL 2008/2009 TP Réseaux A.Meyer, C.Pain-Barre, N.Baudru

 TP 3 – Administration Réseau sous Linux
Page 7/11

2. Sécuriser votre serveur Linux

2.A. Applications et services réseau et leur sécurité

Les applications ou processus ouvrant un port TCP ou UDP sur un système, constituent le premier point
d'attaque accessible via un réseau TCP/IP (LAN et WAN). Le plus souvent ce sont des erreurs de
configuration qui sont à l'origine des failles de sécurité dans un réseau. Il est également courant que
l'administrateur a tout simplement oublié de désactiver un service réseau "sensible", comme par exemple
le serveur TELNET installé par défaut par certaines distributions Linux (maintenant obsolètes) ou un
serveur HTTP destiné à une utilisation exclusive en Intranet – mais par erreur accessible via une adresse
IP publique (i.e. à partir d'Internet).
Et bien sûr, la plupart des virus (vers et chevaux de Troie) communiquent via Internet avec d'autres
serveurs SMTP, HTTP ou FTP pour pouvoir se propager, pour télécharger des modules supplémentaires
ou tout simplement pour déposer les informations qu'ils ont pu extraire du système "infecté" sur un
serveur distant (listes d'adresses e-mail, codes d'accès, numéro de cartes bancaires, etc.).

2.B. Déterminer les services réseau actifs (netstat)

Les processus utilisant le réseau peuvent être "débusqués" par l'administrateur réseau en utilisant la
commande netstat. Utilisez man netstat ou netstat –help pour obtenir plus d'informations.
En fait, netstat permet de trouver les processus qui écoutent sur un port et/ou une adresse IP
particulière, mais permet également d'afficher des informations sur les interfaces réseau et la table de
routage. La combinaison adresse/protocole/port forme un "socket Internet", c'est-à-dire une adresse
unique sur une station. C'est sur ce "socket Internet" qu'un processus attend la réception de datagrammes
UDP ou de segments TCP. Par convention, cette combinaison adresse/protocole/port est notée de la façon
suivante :
adresse:port/protocole

Comme pour les tables de routage, l'adresse IP 0.0.0.0 veut dire any et indique l'intégralité des adresses IP
possibles. Un processus utilisant un socket lié à cette adresse acceptera les messages (UDP, TCP ou
d'autres) destinés à n'importe quelle adresse IP que possède la machine.

Exemple:
L'existence du socket 0.0.0.0:80/tcp sur votre machine indique la présence d'un serveur HTTP. Ce
processus est en attente de connexions TCP sur le port 80 et accepte des connexions sur toutes les
adresses IP présentes dans votre système. Or, si vous ne souhaitez pas que ce serveur puisse être
public, c'est-à-dire joignable depuis Internet, une solution consiste à fermer le port 80 sur votre
pare-feu pour empêcher l'accès au serveur HTTP.
Si vous souhaitez mettre en place un serveur HTTP public, informez-vous sur les paramétrages et
mises à jour nécessaires pour le sécuriser au maximum.
Pour mettre en place un serveur Intranet, il faut ajouter un deuxième (sous-)réseau local,
inaccessible pour votre passerelle Internet, et configurer sur votre serveur une deuxième adresse
IP appartenant à ce LAN. Il suffit ensuite de configurer le serveur HTTP pour être lié (lier se dit
en anglais to bind) uniquement à cette adresse et non pas à l'adresse any (0.0.0.0). Ainsi, le
serveur HTTP devient inaccessible à partir de votre passerelle Internet et par conséquence
inaccessible de l'extérieur.

ESIL 2008/2009 TP Réseaux A.Meyer, C.Pain-Barre, N.Baudru

 TP 3 – Administration Réseau sous Linux
Page 8/11

Après avoir identifié un processus (et son PID) en écoute sur un port TCP à l'aide de netstat, il
est alors possible d'obtenir plus d'informations sur le processus en question en utilisant la
commande ps :
linux01:~ # ps -fp PID

La commande lsof (pour list open files) utilisée avec le paramètre -i permet, tout comme netstat,
d'afficher les sockets Internet ouverts sur un système. Comme d'habitude, utiliser man lsof ou lsof
–help pour obtenir plus d'informations sur lsof.

Exemple
linuxXX:~ # lsof -i | egrep 'LISTEN|UDP'

Exercice 5 : Utilisation de la commande netstat

a) Afficher la table de routage du système d'exploitation de votre machine virtuelle et des

informations sur les interfaces réseau.

b) Afficher sous forme numérique (i.e. les adresses IP sont affichées sous forme décimale pointée)
les sockets ouverts sur votre machine virtuelle pour le protocole UDP uniquement !

c) Afficher maintenant uniquement les sockets ouverts pour le protocole TCP, en faisant apparaître
les PID des processus qui les utilisent ainsi que le nom de la commande que ces processus
exécutent.

d) Afficher uniquement les processus en écoute (état LISTEN) sur un port TCP (indice : l'utilisation
d'un pipe – grep est nécessaire). Le résultat correspond à la liste des serveurs utilisant TCP.

e) Existe-t-il un risque de sécurité engendré par ces processus ? Pour répondre à cette question,
essayez d'identifier des services réseaux réputés non sûrs, en particulier s'ils sont liés à l'adresse
any (0.0.0.0) ou s'ils sont associés à des noms de programmes étranges.
Indice : consultez le fichier /etc/services. Les services utilisant les ports suivants sont
considérés comme état "sûr" dans notre cas (bien qu'en vérité, cela dépend ....):
111 : RPC (utilisé par exemple par NFS)
631 : cups (serveur d'impression)
177 : xdm (gestionnaire de fenêtre X-Windows)

f) Il y en a peut être un qui vous a particulièrement interpellés (non ?), bien qu'il ne soit pas le seul
inutile/dangereux... Utiliser telnet pour "discuter" avec. (Voir le man de telnet pour son
utilisation).

g) Quel est le nom du programme du serveur sshd ? Quel est son PID ?

h) Dans quel répertoire se trouve le programme identifié précédemment ?

ESIL 2008/2009 TP Réseaux A.Meyer, C.Pain-Barre, N.Baudru

 TP 3 – Administration Réseau sous Linux
Page 9/11

3. Gestion des services réseaux (xinetd, services standalone)

Pour un service réseau qui doit être activé dès le démarrage du système, il y a deux manières de le
configurer :
● en mode standalone, le service est exécuté au démarrage et le processus correspondant est en
écoute sur le socket internet qu'il aura choisi. Ce mode est généralement choisi pour un service
couramment utilisé (serveur DNS, Web, FTP, SMTP, etc.). Le service est démarré par une entrée
dans l'un des répertoires /etc/rc.d/rcx.d, où x est un chiffre de 1 à 6 et correspond à un
niveau de démarrage (runlevel). Le rôle des niveaux dépend de la distribution. Souvent, les
services réseaux démarrent dans les niveaux 3 et 5.
Dans le(s) répertoire(s) /etc/rc.d/rcx.d correspondant, un fichier (pratiquement toujours un
alias) commençant par S suivi d'un numéro et du nom du script du service dans /etc/init.d
est le fichier de démarrage du service, alors qu'un fichier commençant par K est son fichier
d'arrêt. Les numéros qui suivent S et K précisent l'ordre de démarrage/arrêt des services. Les
services standalone peuvent être configurés (activation, arrêt, démarrage) en utilisant l'interface
graphique de yast2, rubrique System --> System Services (Runlevel). Choisir le mode expert pour
voir dans quel(s) niveau(x) ils démarrent ; consultez /etc/init.d/README pour plus
d'informations.
Sur les distributions Linux, les services réseaux (et d'autres services) sont généralement gérables
par un script situé dans le répertoire /etc/init.d. Par exemple, l'exécutable
/etc/init.d/dhcpd est un script permettant de démarrer/arrêter le serveur DHCP. Ces scripts
prennent en argument l'action souhaitée. En général, les actions suivantes sont disponibles :
• start pour démarrer le service
• stop pour l'arrêter
• status pour demander une information sur le service (est-il actif ou non)
• reload pour demander au service de prendre en compte des modifications de sa
configuration
• restart pour redémarrer le service

Utilisez la commande service pour lancer ou arrêter un service standalone sous Linux
openSUSE. Par exemple, la commande suivante redémarre le serveur DHCP :

linux01:~ # service dhcpd restart

● en utilisant le super-serveur (x)inetd (où xinetd remplace progressivement inetd dans toutes les
distributions). Dans ce cas, le processus du service n'est démarré que lorsque sa socket internet
est effectivement sollicitée (demande de connexion TCP, ou réception d'un datagramme UDP).
Ce mode est généralement choisi pour des services rarement utilisés, afin d'éviter que le
processus correspondant ne soit inutilement exécuté, alors qu'il y a peu de chances qu'il soit
sollicité. Pour cela, seul (x)inetd est démarré et placé en écoute sur les différents sockets qu'on lui
a demandé de gérer. Lorsque ce socket est sollicité, (x)inetd lance le service (processus)
correspondant pour qu'il s'en occupe. À noter que certains services (comme echo, daytime)
peuvent être rendus par (x)inetd lui-même. Dans ce cas, ce sont des services internes de (x)inetd.
xinetd (et les services qui en dépendent) sur l'openSUSE est configurable en utilisant l'interface
graphique de yast2, rubrique Network Services --> Network Services (xinetd).

ESIL 2008/2009 TP Réseaux A.Meyer, C.Pain-Barre, N.Baudru

 TP 3 – Administration Réseau sous Linux
Page 10/11

Exercice 6 : Activer/désactiver des services réseau

a) Ouvrir la page « http://localhost » et « http://<adresse IP publique » à partir d'un navigateur web.

Que se passe-t-il ?

b) A partir du terminal, démarrez le serveur apache (le service nommé apache2). Essayez d'afficher
de nouveau les pages web ci-dessus.

c) Vérifier à l'aide de netstat qu'apache fonctionne puis déterminer le nom du programme

associé. Sur quel socket est-il lié ?

d) Considérez-vous ce service comme étant sûr ? Justifiez votre réponse.

e) Pour résoudre le problème, les connections au serveur apache doivent être limitées à celle
appartenant au réseau local privé. Cela peut être fait en modifiant le fichier
/etc/apache2/listen.conf. Effectuer les modifications nécessaires dans ce fichier puis
redémarrez le service apache2.

f) Vérifier qu'il n'est plus possible d'accéder à ce service depuis votre poste Windows.

g) Exécuter yast2& et désactiver le ou les service(s) que vous avez jugé(s) dangereux
précédemment. Attention : surtout ne pas désactiver le service "sshd" ! Vérifiez avec
netstat.

Exercice 7 : Services réseau inutiles ou pernicieuses (xinetd)

Certains services xinetd (comme tftp, ftp, telnet, vnc, etc..) actifs sur un serveur et en apparence
inoffensifs peuvent facilement être utilisés de manière pernicieuse. Par exemple, il est possible d'exploiter
la faiblesse du protocole telnet afin de récupérer des mots de passe. Le travail de l'administrateur réseau
consiste à s'assurer que seulement les services réseaux strictement nécessaires sont activés et que ces
services peuvent être considérés comme "sûr" au sein de l'environnement réseau en question .....

a) A partir de l'invite de commande de Windows, ouvrir une session Telnet sur le serveur telnet de
votre machine virtuelle en utilisant le compte root.

b) Refaire a) et réaliser une capture des datagrammes IP de la communication Telnet avec l'Ethenet-
sniffer Wireshark. Mettre en évidence le fait que le mot de passe circule en clair sur le réseau .

c) Sécuriser votre serveur en désactivant le serveur telnet (service xinetd). Pour cela, consulter le
HowTo sur http://en.opensuse.org/Telnet_Server_HOWTO

d) Vérifier avec netstat que le service n'est plus disponible puis tenter de nouveau d'ouvrir une
session avec telnet.

ESIL 2008/2009 TP Réseaux A.Meyer, C.Pain-Barre, N.Baudru

 TP 3 – Administration Réseau sous Linux
Page 11/11

Exercice 8 : Établir des connexion à l'aide de netcat

a) L'utilitaire netcat est aussi appelé "the TCP/IP swiss army knife". Que fait la commande
netcat exactement (consulter le man) ?

b) Sur la ligne de commandes, exécuter netcat en mode d'écoute sur le port 88/TCP (le mode
d'écoute se demande avec l'option -l (listen) et le port est précisé par l'option -p) et vérifier avec
netstat.

c) À partir de votre poste de travail (pas la machine virtuelle), essayer d'ouvrir une connexion sur ce
port en utilisant telnet. Envoyer le message "Guten Tag" vers votre serveur et vérifier la bonne
réception....

d) Exécuter netcat en mode d'écoute sur 127.0.0.1:88/tcp (l'adresse d'écoute est précisée par
l'option -s) et vérifier avec netstat.

e) À partir de votre poste de travail, essayer à nouveau d'ouvrir une connexion en utilisant telnet.
Quelles sont vos observations ? Expliquez !

f) Essayer d'exécuter un deuxième processus netcat écoutant sur 127.0.0.1:88/tcp. Expliquer le

résultat !

ESIL 2008/2009 TP Réseaux A.Meyer, C.Pain-Barre, N.Baudru