Devoir de Synthse Administration Systmes et Rseaux

M. Brahim Gaabab. GCR@ENIG. 2013/2014. Documents non autoriss, 2h. GCR3. 4 pages

Les questions sont indpendantes. Choisissez une seule rponse chaque fois.

1. Quel serait l'adresse IP destination dans un paquet passant d'un rseau interne vers un rseau

externe travers un NAT? ip nat inside source static tcp 10.0.0.3 8080 192.0.2.1 80

(a) l'adresse de l'interface externe du NAT

(b) l'adresse 192.0.2.1

(c) autre

2. Une station A n'arrive pas se connecter un serveur web situ sur un hte distant. Sachant que

les deux sont spars par un routeur, laquelle peut tre une raison valable ?

(a) les deux stations ne sont pas sur le mme VLAN

(b) la station se connecte partir d'un port dirent du port http conventionnel

(c) autre raison

3. Pour consulter les objets d'un module de MIB sur un agent distant, un client SNMP doit disposer

de la description des objets prsents dans ce module, et ce an de

(a) dterminer l'encodage des objets (comment sont ils reprsents avec les '0' et '1' et transfrs

sur le rseau)

(b) connaitre la version du protocole SNMP utilise par l'agent

(c) savoir localiser le chier du MIB dans le systme de chier de l'quipement

4. Vous disposez d'un serveur Web public l'interieur de votre rseau. Quelle technique sera mis

en oeuvre par votre routeur d'accs (le CPE) pour permettre l'accs depuis l'extrieur au serveur

Web ?

(a) le NAT

Pour rappel, la commande est ip nat outside source list pool

(on suppose que le CPE supporte le NAT, l'extrieur est congur comme

outside)

(b) le NAPT,

ip nat outside source list pool overload (mmes

hypothses)

(c) congurer la technique de Port forwarding, dans laquelle la passerelle change les adresses

destinations (IP et port) des paquets venant de l'extrieur vers une adresse spcique

5. Un administrateur souhaite connaitre tout moment le taux d'erreurs sur une interface de routeur,

laquelle des dclarations suivantes est incorrecte ?

1

(a) raliser un script shell pour consulter priodiquement par SNMP la valeur instantanne pr-

sente dans la MIB, calculer ensuite localement la moyenne

(b) utiliser l'objet de la MIB RMON (Remote Monitoring) qui reprsente la moyenne calcule

sur l'agent, le consulter au besoin

(c) utiliser un script qui tlcharge par telnet le rsultat de la commande show ip interfaces,

ltrer avec grep et cut ensuite calculer localement la moyenne

6. Une entreprise achte un nom de domaine (domaine.com) et met en place un serveur DNS autori-

taire sur ce domaine. On vous demande d'crire les informations qu'il faut ajouter dans le serveur

DNS du domaine parent RR?

(a) domaine.com IN NS serveur.domaine.com et serveur.domaine.com IN A 1.2.3.4

(b) domaine.com IN NS server.dnsspace.uk et server.dnsspace.uk IN A 1.2.3.4

(c) domaine.com IN NS 1.2.3.4

7. La station WebServer est congure pour acqurir une adresse IP par DHCP. Quel type de con-

guration est-il souhaitable d'adopter pour un serveur

(a) adresse variable

(b) adresse xe o le client-id correspond l'adresse MAC

(c) adresse xe o le client-id correspond au nom

8. L'entreprise ayant un adressage priv, souhaite permettre ses machines d'tablir des communi-

cations chires avec des machines du rseau d'un revendeur. Quelle technique doit elle congurer

entre sa passerelle et celle du rseau du revendeur ?

(a) AH en mode tunnel

(b) ESP en mode transport

(c) ESP en mode tunnel

9. Quelle ACL (de numro 101) permet de slectionner tous le trac mis par les machines d'adresses

10.0.0.0/20 l'exception de la machine 10.0.0.255/20 destination des machines d'adresses 10.1.0.0/20

(a) ip access list standard 101 permit ip 10.0.0.0 0.0.64.255 10.1.0.0 0.0.64.255

(b) ip access list extended 101 permit ip 10.0.0.0 0.0.63.255 10.1.0.0 0.0.63.255

(c) ip access list extended 101 permit ip 10.0.0.0 0.0.31.255 10.1.0.0 0.0.31.255

10. Quel est le mode IPsec qui permet le passage des NAT? (on parle du pur NAT)

(a) tunnel

(b) transport

(c) aucun

11. Soit la conguration IPsec suivante (mode tunnel) sur la passerelle de scurit R1 d'adresse externe

sur Serial 0/0 172.16.3.2. On considre la mme ACL 101 dcrit prcdemment (on ne s'intresse

qu' son eet et non la syntaxe d'criture).

crypto ipsec transform-set uneTransfoCryptographique esp-3des esp-md5-hmac

crypto map vpnRev 1 ipsec-manual

match address 101

set peer 172.16.1.2

set transform-set uneTransfoCryptographique

set session-key outbound esp 256 key 1234567890

interface Serial 0/0

crypto map vpnRev

Quelle dclaration dcrit correctement le sort du paquet mis par la machine 10.0.0.255 desti-

nation du 10.1.0.0 (ce paquet devait arriver selon le routage la passerelle de scurit) s'il serait

captur la sortie de l'interface de Site1.R1

(a) une nouvelle entte serait ajoute, l'entte externe est telle que ip.dst = 172.16.1.2, ip.src =

172.16.3.2, proto = esp, l'entte interne et le payload original seraient chirs et inchangs

(b) aucune entte ajoute (i.e. pas de tunnelling), l'entte est telle que ip.dst = 172.16.1.2, ip.src

= 172.16.3.2, proto = esp, un HMAC serait ajout en n du paquet

(c) autre

12. Quels mcanismes faut-il vrier dans le cas d'une anomalie d'acheminement d'un paquet travers

un routeur ?

(a) routage, conguration des interfaces

(b) adresse DNS, routage, conguration des interfaces et le NAT

(c) NAT, ACLs, DHCP

13. Un paquet passant de l'inside vers l'outside au niveau d'un routeur disposant d'un NAT dans

lequel une traductio inside->outside est congure. Il est pourtant rejett. Quel cas ne reprsente

pas la cause de ce rejet ?

(a) une rgle d'interdiction ACL est associe l'interface par laquelle est pass le paquet

(b) le paquet n'est pas slectionn pour passer par le NAT et il n'y a plus d'adresses disponibles

dans le pool de sortie lors du passage du paquet

(c) le routeur ne connait pas une route vers la destination du paquet

14. Laquelle des commandes suivantes, vous permet d'identier en une seule excution laquelle des

machines sur le chemin vers une destination ne rpond pas ?

(a) traceroute

(b) telnet

(c) ping

15. Lequel des dclarations suivantes est incorrecte ?

(a) les ACL permettent des de dtecter et bloquer les attaques vhicules par les protocoles

applicatifs comme les injections SQL ou les requtes HTTP malformes

(b) les ACLs peuvent authentier les demandes de passage travers le routeur Cisco et les

soumettre un contrle d'accs par un serveur AAA ou par une base de donnes locale dans

le routeur

(c) les ACLs peuvent permettre l'accs pour une dure de temps (time-based ACL)

16. pour la conguration rseau suivante, quelle est le plan d'adressage qui convient exactement aux

capacits demands ?

Pour A 67 interfaces, B : 12 interfaces et C : 30 interfaces

(a) 10.0.0.0/25 pour A, 10.0.0.144/28 pour B et 10.0.0.160/27 pour C

(b) 10.0.0.1/25 pour A, 10.0.0.128/28 pour B et 10.0.0.160/27 pour C

(c) 10.0.0.0/25 pour A, 10.0.0.144/28 pour B et 10.0.0.160/27 pour C

17. Lesquel des programmes suivants n'est pas un outil (protocole ou commande de systme d'exploi-

tation) d'accs distance une session sur ordinateur distant ?

(a) Remote Desktop Protocol (RDP)

(b) SNMP

(c) Telnet

18. Lequels des rles suivants ne convient pas pour allger la charge des serveurs autoritaire ?

(a) serveur secondaire

(b) serveur cache

(c) server relais (forwarder)

19. Le chier sous Linux contenant la liste des correspondance nomadresse IP locale est

(a) /etc/hosts

(b) ~/.hosts

(c) /etc/hostname

20. Laquelle des combinaison suivante est correcte ?

(a) (ftp, 21) (snmp, 161) (ssh, 22)

(b) (dhcp, 67) (snmp, 160) (dns, 51)

(c) (dns, 53) (telnet, 23) (ssl, 443)