In Fd 411201106 c

FEDERATION EUROPEENNE DES ECOLES EUROPEAN FEDERATION OF SCHOOLS Organisation non gouvernementale dotée du statut participatif auprès du Conseil de l’Europe NGO enjoying participatory status with the Council of Europe

© Fédération Européenne Des Ecoles - European Federation of Schools - Juin 2011 UC D41.1 Réseaux, système et sécurité- Corrigé

UE D - TECHNIQUES PROFESSIONNELLES

Master Européen d’Informatique

UC D41.1 - Réseaux, système et sécurité

Corrigé

Type d’épreuve : QCM et Exercice pratique

Durée : 3 heures

Session : Juin 2011

© Fédération Européenne Des Ecoles - European Federation of Schools - Juin 2011 UC D41.1 Réseaux, système et sécurité - Corrigé

2/17

1/ QCM : 45 minutes

1. Le fichier /etc/host.conf permet : a. la résolution des noms b. la configuration des postes du réseau c. l'ordre de recherche pour la résolution de nom d. la correspondance des adresses IP avec des noms d’hôtes

2. Si umask = 007, les droits par défaut pour les dossiers auront la valeur octale :

a. 0775 b. 0665 c. 0660 d. 0770

3. Lequel de ces protocoles n’est pas un protocole utilisé pour créer un VPN ?

a. IPSec b. L2PP c. L2TP d. SSL

4. Pour monter une partition d'un disque dur de type SATA sur le lien /usbexterne,

quelle proposition est correcte ? a. mount -t ext3 /dev/hdb5 /usbexterne b. mount -t vfat /mnt/windows /usbexterne c. mount /dev/sdc1 /dev/sdc d. mount –t ext3 /dev/sdc1 /usbexterne

5. Pour vérifier la structuration et l’intégrité des mots de passe et des champs associés des

comptes Unix/Linux une commande possible est ? a. verify shadow b. verify password c. pwck d. aucune des propositions ne convient

6. Pour vérifier tous les systèmes de fichiers montés pendant une session, on devra

consulter le fichier : a. /etc/inittab b. /etc/mtab c. /etc/fstab d. /etc/mountab

7. Les caractéristiques d'un lien par ls -l /bin/Leucippe donne :

- rwx r- - -w- 2 root presocratique 755 29 Fev. 2009 Leucippe. a. le lien /bin/Leucippe possède un seul lien physique b. root est dans le groupe "presocratique" c. tout processus ayant l'uid=0 est propriétaire de Leucippe d. le lien /bin/Leucippe possède deux liens symboliques (synonymes, raccourcis,…)


3/17

8. Quelle proposition est fausse concernant ce même lien :

- rwx r- - -w- 2 root presocratique 755 29 Fev. 2009 Leucippe ? a. le groupe "presocratique" est le groupe du lien Leucippe b. le groupe "presocratique" est le groupe du propriétaire root c. tout processus ayant l'uid=0 est administrateur Linux/Unix d. les droits d’accès du lien /bin/Leucippe ne sont pas 0755 (en octal)

9. Pour configurer SAMBA en PDC, on doit obligatoirement configurer, dans le fichier

smb.conf, l'option : a. security = share b. domain master = yes c. domain logons = yes d. domain name = <nom_domaine>

10. Que fait la commande : echo 0 > /proc/sys/net/ipv4/ip_forward ?

a. elle active le routage ipv4 b. elle inhibe le broadcast en icmp c. elle active le routage ipv6 d. elle désactive le routage ipv4

11. Pour rajouter une route par défaut à un nœud donné, vous utiliserez la commande :

a. # route add default 172.16.0.254 netmask 255.255.0.0 b. # route add -net default gw 172.16.0.254 netmask 255.255.255.0 c. # route add default gw 172.16.0.254 d. # toutes ces propositions

12. Que ne permet pas de faire un mécanisme de Filtration FireWall comme NetFilter

(iptable) ? a. iptable permet de faire de la translation d’adresse réseau (adresse IP) et d’adresse socket (ports) b. iptable peut modifier des paquets au fil de l’eau (à la volée) c. iptable permet de configurer le protocole IP d. iptable est le mécanisme, l’outil, qui par directives permet de configurer le FireWall NetFilter

13. Quelle est la bonne syntaxe pour autoriser les réponses FTP ?

a. iptables -A OUTPUT -p tcp --dport ftp -j ACCEPT b. iptables -A INPUT -p tcp --sport ftp -j ACCEPT c. iptables -A INPUT -p tcp --dport ftp -j ACCEPT d. iptables -A OUTPUT -p tcp --dport ftp -j ACCEPT

14. Combien de type(s) de VLAN existe(nt)-t-il(s) ?

a. 3 b. 1 c. 2 d. 5

15. Pour avoir le package Apache, PHP, PostGreSQL sous Linux, il faut installer une

plate-forme : a. LAMP b. LAPP c. WAMP d. WAPP


4/17

16. Donnez un équivalent en mode symbolique de la commande : #chmod –R 455

qcm. a. chmod –R go+x,ug-w qcm b. chmod –R ugo-r,ug-w qcm c. chmod –R ugo+r,go+x qcm d. chmod –R ugo+x,ug-rw qcm

17. Quelle est l’adresse de broadcast pour le réseau 169.168.1.0/28 ?

a. 169.168.1.0 b. 169.168.1.255 c. 169.168.1.15 d. 169.168.255.255

18. Quel est le nombre de bits qui représente une adresse IP version 6 ?

a. 256 bits b. 64 bits c. 128 bits d. 32 bits

19. Quelle masque de sous réseaux utiliser pour avoir au maximum de 600 machines

dans chaque sous réseau ? a. 255.255.252.0 b. 255.255.240.0 c. 255.255.245.0 d. 255.255.255.0

20. Un firewall peut être un :

a. dispositif d'anti-intrusion dans une salle serveur informatique b. dispositif bloquant les départs d'incendie dans un local informatique c. élément matériel contrôlant les accès entre réseaux informatiques d. logiciel de protection d'accès à des réseaux informatiques

21. Comment filtrer et contrôler les accès à internet en fonction des thèmes consultés et de

l'utilisateur ? a. mettre un proxy-cache b. mettre un routeur c. mettre un firewall d. mettre des antispywares

22. Quelle commande permet de mettre sous tension une interface de routeur ?

a. Router(config-if)# enable b. Router(config-if)# no down c. Router(config-if)# no shutdown d. Router(config-if)# interface up

23. Que se passe-t-il si un routeur ne trouve pas de fichier de configuration correct lors de

la séquence de démarrage ? a. la séquence de démarrage est réinitialisée b. le routeur surveille le trafic local afin de déterminer la configuration requise pour les protocoles de

routage c. le routeur génère un fichier de configuration par défaut basé sur la dernière configuration valide d. le routeur invite l'utilisateur à fournir une réponse pour accéder au mode setup


5/17

24. Concernant l’équilibrage de charge, quelle affirmation est exacte ?

a. l'équilibrage de la charge se produit lorsqu’un routeur envoie le même paquet à différents réseaux de destination

b. l’équilibrage de la charge se produit lorsque le même nombre de paquets sont envoyés sur les routes statiques et dynamiques

c. s'il existe plusieurs chemins avec des mesures différentes vers une destination, le routeur ne peut pas prendre en charge l’équilibrage de la charge

d. l'équilibrage de la charge à coût inégal est pris en charge par le protocole EIGRP

25. Quelles informations d’adresse un routeur modifie-t-il parmi les informations qu’il reçoit d’une interface Ethernet associée avant de les retransmettre ?

a. l’adresse source et l’adresse de destination de la couche 2 b. seulement l’adresse source de la couche 2 c. seulement l’adresse source de la couche 3 d. l’adresse source et l’adresse de destination de la couche 3

26. Que se passe-t-il sur un réseau à vecteur de distance qui n'a pas convergé ?

a. le trafic n'est pas acheminé tant que le système ne converge pas b. les mises à jour de table de routage sont envoyées vers des destinations incorrectes c. des entrées de table de routage incohérentes d. rien, le routage à vecteur de distance n’a pas de convergence

27. Dans le routage dynamique, les interfaces passives sont des interfaces :

a. désactivées b. favorisées dans la mise à jour des tables de routage c. non utilisées dans la mise à jour des tables de routage d. de réception des tables de routage

28. Quel protocole de routage n’est pas à vecteur de distance ?

a. RIPv1 b. EIGRP c. RIPv2 d. IS-IS

29. Quel algorithme est exécuté par les protocoles de routage à état de liens pour calculer

le chemin le plus court vers les réseaux de destination ? a. DUAL b. Dijkstra c. Bellman-Ford d. Diffie-Hellman

30. Les mesures utilisées par les protocoles de routage sont :

a. une méthode propriétaire de Cisco pour convertir les distances en unité standard b. une valeur quantitative utilisée par un protocole de routage pour mesurer une route donnée c. une valeur composée de la quantité de paquets perdus pour tous les protocoles de routage d. uniquement utilisés par les protocoles de routage dynamique


6/17

31. Les interfaces d’un réseau ont été configurées avec des adresses IP, mais aucun

protocole de routage ou route statique n’a encore été configurée. Quelles routes sont présentes dans la table de routage ?

a. routes par défaut b. routes de diffusion c. réseaux directement connectés d. aucune route, la table de routage est vide

32. Quelles sont les différences entre Multicast et Broadcast ?

a. il n’y en a pas, c’est la même chose b. le Broadcast est un envoi global et le Multicast est un envoi vers un groupe c. le Broadcast est un renvoi de messages et Multicast est un envoi de messages d. le Multicast est inclus dans le routage et le Broadcast ne l’est pas

33. Un système autonome est un groupe de routeur géré par :

a. les mêmes administrateurs et utilisant le même protocole de routage b. plusieurs fournisseurs d’accès et utilisant le même protocole de routage c. les mêmes administrateurs et utilisant plusieurs protocoles de routage d. plusieurs fournisseurs d’accès et utilisant plusieurs protocoles de routage

34. Définissez le protocole Spanning Tree ?

a. protocole de routage b. protocole de résolution d’adresses c. protocole qui garantit l’unicité du chemin et évite les boucles dans un réseau local d. protocole de niveau trame qui acquitte les données

35. Quel sigle dans la liste ci-dessous représente un protocole d’authentification PPP ?

a. SSL b. MsCHAP c. MD5 d. PKI

36. Quel protocole de routage est un protocole utilisé dans le routage EGP ?

a. RIP b. OSPF c. IGRP d. BGP

37. Dans SSH, le cryptage utilisé pour l'authentification est un :

a. cryptage symétrique b. cryptage asymétrique c. les deux propositions précédentes d. aucune des propositions précédentes

38. L'algorithme DES :

a. utilise une clé privée et une clé publique b. fait appel à la notion PKI c. utilise une clé connue de tout le monde d. utilise une clé secrète


7/17

39. Dans les algorithmes de "chiffrement symétrique" :

a. la même fonction mathématique sert à chiffrer et déchiffrer b. on ne parle pas de clés chiffrement/déchiffrement on parle plutôt de fonctions de

Chiffrement/déchiffrement c. c’est l’inverse de la clé de chiffrement qui sert à déchiffrer d. la même clé sert à chiffrer et déchiffrer

40. Quand à chaque caractère de l'alphabet du texte clair correspond un ensemble

d'éléments du cryptogramme, la cryptographie est du type substitution : a. simple b. homophonique c. polyalphabétique d. de polygramme

41. Lequel des mots de passe suivants peut-il être considéré comme robuste ?

a. P@ssw0rd b. jean7669 c. J*ple04>F d. W3lc0m3

42. Une architecture PKI permet de :

a. gérer la politique de distribution des clés publiques b. certifier l'authenticité des clés publiques de mes correspondants c. signer les clés publiques d. aucun des trois premiers choix

43. Parmi les suivants, quel est le meilleur moyen d'empêcher des intrusions via le

réseau sans fil ? a. désactiver la diffusion du SSID b. filtrer les adresses MAC c. activer le chiffrement WEP d. activer le chiffrement WAP

44. Une fonction de hashage :

a. permet à un destinataire d’un message de vérifier l’intégrité des données et de contrôler l’identité de leur expéditeur

b. construit une empreinte d’une chaîne de données, à partir de laquelle il est impossible de revenir à la chaîne de données initiale

c. calcule un checksum sur un fichier qui permet d'assurer de son intégrité.... d. n'assure aucune des fonctions précédentes


8/17

45. Vous êtes l'administrateur réseau du domaine Windows 2008 d’Infosup. Votre réseau

est constitué d'un serveur DNS, d'un serveur DHCP et de 125 ordinateurs clients sous Windows 7. Le serveur DNS est chargé de la résolution de noms au sein du réseau et transmet des requêtes de résolution de noms au serveur DNS du fournisseur d'accès Internet de l'entreprise XSA. Un utilisateur se plaint qu'il ne peut accéder à un site de partenaire de l'entreprise. Il reçoit le message d'erreur suivant: "Serveur non trouvé ou erreur DNS". Par contre, il peut accéder à tous les autres sites internet qu'il souhaite. Vous tentez de votre côté d'accéder au site du partenaire en question et vous n'éprouvez aucune difficulté à cela. Vous vérifiez qu'il reçoit bien les informations concernant le DNS par le serveur DHCP. Que devez-vous faire maintenant ?

a. ouvrir une console DOS sur l'ordinateur de l'utilisateur en question et taper "ipconfig/registerdns" b. ouvrir une console DOS sur l'ordinateur de l'utilisateur en question et taper

"ipconfig/flushdns" c. ouvrir une console DOS sur l'ordinateur de l'utilisateur en question et taper "ipconfig/refreshdns" d. ouvrir une console DOS sur l'ordinateur de l'utilisateur en question et taper "ipconfig/renew"

46. Le réseau d'une entreprise très en vue fait face à de nombreuses tentatives

d'intrusions. L'administrateur souhaite diviser son réseau afin de placer ses serveurs sensibles dans un autre emplacement que ses serveurs accessibles depuis Internet. Quel dispositif implémenter ?

a. une DMZ (Demilitarized Zone) b. un pot de miel (honeypot) c. un pare-feu (firewall) d. un nouveau sous-réseau

47. Le câblage de votre réseau traverse des ateliers qui contiennent des

équipements électriques fonctionnant à des tensions élevées. Vous êtes préoccupé par les risques d'interférence. Quel câblage conseillez-vous ?

a. le câble UTP b. le câble STP c. le câble coaxial d. la fibre optique


9/17

48. Le service interne de tâche planifiée "crond", prend en charge un certain nombre de

tâches sécurisées en administration : sauvegarde, lancement de services, firewall dynamique, … On voudrait déclencher une procédure de test d’intégrité sur les partitions tous les 1ers et 3èmes mercredis du mois à minuit et 30 minutes. Indiquez la bonne directive crond :

a. 0 0 1,3 * 3 /sbin/fs_integrite C:\ D:\ E:\ b. 0 30 * * wed /sbin/fs_integrite / /home /bin c. 0 0 * * 2 /sbin/fs_integrite / /home /bin d. 30 0 1-7,14-20 * 3 /sbin/fs_integrite / /home /bin

49. Quel protocole d'authentification, implémenté dans l'annuaire Active Directory de

Windows 2008, autorise un accès à ses objets ? a. NT Lan Manager b. Lightweight Directory Access Protocol c. Kerberos d. Secure Sockets Layer

50. Décrivez la directive noyau exécutée par le pid=1 du fichier /etc/inittab en éliminant

la proposition fausse : 8:35:respawn:/etc/mgetty tty8. a. respawn, lance l’écoute sur un terminal b. respawn est un mode d'exécution persistant c. tty8 est un lien /dev/tty8 sur un terminal d. 35 indique qu'il se déclenche sur les niveaux d'exécution 3 et 5


10/17

2/ Exercice pratique : 2 heures 15

Dossier 1 - Sécurité Question 1 - Sécurité Windows Quel sens donnez-vous dans Windows aux permissions explicites, héritées et effectives ? Pourquoi créer des unités organisationnelles (UO) dans une structure Active Directory ? Citez 2 raisons principales. 9 points (2 points par bonne réponse pour les permissions, 1 point par bonne réponse pour les UO) Permissions :

- Explicites : autorisations affectées directement dans l'ACL de la ressource en supplément des autorisations héritées. Autorisation prioritaire.

- Héritées : les autorisations associées à un dossier s'appliquent par défaut aux sous-fichiers et sousdossiers de ce dossier. Tout changement apporté à l'ACL parent affectera de la même manière tout le contenu du dossier.

- Effectives : autorisations résultantes de la combinaison des appartenances de l'utilisateur à ses différents groupes sans tenir compte des groupes du système.

UO : 3 raisons principales :

- organiser les objets d'un domaine dans l'annuaire d'une façon plus ordonnée, - permettre la délégation de tâches d'administration à certains membres d'une UO, - mettre en place des stratégies de groupe (GPO) qui s'appliqueront à tous les membres d'une UO.

Question 2 - Clef secrète Quelle est la méthode pour la lui adresser avec le plus de sécurité et commodité ? 30 points (15 points pour la solution fiable, 10 points pour la solution du mail en SSL, 5 points pour la solution de demander à un tiers de confiance de lui porter) Différentes solutions sont possibles en dehors du cryptage :

- en lui dictant au téléphone : méthode non fiable car la conversation peut être sniffé par un logiciel d’analyse de trames,

- en lui adressant par courriel : le plus dangereux. Ce type de réponse n’est pas valable car le courriel n’est pas du tout une solution fiable, sauf si la communication est en SSL. Mais une attaque du type Man in the Middle peut faire passer le destinataire par un autre,

- en chargeant un tiers de confiance d’aller lui porter en mains propres : solution possible mais pas du tout commode…,

- en lui adressant la clef secrète, cryptée par la clef publique du correspondant : solution la plus fiable.

Question 3 - Certificat numérique Citez 6 informations différentes que l’on trouve à l’intérieur d’un certificat numérique. 9 points (1,5 points par bonne réponse) Tel qu'on l'utilise en cryptographie et en sécurité informatique, un certificat électronique est un bloc de données contenant, dans un format spécifié, les parties suivantes :

- un numéro de série, - l'identification de l'algorithme de signature, - la désignation de l'autorité de certification émettrice du certificat, - la période de validité au-delà de laquelle il sera suspendu ou révoqué, - le nom du titulaire de la clé publique,


11/17

- l'identification de l'algorithme de chiffrement et la valeur de la clé publique constitués d'une paire de clés asymétriques (comme par exemple RSA),

- des informations complémentaires optionnelles, - l'identification de l'algorithme de signature et la valeur de la signature numérique.

Question 4 - Attaque réseau Définissez une attaque Man in the Middle (Homme du milieu). Citez un exemple de cette attaque et expliquez son fonctionnement. 17 points (10 points pour la définition, 7 points pour un exemple concret) L'attaque de l'homme du milieu permet à l’attaquant de lire, mais aussi de modifier les messages lors de la communication entre 2 personnes. Dans ce cas, même le chiffrement asymétrique est vulnérable. Toutefois, il est généralement très difficile de pouvoir modifier l'intégralité des messages qui transitent. Le but de l'attaquant est de se faire passer pour l'un (voire les 2) correspondants.

• L'ARP Spoofing : c'est probablement le cas le plus fréquent. Si l'un des interlocuteurs et l'attaquant

se trouvent sur le même réseau local, il est possible, voire relativement aisé, pour l'attaquant de forcer les communications à transiter par son ordinateur en se faisant passer pour un « relais » (routeur, passerelle) indispensable. Il est alors assez simple de modifier ces communications.

• Le DNS Poisoning : L'attaquant altère le ou les serveur(s) DNS des parties de façon à rediriger vers lui leurs communications sans qu'elles s'en aperçoivent.

• L'analyse de trafic afin de visualiser d'éventuelles transmissions non cryptées • Le déni de service : l'attaquant peut par exemple bloquer toutes les communications avant d'attaquer

un parti. L'ordinateur ne peut donc plus répondre et l'attaquant a la possibilité de prendre sa place. • Le DHCP Poisoning : L’attaquant altère le ou les serveur(s) DHCP des parties de façon à modifier la

passerelle par son ordinateur qui pourra récupérer toutes les trames.

Question 5 - Pare-feu Netfilter Expliquez l’objectif de ces commandes : 15 points (5 points pour les règles du port 110, 5 points pour les règles du port 25, 5 pour les politiques par défaut) Cette commande permet d’ouvrir la connexion POP3 (Port 110 pour recevoir des messages) et SMTP (Port 25 pour envoyer des messages) du serveur 10.30.40.100 au client 10.30.40.200. Tout le reste est bloqué (politique par défaut). On pourrait en déduire que le serveur 10.30.40.100 héberge un serveur Web (Exchange, Asterisk,…). Ce type de politique est connue sous le nom de « moindres privilèges ». Question 6 - Sécurité sur les Sessions On vous demande de fabriquer un outil en script Shell, appelé "monolog" qui n’autorisera qu’une session par login. 30 points Correction possible du script et de l’environnement dans lequel il doit être place, cette correction est une voie possible, il existe plusieurs types de corrections: Notes aux correcteurs: compte tenu du temps imparti, on pourra valider soit la version sur un seul login, soit celle sur tous les logins, La solution qui utilise un blocage de la 2eme session avant que l'individu ait pris la main sur un compte particulier est la plus rapide, pour l'exemple le compte guest proposera :

- une modification d'un des scripts d'ouverture de sessions, pas le /etc/profile commun à tous les logins, mais le .profile ou .bash_profile (certaines distributions favorisent un .bashrc, qui avant était lancé par .bash_profile),

- la sécurisation impose un blocage des signaux claviers dès le début du script.


12/17

La solution qui analyse, prévient puis termine toutes les sessions d'un login: une des solutions post-analyse parmi plusieurs possibles : En lançant # monolog guest


13/17

Question 7 - Chiffrement asymétrique Si vous perdez votre clef privée, pouvez-vous encore envoyer des mails chiffrés ? Et en recevoir ? Pouvez-vous encore signer des mails, vérifiez des signatures de mails que vous recevez ? Que doit-on faire pour être capable d’effectuer à nouveau toutes les opérations ? 20 points (7 points pour la première question, 6 points pour la seconde question, 7 points pour la troisième question) On peut encore envoyer des mails puisque l’on utilise la clé publique du destinataire. On va recevoir mais on ne sera plus en mesure de déchiffrer. Non puisque l’on utilise sa clé privée pour signer. Oui puisque l’on utilise la clé publique de l’expéditeur pour vérifier la signature. Il faut révoquer la clé perdue et ensuite se procurer un nouveau couple clé publique + clé privée soit en s’adressant à une autorité de certification (AC) soit en la générant soit même (PGP).

Dossier 2 - Réseaux avancés Question 1 - Routage RIP Quelles sont les tables de routage de RA et RB ? 20 points (9 points par bonne table : une ligne vaut 3 points, 2 points bonus pour un masque correspondant au RIP V1) RA :

Destination Masque Prochain Saut Interface Coût

192.168.1.0 255.255.255.0 192.168.1.1 (case vide est possible) 192.168.1.1 0


192.168.3.0 255.255.255.0 192.168.2.4 192.168.2.1 1 RB :

Destination Masque Prochain Saut Interface Coût

192.168.1.0 255.255.255.0 192.168.2.1 192.168.2.4 1



Attention au masque. Celui dans l’énoncé est le 255.255.255.240.0. Or, le RIP V1 ne gère pas les masques classless (masques de sous-réseau) à la différence de RIP V2.


14/17

Question 2 - Routage OSPF Quelle est la commande permettant à l’administrateur d’accomplir cette opération ? 10 points pour la bonne réponse - 5 points bonus si l’étudiant à penser à « enable » et « configure terminal » L’image du réseau donnée prouve que le routeur OSPF a un ID de 1. La commande suivante est à taper normalement dans le mode de configuration globale (#enable, puis #configure terminal 5 points bonus). La commande est la suivante : #router ospf 100. Question 3 - Table de pontage Quelle action SW1 effectue-t-il sur une trame envoyée de PC_A vers PC_C si la tables d’adresses MAC du SW1 est vide ? Qu’en sera-t-il lors de la prochaine trame envoyée ? Quel est le rôle du TTL dans une table de pontage et qu’advient l’association qui a un TTL égal à zéro ? 27 points (10 points pour la première question, 5 points pour la seconde question, 6 points pour la troisième question, 6 points pour la quatrième question)

Si la table de pontage de SW1 est vide lors du premier envoie, SW1 va envoyer la trame à PC_B ainsi qu’à SW2. En prenant en compte que la table de pontage de SW2 est renseigné, SW2 va transférer la trame à PC_B (dans le cas contraire, SW2 enverra la trame à tous ports et PC_D pourrait recevoir la trame). En résumé, SW1 agit comme un concentrateur à ce moment là. Lors de la prochaine trame, nous considérons que tous les PC ont communiqués avec le switch SW1 (trame ARP ou autre). La trame ,envoyée par PC_A, passera directement de SW1 à SW2 pour arriver à la machine PC_C. Les tables de pontage seront donc toutes renseignées. Le TTL est le « time to live », c’est à dire la durée pendant laquelle le commutateur conservera l’association MAC/port. Un commutateur ne peut garder indéfiniment une association car un poste peut changer d’affectation et donc l’association ne serait plus valable. Un TTL est mis à jour à chaque fois que le commutateur reçoit une trame concernant la même association adresse Mac/Port, il met le TTL à sa valeur maximum. L’association est supprimée. Question 4 - Agrégation de VLAN Quelle est la cause la plus probable de ce problème ? Si l’administrateur supprime le VLAN 2 des switchs, qu’advient-il des ports membres de ce VLAN ? 18 points (10 points pour la première question, 8 points pour la seconde question) Le problème ne vient pas de la configuration du VLAN qui est correcte (trunk, encapsulation et vlans permis). Le problème vient de la configuration réseau entre le PC B (qui fait partie du réseau 10.1.3.0) et du PC D (dans le réseau 10.1.2.0). Ces 2 PC sont dans des réseaux différents, d’où l’incompatibilité de la communication. Lorsqu’un port d’un VLAN est supprimé, ce port prend nativement celui du VLAN numéro 1. En effet, nous pouvons voir sur le schéma que le VLAN Natif est le 1. Conséquences : lL’ordinateur A et les l’ordinateur C seront donc dans le VLAN 1.


15/17

Question 5 - Access list Décrivez brièvement le rôle de ces deux ACL et leur direction appliquée. 20 points (8 points pour la règle entrante, 8 points pour la règle sortante, 4 points bonus pour les explications des ports (HTTP et PROXY) et d’ICMP) Sur l’interface s0/0/0, 2 ACL sont appliqués :

- les règles entrantes (ACL 101) : les protocoles de transport tcp sont interdits pour le réseau 192.168.1.0 (/24) avec les ports 8080 (proxy) et 80 (http) On interdit à quiconque provenant du réseau 192.168.3.0 de se connecter aux serveurs Web et Proxy du réseau 192.168.1.0. On interdit tout trafic icmp entrant à destination des réseaux 192.168.1.0 (/24) et 192.168.2.0 (/24) (donc, notamment interdiction du ping). On autorise tous les autres trafics.

- les règles sortantes (ACL 201) : le protocole icmp est interdit en provenance des réseaux 192.168.1.0 (/24) et 192.168.2.0 (/24) (d'où, notamment, interdiction du ping). On autorise le reste.

Ce type de règles est l’inverse du moindre privilège. Question 6 - NAT Quelle est l’adresse IP de destination du paquet renvoyé par le serveur Web ? 15 points L’adresse IP de destination du paquet renvoyé est 172.30.20.1:3333. Question 7 - Pare-feu Indiquez le rôle de la règle numéro 10. Indiquez le numéro des règles permettant aux postes du réseau local de demander et d’obtenir des pages web. Écrivez les deux règles à ajouter pour permettre au serveur web de communiquer avec le SGBD interrogeable sur le port 1520, en précisant le numéro attribué à chaque règle ajoutée. 30 points (8 points pour la première question, 8 points pour la seconde question, 14 points pour la troisième question : 7 points par règle) Tout paquet venant du serveur de base de données sera rejeté. Le SGBD ne peut pas "sortir" du réseau local. La règle 20 permet aux demandes http (port 80) de sortir. La règle 40 permet aux réponses d'entrer dans le réseau local.

La première ligne ajoutée doit avoir un numéro inférieur à 30, la deuxième un numéro inférieur à 10.


16/17

Question 8 - Trames réseaux A quoi correspond la trame de la capture ci-dessous ? Expliquez le processus complet correspondant. Développez toutes les trames de ce processus. Que signifie source port de l'entête UDP ? Développez. 30 points (5 points pour la première question, 16 points pour la seconde question : 4 points par trame juste, 9 points pour la troisième question) Cette trame correspond à une réponse d'un serveur DHCP à une demande client. C'est le O (Offer) du processus complet DORA (Discover, Offer, Request, Ack) d'acquisition de paramètres réseau. Les trames DHCP sont les suivantes :

1. Lorsque le client DHCP démarre, il n'a aucune connaissance du réseau, du moins, en principe. Il

envoie donc une trame "DHCPDISCOVER", destinée à trouver un serveur DHCP. Cette trame est un "broadcast", donc envoyé à l'adresse 255.255.255.255. N'ayant pas encore d'adresse IP, il adopte provisoirement l'adresse 0.0.0.0. Comme ce n'est pas avec cette adresse que le DHCP va l'identifier, il fournit aussi sa "MAC Address".

2. Le, ou les serveurs DHCP du réseau qui vont recevoir cette trame vont se sentir concernés et répondre par un "DHCPOFFER".Cette trame contient une proposition de bail et la "MAC Address" du client, avec également l'adresse IP du serveur. Tous les DHCP répondent et le client normalement accepte la première réponse venue.Le "DHCPOFFER" sera un broadcast (Ethernet) ou non, suivant le serveur DHCP utilisé. Nous y reviendrons plus en détail sur l'exemple.

3. Le client répond alors par un DHCPREQUEST à tous les serveurs (donc toujours en "Broadcast") pour indiquer quelle offre il accepte.

4. Le serveur DHCP Concerné répond définitivement par un DHCPACK qui constitue une confirmation du bail. L'adresse du client est alors marquée comme utilisée et ne sera plus proposée à un autre client pour toute la durée du bail.

Désigne le protocole de la couche Application à l'origine de la trame, ici DHCP (bootp étant l’ancien nom du protocole dhcp).


17/17

GRILLE DE NOTATION EXERCICES NOM DU CORRECTEUR__________________________________ Prénom du correcteur___________________________________ N° de candidat____________

Question Note attribuée Observations obligatoires

Dossier 1 - Sécurité /130

Dossier 2 - Réseaux avancés /170

TOTAL /300 Appréciation générale : Je soussigné,____________________, certifie avoir corrigé la copie d’examens en suivant le corrigé d’examens en ma possession et en respectant la procédure de correction des examens. Fait à _______________________________________ le ____________ Signature :

In Fd 411201106 c

Documents

Transcript of In Fd 411201106 c