Examen Médian








télécharger 44.21 Kb.
titreExamen Médian
date de publication27.03.2017
taille44.21 Kb.
typeExam
ar.21-bal.com > comptabilité > Exam

Université de Technologie de Troyes RE16 : sécurisation des réseaux IP

__________________________________________________________________________________________



Examen Médian

10 novembre 2004

Durée : 2 heures

Aucun document n’est autorisé

Exercice 1 Masque générique
Donnez l’ensemble des adresses IP concernées par les notations suivantes :


  1. 192.168.0.128 0.0.0.63

  2. 192.168.0.191 0.0.0.63

  3. 192.168.0.191 0.0.0.62

  4. 192.168.0.254 0.0.255.0



Exercice 2 Attaque de type « smurf sur un serveur interne »
Le réseau utilisé est celui de la figure ci-dessous. Un hacker cherche à faire une attaque de type « deny of service » (DoS) sur le serveur 200.1.2.1.
Pour cela, il décide d’envoyer (étape 1) un « ping » dans un paquet dont :

  • l’adresse source contient l’adresse du serveur à attaquer, ici 200.1.2.1

  • l’adresse destination est un broadcast dirigé, ici 200.1.1.255.


De cette façon, toutes les machines du réseau 200.1.1.0 vont recevoir un ping dont elles vont penser qu’il vient du serveur 200.1.2.1. Elles vont donc toutes lui répondre à peu près en même temps (étape 2), ce qui provoquera une surcharge du serveur et l’indisponibilité du service qui a motivé son installation.


étape 2

toutes les machines répondent en même temps !

étape 1

ping

de 200.1.2.1

vers 200.1.1.255

Il a été décidé de ne pas filtrer le protocole ICMP en entrée du réseau. Les « ping » doivent toujours pouvoir être échangés entre les réseaux 200.1.2.0/24 et 200.1.1.0/24.


  1. Proposez une ACL standard qui permette de résoudre le problème. Dites quel est votre critère de filtrage, à quelle interface et dans quel sens vous l’appliquez (la réponse sera comptée juste, même si la syntaxe n’est pas tout à fait exacte).


Il suffit d’interdire l’entrée sur l’interface côté Internet des paquets dont l’adresse source appartient aux réseaux internes.

access-list 10 deny ip 200.1.1.0 0.0.0.255

access-list 10 deny ip 200.1.2.0 0.0.0.255

access-list 10 permit ip any any

interface serial 1

ip access-group 10 in
Exercice 3 Surveillance du réseau
Vous soupçonnez un utilisateur de votre réseau de passer son temps à « surfer » sur Internet, alors que l’ordinateur qui lui est attribué est normalement destiné à une autre tâche. Pourtant, à chaque fois que vous êtes entré dans son bureau, il semblait travailler. Vous ne pouvez pas intervenir sur son poste car vous craignez qu’il se doute que vous surveillez son activité.


  1. Que pouvez-vous faire pour mesurer facilement la quantité de paquets IP qu’il échange grâce au protocole HTTP ?



Problème 1 Filtrage
Vous administrez le réseau ci-dessous. Le routeur interne se charge de translater les adresses privées des utilisateurs internes vers l’adresse 200.1.1.10. Il vous est demandé de sécuriser le réseau en autorisant explicitement certaines actions, et en interdisant par défaut toutes les autres. Les actions autorisées en entrée sont celles en rapport avec les serveurs publics. Par ailleurs les utilisateurs internes doivent pouvoir naviguer sur Internet.



  1. Pour le réseau des serveurs : quelle est son adresse, quelle est son adresse de broadcast ?

  2. Proposez une adresse IP pour l’interface E0 du routeur périphérique

  3. Proposez une adresse IP pour l’interface E1 du routeur interne

  4. Faites l’inventaire des communications que vous allez autoriser à travers le routeur périphérique

  5. Faites l’inventaire des communications que vous allez autoriser à travers le routeur interne


Vous avez créé l’ACL étendue suivante et vous l’avez appliquée sur le routeur périphérique. Après essai, vous vous rendez compte que le fonctionnement n’est pas satisfaisant. En effet, les utilisateurs internes n’arrivent pas à consulter Internet. Vous faites un essai en tapant directement une adresse IP publique valide dans la barre d’adresse d’Internet Explorer, et vous constatez que la page web correspondante vous arrive normalement.
access-list 100 permit tcp any host 200.1.1.14 eq 80 (1)

access-list 100 permit udp any host 200.1.1.13 eq 53 (2)

access-list 100 permit tcp any host 200.1.1.12 eq 25 (3)

access-list 100 permit tcp any eq 25 host 200.1.1.12 established

access-list 100 permit tcp any host 200.1.1.11 eq 21 (4)

access-list 100 permit tcp any host 200.1.1.11 eq 20 (5)

access-list 100 permit tcp any eq 80 host 200.1.1.10 established (6)

access-list 100 deny ip any any (7)
interface Ethernet1

ip access-group 100 in


  1. Expliquez le rôle de chacune des lignes

  2. Pouvez-vous trouver la source de l’erreur

  3. Proposez une correction de l’ACL pour résoudre le problème (dites ce qui change, ce que vous ajoutez ou enlevez, et dites à quel endroit dans l’ACL)


Certains utilisateurs du réseau interne se plaignent de l’apparition du virus W32/Rbot-PE. Vous avez cherché des renseignements sur ce virus (voir copie d’écran). Par ailleurs, vous avez créé un répertoire partagé sur la machine 10.10.0.5 et vous l’avez consulté depuis la machine 10.10.0.35 (voir résultat de la commande netstat –n).


  1. Identifiez le mode de propagation du virus, et donnez le numéro de port TCP qu’il utilise

  2. Aucun partage n’est ouvert sur les serveurs publics. Selon vous, comment le virus a-t-il pu se retrouver sur votre réseau ?

  3. Peut-on, sur ce réseau, se prémunir de ce virus en utilisant les ACLs ?

  4. Que faut-il faire pour s’en débarrasser et essayer d’éviter qu’il réapparaisse ?

؍⢘ᐼ

턐턘x

Problème 2 Segmentation

Vous administrez le réseau ci-dessus. Les utilisateurs sont assez nombreux et se plaignent de la lenteur du réseau. Vous avez utilisé un logiciel de supervision du trafic, et vous avez constaté qu’il y a un problème de congestion au niveau du switch. Vous décidez de segmenter le réseau pour essayer d’améliorer la situation.
Le routeur est un modèle modulaire qui possède :

  • une carte série pour le lien Internet,

  • une carte Ethernet à 100 Mb/s pour le réseau local,

  • plusieurs « slots » libres.


Aucun matériel de réserve n’est disponible. Le routeur et le switch sont compatibles VLAN.
Segmentation IP sans VLAN
Vous décidez de segmenter le réseau en deux sous-réseaux :

  • 10.10.10.0/24 pour la CAO

  • 10.10.20.0/24 pour la comptabilité




  1. Dessinez la nouvelle architecture

  2. Quel matériel devez-vous faire acheter ?

  3. Faites la liste des opérations à faire sur chacun des matériels


La machine 10.10.10.3 envoie un paquet IP à l’adresse 10.10.10.255.


  1. Quelles sont les machines qui entendent la trame qui contient ce paquet ?

  2. Quelles sont les machines qui acceptent ce paquet IP ?


La machine 10.10.10.3 envoie un paquet à l’adresse IP 10.10.20.255.


  1. Quelles sont les machines qui entendent la trame qui contient ce paquet ?

  2. Quelles sont les machines qui acceptent ce paquet IP ?


Segmentation VLANs + sous-réseaux
Vous décidez de segmenter en deux VLANs, tout en gardant la segmentation IP précédente.


  1. Dessinez la nouvelle architecture, sachant que vous avez choisi la solution qui coûte le moins cher possible

  2. Quel matériel devez-vous faire acheter ?

  3. Faites la liste des opérations à faire sur chacun des matériels


La machine 10.10.10.3 envoie un paquet IP à l’adresse 10.10.10.255.


  1. Quelles sont les machines qui entendent la trame qui contient ce paquet ?

  2. Quelles sont les machines qui acceptent ce paquet IP ?


La machine 10.10.10.3 envoie un paquet à l’adresse IP 10.10.20.255.


  1. Quelles sont les machines qui entendent la trame qui contient ce paquet ?

  2. Quelles sont les machines qui acceptent ce paquet IP ?




  1. Quels sont les avantages et inconvénients de cette deuxième solution par rapport à la première ?


Barème :



Exercice 1 : 4 points

  • 1 point par question


Exercice 2 : 3 points
Exercice 3 : 3 points
Problème 1 : 20 points

  • questions 1, 2 et 3 : 1 point

  • questions 4 à 10 : 2 points

  • question 11 : 1 point

  • question 12 : 2 ponits


Problème 2 : 20 points

  • questions 1 et 2 : 1 point

  • question 3 : 3 points

  • questions 4 à 9 : 1 point

  • question 10 : 3 points

  • questions 11 à 14 : 1 point

  • question 15 : 2 point



(note sur 20) = (note sur 50) * 2/5

Réponses
Exercice 1

  1. 192.168.0.128 à 192.168.0.191

  2. 192.168.0.128 à 192.168.0.191

  3. Toutes les machines impaires comprises entre 192.168.0.129 et 191

  4. 192.168.0.254

192.168.1.254

192.168.2.254

...

192.168.254.254

192.168.255.254

Exercice 2


Il suffit d’interdire l’entrée sur l’interface côté Internet des paquets dont l’adresse source appartient aux réseaux internes.

access-list 10 deny ip 200.1.1.0 0.0.0.255

access-list 10 deny ip 200.1.2.0 0.0.0.255

access-list 10 permit ip any any

interface serial 1

ip access-group 10 in
Exercice 3

Il suffit de créer une ACL sur l’interface du routeur qui sert cet utilisateur. Cette ACL n’interdira rien et sera de la forme :

access-list 100 permit tcp host ??. ??.??.?? any eq 80

access-list permit ip any any
Elle permettra la consultation des statistiques (show access-list 100) et montrera combien de fois la première instruction qui laisse passer le flux http aura été utilisée.

Problème 1


  1. Adresse du réseau 200.1.1.0 adresse de broadcast 200.1.1.15

  2. par exemple routeur interne E1 : 200.1.1.1

  3. par exemple routeur externe E0 : 200.1.1.2

  4. Routeur périphérique

    Protocole

    http

    ftp

    smtp

    dns

    Communication

    requête

    réponse

    requête

    réponse

    requête

    réponse

    requête

    réponse

    Sens int -> ext

    oui

    oui

    non

    oui

    oui

    oui

    oui

    oui

    Sens ext -> int

    oui

    oui

    oui

    non

    oui

    oui

    oui

    oui

  5. Routeur interne

    Protocole

    http

    ftp

    pop3

    dns

    Communication

    requête

    réponse

    requête

    réponse

    requête

    réponse

    requête

    réponse

    Sens int -> ext

    oui

    non

    oui

    non

    oui

    non

    oui

    non

    Sens ext -> int

    non

    oui

    non

    oui

    non

    oui

    non

    oui

  6. (1) autorise les requêtes http vers le serveur www

(2) autorise les requêtes dns vers le serveur dns

(3) autorise les requêtes smtp vers le serveur smtp

la deuxième ligne autorise le retour des réponses smtp aux requêtes que

le serveur smtp interne envoie

(4) et (5) autorisent les requêtes ftp contrôle et data

(6) autorise l’entrée des réponses http aux requêtes que les utilisateurs internes envoient

(7) interdit tout le reste


  1. Le trafic dns n’est pas autorisé en entrée. Les réponses des serveurs dns externes ne peuvent pas rentrer sur le réseau

  2. Il faut ajouter une ligne du genre :

access-list 100 permit udp any eq 53 host 100.1.1.10

  1. Ce virus se propage sur le port 445 qui correspond au partage de répertoire sous Windows.

  2. Le virus n’est pas arrivé par un partage, mais soit :

  • par un e-mail

  • par des cookies, javascript, ..., via HTML

  • par le serveur ftp

  • par l’utilisation de CD, disquettes, clés USB dans le réseau interne

Le virus arrive dans le réseau par l’un des moyens ci-dessus, et se propage ensuite par le port 445

  1. Non, une ACL ne servira à rien

  2. (1) utiliser un antivirus pour le détecter et l’enlever

(2) utiliser les patches correctifs pour limiter sa propagation

(3) informer les utilisateurs des risques d’utiliser les partages, et les inviter à ne laisser des partages actifs que lorsque c’est absolument nécessaire

(4) pour éviter que le virus ne rentre dans les serveurs publics, il faut utiliser en entrée un FireWall capable d’appliquer du filtrage sur le contenu des paquets acceptés en entrée (passerelle d’application)
Problème 2


10.10.10.0/24

10.10.20.0/24




  1. Il fau acheter un switch et une interface pour le routeur

  2. Sur le routeur : (1) installer la nouvelle interface

(2) câblage

(3) donner les bonnes @IP aux interfaces

Sur le switch : (1) installation physique

(2) câblage

Sur les postes : (1) changer les paramètres TCP/IP :

          • @IP

          • passerelle

  1. C’est un broadcast dans son sous-réseau, le paquet IP est mis dans une trame de broadcast, donc tous les équipements branchés sur le switch du réseau 10.10.10.0/24 entendent la trame

  2. Toutes les machines du réseau 10.10.10.0/24

  3. C’est un broadcast vers un autre réseau, le paquet IP est mis dans une trame à destination de la carte réseau du routeur, donc seul le routeur entend cette trame

  4. Deux solutions :

  • si le routeur ne transmet pas les broadcast, aucune machine ne recevra le paquet

  • si le routeur transmet les broadcast, le routeur transmetytra le paquet dans une trama de broadcast sur le réseau 10.10.20.0/24 et toutes les machines de ce réseau entendront cette trame et accepteront le paquet




VLAN 1, SR1

10.10.10.0/24

VLAN 2, SR2

10.10.20.0/24




  1. Aucun

  2. Sur le routeur : (1) pas de câblage

(2) programmation de son interface en deux sous interfaces et attribution des adresses IP

(3) installation du protocole d’étiquettage des trames sur le port fastethernet

Sur le switch : (1) éventuellement câblage (dépend du type de VLAN)

(2) création des VLANet affectation des utilisateurs

(3) installation du protocole d’étiquettage des trames sur le lien vers le routeur

  1. Toutes les machines du VLAN appartient 10.10.0.3, c’est à dire logiquement les machines du réseau 10.10.10.0/24

  2. Toutes les machines du réseau 10.10.10.0/24 qui sont dans le VLAN de 10.10.0.3

  3. Comme 6.

  4. Comme 7.

  5. Avantages : (1) moins cher

(2) peu ou pas d’intervention sur le câblage (dépend du type de VLAN mis en oeuvre)

(3) retour facile à la situation de départ si il y a un problème

Inconvénients : (1) il faut maîtriser les VLAN (configurations plus complexes)

(2) l’architecture logique n’est plus lisible sur l’architecture physique, le réseau est plus difficile à comprendre


similaire:

Examen Médian iconExamen de culture générale en arabe et français ou anglais+ examen...

Examen Médian iconL’examen d’un placenta transmis sans aucune donnée clinique ne peut pas être informatif
...

Examen Médian iconMatière d’examen = cours oral; ce qui n’a pas été évoqué du tout...
...

Examen Médian iconExamen #S

Examen Médian iconExamen

Examen Médian iconExamen Passage

Examen Médian iconExamen probatoire

Examen Médian iconExamen probatoire

Examen Médian iconExamen probatoire

Examen Médian iconExamen de l’intelligence








Tous droits réservés. Copyright © 2016
contacts
ar.21-bal.com