Conservatoire National des Arts et Métiers. Chaire de Réseaux



Documents pareils
Présentation du modèle OSI(Open Systems Interconnection)

TP c Fonctions des listes de contrôle d'accès multiples (TP avancé)

Plan du Travail. 2014/2015 Cours TIC - 1ère année MI 30

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203

Installation d un serveur DHCP sous Gnu/Linux

Oléane VPN : Les nouvelles fonctions de gestion de réseaux. Orange Business Services

TP réseau Les réseaux virtuels (VLAN) Le but de se TP est de segmenter le réseau d'une petite entreprise dont le câblage est figé à l'aide de VLAN.

Protocoles réseaux. Abréviation de Binary Digit. C'est la plus petite unité d'information (0, 1).

Principes de DHCP. Le mécanisme de délivrance d'une adresse IP à un client DHCP s'effectue en 4 étapes : COMMUTATEUR 1. DHCP DISCOVER 2.

Installation d'un serveur DHCP sous Windows 2000 Serveur

Réseau : Interconnexion de réseaux, routage et application de règles de filtrage.

Le WiFi sécurisé. 16 Octobre 2008 PRATIC RIOM

Dossier de réalisation d'un serveur DHCP et d'un Agent-Relais SOMMAIRE. I. Principe de fonctionnement du DHCP et d'un Agent-Relais

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

Master d'informatique 1ère année. Réseaux et protocoles. Architecture : les bases

Sécurité des réseaux Firewalls

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques

But de cette présentation

L exemple d un serveur Proxy sous Windows NT 4 SERVER MICROSOFT PROXY SERVER 2 Installation et configuration Auteur : Eliane Bouillaux SERIA5

Présentation d'un Réseau Eole +

Présentation et portée du cours : CCNA Exploration v4.0

Administration des ressources informatiques

Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage:

CAS IT-Interceptor. Formation «Certificate of Advanced Studies»

NOTE D'APPLICATION CONCERNANT LA MISE EN SERVICE DE MATERIELS SUR RESEAU IP

GENERALITES. COURS TCP/IP Niveau 1

ETI/Domo. Français. ETI-Domo Config FR

Chapitre 1 Le routage statique

Cisco Certified Network Associate

Introduction. Adresses

TP Linux : Firewall. Conditions de réalisation : travail en binôme. Fonctionnement du parefeu Netfilter. I Qu est ce qu'un firewall?

SUJET DES FINALES NATIONALES Sujet jour 1 version 1

DSCG : UE5 - Management des Systèmes d'information CARTE HEURISTIQUE...1 ARCHITECTURE PHYSIQUE...2

Discussion autour d un réseau local

Cahier des Clauses Techniques Particulières. Convergence Voix - Données

DIFF AVANCÉE. Samy.

Rappels réseaux TCP/IP

NOTIONS DE RESEAUX INFORMATIQUES

Cisco Certified Network Associate

2. DIFFÉRENTS TYPES DE RÉSEAUX

Réseaux Locaux. Objectif du module. Plan du Cours #3. Réseaux Informatiques. Acquérir un... Réseaux Informatiques. Savoir.

TP : STATION BLANI 2000 SIMULATION DU RESEAU INFORMATIQUE

MAUREY SIMON PICARD FABIEN LP SARI

Configurer le Serveur avec une adresse IP Statique (INTERFACE :FastEthernet) : et un masque

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Administration de Réseaux d Entreprises

SYSTEME DE GESTION DES ENERGIES EWTS EMBEDDED WIRELESS TELEMETRY SYSTEM

Protocoles IP (2/2) M. Berthet. Les illustrations sont tirées de l ouvrage de Guy Pujolle, Cours réseaux et Télécom Contributions : S Lohier

Figure 1a. Réseau intranet avec pare feu et NAT.

TAGREROUT Seyf Allah TMRIM

acpro SEN TR firewall IPTABLES

Chapitre I. La couche réseau. 1. Couche réseau 1. Historique de l Internet

État Réalisé En cours Planifié

Guide de connexion à. RENAULT SA et PSA PEUGEOT CITROËN. via ENX

Travaux pratiques : dépannage de la configuration et du placement des listes de contrôle d'accès Topologie

Fiche d identité produit

TP 1 et 2 de Réseaux en Master 1 Informatique : Assemblage d un réseau, configuration d adresses IP sous Linux et Windows

Etape 1 : Connexion de l antenne WiFi et mise en route

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Routage Statique. Protocoles de Routage et Concepts. Version Cisco Systems, Inc. All rights reserved. Cisco Public 1

Les réseaux de campus. F. Nolot

Guide d installation Caméras PANASONIC Série BL

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

MANUEL D'INSTALLATION

Jean-Louis Cech descente des Princes des Baux Orange Orange : 20 juin 2014.

Microsoft Windows NT Server

L3 informatique Réseaux : Configuration d une interface réseau

«SESSION 2009» RESEAUX DE TELECOMMUNICATIONS ET EQUIPEMENTS ASSOCIES. Durée : 2 h 00 (Coef. 3)

TABLE DES MATIERES. I. Objectifs page 2. II. Types de réseaux page 2. III. Transmission page 2. IV. Câbles page 3. V.

E4R : ÉTUDE DE CAS. Durée : 5 heures Coefficient : 5 CAS TRACE ÉLÉMENTS DE CORRECTION

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

SOMMAIRE : CONFIGURATION RESEAU SOUS WINDOWS... 2 INSTRUCTIONS DE TEST DE CONNECTIVITE... 5

TD n o 8 - Domain Name System (DNS)

La Solution Crypto et les accès distants

Groupe Eyrolles, 2000, 2004, ISBN :

Présentation et portée du cours : CCNA Exploration v4.0

Réseaux IUP2 / 2005 IPv6

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

Charte d installation des réseaux sans-fils à l INSA de Lyon

[ Sécurisation des canaux de communication

LES RESEAUX VIRTUELS VLAN

E5SR : PRODUCTION ET FOURNITURE DE SERVICES. Durée : 4 heures Coefficient : 5 CAS RABANOV. Éléments de correction

Catalogue & Programme des formations 2015

Appliance Check Point 4600

Le filtrage de niveau IP

TP 3 Réseaux : Subnetting IP et Firewall

Plan. Programmation Internet Cours 3. Organismes de standardisation

Tout sur les Réseaux et Internet

Compte-rendu du TP n o 2

7.1.2 Normes des réseaux locaux sans fil

Voix et Téléphonie sur IP : Architectures et plateformes

Formation Iptables : Correction TP

Chapitre 11 : Le Multicast sur IP

TD 2 Chapitre 4 : Support des Services et Serveurs. Objectifs : Maîtriser l'exploitation des tables de routage dynamique.

Les Réseaux Informatiques

Transcription:

Conservatoire National des Arts et Métiers 292, rue Saint Martin 75141 PARIS Cedex 03 Chaire de Réseaux Date de l examen : Mercredi 30 juin 2004 Titre de l enseignement : INFORMATIQUE CYCLE APPROFONDISSEMENT IRSM Nature : CO Cycle : B1 Code : 16463 Nombre de pages: 6 pages (celle-ci comprise) Nom du responsable : J. P. ARNAUD TOUS DOCUMENTS AUTORISES Calculatrice scientifique autorisée Durée : 3 heures Les énoncés sont relativement détaillés et tentent d exclure toute ambiguïté. Cependant, la réponse à fournir est souvent plus courte que la question elle-même et inférieure à 3 lignes dans la plupart des cas. La correction tiendra compte de la précision et de la concision des réponses fournies, ainsi que de leur présentation.

Etude d'un réseau d'entreprise Présentation du contexte La Première SA (LP SA) est une entreprise de grande taille intervenant dans le secteur du Bâtiment et des Travaux Publics (BTP). Son siège social est localisé à Marseille. LP SA est amenée à restructurer son réseau informatique et à modifier certaines pratiques de gestion. La restructuration impose un débit de 100 Mbps sur les liaisons vers les prises murales destinées aux postes de travail. Ainsi, tous les postes de travail et les serveurs de LP SA doivent être raccordés directement à Internet. La société a obtenu la plage d'adresses IP 195.10.228.0/24 (masque sur 24 bits : 255.255.255.0), pour l'ensemble des machines du siège et des agences de LP SA. Vous êtes chargé(e) de participer à la refonte du réseau. I Résolution d'incidents sur le réseau du siège de LP SA (Marseille). Le Directeur Financier rencontre un problème avec le nouvel ordinateur que vous lui avez installé la semaine dernière et qui est connecté au réseau de façon intermittente. Il a noté les messages qui sont apparus lors de ses deux dernières tentatives de connexion: «Le système a détecté un conflit entre l'adresse IP 195.10.228.116 et l'adresse matérielle 00 : 13 : B8: 3C : F7 :B2» «Le système a détecté un conflit entre l'adresse IP 195.10.228.116 et l'adresse matérielle 00 : 13: B8 : 3C : F4 :D5» Son adresse IP fixe est 195.10.228.116/25 (/25 signifie «masque sur 25 bits» soit 255.255.255.128). Votre responsable vous demande de résoudre ce problème, en vous appuyant sur les annexes 1 et 2. II 1. Expliquer la cause du dysfonctionnement. 2. Proposer une solution pour éliminer ce dysfonctionnement. Infrastructure On se réfère à l'annexe 1; le directeur financier pense qu'il aurait été plus économique de remplacer les switchs par des hubs et vous demande de revoir votre architecture. 3. Maintenez-vous votre position ou accédez-vous à sa demande? Précisez votre réponse par rapport aux performances, et à l'évolutivité du réseau. Les serveurs sont mis en place dans les locaux techniques principaux (voire annexe 1). 4. Est-il possible de les raccorder à 1 Gbps? Si oui, quel câblage préconisez-vous?

III CONFIGURATION DU RÉSEAU IP Annexes à utiliser : annexes 1 et 2 En utilisant les annexes 1 et 2 vous êtes chargé(e) d'analyser le plan d'adressage de la société. 5. Vérifier que le plan d'adressage permet de prendre en charge le nombre d'interfaces nécessaire pour chaque site. 6. Quels sont les protocoles de routage qui peuvent être utilisés dans cette configuration? Vous êtes également chargé(e) de tester la configuration actuelle des routeurs Rl, R2 et R3. Le routeur R4 a déjà été configuré et testé. Deux commandes ont été lancées avec succès: Commande 1 : À partir du poste d'adresse 195.10.228.15 : ping 195.10.228.135 Commande 2 : À partir du poste d'adresse 195.10.228.15 : ping 195.10.228.164 Une commande n'a pas abouti: Commande 3: À partir du poste d'adresse 195.10.228.135: ping 195.10.228.164 7. Lister les équipements traversés lors de l'exécution de la commande 2 8. Lister les équipements traversés lors de l'exécution de la commande 3, ainsi que les lignes des tables de routage utilisées et expliquer la raison de l'échec de cette commande. 9. Proposer la correction à apporter pour que la commande 3 fonctionne correctement. 10. Donner le contenu de la table de routage de R4 en utilisant le format de l'annexe 2. IV Sécurisation du réseau Le serveur SLP-PRINC fait office de serveur de courrier électronique. Lassé des attaques quotidiennes contre le réseau, vous souhaitez sécuriser le réseau, en particulier pour le courrier électronique via un pare-feu (matériel et logiciel chargés de filtrer les communications avec l'extérieur), et faire transiter tout le courrier électronique à destination de l'entreprise par un serveur externe cs.securite.fr (adresse IP sl.s2.s3.s4), géré par une société informatique spécialisée, et chargé en particulier de détruire les messages infectés par des virus, avant de transmettre le courrier au serveur interne de l'entreprise dont le nom est courrier.slp.com (sur SLP-PRINC). Parmi les règles de configuration du pare-feu, il y a les deux suivantes : les paquets à destination de SLP-PRINC sont détruits, sauf s'ils contiennent du courrier électronique (protocole SMTP) en provenance de sl.s2.s3.s4, ou s'ils proviennent d'une machine du réseau de l'entreprise. si une machine externe scanne les ports des machines de l'entreprise, c'est-à-dire émet des demandes de connexion répétées sur des ports différents pendant un bref intervalle de temps, elle est ajoutée à la liste noire des sites dont tous les paquets IP sont systématiquement refusés (détruits) à l'entrée du réseau de l'entreprise.

V 11. Pour les deux règles de filtrage ci-dessus, expliquer précisément quels sont les en-têtes des paquets IP entrants que le pare-feu doit consulter, et quels champs de ces en-têtes il doit examiner. 12. Le routeur R1 peut-il faire office de pare-feu au sens indiqué précédemment, ou faut-il ajouter à l'architecture une machine spécialisée? 13. A quoi peut servir, pour un attaquant éventuel, la pratique consistant à scanner les ports des machines d'une entreprise? 14. Expliquer comment, tant que le pare-feu est configuré comme indiqué ci-dessus, un attaquant peut très simplement priver l'entreprise de courrier, sans disposer d'aucun accès ni sur les machines de l'entreprise, ni sur celles du sous-traitant de sécurité, et sans disposer d'informations confidentielles. 15. Quel est le nom du type d'attaque correspondant à la question 13? Evolution vers le multimédia Le site de Marseille abrite la direction générale et les services commerciaux de LP SA. Les services commerciaux souhaitent tourner des vidéos de courte durée (2 à 5 mn) présentant les réalisations de la société. Ces vidéos seront hébergées sur le serveur principal et doivent être consultables depuis le terminal de n importe quel commercial qui pourra ainsi les présenter à son prospect. Les vidéos doivent pouvoir être transférés à n importe quelle société intéressée lors de congrès, journée marketing 16. Quel codage proposez-vous pour la vidéo? 17. Quel type de commutation cette évolution vous conduirait-elle à favoriser pour les switches : cut-through, store and forward ou adaptive fragment-free? 18. Pensez-vous que le résultat sera satisfaisant? 19. Lors de leur visite sur les sites des agences, les commerciaux souhaiteraient avoir un accès aux vidéos disponibles à Marseille ; quels sont les paramètres de qualité de service les plus importants sur le réseau à grande distance pour obtenir un résultat satisfaisant? 20. Ces paramètres de qualité de service sont-ils gérés au niveau des routeurs ou impliquent-ils des liaisons permanentes de technologie spécifique?

Annexe 1 : architecture du réseau RI, R2, R3 et R4 sont des routeurs qui relient les sites. SWn identifie les commutateurs (switch) installés dans les locaux de sous-répartition situés dans chaque étage du site de Marseille, et dans le local technique (il n'y a jusqu'à quinze mètres entre les locaux les plus éloignés). SW1, SW2, SW3, SW4, ainsi que les «workgroup switches» dans les agences sont des commutateurs 12 ou 24 ports 10/100 Mbps empilables avec un emplacement accueillant actuellement un adaptateur (transceiver) optionnel 10BASE T, et qui disposent par ailleurs d'un emplacement libre permettant d'installer au choix deux adaptateurs 1000BASE-SX, 1000BASE-LX ou 1000BASE-T. Chacune des lignes en pointillé correspond à un câble. Les laisons d interconnexion sont des liaisons permanentes.

ANNEXE 2 : Extraits du plan d'adressage Site ou liaison Adresse réseau Masque de sous-réseau Marseille 195.10.228.0 255.255.255.128 Salon 195.10.228.128 255.255.255.224 Aix 195.10.228.160 255.255.255.224 Arles 195.10.228.192 255.255.255.224 R1-R2 195.10.228.224 255.255.255.252 Rl-R3 195.10.228.228 255.255.255.252 RI-R4 195.10.228.232 255.255.255.252 Le sous-réseau de Marseille dispose de postes en adressage fixe, mais aussi de postes en adressage dynamique (les portables des chefs de chantier qui rapatrient les données enregistrées dans la journée à leur retour des visites de chantier). Le serveur DHCP de Marseille gère la plage d'adresse suivante: Plage d'adresses disponibles: 195.10.228.106-195.10.228.125 Exemples de configuration des postes dans chaque site Site Adresse d'un poste Masque Routeur par défaut Marseille 195.10.228.4 255.255.255.128 195.10.228.1 Salon 195.10.228.135 255.255.255.224 195.10.228.129 Aix 195.10.228.167 255.255.255.224 195.10.228.161 Arles 195.10.228.201 255.255.255.224 195.10.228.193 Table de routage pour Rl Réseau Masque Next hop Interface 195.10.228.0 255.255.255.128 195.10.228.1 195.10.228.1 195.10.228.128 255.255.255.224 195.10.228.226 195.10.228.225 195.10.228.160 255.255.255.224 195.10.228.230 195.10.228.229 195.10.228.192 255.255.255.224 195.10.228.234 195.10.228.233 Table de routage pour R2 Réseau Masque Next hop Interface 195.10.228.128 255.255.255.224 195.10.228.129 195.10.228.129 195.10.228.0 255.255.255.128 195.10.228.225 195.10.228.226 195.10.228.160 255.255.255.224 195.10.228.225 195.10.228.226 195.10.228.192 255.255.255.224 195.10.228.225 195.10.228.226 Table de routage pour R3 Réseau Masque Next hop Interface 195.10.228.160 255.255.255.224 195.10.228.161 195.10.228.161 195.10.228.0 255.255.255.128 195.10.228.229 195.10.228.230 195.10.228.128 255.255.255.224 195.10.228.233 195.10.228.230 195.10.228.192 255.255.255.224 195.10.228.229 195.10.228.230

Eléments de correction Q1. L'adresse attribuée fait partie des adresses gérées par le serveur DHCP. Deux adresses Mac différentes correspondent au conflit, ce qui correspond bien au fait que la même adresse IP a été attribuée à deux stations différentes à des instants différents correspondant aux deux tentatives de connexion et que ces deux adresses sont identiques à l'adresse fixe du directeur financier. Q2. La solution la plus simple est d'attribuer au directeur financier une adresse fixe en dehors de la plage gérée dynamiquement. Q3. Le diamètre de collision est supérieur à 205 m (quinze mètres entre locaux et peut-être 100m jusqu'aux stations selon la norme) si l'on utilise des hubs; il est peu raisonnable de remplacer les switch par des hubs. Par ailleurs, les serveurs étant connectés directement sur SW1, il peut être intéressant de les faire bénéficier d'un attachement FDX. En revanche, les sites d'agence ne sont probablement pas pourvus de serveurs très sollicités (pas de multimedia entre autres) et sont de taille réduite : on peut imaginer de les laisser équipés de hubs. Q4. Les switch le permettent, mais il serait préférable de réaliser le câblage en fibre pour éviter tout problème de câblage (diamètre de collision, perturbations); c'est d'autant plus facile que les serveurs sont dans les locaux techniques. Les distances étant courtes on peut néanmoins utiliser un câble en cuivre (dans ce cas la cat 5e est nécessaire). Site ou liaison Adresse réseau Masque de sous-réseau Nombre max de stations Marseille 195.10.228.0 255.255.255.128 126 Salon 195.10.228.128 255.255.255.224 30 Aix 195.10.228.160 255.255.255.224 30 Arles 195.10.228.192 255.255.255.224 30 Q5. Le tableau montre que le plan d'adressage est satisfaisant. Q6. Il faut un protocole de routage qui supporte transporte les masques de sous réseau, puisque nous avons à faire à des masques de longueur variable (VSM); RIP V2 (pas V1) ou OSPF sont envisageables. RIPv2 est approprié car il n'y a pas de boucles donc peu de risque de comptage à l'infini (le clivage d'horizon protège des erreurs). Q7. Ping = ICMP echo reply, donc il faut se rappeler qu il faut faire un aller retour! Les équipements traversés sont donc (en suivant les tables de routage) source SWXX, SW1, R1, R3, WG SW, destination, WG SW, R3,R1, SW1, SWXX, source. Q8. la ligne 3 : 195.10.228.128 255.255.255.224 195.10.228.233 195.10.228.230

de R3 est fausse (le next hop devrait être 195.10.228.229) et le paquet en retour n arrive jamais. Q9. On peut attendre s il s agit d un protocole dynamique ou revoir la config s il s agit d une route statique Q10. Table de routage pour R4 Réseau Masque Next hop Interface 195.10.228.128 255.255.255.224 195.10.228.233 195.10.228.234 195.10.228.0 255.255.255.128 195.10.228. 233 195.10.228. 234 195.10.228.160 255.255.255.224 195.10.228. 233 195.10.228. 234 195.10.228.192 255.255.255.224 195.10.228.193 195.10.228.193 Q11. Règle 1 - le pare-feu consulte l'adresse de destination, dans l'en-tête IP si c!est xl.x2.x3.x4, il examine l'adresse source, dans l'en-tête IP ; si ce' n'est pas sl.s2.s3.s4, le paquet est détruit. Enfin le pare-feu consulte le port de destination, dans l'en-tête TCP; si ce n'est pas SMTP (port 25), le paquet est détruit. Règle 2: le pare-feu mémorise les adresses sources (en-tête IP) des paquets entrants récents, et les ports de destination (en-tête TCP), pour repérer d'éventuels attaquants à ajouter à la liste noire. Pour refuser les paquets issus de sites ainsi répertoriés, il suffit de consulter l'adresse source, dans l'en-tête IP. Q12. Le routeur est une machine de niveau 3 et n'examine pas en principe l'en-tête TCP, ce qui le rend inapte à appliquer les règles définies précédemment. Dans la pratique, de nombreux routeurs sont capables de refuser l'accès aux paquets en fonction du n de port TCP (pseudo-en tête). En revanche les routeurs ne mémorisent pas en général les adresses source, ce qui impose une machine spécialisées pour les stocker. Q13. Scanner les ports des machines d'une entreprise permet de déterminer quels sont les services actifs sur cette machine. Pour poursuivre l'attaque, il faut ensuite essayer de déterminer quel est le logiciel serveur (et sa version) sur un port actif, et exploiter des failles éventuelles de ce logiciel. Note : affirmer qu'un port actif permet ipso facto de prendre le contrôle de la machine est une absurdité qui dénote une absence de réflexion inquiétante concernant les principes d'internet Q14. Cette configuration du pare-feu est dangereuse, car un attaquant peut se faire. passer pour le serveur de courrier externe (cs.securite.fr adresse IP sl.s2.s3.s4), en falsifiant (spoofing) l'adresse source des paquets IP émis. Il n'a plus qu'à scanner les ports d'une machine de l'entreprise, avec ces paquets usurpés, pour faire mettre le serveur externe de courrier sur liste noire. Toutes les informations nécessaires à cette attaque sont publiques, il suffit d'interroger le serveur DNS responsable du domaine slp.com Q15. Scanning de port puis déni de service. Q16. Service de visionnage (il suffit d'une qualité moyenne pour prendre conaissance des biens réalisations) : MPEG1 suffit et est compatible avec les liaisons externes (2 Mbps) Q17. Le fragment free est le plus approprié : temps de traversée réduit, temps de traversée constant, peu de propagation d'erreur. Par ailleurs la version adaptive

permettra de basculer vers le store and forward si le taux d'erreur augmente, ce qui est souhaitable pour les applications traditionnelles. Q18. On a 122 interfaces; dès lors que le nombre de consultations simultanées reste inférieur à quelques dizaines de machines (moins d'une vingtaine- réaliste compte tenu de la faible durée des séquences) la charge sur le réseau sera faible et le nombre de collisions peu important. Compte tenu du choix de commutateur, on peut s'attendre à un succès de l'opération, surtout si l'on équipé les serveur en 1Gbps (Full duplex). Q19. Débit, gigue de transmission Q20. Si les liaisons sont permanentes et de débit suffisant (ce qui est le cas pour le MPEG1), la gestion de la QOS peut être faite au niveau des routeurs (compte tenu de leur petit nombre, on peut même songer à implanter RSVP).

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back