Année scolaire 2008-2009 IG2I L5GRM Devoir Surveillé de Sécurité des Réseaux Enseignant : Armand Toguyéni Durée : 2h Documents : Autorisés Note : Ce sujet comporte deux parties. La partie A est une étude de cas et la partie B un QCM. Pour le QCM vous répondrez directement sur la feuille en oubliant pas d indiquer votre nom et prénom. Partie A : Etude de cas La PME ELITE spécialisée dans la mode dispose d une connexion ADSL pour l accès à INTERNET. Son routeur d accès à INTERNET est un routeur CISCO 2630 disposant d une interface ADSL et d une interface Ethernet. L interface ADSL a pour adresse IP, l adresse 87.32.28.12/30. Ses équipements informatiques sont en adressage IP privé et utilise la plage 172.28.100.0/24. L entreprise désire gérer en interne son serveur de noms (Name server), son serveur de messagerie et son serveur web. L administrateur décide donc d établir un plan d adressage qui est résumé par le Tableau 1. Equipement Adresse IP Nom canonique Alias Interface interne du routeur d'accès 172.28.100.1/24 Serveur de nom 172.28.100. 53/24 elite1.elite.com ns1.elite.com Serveur de messagerie 172.28.100.25/24 elite2.elite.com mailhost.elite.com Serveur web 172.28.100.80/24 elite3.elite.com www.elite.com Tableau 1. Plan d adressage d ELITE 1. Combien d équipements non serveurs peuvent être raccordés au réseau local de l entreprise compte-tenu de ce plan d adressage? 2. Est-ce que ce plan d adressage permet une mise en œuvre du serveur de noms? Justifier votre réponse? 3. Proposer un fichier de zone directe pour la mise en œuvre du serveur de nom? 4. Quel service doit être mis en œuvre sur le routeur d accès pour que les serveurs de l entreprise soit accessibles depuis INTERNET? On veillera à être très précis dans la réponse donnée. 5. Décrire fonctionnellement la mise en œuvre de ce service? On pourra s appuyer sur un tableau reprenant des éléments du Tableau 1. - 1/10 -
6. Afin de sécuriser l accès à son réseau, ELITE désire mettre en œuvre des ACLs sur certains de ses équipements. Règle Direction Protocole Adresses source Port Source Adresses Destination Port Destination Statut connexion Ack Action 1 Entrant TCP 0/0 288 172.28.100.0/24 > 1023 ESTABLISHED Permission 2 Entrant TCP 0/0 310 172.28.100.0/24 3000 Oui Refus Tableau 2. Exemple d écriture d ACL 7. Proposer les règles d ACL à mettre en œuvre pour sécuriser l accès au réseau en vous inspirant de l exemple donné par le Tableau 2. Utiliser selon vos besoins les paramètres «statut connexion» ou «Ack» pour filtrer les différents paquets. Le statut connexion peut prendre l une des valeurs suivantes (INVALID, ESTABLISHED, NEW, RELATED). 8. Ou placer la (ou les) ACL? On précisera les équipements, les interfaces et le sens. Remarque : Sur la page suivante commence une autre partie du DS - 2/10 -
Partie B : QCM à choix multiple Nom : Prénom : Notation : Entourez au stylo le numéro de la (ou les) réponse(s) correctes. Une réponse fausse enlève un point (-1), l absence de réponse est équivalente à zéro point (0), une bonne réponse à une réponse unique donne un point (1). Une question à réponses multiples donne un nombre de points équivalent au prorata entre les bonnes et les fausses réponses. 1) Lequel des services suivants n est pas assuré par SSH? a. L établissement de connexions interactives, b. La création de tunnels sécurisés, c. L exécution de commandes distantes, d. Le transfert de fichiers. 2) Qu est-ce qu un firewall? a. Un équipement chargé de bloquer les paquets entrant ou sortant en fonction de critères comma l adresse IP, b. Un composant ou un ensemble de composants qui restreignent l accès entre un ensemble de réseaux protégés et l Internet, c. Un équipement d interconnexion réseau chargé du cloisonnement du réseau. 3) La Figure 1correspond à une utilisation d IPSEC en mode a. Transport, b. Tunnel, c. Connecté. Entête IP IP Originel En En tête IPSec Entête TCP/UDP Figure 1 4) Qu est-ce qu un système de filtrage de paquets? (deux bonnes réponses) Données a. Un équipement ou dispositif pour contrôler sélectivement le flux de données depuis et vers un réseau, b. Un équipement ou dispositif permettant la segmentation du réseau, c. Un équipement ou dispositif permettant le capture de trames, d. Un équipement ou dispositif pour effectuer le cloisonnement d un réseau. - 3/10 -
5) En supposant que l ACL ci-dessous est correctement appliqué à une interface, quelle effet cette ACL aurait sur le trafic? a. Tout le trafic vers le réseau 172.16.0.0 serait interdit, b. Tout le trafic TCP serait autorisé venant ou vers le réseau 172.16.0.0, c. Tout le trafic telnet venant du réseau 172.16.0.0 vers toute destination serait interdit, d. Tout les trafics issus d un port source 23 vers le réseau 172.16.0.0 serait interdit, e. Tout le trafic venant du réseau 172.16.0.0 serait interdit vers tous les autres réseaux. 6) Parmi les traitements ci-dessous quels sont ceux qui ne sont pas recommandés à réaliser sur un bastion? (deux bonnes réponses) a. Installation minimale d un système d exploitation propre, b. Corriger tous les bogues connus du système, c. Créer les comptes utilisateurs, d. Autoriser les connexions telnet venant de l internet. e. Protéger les traces système 7) Parmi les applications suivantes, lesquelles sont des proxys (mandataires) primitifs de part leur possibilité de configuration? (deux bonnes réponses) a. Sendmail b. Bind c. Squid d. Apache. 8) IPSEC est un protocole utilisé pour a. Le filtrage des connexions réseaux, b. Le routage des paquets, c. Pour l ouverture de tunnels sécurisés au travers Internet pour relier des réseaux d entreprise. 9) Qu est-ce que le PAT? a. De la translation dynamique de ports, b. De la translation dynamique d adresse IP, c. Du tunneling entre deux réseaux IP. 10) Quels sont les services offerts par un mandataire (proxy) cache? (deux bonnes réponses) a. Il conserve les pages fournies aux clients dans une mémoire cache, b. Il permet l optimisation du flux de requêtes externes, c. Il sert de frontal au serveur http interne. - 4/10 -
11) Quel est la fonction du démon «xinetd» sur une machine Unix? a. Etre à l écoute des demandes de connexion réseau arrivant sur une machine et lancer l application correspondre, b. Lancer une application Xwindows sur la machine considérée pour l affichage des résultats d une commande sur le serveur Xwindows de la machine, c. Faire une requête au DNS pour identifier la machine éloignée essayant de se connecter à la machine locale. 12) Les stations de travail au sein d une entreprise sont en adressage IP privé. Identifier les techniques possibles permettant à ces postes de se connecter sur des serveurs Internet. (Deux bonnes réponses) a. BOOTP b. DHCP c. NAT d. PROXY 13) Quel est l intérêt de la mise en œuvre d un serveur de logs dans une organisation? a. Centraliser l archivage des logs de tous les serveurs de l organisation, b. Sauvegarder les messages générés par une station lorsqu un utilisateur effectue une tentative de connexion, c. Mettre en place un serveur de gestion centralisée des autorisations de login des utilisateurs. 14) Quelle est la politique de sécurité appliquée par défaut par une Access Control List d IPTABLES sous linux? a. Tout ce qui n est pas explicitement autorisé est interdit, b. Tout ce qui n est pas explicitement interdit est autorisé, c. Tout ce qui n est pas interdit en entrée d un routeur est autorisé en sortie, d. Tout ce qui n est pas interdit en sortie d un routeur est autorisé en entrée. 15) Combien de routeurs sont nécessaires pour construire un sous réseau à écran? a. Un routeur b. Deux routeurs c. Trois routeurs 16) Sélectionner les réponses qui décrivent la vérification d un paquet par une ACL (trois bonnes réponses) a. Un implicite deny any rejette automatiquement tout paquet ne vérifiant aucune règle de l ACL, b. Un paquet peut aussi bien être rejeté que accepté en fonction de l action associée à une règle dont il vérifie les conditions, c. Un paquet qui a été refusé par une règle peut ensuite être autorisé par une règle suivante de l ACL, - 5/10 -
d. Un paquet qui n est vérifié par aucune règle de l ACL est accepté et transmis par défaut, e. Chaque règle est utilisée en fonction de son ordre jusqu à ce qu une règle soit vérifiée par le paquet ou que l ACL n est plus de règles, f. Chaque paquet est analysé par toutes les règles de l ACL avant qu une décision de transmission ne soit prise. 17) Parmi les protocoles suivants de couche application lesquels peuvent s appuyer sur SSL pour sécuriser leurs transactions? a. snmp b. http c. smtp d. nfs 18) Parmi les affirmations suivantes lesquelles ne correspondent pas à des caractéristiques des pare-feux (firewall)? (Trois bonnes réponses) a. Les pare-feux apportent sécurité et confidentialité des transmissions, b. Les pare-feux assurent la sécurité des connexions entrantes par authentification forte des utilisateurs, c. Les pare-feux servent à filtrer les connexions selon des règles établies par l administrateur, d. Les pare-feux permettent d effectuer du cloisonnement de réseaux, e. Les pare-feux servent à protéger les serveurs en cas d incendie. 19) Les règles des ACL sont exécutées de manière séquentielle. Si un paquet vérifie une règle, les règles suivantes ne sont pas analysées. Si aucune règle n est vérifiée quel traitement est réservé au paquet sur un routeur CISCO? a. Le paquet est stocké dans un buffer pour être transmis lorsque l ACL sera supprimé, b. Le paquet est renvoyé à la station émettrice avec un message ICMP de notification d erreur, c. La condition d autorisation implicite placée à la fin de l ACL permet au paquet d être accepté pour transmission, d. La condition de refus implicite placée à la fin de l ACL entraînera la suppression du paquet. 20) Dans quelle couche du modèle OSI fonctionne le protocole SSL? a. La couche réseau b. La couche transport c. La couche session d. La couche application - 6/10 -
21) Qu est-ce qu un serveur proxy ou mandataire? a. Un serveur qui permet des connexions sécurisées vers le réseau interne à partir d Internet, b. Un serveur qui permet des connexions sécurisées vers le réseau périphérique à partir d Internet, c. Un serveur qui permet de relayer les connexions du réseau interne vers Internet, d. Un serveur qui permet de relayer les connexions du réseau périphérique vers Internet. 22) Quels sont les services offerts par un VPN? (Trois bonnes réponses) a. Confidentialité des communications, b. Filtrage des connexions, c. Anti-rejeu des communications, d. Authentification des communications. 23) IPSEC est un protocole natif de a. IPX b. APPLETALK c. DECNET d. IPv4 e. IPv6 24) Identifier l ordre exact de mise en œuvre d actions de sécurité pour appliquer une stratégie de défense en profondeur : a. sécurité réseau à l aide de garde barrières, sécurité machine, sécurité des applications, sécurité d utilisation, b. sécurité machine, sécurité des applications, sécurité d utilisation, sécurité réseau à l aide de garde barrières c. sécurité des applications, sécurité d utilisation, sécurité réseau à l aide de garde barrières, sécurité machine d. sécurité d utilisation, sécurité des applications, sécurité réseau à l aide de garde barrières, sécurité machine 25) A quoi sert la méthode Diffie-Hellman a. A assurer la confidentialité des communications, b. A échanger des clés entre client et serveur, c. A combiner une clé privée avec une clé publique distante, d. A créer une clé commune utilisable par une méthode symétrique. - 7/10 -
26) https est un protocole sécurisé pour les transactions web. Il est basé sur : a. SSH b. SSL c. IPSEC 27) SSL est un protocole se sécurisation réseau qui offre les services suivants (trois bonnes réponses) : a. Confidentialité b. Authentification c. Intégrité d. Non Rejeu 28) Sélectionner les réponses correctes concernant les ACL étendus chez CISCO (deux bonne réponses) a. Les ACLs étendues utilisent un numéro compris entre 1 et 99, b. Les ACLs étendues se terminent avec une règle d autorisation implicite, c. Les ACLs étendues peuvent évaluer les adresses source et destination, d. Les ports des protocoles de transport peuvent être pris en compte dans les règles pour affiner les critères de filtrage de l ACL, e. Plusieurs ACLs peuvent être placées sur la même interface tant qu elles sont dans la même direction (IN ou OUT) 29) Encapsulated Security Payload (ESP) est un composant d IPSEC chargé de garantir (deux bonnes réponses) a. L authentification des données, b. L intégrité des données, c. Le non rejeu, d. La confidentialité des échanges. 30) Quelles sont les propriétés suivantes caractérisant le mode tunnel d IPSEC? (deux bonnes réponses) a. Il est basé sur une liaison spécialisée établies entre les routeurs frontières des réseaux de deux organisations, b. Il fournit une protection à l ensemble du paquet IP originel qui est considéré comme charge utile transportée, c. Ce mode est basé sur le principe d encapsulation (avec potentiellement des adresses source et destination différentes) - 8/10 -
31) Une politique de sécurité par l hôte consiste à a. Renforcer la sécurité des applications de la machine hôte, b. Renforcer la sécurité de chaque machine hôte, c. Renforcer la sécurité du réseau. 32) La notion de port utilisé dans les ACL est un système d adressage de a. La couche liaison, b. La couche réseau, c. La couche transport, d. La couche application. 33) Quels sont les services offerts par le NAT? a. Effectuer une distribution de charge sommaire, b. Allouer dynamiquement des adresses aux postes qui démarrent sur le réseau de l entreprise, c. Améliorer la sécurité, d. Permettre à un serveur proxy de se connecter sur Internet 34) Quelle est la politique de sécurité appliquée par défaut par une Access Control List chez CISCO? a. Tout ce qui n est pas explicitement autorisé est interdit, b. Tout ce qui n est pas explicitement interdit est autorisé, c. Tout ce qui n est pas interdit en entrée d un routeur est autorisé en sortie, d. Tout ce qui n est pas interdit en sortie d un routeur est autorisé en entrée. 35) Où doit-on placer une ACL standard? a. Prêt de la source, b. Prêt de la destination, c. Sur une interface Ethernet, d. Sur une interface série. 36) Dans quelle couche du modèle OSI fonctionne le protocole SSH? a. La couche réseau b. La couche transport c. La couche session d. La couche application - 9/10 -
37) Quelles sont les raisons parmi les suivantes qui justifient l utilisation d ACLs? (trois bonnes réponses) a. Fournir un niveau de sécurité de base pour l accès au réseau, b. Augmenter les performances du réseau en privilégiant les paquets prioritaires, c. Préserver la bande passante en fournissant un mécanisme pour contrôler les flux de trafic, d. Décider quels paquets sont transmis ou bloqués par le port console du routeur, e. Autoriser ou interdire l accès à certaines parties du réseau à certaines stations, f. Permettre à tous les paquets de traverser le routeur pour atteindre n importe quel point du réseau. 38) Quelle est la caractéristique des adresses IP des serveurs placés sur la DMZ? a. Ce sont des adresses privées, b. Ce sont des adresses générales, c. Ce sont des adresses publiques, d. Ce sont des adresses réservées par l IANA et appartenant à la classe E. 39) Authentication Header (AH) est un composant d IPSEC chargé de garantir (une bonne réponse) a. L authentification des données, b. L intégrité des données, c. Le non rejeu, d. La confidentialité des échanges. 40) La stratégie de sécurité du «goulet d étranglement» consiste à a. A provoquer des congestions pour empêcher les attaques du réseau interne, b. Forcer les attaques à passer par un point d accès au réseau que l on peut surveiller facilement, c. A identifier par métrologie les liaisons du réseau congestionné afin d en augmenter la capacité et ainsi résoudre les problèmes de congestion. - 10/10 -