TD5 de réseaux réalisé en binôme avec Lisa Combes. On travaille sur un réseau simulé dans Filius, avec 5 routeurs montés en anneau, deux réseaux privés (A et B) et deux réseaux publics simulant Google et Microsoft. L'objectif du TP est de configurer tout le réseau de A à Z, des tables de routage jusqu'aux pare-feux, en passant par la messagerie, le proxy SMTP et la sécurisation des machines individuelles.
Routage en anneau - Les 5 routeurs (A à E) sont reliés en anneau avec une route par défaut sur chacun. On a d'abord mal configuré et 100% des paquets se perdaient, puis une fois les tables corrigées le ping passait bien d'un réseau à l'autre, y compris depuis le réseau privé A vers les serveurs Microsoft.
Pare-feux des routeurs C et E - Par défaut tout le trafic vers Google et Microsoft est bloqué (règle deny all). On a ajouté des règles dans l'ordre pour autoriser au fur et à mesure le trafic HTTP (TCP/80), DNS (UDP/53), puis SMTP (TCP/25) et POP3 (TCP/110). L'ordre des règles est important car elles s'appliquent séquentiellement et la règle de rejet doit rester en bas.
Messagerie SMTP/POP3 - Configuration des comptes utilisateurs sur les serveurs Outlook et Gmail, puis des clients mail sur chaque machine avec les bons serveurs, ports et identifiants. On a tracé les erreurs jusqu'à leur cause, souvent des ports manquants dans les pare-feux, et ajouté les règles correspondantes.
Enregistrements MX dans le DNS - Pour envoyer un mail entre les deux domaines (microsoft.com et google.com), SMTP a besoin d'interroger le DNS pour trouver l'enregistrement MX du domaine destinataire. Sans ça, le serveur ne sait pas à qui remettre le mail et le message reste bloqué. On a ajouté les entrées MX dans les deux serveurs DNS pour débloquer l'envoi inter-domaines.
Proxy SMTP - On a reconfiguré les pare-feux pour n'autoriser les connexions SMTP entrantes qu'en provenance du proxy (1.1.1.1), et modifié tous les clients mail pour passer par smtp.com au lieu des serveurs directs. Le proxy centralise l'envoi, filtre le trafic avant qu'il atteigne les serveurs finaux, et les tests intra-domaine comme inter-domaine (avec CC) fonctionnent correctement.
Géolocking HTTP - On a modifié les règles HTTP des routeurs C et E pour restreindre l'accès aux serveurs web selon le réseau source : le réseau privé A peut accéder à Microsoft mais pas Google, le réseau privé B peut accéder à Google mais pas Microsoft. Les tests confirment que les restrictions s'appliquent bien dans les deux sens.
Sécurisation des serveurs web de Google et Microsoft - Activation du pare-feu sur les serveurs web, désactivation des réponses ICMP (le ping ne passe plus) et ouverture du seul port HTTP (TCP/80). Les logs du pare-feu confirment que les requêtes ICMP sont bloquées et les requêtes HTTP acceptées.
Sécurisation des pages personnelles d'Alice et Fred - Dans l'état initial tout le monde peut accéder au serveur web de tout le monde. On a activé les pare-feux sur les machines d'Alice et Fred pour restreindre l'accès HTTP au seul réseau local. Bob peut accéder au git d'Alice (même réseau), Jessica ne peut plus (réseau différent).
En observant les paquets échangés, on constate que SMTP et POP3 transmettent tout en clair : le contenu du mail, le nom d'utilisateur et le mot de passe sont lisibles directement dans la capture réseau. Une interception passive sur le réseau suffit à récupérer les identifiants sans aucun effort. Ce sont des protocoles non sécurisés par défaut, sans chiffrement, ce qui les rend vulnérables à des attaques de type sniffing.
Le routage en anneau impose un seul chemin, même quand une route plus courte existe. Un paquet envoyé vers une IP inexistante continue de circuler dans l'anneau jusqu'à ce que le TTL tombe à 0 (Filius le fixe à 62), ce qui consomme inutilement de la bande passante sur tous les routeurs traversés.
On recommande de passer à un routage dynamique avec RIP : chaque routeur échange périodiquement sa table avec ses voisins via l'algorithme Bellman-Ford, converge vers les chemins les plus courts et renvoie un ICMP "Destination unreachable" si une adresse n'existe pas, au lieu de faire circuler le paquet indéfiniment.
Filius - Simulateur réseau pédagogique permettant de configurer des routeurs, machines, serveurs DNS, serveurs mail et pare-feux dans un environnement graphique sans matériel physique.
ZIP du projet ci-dessous