Prepan e t pour russir lexamen vient pour aider les stagiaires de la filire Techniques de Rseaux Informatiques (TRI), deuxime anne, se prparer pour lexamen de fin de formation thorique. Vous trouverez des exercices, des tudes de cas,avec corrigs, vous trouvez aussi les noncs des examens de fin de formation des dernires annes. A. EL GHATTAS Errachidia, le 12 Avril 2009
3 Rappel
Le calcul de la moyenne gnrale est comme suit : Moyenne gnrale de fin de formation : (moyenne de passage + moyenne des modules2 + moyenne de la thorie2 + moyenne de la pratique3 + moyenne de la communication)/9 Avec : moyenne de la communication = (arabe + franais + anglais)/3 Exemple : un stagiaire ayant obtenu les notes suivantes : Moyenne de passage : 09/20 Moyenne des modules : 12/20 Moyenne de la thorie : 08/20 Moyenne de la pratique : 11/20 Arabe : 13/20 Franais : 10/20 Anglais : 07/20 A pour moyenne gnrale : 10.22/20 admis On rappelle aussi que : Les stagiaires ayant obtenu aux examens de fin de formation, une moyenne gnrale suprieure ou gale 09/20 et infrieure 10/20 seront soumis aux dlibrations du CGCP en vue de dcider: - soit de les autoriser redoubler; - soit de les exclure. Le droit au redoublement n'est accord qu'une seule fois durant le cycle de formation. Tout stagiaire ayant obtenu une moyenne infrieure 09/20 aux examens de fin de formation est automatiquement exclu.
Pour se prparer pour les examens de fin de formation, vous sollicitez laide de votre formateur pour vous donner les sujets et corrigs des preuves d'examen de la filire TRI des annes prcdentes. Il vous fournit pour cela un point de dpart, ladresse dun site Internet dont il apprcie rgulirement la pertinence, le site : http://www.tri-errachidia.org.ma
Navigation dans le site Sur votre poste de travail connect Internet, vous utilisez votre navigateur et saisissez ladresse fournie.
1. Analysez la structure de ladresse fournie : http://www.tri-errachidia.org.ma. 2. Expliquez les oprations qui se sont droules entre le moment o vous avez saisi votre adresse et celui o elle sest affiche comme prsent ci-dessus. Quel est le protocole qui a alors t mis en jeu, entre quelles machines sest il entremis et quelle en est la finalit ?
7 Recherche dun examen Dans lcran prcdent, vous choisissez dans le menu le lien Tlchargement FTP ce qui vous conduit lcran :
Vous choisissez examens
et vous voyez le dossier examen de fin de formation dans lequel vous trouvez les diffrents documents qui vous intressent.
3. Quelles diffrences constatez-vous ici dans la mise en uvre des protocoles HTTP et FTP ? 4. Analysez la structure de ladresse ftp://ftp.tri-errachidia.org.ma/ qui apparat dans la barre dadresse de votre navigateur. 5. Votre navigateur prend-il en charge aussi bien le protocole HTTP que le protocole FTP ? 6. Quelles sont les informations qui apparaissent lorsquon visite un site FTP ? Comment sont-elles structures ?
8 Recherche complmentaire Le document que vous avez tlcharg rpond partiellement vos besoins, il vous manque les corrigs de quelques examens. Vous pensez que ces informations ne sont peut-tre fournies que sur demande express.
Dans le bas de la page Tlchargement FTP , vous avez repr une information qui peut vous tre utile :
Vous cliquez sur le lien webmaster@tri-errachidia.org.ma . Ce clic ouvre votre gestionnaire de courrier, dans lequel vous saisissez votre demande avant de lenvoyer :
7. Analysez la structure de ladresse webmaster@tri-errachidia.org.ma 8. Pourquoi votre gestionnaire de courrier a-t-il t automatiquement ouvert ? 9. Quel est le protocole mis en uvre lorsque vous expdiez ce courrier ? 10. De quels outils logiciels disposerez-vous pour prendre connaissance de la rponse et quels sont les protocoles utiliss pour la relve du courrier ?
9 Corrig Corrig Corrig Corrig Exonet N 1 Exonet N 1 Exonet N 1 Exonet N 1
Question 1. Analysez la structure de ladresse rticulaire (URL) fournie : http://www.tri- errachidia.org.ma .
Comme son nom lindique, une URL (Uniform Resource Locator) permet didentifier une ressource dans lespace Internet ; une ressource est une page fournie par un serveur un client selon un certain protocole ; chez le client la page codifie laide du langage HTML est affiche aprs avoir t interprte par son explorateur. Le client, cest la machine de lutilisateur disposant de lexplorateur Internet Explorer dans notre exemple. http : nom du protocole utilis pour le dialogue entre le serveur et le client. www : nom du serveur fournissant les ressources. Ce nom est choisi arbitrairement par son administrateur ; traditionnellement, cest www mais ce nest pas une obligation. Ce nest pas un nom de machine physique, mais celui dun service Web implment dans une machine. tri-errachidia.org.ma : nom du domaine (ma) dans lequel se trouve un sous-domaine (org) , rserv pour quelques organisations, qui contient le sous sous domaine (tri-errachidia). Les caractres : ou / sont des sparateurs.
Question 2. Expliquez les oprations qui se sont droules entre le moment o vous avez saisi votre adresse rticulaire et celui o elle sest affiche comme prsent ci-dessus. Quel est le protocole qui a alors t mis en jeu, entre quelles machines sest il entremis et quelle en est la finalit ?
Entre la saisie de ladresse www.tri-errachidia.org.ma et lobtention de la page affiche avec une adresse complte dans la barre dadresse, on peut constater que notre client a russi obtenir la rponse deux questions : - o se trouve la machine que je dsire joindre ? - quel est le protocole de communication quelle utilise ? 1. O est la machine www.tri-errachidia.org.ma ? : un serveur DNS (Domain Name Server) dont ladresse IP est connue de mon poste de travail me fournit la rponse sous la forme de son adresse IP. 2. Quel est le protocole de communication quelle utilise ? : une requte envoye par mon poste client destination de la machine dont on connat maintenant ladresse IP reoit une rponse de la part de ce serveur qui inclut le protocole quil utilise (HTTP). La demande de la page daccueil du serveur selon ce protocole permet alors laffichage observ.
10 Question 3. Quelles diffrences constatez vous ici dans la mise en uvre des protocoles HTTP et FTP ?
Pages affiches selon le protocole HTTP : - affichage sous forme de texte riche ; - contenu vari : essentiellement du texte mais aussi des objets divers (images, animations) ; - prsence de liens hypertextes (navigation entre les pages). Pages affiches selon le protocole FTP : - affichage sous la forme dun explorateur ; - accs une arborescence de dossiers.
Question 4. Analysez la structure de ladresse ftp://ftp.tri-errachidia.org.ma/ qui apparat dans la barre dadresse de votre navigateur.
ftp : le nom du protocole utilis ici ; ftp.tri-errachidia.org.ma :le serveur nomm ftp dans le sous domaine tri-errachidia du sous domaine org du domaine ma On visualise les diffrents dossiers prsents sur ce serveur.
Question 5. Votre navigateur prend il en charge aussi bien le protocole HTTP que le protocole FTP ?
On constate que le navigateur utilis ici, mais ce sera aussi le cas pour dautres navigateurs, dialogue avec un serveur aussi bien selon le protocole HTTP que FTP. Ce protocole est impos par le serveur. Le client doit donc pouvoir sy adapter.
Question 6. Quelles sont les informations qui apparaissent lorsquon visite un site FTP ? Comment sont elles structures ?
Le navigateur prsente une arborescence de dossiers.
Question 7. Analysez la structure de ladresse webmaster@tri-errachidia.org.ma
webmaster :nom dune bote aux lettres lectronique. tri-errachidia.org.ma :dans le sous domaine tri-errachidia du sous domaine org du domaine ma. @ : sparateur.
Question 8. Pourquoi votre gestionnaire de courrier a t il t automatiquement ouvert ?
Parce que sur votre poste il existe une association prinstalle entre le protocole denvoi de courrier (SMTP) et lapplication que vous utilisez par dfaut pour expdier votre courrier.
Question 9. Quel est le protocole mis en uvre lorsque vous expdiez ce courrier ?
Cest le protocole SMTP (Simple Mail Transfer Protocol).
Question 10. De quels outils logiciels disposerez vous pour prendre connaissance de la rponse et quels seront les protocoles utiliss pour la relve du courrier ?
On peut prendre connaissance de la rponse directement sur le serveur en utilisant son navigateur ; c'est le cas de la consultation par exemple des botes Gmail, HotMail. L'utilisateur envoie des requtes au serveur de courrier et en reoit les rponses sous protocole HTTP (prsentation des donnes). Le traitement du courrier sur le serveur est alors ralis par le protocole IMAP (Internet Message Access Protocol) : consultation du courrier, suppression... On peut galement utiliser un logiciel de gestion de courrier (on parle de client de messagerie ), par exemple Microsoft Outlook (Express), Qualcomm Eudora qui va transfrer le message sur la machine du client ; dans ce cas, ce logiciel recourt au protocole POP3 (Post Office Protocol version 3) ou IMAP.
11 Exonet N 2
Dans le cadre du dveloppement de Internet et Intranet, lentreprise REZOnet a install un serveur Linux et la connect au niveau du commutateur des ses serveurs centraux. Pour raliser l'accs vers le monde extrieur, un accs RNIS a t retenu. Ce serveur Internet aura pour rle de: - grer le courrier lectronique du REZOnet - diffuser les informations du site Web local - filtrer les donnes
1. Donner la dfinition et le rle de WWW, HTML et HTTP ? 2. On vous donne l'URL suivant: http://www.microsoft.com/products/pc.htm - Donner la dfinition et le rle d'une URL - Dcomposer cette URL en diffrentes parties en donnant le rle de chacune d'entre elles 3. Par quel moyen fait-on la correspondance entre ladresse IP dun serveur et son nom sur Internet ? 4. Donner la dfinition et le rle de SMTP 5. Donner la dfinition et le rle de POP 6. Donner la syntaxe gnrale d'une adresse e-mail 7. Complter (Annexe 1) l'interaction entre un client et un serveur SMTP et POP Tout personnel autoris pourra se connecter au serveur Linux depuis son domicile soit pour consulter des donnes spcifiques, soit pour naviguer sur le Web. 8. Citer 4 possibilits d'accs un fournisseur d'accs Internet. Il vous faut configurer un poste sous Windows 98 afin de permettre une connexion au fournisseur daccs Internet. 9. Complter l'annexe 2 (Point d'accs: 05 35 57 57 57, Serveur DNS: 212.217.0.1, Adresse IP obtenue par mon fournisseur, Domaine: rezonet.ma, Hte : localhost, Nom utilisateur de connexion : admin@rezonet.ma, mot de passe : a5b6cde_rezo). 10. Pour un accs par RTC, donner le type de protocole utilis.
13 Corrig Exonet N 2 Corrig Exonet N 2 Corrig Exonet N 2 Corrig Exonet N 2
Question 1. Donner la dfinition et le rle de WWW, HTML et HTTP ?
Le World Wide Web (WWW ou Web ou W3) est une banque dinformations (textuelles, images, sonores vido) bas sur un systme de noeuds et de liens quon nomme hypertexte. Hyper Text Markup Language (HTML) : Langage utilis dans le WWW pour crire des documents hypertextes. HyperText Transfer Protocol (HTTP). Protocole de transfert de fichiers et documents HTML sur Internet.
Question 2. On vous donne l'URL suivant: http://www.microsoft.com/products/pc.htm - Donner la dfinition et le rle d'une URL - Dcomposer cette URL en diffrentes parties en donnant le rle de chacune d'entre elles
Une URL (Uniform Resource Locator) donne lemplacement dun fichier sur le Web. http : Protocole www.microsoft.com : emplacement rseau / domaines products : chemin / rpertoire pc.html : nom du fichier
Question 3. Par quel moyen fait on la correspondance entre ladresse IP dun serveur et son nom sur Internet ?
Serveur DNS
Question 4. Donner la dfinition et le rle de SMTP
Le courrier lectronique sur TCP/IP et sur Internet utilise le protocole SMTP (Simple Mail Transfer Protocol).
Question 5. Donner la dfinition et le rle de POP
Le protocole POP (Post Office Protocole) permet daller chercher son courrier personnel sur le serveur responsable de le recevoir.
Question 6. Donner la syntaxe gnrale d'une adresse e-mail
Une adresse de courrier lectronique est form de trois parties : le nom de lutilisateur, le caractre @ et le nom du domaine.
Question 7. Complter (Annexe 1) l'interaction entre un client et un serveur SMTP et POP
Question 8. Citer 4 possibilits d'accs un fournisseur d'accs Internet.
Les diffrents modes de connexion disponibles pour accder un fournisseur daccs sont : RTC Numris LADSL Le cble Le satellite 14 Question 9. Complter l'annexe 2 (Point d'accs :05 35 57 57 57, Serveur DNS :212.217.0.1, Adresse IP obtenue par mon fournisseur, Domaine :rezonet.ma, Hte :localhost, Nom utilisateur de connexion admin@rezonet.ma, mot de passe : a5b6cde_rezo).
Question 10. Pour un accs par RTC, donner le type de protocole utilis.
PPP (Point to Point Protocol). Protocole permettant la connexion entre ordinateurs et routeurs par lignes synchrones et asynchrones. Successeur du SLIP,il possde une correction derreur et des possibilits daffectation dadresse en rseau.
15 Exonet N 3
La socit REZOnet possde un serveur Linux possdant un serveur ftp, qui est install dans toutes les distributions, ainsi quun client ftp en ligne de commande. Partie I : 1. Quelle est la signification du sigle ftp ? 2. Quelle est lutilit de ce service rseau ? Le serveur ftp est dclar dans le fichier /etc/inetd.conf mais pas toujours activ. 3. Quelle modification faut-il raliser dans le fichier inetd.conf se trouvant en annexe pour activer le serveur ftp ? Les fichiers de configuration : /etc/ftpaccess : ce fichier dfinit la plupart des contrles d'accs pour votre serveur ftp. Vous pouvez crer des groupes logiques pour contrler l'accs depuis d'autres sites, limiter le nombre de connexions simultanes. /etc/ftphosts : ce fichier est utilis pour autoriser ou non l'accs du serveur un certain nombre de machines /etc/ftpusers : ce fichier contient la liste des utilisateurs qui ne peuvent accder votre machine via ftp. 4. Vous ntes pas dclar sur le serveur (fichiers en annexes), quel nom de login utiliser? Pourquoi ? 5. Quel fichier est modifier pour autoriser root se connecter ? Quelle est la modification raliser dans le fichier ? Les fichiers .rpm sous Linux sont des fichiers binaires qui permettent dinstaller des programmes. 6. Donner dans lordre la syntaxe des diffrentes commandes utiliser pour rapatrier le fichier netscape-communicator-4.7.i386.rpm depuis un serveur sur une station linux? 7. Donner la syntaxe de lURL ncessaire pour se connecter au serveur ftp dont le nom DNS est ftp.microsoft.com avec un navigateur web ?
Partie II : La direction de REZOnet pense mettre en place un serveur sur la toile (Web) permettant, dans un premier temps, la mise en ligne d'un systme d'information interne (intranet) puis, dans un deuxime temps, de l'ouvrir la clientle via l'internet (extranet). 8. Expliquer ce quest un intranet. 9. Citer les spcificits du dveloppement dun intranet par rapport d'autres types d'architectures client-serveur. 10. Citer les problmes que peut poser l'accs de la clientle via l'internet. Proposer des solutions pour les viter.
16 Annexe 1 Extrait du fichier /etc/inetd.conf # inetd.conf This file describes the services that will be available # through the INETD TCP/IP super server #discard stream tcp nowait root internal #discard dgram udp wait root internal #chargen dgram udp wait root internal #time stream tcp nowait root internal #time dgram udp wait root internal # These are standard services. #ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -a telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd # Shell, login, exec, comsat and talk are BSD protocols. shell stream tcp nowait root /usr/sbin/tcpd in.rshd login stream tcp nowait root /usr/sbin/tcpd in.rlogind #exec stream tcp nowait root /usr/sbin/tcpd in.rexecd #comsat dgram udp wait root /usr/sbin/tcpd in.comsat talk dgram udp wait root /usr/sbin/tcpd in.talkd ntalk dgram udp wait root /usr/sbin/tcpd in.ntalkd # End of inetd.conf linuxconf stream tcp wait root /bin/linuxconf linuxconf --http Extrait du fichier /etc/ftpusers bin, daemon, adm, lp, sync, root, shutdown, halt, mail, news, ucp, operator, games, nobody Extrait du fichier /etc/ftpacces class all real,guest,anonymous * email root@localhost loginfails 5 readme README* login readme README* cwd=* message /welcome.msg login message .message cwd=* compress yes guest,real,anonymous tar yes guest,real,anonymous log transfers guest,real,anonymous inbound,outbound shutdown /etc/shutmsg passwd-check rfc822 warn guestgroup profs Damotte chmod yes guest,real,anonymous delete yes guest,real,anonymous overwrite yes guest,real,anonymous
17 Annexe 2
Les principales commandes ftp help : Affiche l'ensemble des commandes supportes par le serveur FTP status : Permet de connatre certains paramtres de la machine cliente binary : Cette commande vous fait basculer du mode ASCII (envoi de documents textes) au mode binary (envoi de fichiers en mode binaire, c'est--dire pour les fichiers non texte, commandes images ou des programmes) ascii : Bascule du mode binary au mode ascii. Ce mode est le mode par dfaut type : Permet d'afficher le mode courant de transfert (binary ou ascii) user : Vous permet de rouvrir une session sur le site FTP en cours avec un nom d'utilisateur diffrent. Un nouveau mot de passe vous sera alors demand ls : Permet de lister les fichiers prsents dans le rpertoire courant. La commande "ls -l" donne des informations supplmentaires sur les fichiers pwd : Affiche le nom complet du rpertoire courant Cd : Cette commande signifie change directory, elle permet de changer le rpertoire courant. La commande "cd .." permet d'accder au rpertoire de niveau suprieur mkdir : La commande mkdir (sous UNIX, ou md sous systme Microsoft) permet de crer un rpertoire dans le rpertoire courant. L'utilisation de cette commande est rserve aux utilisateurs ayant un accs le permettant rmdir : La commande rmdir (sous UNIX, ou rd sous systme Microsoft) permet de supprimer un rpertoire dans le rpertoire courant. L'utilisation de cette commande est rserve : aux utilisateurs ayant un accs le permettant get : Cette commande permet de rcuprer un fichier prsent sur le serveur Si la commande est suivie d'un nom de fichier, le fichier distant est transfr sur la machine locale dans le rpertoire local en cours Si la commande est suivie de deux noms de fichiers, le fichier distant (le premier nom) est transfr sur la machine locale : dans le rpertoire local en cours, avec le nom de fichier prcis (le deuxime nom) Si jamais le nom de fichier contient des espaces, il faut veiller le saisir entre guillemets put : Cette commande permet d'envoyer un fichier local sur le serveur Si la commande est suivie d'un nom de fichier, le fichier local est transfr sur le serveur dans le rpertoire distant en cours Si la commande est suivie de deux noms de fichiers, le fichier local (le premier nom) est transfr sur le serveur dans le rpertoire distant en cours, avec le nom de fichier prcis (le deuxime nom) Si jamais le nom de fichier contient des espaces, il faut veiller le saisir entre guillemets open : Ferme la session en cours et ouvre une nouvelle session sur un autre serveur FTP close : Ferme la session en cours, en laissant le logiciel FTP client actif bye ou quit : Dconnecte le logiciel client du serveur FTP et le met en tat inactif
18 C CC Corrig Exonet N 3 orrig Exonet N 3 orrig Exonet N 3 orrig Exonet N 3
Question 1. Quelle est la signification du sigle ftp ?
File Transfert Protocol
Question 2. Quelle est lutilit de ce service rseau ?
Transfert de fichiers client serveur entre systmes dexploitation diffrents.
Question 3. Quelle modification faut-il raliser dans le fichier inetd.conf se trouvant en annexe pour activer le serveur ftp ?
Supprimer le symbole # devant la ligne ftp ..
Question 4. Vous ntes pas dclar sur le serveur (fichiers en annexes), quel nom de login utiliser? Pourquoi ?
anonymous (fichier /etc/access)
Question 5. Vous ntes pas dclar sur le serveur (fichiers en annexes), quel nom de login utiliser? Pourquoi ? Modifier le fichier /etc/ftpusers en supprimant le nom root
Question 6. Donner dans lordre la syntaxe des diffrentes commandes utiliser pour rapatrier le fichier netscapecommunicator4.7.i386.rpm depuis un serveur sur une station linux?
ftp nom serveur nom de login et mot de passe binary get nom_de_fichier.rpm quit
Question 7. Donner la syntaxe de lURL ncessaire pour se connecter au serveur ftp dont le nom DNS est ftp.microsoft.com avec un navigateur web ?
ftp://ftp.microsot.com
Question 8. Expliquer ce quest un intranet.
Intranet : utilisation des standards de lInternet (HTML, http, SMTP, ) pour dvelopper des applications internes lentreprise, que le rseau soit local ou tendu.
Question 9. Citer les spcificits du dveloppement dun intranet par rapport d'autres types d'architectures client-serveur.
Les spcifits du dveloppement dun intranet sont : - davantage de middleware standard, accs universel, pas de dploiement spcifique sur chaque type de plate-forme - lapplication est dveloppe sur le serveur, une mise jour de lapplication est immdiate pour tous les clients quelle que soit leur plate-forme
19 Question 10. Citer les problmes que peut poser l'accs de la clientle via l'internet. Proposer des solutions pour les viter.
Le problme majeure concerne la scurit du rseau local vis--vis des accs externes : risque de visibilit de resources sensibles, risque de prise de contrle distance et dactions malveillantes. Les solutions possibles : - utilisation dadresses non routables sur le rseau local. - mise en place dun firewall destin filtrer les paquets entrants sur des critres prdfinis (adresses accessibles, types de services autoriss,etc.). - authentification des utilisateurs distants par un compte anonyme dont les droits et permissions sont trs limits. - Contrle par mot de passe dans lapplication en prvoyant un code daccs sur le bon de rception
20
Exonet N 4
1. Citer 3 protocoles permettant denvoyer des e-mails et/ou den recevoir ? 2. Dans la messagerie lectronique, on utilise des adresses du type r.errachidi@menara.ma. Que reprsente la deuxime partie de cette adresse ? Un analyseur de protocole situ dans "le rseau S" a permis de faire un relev entre une station A du rseau de "T" et un serveur de lentreprise REZOnet situ dans le "rseau S" au cours dun change initi par lutilisateur. Voici une des trames ETHERNET II rcupres :
A laide des annexes 1, 2 et 3 : 3.1. Prciser les valeurs des adresses MAC source et destinataire. 3.2. Faire un schma reprsentant la station A et le serveur en indiquant les sockets utiliss par le client et le serveur. Remarque : un socket est la combinaison de trois lments : ladresse IP de la machine, le protocole au niveau transport et le numro du port. 3.3. Indiquer la signification des numros de port source et destination. 3.4. Quelles sont les principales caractristiques du protocole de niveau TRANSPORT utiliss ? 4. Conclusion : Quel est lobjectif de la demande initie par lutilisateur ?
21
Annexe 1
Assignation de certains ports associs aux processus serveurs en fonction des protocoles de transport TCP et UDP.
22
Annexe 2
Les champs spcifiques d'un paquet IP sont: - version est cod sur 4 bits. Actuellement ce champ a une valeur gale 4 (IPv4). - longueur de l'en-tte ou IHL (Internet Header Length) sur 4 bits spcifie le nombre de mots de 32 bits qui composent l'en-tte. Si le champ option est vide, l'IHL vaut 5. - type de service ou ToS (Type of Service) est cod sur 8 bits. Spcifie la passerelle intermdiaire le type d'acheminement attendu. - identification cod sur 16 bits permet de scuriser le rassemblage des paquets aprs fragmentation. - drapeau cod sur 3 bits a le 1er bit toujours nul, le 2me bit 0 indique que le paquet peut tre fragment et 1 s'il ne peut pas l'tre, le 3me bit 0 indique s'il s'agit du dernier fragment et 1 que d'autres fragments suivent. - place du fragment cod sur 13 bits indique la position du 1er octet dans le datagramme total non fragment. Il s'agit d'un nombre multiple de 8 octets. - dure de vie dtermine en seconde, la dure de vie d'un datagramme. Cette valeur est dcrmente toutes les secondes ou chaque passage travers une passerelle. - protocole cod sur 8 bits indique le protocole de la couche suprieure (liste donne par le rfc 1700, ex: "1"=ICMP, "2"=IGMP, "6"=TCP, "17"=UDP). - checksum est la somme de contrle portant sur l'en-tte. - adresses de la source et de la destination sont codes sur 32 bits. - option est de longueur variable et peut tre nul. 23 Annexe 3
Port source et Port destination : Ils identifient les programmes dapplication. N de squence : Il indique le n du 1er octet transmis dans le segment. Acquittement : indique le n du prochain octet attendu par l'metteur de ce message Lg entte : sur 4 bits, elle indique la taille en mots de 32 bits de l'entte Drapeaux : bit URG : Validation de la valeur du champ "pointeur message urgent" bit ACK : la valeur du champ "acquittement" peut tre prise en compte bit PSH : le donnes doivent tre immdiatement transmises la couche suprieure bit RST : fermeture de la connexion cause d'une erreur irrcuprable bit SYN : ouverture de la connexion bit FIN : fin de connexion (plus de data mettre) Fentre : Nombre d'octets que le rcepteur peut accepter sans ACR. Pointeur de message urgent : Si le drapeau URG est positionn, les donnes passent avant le flot de donnes normales. Ce champ indique alors la position de loctet de la fin des donnes urgentes. Le champ option peut-tre utilis si deux machines doivent se mettre daccord sur une taille maximale de segment appel MSS (Maximum Segment Size).
24 Corrig Exonet N 4 Corrig Exonet N 4 Corrig Exonet N 4 Corrig Exonet N 4
Question 1. Citer 3 protocoles permettant denvoyer des e-mails et/ou den recevoir ?
SMTP, POP2, POP3 et IMAP.
Question 2. Dans la messagerie lectronique, on utilise des adresses du type r.errachidi@menara.ma. Que reprsente la deuxime partie de cette adresse ?
La deuxime partie de r.errachidi@menara.ma reprsente le nom du domaine o se trouve le serveur de messagerie c--d le nom du bureau de poste contenant la bote aux lettres r.errachidi.
Question 3.1. Prciser les valeurs des adresses MAC source et destinataire.
Lquipement source correspond ladresse MAC 00:0d:29:d4:69:7f Lquipement cible qui correspond ladresse MAC 00:04:75:ce:24:cf
Question 3.2. Faire un schma reprsentant la station A et le serveur en indiquant les sockets utiliss par le client et le serveur.
Question 3.3. Indiquer la signification des numros de port source et destination.
Le port source 3432 indique le port dmission (client dynamique) ouvert par la station Le port Destination 143 indique que le port de rception correspond au service de messagerie IMAP.
Question 3.4. Quelles sont les principales caractristiques du protocole de niveau TRANSPORT utiliss ?
Les qualits du protocole TCP: - Fiabilit : retransmission des trames non acquittes - Gestion des flux: ngociation de la taille de la fentre de transmission. - Offre une transmission en mode connect. - Remise en ordre des segments reus.
Question 4. Conclusion : Quel est lobjectif de la demande initie par lutilisateur ?
Lobjectif est de rcuprer le courrier prsent sur le serveur de messagerie.
25 Exonet N 5
Un tablissement scolaire utilise un serveur mandataire (Proxy) dans le DNS, pour contrler les accs Internet. Ce Proxy permet entre autre d'autoriser ou pas l'accs Internet en fonction de l'adresse IP du rseau auquel appartient la machine. L'administrateur du rseau a organis son plan d'adressage en fonction des salles. Chaque salle dispose dune plage d'adresses spcifique qui va permettre au niveau du Proxy d'interdire ou d'autoriser l'accs Internet tous les postes de la salle. L'annexe 1 donne le plan d'adressage utilis. L'annexe 2 donne les rgles d'accs Internet pour la journe du 15 Octobre 2008.
1. Dterminer quelles sont les salles qui nont pas accs Internet le 15 Octobre. 2. Expliquer pourquoi le Proxy peut appliquer des masques diffrents alors que les postes sont tous configurs avec le mme masque et la mme adresse rseau. 3. Donner la ou les rgles appliquer pour interdire l'accs la salle 204 et 208. 4. Donner la rgle appliquer pour interdire l'accs la salle 201 et 202. 5. Expliquer les autres fonctions d'un Proxy.
Annexe 2 : Rgles du 15 octobre 2008 Accs autoris tous sauf aux rseaux ci-dessous : 10.100.40.32 masque 255.255.255.224 10.100.40.128 masque 255.255.255.192
26 Corrig Exonet N 5 Corrig Exonet N 5 Corrig Exonet N 5 Corrig Exonet N 5
Question 1. Dterminer quelles sont les salles qui nont pas accs Internet le 15 Octobre.
Le masque 255.255.255.224 dtermine une plage de 32 adresses (256 - 224 ou 2 5 ). L'adresse de rseau 10.100.40.32 donne la premire adresse de la plage. Donc la premire rgle interdit l'accs la salle 203. Le masque 255.255.255.192 dtermine une plage de 64 adresses (256 - 192 ou 2 6 ). L'adresse de rseau 10.100.40.128 donne la premire adresse de la plage La deuxime rgle interdit donc l'accs aux salles 206, 207, 208, 209. On aurait d'ailleurs pu utiliser le masque 255.255.255.128 qui aurait donn le mme rsultat.
Question 2. Expliquer pourquoi le Proxy peut appliquer des masques diffrents alors que les postes sont tous configurs avec le mme masque et la mme adresse rseau.
La configuration des postes na pas dimportance ce niveau. Le Proxy reoit un paquet en provenance d'un poste, il rcupre dans l'entte IP l'adresse source du paquet et lui applique le masque de chaque rgle en comparant le rsultat obtenu l'adresse rseau de la rgle. En cas d'galit le paquet est rejet. Il ne faut pas oublier que le masque de sous rseau n'est pas dans l'entte IP. L'administrateur rseau a bien sur choisi un plan d'adressage qui lui permettait en fonction du nombre de postes par salle d'appliquer ce type de restriction.
Question 3. Donner la ou les rgles appliquer pour interdire l'accs la salle 204 et 208.
Les plages d'adresses des salles 204 et 208 ne sont pas contigus, il faut donc une rgle pour chaque salle. La salle 204 dispose des adresses 10.100.40.65 70, et la premire adresse ne pas interdire correspond la premire adresse de la salle 210. Il faut donc bloquer au plus 8 adresses (de 64 72), soit un masque de 255.255.255.248 (256-8) pour une premire adresse de 10.100.40.64 Pour la salle 208, la plage interdire est de 16 adresses (entre 10.100.40.160 et 175), pour un masque de 255.255.255.240 (256-16) et une adresse de 10.100.40.160 Il faut donc appliquer les rgles suivantes : 10.100.40.64 masque 255.255.255.248 10.100.40.160 masque 255.255.255.240
Question 4. Donner la rgle appliquer pour interdire l'accs la salle 201 et 202.
En appliquant les principes prcdents, on dtermine la rgle suivante : Interdire l'accs au rseau 10.100.40.0 masque 255.255.255.224
Question 5. Expliquer les autres fonctions d'un Proxy.
Un Proxy est utilis galement pour mettre en cache les pages Web consultes. Un Proxy a aussi une fonction de translation d'adresses. C'est l'adresse gnre par le Proxy qui part sur Internet (selon la configuration bien sr) et non l'adresse des postes qui font appel lui. On parle alors de rseau priv et de rseau public et du protocole NAT (Network Address Translator). Un Proxy peut filtrer les sites Web consults en utilisant pour cela un fichier des sites interdits. Il peut aussi interdire certains protocoles (FTP par exemple) ou le tlchargement de certains fichiers en fonction de leur extension (MP3 par exemple). Il joue alors le rle de pare-feu. Enfin un Proxy peut disposer d'un Anti-virus gnral qui s'applique tous les fichiers en provenance de l'Internet avant de les introduire dans le rseau local.
27 Exonet N 6
Le serveur ISA (Internet Security and Acceleration Server 2000) remplit les fonctions de firewall (pare-feu) et de serveur proxy. Configuration des interfaces du serveur ISA :
Lors de la configuration du serveur ISA, les rgles de scurit suivantes ont t mises en oeuvre pour l'accs au serveur de messagerie :
1. Indiquez ce qu'est le protocole HTTPS et prcisez son utilit (donnez un exemple d'utilisation). 2. Indiquez ce qu'est un "Client VPN". Vous donnerez la signification de l'abrviation VPN. Les rgles de scurit sont traites de manire squentielle (ordre croissant). Pour chaque trame reue, le firewall parcourt la liste des rgles jusqu' ce qu'il trouve une rgle qui s'applique. L'ordre dans lequel sont spcifies les rgles est trs important. 3. Expliquez l'action de la rgle N1 sur les trames en provenance du rseau 192.168.10.0 4. Expliquez l'action de la rgle N3, Prcisez la fonction du protocole DNS et donnez la signification de l'abrviation DNS. Quel est le serveur qui remplit la fonction de serveur DNS ? 5. La rgle N4 est indispensable au bon fonctionnement du firewall, pourquoi ? 6. Les rgles de scurit mises en oeuvre permettent-elles aux utilisateurs d'accder au serveur de messagerie ? Pourquoi ? Quelle rgle faut-il ajouter, et quelle place, pour permettre tous les utilisateurs internes et externes daccder la messagerie ?
28 Corrig Exonet N 6 Corrig Exonet N 6 Corrig Exonet N 6 Corrig Exonet N 6
Question1. Indiquez ce qu'est le protocole HTTPS et prcisez son utilit (donnez un exemple d'utilisation).
Hyper Text Transfer Protocol Scuris, accs scuris Internet : paiement en ligne, consultation de compte bancaire
Question2. Indiquez ce qu'est un "Client VPN". Vous donnerez la signification de l'abrviation VPN.
Client distant qui se connecte au rseau via une liaison scurise VPN (Virtual Private Network ou rseau priv virtuel) en utilisant Internet comme support.
Question3. Expliquez l'action de la rgle N1 sur les trames en provenance du rseau 192.168.10.0
La rgle N1 autorise (Allow) le passage des messages FTP, HTTP et HTTPS de l'interface interne (rseau 192.168.10.0) et des clients VPN vers l'interface externe (accs Internet) et vers la DMZ (accs au serveur de messagerie) pour tous les utilisateurs (All Users).
Question4. Expliquez l'action de la rgle N3, Prcisez la fonction du protocole DNS et donnez la signification de l'abrviation DNS. Quel est le serveur qui remplit la fonction de serveur DNS ?
La rgle N3 autorise (Allow) le passage des messages DNS de l'interface interne (rseau 192.168.10.0) et des clients VPN vers la DMZ (accs au serveur de messagerie) pour tous les utilisateurs (All Users). DNS : Domain Name System (ou Service), indispensable pour accder Internet car il effectue la liaison entre un nom de machine et son adresse IP. Le serveur de messagerie fait galement office de serveur DNS.
Question5. La rgle N4 est indispensable au bon fonctionnement du firewall, pourquoi ?
Pour une scurit maximum il faut interdire tout ce qui n'a pas t autoris dans les rgles prcdentes, c'est le rle de la rgle N4 qui interdit (Deny) tous les protocoles en provenance de tous les rseaux et vers tous les rseaux pour tout le monde.
Question6. Les rgles de scurit mises en oeuvre permettent elles aux utilisateurs d'accder au serveur de messagerie ? Pourquoi ? Quelle rgle faut il ajouter, et quelle place, pour permettre tous les utilisateurs internes et externes daccder la messagerie ?
Non, car les protocoles de messagerie (SMTP et POP) ne sont pas autoriss. Il faut donc ajouter une rgle autorisant les protocoles SMTP et POP entre tous les rseaux et la DMZ pour tous le monde et la placer avant la rgle N4 :
* All Networks peut tre remplac par External + Internal
29 Exonet N 7
Lentreprise CENTAURE, dirige par M.ARABI, emploie 27 salaris. Elle est constitue de deux services indpendants : le service multimdia assure linstallation et le dveloppement des solutions clientes couvrant la fois les aspects rseau et multimdia ; le service administratif, quant lui, assure la gestion interne de lentreprise. Le schma du rseau de la socit est dcrit en annexe 1.
Les postes du service multimdia sont amens faire beaucoup daccs Internet trs consommateurs en bande passante. Pour amliorer les temps de rponse, la socit a mis en service un serveur proxy. 1. Expliquer dans quelles conditions d'usage ce type de serveur rpond lobjectif vis.
La socit, soucieuse damliorer sa notorit, dcide de mettre en ligne un serveur HTTP et FTP accessible au public. Ce serveur, install dans les locaux de CENTAURE, sera plac dans une zone dmilitarise (DMZ) comme lindique lannexe 1. Lquipement pare-feu (firewall) contrle les accs qui arrivent sur ses diffrentes interfaces. Il est programm de telle faon que seul le trafic rseau respectant les rgles indiques dans lannexe 2 est accept. Ces rgles peuvent faire rfrence des adresses IP dordinateurs, des adresses de rseau et des protocoles rseau. Un serveur mandataire (proxy) est galement install entre le routeur R1 et le pare-feu : il est le point de passage obligatoire de tous les accs du rseau local vers lInternet. 2. Expliquer en quoi la mise en uvre dune zone dmilitarise permet damliorer la scurit du rseau local.
Un anti-virus a rvl la prsence dun programme cheval de Troie sur le serveur situ dans la DMZ. L'tude rvle que le "troyen" n'a pas t plac par les protocoles HTTP ou FTP. 3.a. Expliquer ce quest cheval de Troie et comment les antivirus dtectent sa prsence. 3.b. Donner deux exemples de faille intrinsque relative au protocole FTP. 3.c. En analysant les rgles de lannexe 2, indiquer quelle rgle a pu permettre l'installation de ce programme. 3.d. Proposer, pour rduire les risques lis ce type de problme, une ou plusieurs rgles en remplacement de la rgle concerne.
Ce cheval de Troie est destin perturber le fonctionnement du rseau local, en sexcutant automatiquement priodiquement. 4. En analysant les rgles de lannexe 2, indiquer si les postes du rseau local sont susceptibles dtre atteints par le cheval de Troie .
Ladministrateur rseau du service Multimdia prend en charge ladministration du serveur HTTP et FTP (192.168.10.10). Il doit donc avoir la possibilit de lancer une commande TELNET vers ce serveur, depuis sa machine dont ladresse IP est 192.168.1.75. Le serveur PROXY a t paramtr afin de pouvoir traiter le protocole TELNET. 5. a. Citer les interfaces du pare-feu concernes par une commande TELNET. 5. b. Pour chacune de ces interfaces, rdiger les rgles ncessaires pour permettre lemploi de cette commande, en donnant leur numro dordre.
30 Pour permettre une tolrance aux pannes le serveur 1 comporte un dispositif matriel permettant de mettre en uvre un systme RAID (redundant arrays of inexpensive disk) au niveau 1. 6. Expliquer ce qu'est un tel systme.
Les utilisateurs du service Multimdia se plaignent de recevoir de nombreux pourriels (spams). 7. a. Dfinir la notion de pourriel (spam) et prciser en quoi ils constituent une gne pour lentreprise. 7. b. Proposer une solution qui permet de se protger contre les spams.
CENATURE envisage largir ses activits pour cela elle sous-traite une partie de son activit en confiant des entreprises extrieures linstallation des rseaux chez les clients. La mise en uvre dune nouvelle application est envisage pour permettre aux sous-traitants de consulter leur planning et denregistrer leurs indisponibilits. Cette application sera hberge sur le serveur web. Le souci de l'entreprise est dassurer la scurit des changes avec les sous-traitants et notamment la confidentialit et l'authentification. Le dispositif conseill CENATURE base sa scurit sur une mthode de chiffrement asymtrique des informations changes. Monsieur ARABI souhaite en matriser le principe.
8. Expliquer, ventuellement laide dun schma, le mode de fonctionnement de cette mthode en prcisant le type de cl utilis par chacun des intervenants (metteur et rcepteur du message) pour assurer confidentialit et authentification dans lchange.
La mise en uvre des techniques de chiffrement implique souvent un tiers de confiance, prestataire de service.
9. Expliquer comment ce tiers de confiance intervient dans la procdure d'change d'informations.
31 Annexe 1 : schma du rseau de la socit CENTAURE
32
Annexe 2 : Rgles daccs programmes sur le pare-feu
Interface 192.168.3.254
Ordre Source Destination Service Accs 1 Any 192.168.2.10 HTTP Accept 2 Any 192.168.2.10 FTP Accept 3 Any 192.168.2.10 DNS Accept 4 Any 192.168.2.10 SMTP Accept 5 Any 192.168.2.10 POP3 Accept 6 Any 192.168.10.10 Any Accept 7 Any Any Any Refus
Interface 192.168.2.254
Ordre Source Destination Service Accs 1 192.168.2.10 Any Any Accept 2 Any Any Any Refus
Interface 192.168.10.254
Ordre Source Destination Service Accs 1 192.168.10.10 Any HTTP Accept 2 192.168.10.10 Any FTP Accept 3 Any 192.168.1.128 Any Refus 4 Any 192.168.1.64 Any Refus 5 Any Any Any Refus
Remarques :
Any : quelle que soit la valeur.
Une rgle traduit un droit ou un refus daccs ; les rgles sont values dans lordre. Si une action est applique, on ne passe pas la rgle suivante.
Par exemple, la rgle 1 de linterface 192.168.10.254 indique que tout paquet entrant sur cette interface, provenant de 192.168.10.10, destin nimporte quelle machine du rseau et encapsulant une requte du protocole HTTP, sera accept.
33 Corrig Exonet N 7 Corrig Exonet N 7 Corrig Exonet N 7 Corrig Exonet N 7
Question 1. Expliquer dans quelles conditions d'usage ce type de serveur rpond lobjectif recherch.
Le serveur Proxy est ici utilis pour mettre en cache les pages accdes sur Internet. Les temps de rponse seront amliors si les personnes du service multimdia consultent souvent les mmes sites. Si chacun deux consulte des sites diffrents et jamais les mmes, la fonction cache du serveur Proxy namliorera pas les temps de rponse.
Question 2. Expliquer en quoi la mise en uvre dune zone dmilitarise permet damliorer la scurit du rseau local.
Lorsquune entreprise dsire rendre lun de ses serveurs accessible depuis Internet, le risque est grand douvrir une brche de scurit vers lensemble du rseau local. Une zone dmilitarise permet de ne rendre accessible de lextrieur quune partie des serveurs en isolant totalement le reste du rseau. Gnralement, on trouve sur les DMZ les serveurs Web, voire les serveurs de messagerie et les serveurs DNS.
Question 3.a. Expliquer ce quest cheval de Troie et comment les antivirus dtectent sa prsence. Question 3.b. Donner un exemple de faille intrinsque relative au protocole FTP. Question 3.c. En analysant les rgles de lannexe 2, indiquer quelle rgle a pu permettre l'installation de ce programme. Question 3.d. Proposer, pour rduire les risques lis ce type de problme, une ou plusieurs rgles en remplacement de la rgle concerne.
a. Un cheval de Troie est un programme cach dans un autre qui excute des commandes sournoises, et qui gnralement donne un accs la machine sur laquelle il est excut. Les antivirus s'appuient ainsi sur cette signature propre chaque virus pour les dtecter. Il s'agit de la mthode de recherche de signature (scanning), la plus ancienne mthode utilise par les antivirus. Certains antivirus utilisent un contrleur d'intgrit pour vrifier si les fichiers ont t modifis. b. Le premier dfaut du protocole FTP est de ne pas encrypter les mots de passe lors de leur transit sur le rseau. Le deuxime dfaut est Le serveur FTP anonyme qui pose de plus gros problmes c. Il sagit de la rgle 6 de linterface 192.168.3.254. Elle permet depuis Internet darriver sur le serveur Web en utilisant des services quelconques (Telnet) d. Il faut limiter aux seuls protocoles web (HTTP et FTP) laccs au serveur 192.168.10.10, en rajoutant deux rgles aprs avoir supprim la rgle 6. Cependant laccs FTP ne prserve pas de linstallation dun programme et de son activation si le serveur web nest pas correctement configur.
Question 4. En analysant les rgles de lannexe 2, indiquer si les postes du rseau local sont susceptibles dtre atteints par le cheval de Troie .
Les rgles 3 et 4 sur linterface 192.168.10.254 empchent laccs au rseau local, sauf si le cheval de Troie utilise des services bass sur HTTP ou FTP.
34 Question 5.a. Citer les interfaces du pare-feu concernes par une commande TELNET. Question 5.b. Pour chacune de ces interfaces, rdiger les rgles ncessaires pour permettre lemploi de cette commande, en donnant leur numro dordre.
a.. Les interfaces concernes sont 192.168.2.254 et 192.168.10.254 b. La ligne numro 1 de linterface 192.168.2.254 autorise le passage vers le serveur internet. Il faut autoriser le retour sur linterface 192.168.10.254 avec la rgle suivante : Source 192.168.10.10 Destination : 192.168.2.10 Service : Telnet Accs : Accept qui doit tre intercale avant la ligne 3.
Question 6. Expliquer le systme RAID1
Il existe plusieurs niveaux de systmes RAID. Ils utilisent plusieurs disques durs pour garantir la scurit des donnes ou augmenter les performances d'entres-sorties du systme de stockage. Dans un systme RAID 1, pour garantir l'intgrit des donnes, le contrleur de disques effectue les mmes oprations sur les deux disques. La panne de l'un des disques n'entrane donc aucune perte de donnes. Coteux en termes despace disque (50 % du volume ddi la scurit), un systme Raid 1 n'amliore pas les taux de transfert.
Question 7.a. Dfinir la notion de pourriel (spam) et prciser en quoi ils constituent une gne pour lentreprise. Question 7.b. Proposer une solution qui permet de se protger contre les spams.
7.a. Pourriel (spam) : dsigne les communications lectroniques massives, notamment de courrier lectronique, sans sollicitation des destinataires, des fins publicitaires ou malhonntes. Les pourriels polluent les boites aux lettres des usagers des messageries et ncessitent de leur part un temps de traitement parfois non ngligeable (tri, suppression). Par ailleurs ils sont parfois porteurs de virus, chevaux de Troie, espiogiciels ce qui peut nuire lefficacit des systmes (destruction de donnes, ralentissement des systmes). 7.b. Pour se protger contre les spams on pourra par exemple installer un filtre anti spams au niveau du serveur de messagerie.
Question 8. Expliquer, ventuellement laide dun schma, le mode de fonctionnement de cette mthode en prcisant le type de cl utilis par chacun des intervenants (metteur et rcepteur du message) pour assurer confidentialit et authentification dans lchange.
Question 9. Expliquer comment ce tiers de confiance intervient dans la procdure d'change d'informations.
Le tiers de confiance, ou autorit de certification et denregistrement, a pour rle la dlivrance dun certificat permettant dassocier une cl publique une entit. Ce tiers assure la validit du lien et garantit lauthentification du dtenteur. Le certificat dlivr possde une date de validit lui confrant ainsi une dure de vie.
Message en clair Message en clair avec auteur authentifi Message chiffr et sign (authentifi) Message chiffr et sign Rseau Cl PUBLIQUE de B pour chiffrer et cl PRIVEE de A pour signer Cl PRIVEE de B pour dchiffrer le message et cl PUBLIQUE de A pour afficher le certificat donc lidentit de A A metteur B rcepteur 35 Exonet N 8
Le rseau de luniversit UNIV est organis comme suit : Lorganisation logique sarticule sur 5 VLAN rpartis de la faon suivante :
Le schma ci-dessous indique quels numros de port physiques du backbone sont connects :
Le Netasq F500 est dsign par le constructeur comme un firewall. En fait, cette machine est configure de faon intgrer les fonctions suivantes : firewall, routeur et serveur DHCP La communication directe entre les diffrents rseaux de UNIV nest possible qu travers le Netasq. Ce dernier assure le routage InterVlan(s) . Sur son lien physique avec lOptiSwitch, il possde donc une adresse IP par VLAN ; ses adresses IP sont indiques par la tableau ci-dessous :
Le serveur proxy (rseau Serveurs ) assure uniquement les accs Web et FTP des stations de UNIV, sauf pour toutes les stations du rseau PC Profs pour lesquelles le Netasq ralise alors une translation dadresse IP. Les accs autres que Web et FTP se font sans passer par le proxy. Le firewall bridge assure le filtrage du trafic entre le rseau externe, la DMZ et le rseau local UNIV. Toutes les requtes provenant du rseau externe sont diriges vers les services de la DMZ. Seul le routeur Netasq et le serveur proxy peuvent faire des requtes vers lextrieur. Dans le VLAN 4, la premire adresse du rseau IP (soit 192.168.8.1/24) est attribue un poste de supervision. Ce poste permet dassurer la tlmaintenance sur tous les postes et serveurs du site UNIV. Les informations utiles concernant ladressage IP du rseau de UNIV se trouvent sur le schma donn en Annexe 1.
36 1. Il apparat que les VLAN sont grs comme des rseaux IP. Pourquoi a-t-on opt pour cette solution ? 2. Le routeur Netasq F500 assure un routage InterVlan(s) . De ce fait, sur son lien avec lOptiSwitch, il possde une adresse IP par VLAN. Sur le document rponse 1, complter la table de routage du routeur. 3. Les rseaux existants permettent dadresser chacun 254 machines. Le nombre dtudiants augmentant, une extension des possibilits dadressage est envisage pour le rseau PC-tudiants. 3.1. Donner le masque de sous-rseau qui permettrait de multiplier au moins par deux le nombre de machines (sans changer les adresses existantes et en se limitant un maximum de 1500 machines adressables). Justifier votre rponse. 3.2. Donner, dans ce cas, ladresse de diffusion. 3.3. Indiquer sur le document rponse 1 quelle serait la modification dans la table de routage du routeur Netasq F500. 4. Les configurations IP des stations du VLAN 3 sont attribues dynamiquement par le Netasq F500. Sachant que les 10 premires et 10 dernires adresses de la plage totale sont rserves dautres usages, complter le tableau du document rponse 1 en indiquant les paramtres de configuration DHCP, les valeurs correspondantes et en prcisant leur caractre optionnel. 5. Tous les accs Web et FTP des machines de UNIV se font par lintermdiaire du serveur proxy. Complter la table de routage de ce serveur sur le document rponse 1.
Le firewall Netasq F500 en plus de la translation dadresses IP a pour tche de filtrer le trafic entrant et sortant en fonction du cahier des charges donn ci-dessous. Ce cahier des charges du firewall Netasq est constitu des rgles suivantes : Contraintes : les accs Web et FTP : Tous les accs directes Web et FTP vers Internet sont interdits sauf : i. requtes et rponses pour les adresses IP du rseau PC Profs ; ii. requtes et rponses pour la station du Supervision ; iii. les rponses du proxy (port : 1080) sont autorises vers le LAN. Contraintes : les accs DNS : Seules la rsolution DNS destination du serveur DNS externe situ dans la DMZ est autorise.
6. En vous basant sur ces contraintes et sur le document annexe 2, crire les rgles de filtrage correspondantes en compltant le tableau du document rponse 2. NB. -Tenir compte de la priorit : une rgle nonce est toujours prioritaire vis--vis de celles qui la suivent. -Un accs un service induit un change dans les deux sens (requte, rponse). Il est donc ncessaire den tenir compte dans les rgles de filtrage. 7. Admettant que le firewall bridge laisse passer les requtes provenant de lInternet, est-il ncessaire de prvoir des rgles qui protgent le LAN des ces accs ? Justifier votre rponse.
37 Annexe 1
38 Annexe 2
39 Document rponse 1
40 Document rponse 2
41 Corrig Exonet N 8 Corrig Exonet N 8 Corrig Exonet N 8 Corrig Exonet N 8
Question 1. Il apparat que les VLAN sont grs comme des rseaux IP. Pourquoi a-t-on opt pour cette solution ?
Les VLAN sont grs comme des sous-rseaux afin de permettre le routage entre eux.
Question 2. Le routeur Netasq F500 assure un routage InterVlan(s) . De ce fait, sur son lien avec lOptiSwitch, il possde une adresse IP par VLAN. Sur le document rponse 1, complter la table de routage du routeur.
Les rseaux existants permettent dadresser chacun 254 machines. Le nombre dtudiants augmentant, une extension des possibilits dadressage est envisage pour le rseau PC tudiants. Question 3.1. Donner le masque de sous-rseau qui permettrait de multiplier au moins par deux le nombre de machines (sans changer les adresses existantes et en se limitant un maximum de 1500 machines adressables). Justifier votre rponse. Question 3.2. Donner, dans ce cas, ladresse de diffusion. Question 3.3. Indiquer sur le document rponse 1 quelle serait la modification dans la table de routage du routeur Netasq F500.
3.1. La solution qui permettra de doubler les possibilits dadressage du sous rseau PC-Etudiants consiste diminuer dune unit le nombre de bits du masque. Il passera donc /23 soit 255.255.254.0 Diminuer de 2 bits provoquerait un chevauchement avec le rseau 192.168.4.0 ; diminuer de 3bits dpasserait la limite du nombre de machines impos. 3.2. Dans ce cas, ladresse de broadcast est 192.168.7.255
3.3.
Question 4. Les configurations IP des stations du VLAN 3 sont attribues dynamiquement par le Netasq F500. Sachant que les 10 premires et 10 dernires adresses de la plage totale sont rserves dautres usages, complter le tableau du document rponse 1 en indiquant les paramtres de configuration DHCP, les valeurs correspondantes et en prcisant leur caractre optionnel.
42 Question 5. Tous les accs Web et FTP des machines de UNIV se font par lintermdiaire du serveur proxy. Complter la table de routage de ce serveur sur le document rponse 1.
Question 6. En vous basant sur ces contraintes et sur le document annexe 2, crire les rgles de filtrage correspondantes en compltant le tableau du document rponse 2.
Question 7. Admettant que le firewall bridge laisse passer les requtes provenant de lInternet, est il ncessaire de prvoir des rgles qui protgent le LAN des ces accs ? Justifier votre rponse.
Non, il nest pas ncessaire de crer une rgle pour bloquer les accs externes, ceux-ci seront inoprants du fait de la translation dadresse et de port (PAT) utilis sur le Netasq.
43 Exonet N 9
Le rseau de lentreprise REZOnet est compos de diffrents sites rpartis sur toute la rgion dErrachidia. Le routeur qui nous intresse (R-fw-dmz) se situe sur le site Errachidia centre et joue le rle de passerelle filtrante vers Internet pour tous les sites en utilisant la translation d'adresses et les listes d'accs (access-list).
Zoom sur le routeur et ses interfaces :
Lintitul du routeur R-fw-dmz fait penser Firewall et DMZ. 1.1. Expliquer le rle d'un firewall. 1.2. Expliquer ce qu'est une DMZ. 1.3. Citer 2 protocoles routables et 2 protocoles de routage. 1.4. Hormis celles filtres, citer 2 types de trames qui ne sont pas routes par le routeur R-fw- dmz. 2.1. En vous aidant des annexes 1 et 2 complter le document rponse 1 qui concerne une partie de la configuration du routeur R-fw-dmz . 2.2. Pour les rgles des lignes 4 et 6 du document rponse 1 calculer les plages d'adresses des rseaux concerns. 2.3. Pourquoi toutes les access-lists prsentes dans la configuration du routeur se terminent par "permit ip any any" ? 2.4. Si lon souhaite interdire le service TFTP, quelle ligne faut-il ajouter la configuration du routeur dans l'access-list "dmz_in".
44 Document rponse 1
45 Annexe 1
Les routeurs sont des quipements de niveau 3 (rseau) et sont chargs de l'acheminement des datagrammes IP entre les rseaux. En terme de scurit, ils sont chargs plus prcisment : de la recherche de chemins de secours du filtrage des broadcasts du filtrage des datagrammes IP (ACL) du contrle des correspondances entre ports et adresses IP, et entre adresses MAC et adresses IP. (contrle d'usurpation) Les ACL (Access Control Lists) Les ACL sont des filtres appliqus chaque datagramme IP transitant travers le routeur et qui ont pour paramtres : l'adresse IP de la source l'adresse IP de la destination le type du paquet (tcp, udp, icmp, ip) le port de destination du paquet Pour un datagramme donn, l'ACL prend deux valeurs : deny : le paquet est rejet. permit : le paquet peut transiter par le routeur. Syntaxe Les routeurs Cisco acceptent deux types d'ACL : l'access-list simple : access-list access-list-number {deny|permit} protocole ip-source source-masque l'access-list tendue (extended) : access-list access-list-number {deny|permit} protocole ip-source source-masque ip destination destination-masque port-destination
46
Activation de l'access-list On associe chaque interface du routeur une ACL. Une ACL de type in, associe une interface, contrle le trafic qui entre dans le routeur par cette interface
Une ACL de type out associe une interface contrle le trafic qui quitte le routeur par cette interface.
Attention : - les ACL ne s'appliquent qu'au trafic en transit et pas au trafic gnr par le routeur lui-mme. Par exemple, le trafic rsultant d'une connexion telnet vers le routeur n'est pas soumis aux ACL. - Implicitement la rgle : deny ip any any est toujours applique la fin de l'access-list, il n'est donc pas ncessaire de rajouter cette commande pour bloquer le reste du trafic.
47 L'activation d'une access-list sur une interface se fait par la commande : ip access-group access-list-number {in|out}
Recommandations pour la configuration des routeurs : Access-list contre le spoofing L'access-list suivante interdit l'accs au rseau pour tous les datagrammes en provenance de l'extrieur, dont : l'adresse source est locale (127.0.0.0, 0.0.0.0) l'adresse source est prive (10.0.0.0, 172.16.0.0 et 192.168.0.0) (RFC 1918), l'adresse source est une adresse multicast (224.0.0.0) ou broadcast (255.255.255.255) l'adresse source est sur le rseau interne access-list 100 deny ip 127.0.0.0 0.255.255.255 any interdire paquet ip de rseau 127.0.0.0 vers tout(toute station) access-list 100 deny ip 10.0.0.0 0.255.255.255 any access-list 100 deny ip 192.168.0.0 0.0.255.255 any access-list 100 deny ip 172.16.0.0 0.0.255.255 any access-list 100 deny ip 224.0.0.0 31.255.255.255 any access-list 100 deny ip host 255.255.255.255 any access-list 100 deny ip host 0.0.0.0 any access-list 100 permit ip any any Cette access-list doit tre applique sur toutes les interfaces externes : ip access-group 100 in
Adresse IP et masque gnrique Les ACL dfinissent des familles d'adresses IP l'aide d'une adresse IP et d'un masque gnrique. Pour vrifier si une adresse IP appartient une famille : prendre l'adresse IP appliquer le masque gnrique, c'est--dire mettre 0 dans l'adresse IP tous les bits qui sont 1 dans le masque classique. comparer le rsultat obtenu l'adresse gnrique de la famille. Exemples d'adresses gnriques et de masques : 192.9.200.0 0.0.0.255 Toutes les adresses IP du rseau 192.9.200.0 192.9.200.1 0.0.0.0 L'adresse IP 192.9.200.1 0.0.0.0 255.255.255.255 Toute adresse IP. 192.9.200.0 0.0.0.63 Toutes les adresses IP comprises entre 192.9.200.0 et 192.9.200.63 147.210.0.254 0.0.255.0 Toutes les adresses IP de la forme 147.210.x.254
48 Annexe 2 Assignation de certains ports associs aux processus serveurs en fonction des protocoles de transport TCP et UDP.
49 Corrig Exonet N 9 Corrig Exonet N 9 Corrig Exonet N 9 Corrig Exonet N 9
Question 1.1 Expliquer le rle d'un firewall.
FW : Un pare-feu (appel aussi coupe-feu ou firewall en anglais), est un systme permettant de protger un ordinateur des intrusions provenant d'un rseau (ex: Internet). Le pare-feu est en ralit un systme permettant de filtrer les paquets de donnes changs avec le rseau.
Question 1.2. Expliquer ce qu'est une DMZ.
DMZ : Une zone dmilitarise dit DMZ est un segment de rseau sur lequel des ressources internes sont accessibles par des clients externes.
Question 1.3. Citer 2 protocoles routables et 2 protocoles de routage.
Question 1.4. Hormis celles filtres, citer 2 types de trames qui ne sont pas routes par le routeur R-fw-dmz.
Les trames et les datagrammes IP que le routeur ne laisse pas passer sont : - les trames de diffusion - les datagrammes dont ladresse de destination est inconnue. - les datagrammes dont le TTL est 1.
Question 2.1. En vous aidant des annexes 1 et 2 complter le document rponse 1 qui concerne une partie de la configuration du routeur R-fw-dmz.
50 Question 2.2. Pour les rgles des lignes 4 et 6 du document rponse 1 calculer les plages d'adresses des rseaux concerns.
Ligne 4: la plage d'adresses concerne est 10.0.0.0 10.255.255.255 car le masque classique est 255.255.255.0 (masque gnrique: 0.255.255.255). Ligne 6: la plage d'adresses concerne est 195.52.208.0 195.52.215.255 car le masque classique est 255.255.248.0 (masque gnrique: 0.0.7.255).
Question 2.3. Pourquoi toutes les access-lists prsentes dans la configuration du routeur se terminent par "permit ip any any" ?
Par dfaut, tout le trafic est bloqu donc si on veut au contraire autoriser tout ce qui n'a pas t interdit , il faut mettre la ligne suivante la fin de l'acces-list : " permit ip any any"
Question 2.4. Si lon souhaite interdire le service TFTP, quelle ligne faut il ajouter la configuration du routeur dans l'access-list "dmz_in".
deny udp any any eq 69
51 Exonet N 10
Lentreprise REZOnet externalisait ses serveurs HTTP, NNTP et SMTP pour lInternet et lextranet. Elle a dcid daccueillir dans une zone dmilitarise ces serveurs. Ceci la conduit revoir son architecture rseau et sa politique de scurit. Aprs avoir dcid dans un premier temps de crer une DMZ avec une adresse publique, l'administrateur dcide d'utiliser aujourd'hui une adresse prive pour renforcer la scurit. Le routeur daccs distant (R1) est un routeur filtrant, il permet dinterdire certains flux et en autoriser d'autres. Ce routeur prend aussi en charge la traduction d'adresses (NAT/PAT). Les clients du rseau local ont un accs Internet. Lannexe 1 la structure schmatique du nouveau rseau de lentreprise. Lannexe 2, des exemples de rgles NAT/PAT appliques par le routeur R1. Lannexe 3 des exemples de rgles de redirection appliques par le routeur R1.
1. Pourquoi le routeur R1 masque-t-il les adresses du rseau 192.168.50.0/24 ? 2. Expliquer le rle des rgles de l'annexe 3. 3. Le routage porte-t-il sur les adresses substitues ou sur les adresses relles ? 4. Pourquoi n'utilise-t-on pas le port standard 80 pour rediriger vers le serveur http partenaire de nom prive.rezonet.ma ? 5. Comment les clients http des partenaires doivent-ils adresser leur requte pour accder au serveur http partenaire prive.rezonet.ma? L'administrateur dcide d'appliquer une politique de scurit plus restrictive. Il veut empcher tout trafic entre l'Internet et l'Intranet. Pour cela il va mettre en place un Proxy HTTP sur un serveur d'adresse 192.168.100.4 dans la DMZ qui coutera sur le port 8080. Tous les utilisateurs devront passer par ce Proxy. 6. Comment fonctionne un Proxy-HTTP et quel est son intrt ? 7. Proposer une solution pour permettre aux postes de l'Intranet d'utiliser le Proxy-HTTP de faon transparente. 8. Rdiger le(s) rgle(s) permettant cette solution.
52 Annexe 1 : Structure schmatique du rseau
Annexe 2 : exemples de rgles NAT/PAT
Le type NP (NAT/PAT) s'applique en sortie de l'interface et substitue ladresse IP source et le port source privs par une adresse IP publique et un port public. Cette rgle gnre une entre dans une table interne du routeur qui permettra de grer la substitution inverse.
Le Type R (Redirection) s'applique en entre de l'interface et substitue l'adresse IP destination et le port de destination publics par une adresse IP prive et un port priv. Cette rgle gnre une entre dans une table interne du routeur qui permettra de grer la substitution inverse.
N
Interface Type protocole Adresse publique port public adresse prive port priv
3 213.152.47.9 R TCP 213.152.47.9 80 192.168.100.2 80 4 213.152.47.9 R TCP 213.152.47.9 4500 192.168.100.3 80
53 Corrig Exonet N 10 Corrig Exonet N 10 Corrig Exonet N 10 Corrig Exonet N 10
Question 1. Pourquoi le routeur R1 masque-t-il les adresses du rseau 192.168.50.0/24 ?
les adresses de classe C 192.168.x.x sont des adresses prives qui ne peuvent tre routes sur Internet, il faut donc les substituer par une adresse publique (ici l'adresse publique du routeur).
Question 2. Expliquer le rle des rgles de l'annexe 3.
Les rgles de l'annexe 3 redirigent vers les serveurs http de la DMZ les paquets dont l'entte TCP comporte les ports de destination prciss. L'adresse IP de destination qui est l'adresse publique du routeur sera substitue par l'adresse prive prcise. Le port de destination sera lui aussi substitu si cela est ncessaire. Ces substitutions sont faites avant d'entrer dans le processus de routage et de filtrage.
Question 3. Le routage porte t-il sur les adresses substitues ou sur les adresses relles ?
Le processus de routage utilise l'adresse de destination d'un paquet pour prendre sa dcision de routage. Cette dcision ne peut tre prise sur les adresses substitues car celles-ci ne correspondent pas aux adresses relles du rseau local. Les rgles suivantes sont donc appliques : On substitue en entre de l'interface les adresses et les ports de destination par les adresses et les ports privs. Cette substitution se fait avant le processus de routage et de filtrage qui va donc porter sur les adresses relles. On substitue en sortie de l'interface les adresses et les ports sources par les adresses et les ports publics. Cette substitution se fait aprs le processus de routage et de filtrage qui a donc port sur les adresses relles.
Question 4. Pourquoi n'utilise t-on pas le port standard 80 pour rediriger vers le serveur http partenaire de nom prive.rezonet.ma ?
Il faut diffrencier les ports des serveurs. En effet une requte DNS sur public.sagi.fr ou prive.rezonet.ma renvoie l'adresse IP publique du routeur. On ne peut donc pas avoir deux fois le mme port associ la mme adresse IP publique, car il est impossible de rediriger correctement la requte vers le serveur correspondant. On laisse ici les donnes publiques sur le port 80 (port standard du protocole http ) mais on change le port http des donnes partenaires.
Question 5. Comment les clients http des partenaires doivent ils adresser leur requte pour accder au serveur http partenaire prive.rezonet.ma?
Les clients des partenaires doivent connatre ces numros de port (il faut saisir le numro de port dans l'URL.) ex: HTTP://prive.rezonet.ma:4500
Question 6. Comment fonctionne un Proxy HTTP et quel est son intrt ?
Le terme franais pour dsigner un Proxy est mandataire, c'est--dire celui qui on confie un travail. Les proxys sont des relais. Ils jouent le rle de serveur pour le client, et de client pour le serveur. Ils peuvent analyser les donnes dans le contexte de l'application et appliquer des filtres (sites interdits blacklist , audit, etc.). Dans une configuration minimum un proxy http mettra en cache les pages HTML visites optimisant ainsi leur utilisation. Un proxy peut permettre d'viter les connexions directes depuis un rseau interne vers Internet. Sans routeur, il permet le partage de laccs Internet avec une interface publique.
54 Question 7. Proposer une solution pour permettre aux postes de l'Intranet d'utiliser le Proxy HTTP de faon transparente.
Deux solutions sont possibles : Configurer tous les navigateurs Internet pour paramtrer le Proxy. Cette solution n'est pas transparente et peut tre contourne par les postes. Rediriger en entre de l'interface 192.168.50.1 tout paquet avec l'adresse du port destination 80 vers le Proxy 192.168.100.4. C'est la technique dite du "Proxy transparent". Il faut bien sr que le Proxy le permette c'est le cas de la plupart des Proxy du march.
Question 8. Rdiger le(s) rgle(s) permettant cette solution.
numro Interface Type protocole Adresse publique port public adresse prive Port priv 5 192.168.50.1 R TCP * 80 192.168.100.4 8080
Ici les requtes http partir du rseau local sont rediriges vers le proxy situ dans la DMZ. Le Proxy agira ensuite en tant que client Internet il utilisera donc un port client suprieur 1024 pour ses changes. Il n'y aura donc pas de confusion avec les changes des serveurs de la DMZ. Pour plus de scurit il faudrait supprimer la rgle 1 du NAT/PAT qui masque les adresses des postes du rseau local et leur permet l'accs Internet.
55 Exonet N 11
La filiale d'une socit est relie son sige par l'intermdiaire de deux connexions distantes : une liaison spcialise et une liaison de secours RNIS. Chaque liaison est gre par un routeur diffrent: un routeur principal et un routeur de secours. La disponibilit de la connexion est une ncessit pour la filiale. Vous tes charg d'tudier la mise en uvre d'une solution qui permettrait de tolrer la panne du routeur principal. Pour cela vous allez tout d'abord tudier ce qu'un administrateur devrait faire manuellement en cas de panne du routeur principal pour utiliser le routeur de secours. Puis vous allez tudier la mise en uvre de deux protocoles permettant dassurer dynamiquement la tolrance de panne. L'annexe 1 vous donne un schma non exhaustif du rseau. L'annexe 2 vous donne l'tat initial de la configuration des diffrents lments actifs du rseau avant la simulation de la panne. L'annexe 3 prsente sommairement les protocoles utiliss. Lannexe 4 prsente le cache ARP du poste 192.168.200.20 aprs la mise en place de HSRP et lexcution dune commande ping. Lannexe 5 prsente lannonce de route faite par le routeur principal au routeur du sige aprs la mise en place du protocole de routage RIP.
Vous testez le fonctionnement du routeur principal en excutant la commande suivante partir du poste 192.168.200.20 : ping 192.168.10.1 Tout se droule normalement. Vous simulez une panne sur le routeur principal puis vous activez le routeur de secours sans modifier les configurations dcrites dans l'annexe 2. 1. Quel sera le rsultat de la commande ping 192.168.10.1 excute sur le poste 192.168.200.20 ? 2. Quelle doit tre la nouvelle configuration du poste 192.168.200.20 pour utiliser le routeur de secours ? 3. La modification apporte sur le poste 192.168.200.20 ne modifie pas le rsultat de la commande prcdente, pourquoi ? Proposez une solution.
Vous mettez en place le protocole HSRP entre le routeur principal et le routeur de secours sur les interfaces 192.168.200.253 et 192.168.200.254. Vous affectez aux deux routeurs l'adresse IP virtuelle suivante : 192.168.200.1 et l'adresse MAC virtuelle suivante 00-00-0c-07-ac-02. Toutes les tables de routage restent dans ltat prsent par lannexe 2. Vous testez le fonctionnement du routeur principal en excutant la commande suivante partir du poste 192.168.200.20 : ping 192.168.10.1 Tout se droule normalement. Vous simulez de nouveau une panne sur le routeur principal. 4. Quelle doit tre l'adresse du routeur par dfaut utilise par le poste 192.168.200.20 pour tolrer une panne du routeur principal ? 5. Doit-on vider le cache ARP du poste 192.168.200.20 avant d'excuter de nouveau la commande ping 192.168.10.1 Lannexe 4 prsente le contenu actuel du cache ARP. 6. Quel sera le rsultat de la commande ping 192.168.10.1 ? 7. Pourquoi ne met-on pas en uvre HSRP entre les interfaces 200.100.10.253 et 200.100.20.253 ?
56 Pour automatiser la mise jour des tables de routage notamment pour le routeur du sige, vous installez un protocole de routage vecteur de distance sur les diffrents routeurs. Dans un premier temps le routeur principal est actif et transmet des annonces de route au routeur du sige alors que le routeur de secours inactiv par HSRP ne transmet rien. Lannexe 5 montre lannonce transmise. Vous simulez une panne sur le routeur principal. Le routeur du sige cesse de recevoir des annonces de la part du routeur principal mais en reoit de la part du routeur de secours qui a t activ par HSRP. 8. Sur quelles interfaces doit-on activer le protocole de routage ? 9. Rajouter une colonne mtrique aux tables de routage des routeurs. 10. Que contient l'annonce envoye par le routeur de secours au routeur du sige ? 11. Quelle est la nouvelle table de routage sur le routeur du sige aprs rception de l'annonce ?
Annexe 1 : Schma non exhaustif du rseau
Routeur Sige Routeur P ri ncipal 192. 168.200. 253/24 Routeur de se cours 192. 168.200.254/24 PC PC PC P C 1 92. 168.200.20 Commutate ur Commutateur Ser veur de fic hiers 192. 168.10.2/24 Se rveur de fi chi ers 192.168.10. 1/ 24 200.100. 10. 253/30 200.100. 20. 253/30 200. 100.20.254/ 30 200. 100.10.254/30 192.168.10.254/ 24 57
Annexe 2 : la configuration des diffrents lments actifs du rseau avant la simulation de la panne.
Adresse MAC du routeur principal : 0D 0A C1 10 5B 2D Adresse MAC du routeur de secours : 0D 0A C1 00 24 11
Cache ARP du poste 192.168.200.20
Adresse MAC Adresse IP Type 0D 0A C1 10 5B 2D 192.168.200.254 dynamique
58 Annexe 3 : Prsentation des protocoles utiliss.
HSRP (Host Stanby Router Protocol) HSRP est dcrit dans la RFC 2281. Ce document est class pour information ce qui veut dire qu'il n'est pas un standard Internet. C'est un protocole propritaire CISCO. Il offre un mcanisme de tolrance aux pannes de la passerelle par dfaut aux diffrentes machines du rseau incapables de dcouvrir dynamiquement les routeurs qui leur sont affects (attention on ne fait pas rfrence ici DHCP qui ne permet pas cela mais plutt des mthodes dynamiques comme IRDP ICMP Router Discovery Protocol). HSRP permet deux routeurs de partager une adresse IP virtuelle et une adresse MAC virtuelle. Le routeur actif rpond aux requtes ARP destines l'adresse commune comme s'il s'agissait de la sienne puis prend en charge les trames adresses l'adresse MAC commune. Un change de message ralis en multicast permet aux routeurs de dterminer le routeur actif puis de vrifier la prsence de l'autre routeur. Lorsque le routeur actif est dfaillant, le deuxime routeur ne reoit plus de message multicast de sa part, il devient alors actif et rpond aux requtes adresses aux adresses communes (IP et MAC). D'autres protocoles sont bien sr utilisables comme par exemple VRRP (Virtual Redundancy Router Protocol).
RIP V2 (Routing Information Protocol). La version 2 transmet les masques de sous-rseau. Un protocole de routage permet de mettre jour dynamiquement les tables de routage des routeurs. Les routeurs s'envoient des messages contenant les rseaux qu'ils peuvent atteindre soit directement soit indirectement. Pour atteindre un rseau, un routeur utilisant un protocole vecteur de distance choisira toujours la route la plus courte. La route la plus courte est celle qui traverse le moins de routeur. Pour valuer cette distance le routeur associe chaque rseau une mtrique sous la forme d'un entier. La valeur 1 correspond une remise directe. Une valeur suprieure 1 correspond une remise indirecte. Un routeur utilisant le protocole de routage RIP diffuse toutes les 30s la liste des rseaux qu'il peut atteindre avec leur mtrique. Pour RIP la valeur 16 associe une mtrique invalide la route. D'autres protocoles vecteur de distance sont bien sr utilisables par exemple IGRP (Internet Gateway Router Protocol) ou bien EIGRP (Extended Internet Gateway Router Protocol) de CISCO protocle Hybride entre les protocoles vecteur de distance et ceux tats de lien.
Annexe 4 Cache ARP du poste 192.168.200.20 aprs la mise en place de ARP et la commande ping 192.168.10.1
Adresse MAC Adresse IP Type 00-00-0c-07-ac-02 192.168.200.1 dynamique
Annexe 5 Annonce transmise par le routeur principal au routeur du sige
Rseau Masque Mtrique 192.168.200.0 255.255.255.0 1 59 Corrig Exonet N 11 Corrig Exonet N 11 Corrig Exonet N 11 Corrig Exonet N 11
Question 1. Quel sera le rsultat de la commande ping 192.168.10.1 excute sur le poste 192.168.200.20 ?
Le rsultat sera "dlai d'attente dpass". Le paquet ICMP echo est parti mais le paquet ICMP reply nest pas revenu dans le temps imparti.
Question 2. Quelle doit tre la nouvelle configuration du poste 192.168.200.20 pour utiliser le routeur de secours ?
Il faut modifier la passerelle par dfaut pour affecter l'adresse IP du routeur de secours 192.168.200.254
Question 3. La modification apporte sur le poste 192.168.200.20 ne modifie pas le rsultat de la commande prcdente, pourquoi ? Proposez une solution.
Le problme se situe sur la table de routage du routeur du sige sur la route de retour . En effet le paquet part du poste vers la nouvelle passerelle par dfaut 192.168.200.254 qui transmet au routeur du sige. Celui-ci transmet au poste 192.168.10.1 qui rpond via le routeur du sige. Mais ce dernier continue orienter vers le routeur principal qui est inactif. Il faut donc remplacer la ligne obsolte par la ligne suivante :
Question 4. Quelle doit tre l'adresse du routeur par dfaut utilise par le poste 192.168.200.20 pour tolrer une panne du routeur principal ?
L'adresse du routeur par dfaut doit tre l'adresse virtuelle IP 192.168.200.1
Question 5. Doit on vider le cache ARP du poste 192.168.200.20 avant d'excuter de nouveau la commande ping 192.168.10.1 Lannexe 4 prsente le contenu actuel du cache ARP.
Ce n'est pas ncessaire de vider le cache ARP car les deux routeurs utilisent la mme adresse MAC virtuelle donc mme si le poste ne refait pas de requte ARP pour rsoudre l'adresse 192.168.200.1 le routeur de secours traitera bien les trames avec pour adresse MAC destinataire 00-00-0c-07-ac-02
Question 6. Quel sera le rsultat de la commande ping 192.168.10.1 ?
Le rsultat de la commande sera "dlai d'attente dpasse" car la table de routage du routeur du sige n'a pas t mise jour
Question 7. Pourquoi ne met on pas en uvre HSRP entre les interfaces 200.100.10.253 et 200.100.20.253 ?
On ne peut mettre en uvre HSRP que sur une mme liaison rseau or ces deux interfaces ne sont pas sur une mme liaison
Question 8. Sur quelles interfaces doit on activer le protocole de routage ?
Le protocole de routage doit tre activ sur les interfaces : 200.100.10.254 200.100.20.254 200.100.10.253 200.100.20.253
60 Question 9. Rajouter une colonne mtrique aux tables de routage des routeurs.
Question 10. Que contient l'annonce envoye par le routeur de secours au routeur du sige ?
Le routeur de secours envoie le mme message quenvoyait le routeur principal :
192.168.200.0 255.255.255.0 1
Question 11. Quelle est la nouvelle table de routage sur le routeur du sige aprs rception de l'annonce ?
Le routeur du sige invalide la route qui passait par le routeur principal car il ne reoit plus dannonce sur cette interface et la remplace par la route propose par le routeur de secours.
Une entreprise dispose de plusieurs routeurs dans son rseau. Un premier routeur (appel SUPERNET) constitue le point d'entre sur le rseau local, de tous les rseaux partenaires (filiales et clients). Il est interconnect un deuxime routeur (nomm PRIVANET) qui route vers les diffrents sous-rseaux internes de l'entreprise, en transmettant ventuellement les paquets d'autres routeurs. L'annexe 1 prsente la table de routage de SUPERNET. L'annexe 2 prsente la table de routage de PRIVANET.
1. Indiquer, parmi les sous-rseaux de lentreprise, ceux qui sont accessibles via le routeur SUPERNET 2. Indiquer quelles sont les lignes rajouter dans la table de routage du routeur SUPERNET pour router vers les rseaux non accessibles. 3. Indiquer sil est possible, avec une seule ligne dans la table de routage du routeur SUPERNET de router vers tous les rseaux.
62 Corrig Exonet N 12 Corrig Exonet N 12 Corrig Exonet N 12 Corrig Exonet N 12 Question 1. Indiquer, parmi les sous-rseaux de lentreprise, ceux qui sont accessibles via le routeur SUPERNET
La deuxime ligne de la table de routage du routeur SUPERNET fait rfrence un masque 255.255.224.0. Cela signifie que dans le troisime octet, les trois premiers bits sont 1. Toutes les adresses disposant donc des mmes 19 premiers bits (8 + 8 + 3) seront routes. Il faut donc rechercher parmi lensemble des sous-rseaux contenus dans la table de routage de PRIVANET les adresses de rseau qui correspondent cette proprit. Pour rpondre il faut convertir ces adresses rseaux en binaire : 200.100.18.0 11001000.11000100.00010010.00000000 200.100.31.0 11001000.11000100.00011111.00000000 200.100.32.0 11001000.11000100.00100000.00000000 200.100.33 0 11001000.11000100.00100001.00000000 200.100.34 0 11001000.11000100.00100010.00000000 200.100.48 0 11001000.11000100.00110000.00000000 200.100.49 0 11001000.11000100.00110001.00000000 200.100.50.0 11001000.11000100.00110010.00000000 200.100.66.0 11001000.11000100.01000010.00000000 200.100.98.0 11001000.11000100.01100010.00000000 Les rseaux 200.100.32.0, 200.100.33.0; 200.100.34.0; 200.100.48.0; 200.100.49.0; 200.100.50.0 sont ainsi accessibles. Car si on applique un masque qui restreint l'identifiant du rseau ces 19 bits, avec une seule ligne dans la table de routage on route vers l'ensemble de ces rseaux. Ce qui implique bien un autre routeur (ici PRIVANET) qui distribue les paquets vers les bons sous- rseaux. Crer des sur-rseaux (l'inverse des sous-rseaux) permet donc de limiter le nombre de lignes sur une table de routage, pour les routeurs "gnraux" d'une entreprise.
Question 2. Indiquer quelles sont les lignes rajouter dans la table de routage du routeur SUPERNET pour router vers les rseaux non accessibles.
Ligne rajouter pour router vers 200.100.66.0 et 200.100.98.0 200.100.64.0 255.255.192.0 10.0.0.1 10.0.0.2 Il suffit en effet que les deux premiers bits du troisime octet soient gaux 01 (0x2 7 + 1x2 6 = 64), et que le masque dispose dun troisime octet commenant par 11 (1x2 7 + 1x2 6 = 192). Ligne rajouter pour router vers 200.100.18.0 et 200.100.31.0 Il faut que les trois premiers bits du troisime octet soient gaux 000 (0x2 7 + 0x2 6 + 0x2 5 = 0), donc que le masque dispose dun troisime octet commenant par 111 (1x2 7 + 1x2 6 + 1x2 5 =224). 200.100.0.0 255.255.224.0 10.0.0.1 10.0.0.2 Il est aussi possible de restreindre la plage dadresses routes en tablant sur les quatre premiers bits identiques (0001), ce qui donnerait ladresse 200.100.16.0 et le masque /20 .
Question 3. Indiquer sil est possible, avec une seule ligne dans la table de routage du routeur SUPERNET de router vers tous les rseaux.
On considre que toutes les adresses ont le troisime octet qui commence par 0 (adresse 200.100.0.0) ce qui donne un masque dans lequel le troisime octet commence par 1 (soit 128) 200.100.0.0 255.255.128.0 10.0.0.1 10.0.0.2 On pourrait aussi tendre la plage dadresses routes en considrant que seuls les deux premiers octets sont identiques, ce qui donnerait une adresse identique, mais le masque /16 .
63 Exonet N 13
La configuration propose ne reprsente pas, loin s'en faut, une configuration idale. Son tude a simplement pour objectif de balayer diffrentes fonctionnalits d'un DNS. L'annexe 1 vous permet de vous familiariser avec le vocabulaire et les concepts employs. Lannexe 2 fournit le plan dadressage du rseau gberger.fr.
1. Complter l'annexe 3 afin de positionner chaque machine rfrence dans son domaine (associe son adresse IP) partir de lanalyse du fichier de configuration des zones gberger.fr, tsig.gberger.fr et tscg.gberger.fr (annexe 4). Faire apparatre pour chaque zone la liste des serveurs DNS. Indiquer les htes du rseau gberger.fr qui ne sont pas encore rfrencs.
2. Rpondre aux questions suivantes, en les justifiant : 2.1 Sur quelle machine est stock le fichier de configuration de la zone tsig.gberger.fr ? 2.2 Quelle est la dure de validit de ses donnes en cache (exprime en jours) ? 2.3 Quelle est l'adresse et le nom du serveur secondaire de la zone tscg.gberger.fr ? 2.4 Parmi ces deux zones (tsig.gberger.fr et tscg.gberger.fr), quelle est la zone qui a t le plus souvent modifie ? 2.5 arle.tsig.gberger.fr est-elle une zone indpendante ? 2.6 Que faut-il faire pour que la rsolution de nom pour la machine srv.gberger.fr, d'adresse 10.0.2.1 soit possible ?
3. En utilisant la mme reprsentation que pour les fichiers de configuration fournis en annexe 4, lorsque cela est ncessaire, rpondre aux questions suivantes : 3.1 Quel est le contenu du fichier de description de zone associ au serveur dns2.tsig.gberger.fr ? 3.2 Comment faire pour dclarer un nouveau serveur de noms pour la zone tscg.gberger.fr, de nom dns2 et d'adresse 10.0.2.13 ? 3.3 Comment faire pour que arle.tsig.gberger.fr devienne une zone indpendante ?
64 Annexe 1 Rappels de quelques dfinitions
Le rle d'un serveur de noms de domaines est avant tout de permettre de "rsoudre un nom", c'est-- dire d'associer une adresse IP un nom d'hte. L'espace des noms de domaines est dcoup en zones. Ces dcoupes peuvent tre ralises entre deux nuds adjacents quelconques. Chaque groupe de nuds interconnects devient ainsi une zone indpendante. Du fait de la structure d'arbre (dans lequel chaque branche correspond un domaine), chaque zone contient un nud "de plus haut niveau" qui est plus proche de la racine que tous les autres nuds de cette zone. Le nom de ce nud est utilis pour identifier la zone elle-mme. Chaque zone est gre par une organisation, qui peut modifier ses donnes de faon unilatrale, crer des nouveaux sous-arbres l'intrieur de la zone, supprimer des nuds existants, ou encore dlguer la gestion de sous-zones d'autres organisations plus locales. Une zone contient donc un ensemble d'htes (noeuds). Les donnes dcrivant une zone se divisent en quatre parties majeures : Les donnes sur lesquelles le serveur fait autorit (pour tous les nuds dans la zone). Des donnes dfinissant le nud de plus haut niveau de la zone (qui fait partie des donnes sur lesquelles le serveur fait autorit). Des donnes dcrivant les sous-zones dlgues, c'est--dire, les points de coupure dans les parties infrieures de la zone. Les donnes permettant l'accs aux serveurs de noms traitant les sous-zones dlgues (appeles souvent "glue data"). Toutes ces donnes sont exprimes dans un fichier sur le serveur primaire de la zone, sous forme d'enregistrements de ressources (en anglais Ressource Record : RR.) Les principaux types d'enregistrements sont reprs par un code. On rencontre le plus souvent : SOA (Start Of Authority) : identifie le dbut d'une "sphre d'autorit" (description d'une zone) A (Address) : dcrit une adresse d'hte NS (Name Server) : dfinit un serveur de noms faisant autorit sur la zone
Un serveur primaire d'une zone dispose du fichier de configuration de cette zone. Il fait rfrence sur cette zone. Un serveur secondaire travaille sur une copie locale du fichier de configuration d'un serveur primaire, serveur qu'il contacte rgulirement pour mettre jour les donnes qu'il possde sur la zone. Chaque serveur dispose galement d'un cache qui contient d'autres rfrences (sur lesquelles il ne fait pas autorit) obtenues au cours des diffrentes oprations de rsolutions de noms. Pour simplifier, on considrera que sa structure correspond un ensemble de RR de type A. Un serveur de cache ne travaille quavec un cache local qui contient les rsultats des prcdentes rsolutions de noms. Cela vite une mise jour priodique partir du serveur primaire (moins de trafic rseau), mais peut entraner beaucoup de trafic sur le rseau, notamment au dpart, lorsque le cache est vide, et des erreurs, lorsque la dure de validit des informations est trop longue. 65 Annexe 2 Plan d'adressage du rseau gberger.fr
Remarque : Seules les machines ncessaires cet exercice sont visualises sur ce document
Le serveur proxy fait office de passerelle vers le Fournisseur d'Accs Internet qui a fourni deux adresses de DNS : 118.39.5.53 et 118.39.17.26.
Les htes du rseau 10.0.2.0/24 ont pour passerelle par dfaut 10.0.2.200.
Les htes du rseau 10.0.1.0/24 ont pour passerelle par dfaut 10.0.1.200. 66 Annexe 3 Arbre de la zone gberger.fr
gberger fr tsig tscg arle da . 67 Annexe 4 Description de la zone gberger.fr
Configuration des postes
Chaque poste du rseau 10.0.1.0/24 dispose de la liste des serveurs DNS par dfaut : 10.0.1.8 10.0.2.9
Chaque poste du rseau 10.0.2.0/24 dispose de la liste des serveurs DNS par dfaut : 10.0.2.9 10.0.1.8
Contenu du fichier de configuration de la zone gberger.fr
; dfinition de la zone gberger.fr ; le serveur d'autorit est dns.tsig.gberger.fr (serveur primaire) ; il est administr par une personne qu'on peut joindre l'adresse admgb@gberger.fr
gberger.fr. IN SOA dns.tsig.gberger.fr. admgb.gberger.fr. ( 3 ; numro de version : permet aux serveurs secondaires de savoir s'ils doivent mettre jour leur ; base 36000 ; dlai de mise jour impos aux serveurs secondaires (en secondes) 3600 ; dlai avant une autre tentative de mise jour par un serveur secondaire (en secondes) 360000 ; dure au-del de laquelle les donnes de zones seront marques comme obsoltes par un ;serveur ; secondaire (en secondes) 86400) ; dure de validit en cache par dfaut des enregistrements de zones (en secondes)
; avec deux serveurs de noms dans cette zone
NS dns.tsig.gberger.fr. NS dns2.gberger.fr.
; et dlgation de la zone tsig.gberger.fr avec trois serveurs de noms
tsig.gberger.fr. IN NS dns.arle.tsig.gberger.fr. NS dns2.tsig.gberger.fr NS dns2.gberger.fr.
; et dlgation de la zone tscg.gberger.fr avec deux serveurs de noms
tscg.gberger.fr. IN NS dns.tscg.gberger.fr. NS dns2.gberger.fr.
68 ; dclaration des adresses faisant autorit
localhost.gberger.fr. IN A 127.0.0.1 dns2.gberger.fr. IN A 10.0.2.9 proxy.gberger.fr. IN A 10.0.2.2 routeur.gberger.fr IN A 10.0.2.200 routeur.gberger.fr IN A 10.0.1.200
; fin de la zone dautorit ; glue data
dns.tsig.gberger.fr. IN A 10.0.1.8 dns.arle.tsig.gberger.fr IN A 10.0.1.4 dns.tscg.gberger.fr IN A 10.0.2.12 dns2.tsig.gberger.fr IN A 10.0.1.9
Contenu du fichier de configuration de la zone tsig.gberger.fr
tsig.gberger.fr. IN SOA dns.arle.tsig.gberger.fr. admig.gberger.fr. (19 18000 3600 72000 86400) NS dns.arle.tsig.gberger.fr. NS dns2.tsig.gberger.fr. NS dns2.gberger.fr.
localhost.tsig.gberger.fr. IN A 127.0.0.1 dns.arle.tsig.gberger.fr. IN A 10.0.1.4 dns2.tsig.gberger.fr. IN A 10.0.1.9 srv.arle.tsig.gberger.fr. IN A 10.0.1.2 srv.da.tsig.gberger.fr. IN A 10.0.1.3
Contenu du fichier de configuration de la zone tscg.gberger.fr
tscg.gberger.fr. IN SOA dns.tscg.gberger.fr. admcg.gberger.fr. (13 54000 3600 108000 86400) NS dns.tscg.gberger.fr. NS dns2.gberger.fr.
localhost.tscg.gberger.fr. IN A 127.0.0.1 dns.tscg.gberger.fr. IN A 10.0.2.12 dns2.gberger.fr. IN A 10.0.2.9 srv.tscg.gberger.fr. IN A 10.0.2.11
69 Corrig Exonet N 13 Corrig Exonet N 13 Corrig Exonet N 13 Corrig Exonet N 13
Question 1. Complter l'annexe 3 afin de positionner chaque machine rfrence dans son domaine (associe son adresse IP) partir de lanalyse du fichier de configuration des zones gberger.fr, tsig.gberger.fr et tscg.gberger.fr (annexe 4). Faire apparatre pour chaque zone la liste des serveurs DNS. Indiquer les htes du rseau gberger.fr qui ne sont pas encore rfrencs.
les htes du rseau gberger.fr qui ne sont pas encore rfrencs sont : srv.gberger.fr (adresse 10.0.2.1) dns2.tscg.gberger.fr (adresse 10.0.2.13)
Question 2.1. Sur quelle machine est stock le fichier de configuration de la zone tsig.gberger.fr ?
Sur dns.arle.tsig.gberger.fr (ligne SOA dans le fichier de configuration)
Question 2.2. Quelle est la dure de validit de ses donnes en cache (exprime en jours) ?
86400 secondes, soit une journe (ligne SOA)
70 Question 2.3.Quelle est l'adresse et le nom du serveur secondaire de la zone tscg.gberger.fr ?
10.0.2.9, dns2.gberger.fr (deuxime ligne NS du fichier de configuration de tscg.gberger.fr : la premire ligne correspond au serveur primaire (apparaissant dans la ligne SOA de la zone tscg.gberger.fr )
Question 2.4. Parmi ces deux zones (tsig.gberger.fr et tscg.gberger.fr), quelle est la zone qui a t le plus souvent modifie ?
C'est la zone tsig.gberger.fr qui en est la 19 me version (ligne SOA)
Question 2.5. arle.tsig.gberger.fr est elle une zone indpendante ?
non, car il n'y a pas de dlgation de zone prvue , ni dans gberger.fr, ni dans tsig.gberger.fr
Question 2.6. Que faut il faire pour que la rsolution de nom pour la machine srv.gberger.fr, d'adresse 10.0.2.1 soit possible ?
Il faut ajouter une ligne de type A dans le fichier de configuration de gberger.fr : srv.gberger.fr. IN A 10.0.2.1
Question 3.1. Quel est le contenu du fichier de description de zone associ au serveur dns2.tsig.gberger.fr ?
Il contient la description de la zone tsig.gberger.fr pour lequel il est serveur secondaire.
Question 3.2. Comment faire pour dclarer un nouveau serveur de noms pour la zone tscg.gberger.fr, de nom dns2 et d'adresse 10.0.2.13 ?
Il faut ajouter une ligne NS dans le fichier de configuration de la zone gberger.fr (dans la partie correspondant la dlgation de cette zone : le nom de la zone peut tre omis s'il est ajout la suite des deux lignes NS actuelles tscg.gberger.fr. IN NS dns2.tscg.gberger.fr. et une ligne A dans la zone des "glue data" dns2.tscg.gberger.fr. IN A 10.0.2.13 ce qui donne le rsultat suivant : ; et dlgation de la zone tscg.gberger.fr avec trois serveurs de noms tscg.gberger.fr. IN NS dns.tscg.gberger.fr. NS dns2.gberger.fr. NS dns2.tscg.gberger.fr.
; dclaration des adresses sur lesquelles les serveurs font autorit
localhost.gberger.fr. IN A 127.0.0.1 dns.tsig.gberger.fr. IN A 10.0.1.8 dns2.gberger.fr. IN A 10.0.2.9 proxy.gberger.fr. IN A 10.0.2.2 routeur.gberger.fr. IN A 10.0.2.200 routeur.gberger.fr. IN A 10.0.1.200
; fin de la zone dautorit ; glue data
dns.arle.tsig.gberger.fr. IN A 10.0.1.4 dns.tscg.gberger.fr. IN A 10.0.2.12 dns2.tsig.gberger.fr. IN A 10.0.1.9 dns2.tscg.gberger.fr. IN A 10.0.2.13
71 Question 3.3. Comment faire pour que arle.tsig.gberger.fr devienne une zone indpendante ?
Il faut crer une dlgation de zone dans le fichier de configuration de tsig.gberger.fr, en dclarant au moins un serveur primaire et un serveur secondaire (pour amliorer la scurit - tolrance aux pannes et les performances rpartition des charges -) : ; dlgation de la zone arle.tsig.gberger.fr arle.tsig.gberger.fr NS dns.arle.tsig.gberger.fr NS dns2.tsig.gberger.fr La ligne SOA permettra de dterminer le serveur primaire. Les adresses tant dj disponibles dans la zone autorise, il n'est pas ncessaire d'ajouter de lignes d'adresse. Il faut enlever la ligne correspondant au serveur srv.arle.tsig.gberger.fr.
Contenu du fichier de configuration de la zone tsig.gberger.fr
tsig.gberger.fr. IN SOA dns.arle.tsig.gberger.fr. admig.gberger.fr. (19 18000 3600 72000 86400) NS dns.arle.tsig.gberger.fr. NS dns2.tsig.gberger.fr. NS dns2.gberger.fr.
; dlgation de la zone arle.tsig.gberger.fr avec deux serveurs
localhost.tsig.gberger.fr. IN A 127.0.0.1 dns2.tsig.gberger.fr. IN A 10.0.1.9 ; adresse deuxime serveur srv.da.tsig.gberger.fr. IN A 10.0.1.3 srv.arle.tsig.gberger.fr. IN A 10.0.1.2 ; ligne supprimer
; "glue data
dns.arle.tsig.gberger.fr. IN A 10.0.1.4 ; adresse premier serveur
Il faut ensuite crer le nouveau fichier de configuration qui sera implant sur le serveur primaire de la zone (dns.arle.tsig.gberger.fr)
Contenu du fichier de configuration de la zone arle.tsig.gberger.fr arle.tsig.gberger.fr. IN SOA dns.arle.tsig.gberger.fr. admarle.gberger.fr. (1 18000 3600 72000 86400) NS dns.arle.tsig.gberger.fr. NS dns2.tsig.gberger.fr.
localhost.arle.tsig.gberger.fr. IN A 127.0.0.1 dns.arle.tsig.gberger.fr. IN A 10.0.1.4 dns2.tsig.gberger.fr. IN A 10.0.1.9 srv.arle.tsig.gberger.fr. IN A 10.0.1.2 72 Exonet N 14
Une entreprise dispose d'un rseau Ethernet supportant le protocole TCP/IP et regroupant actuellement 66 htes (stations, serveurs, routeurs, passerelles,). Vous tes charg(e) de proposer un plan dtaill pour automatiser l'attribution des configurations TCP/IP aux htes en respectant le cahier des charges rdig par l'administrateur du rseau.
Cahier des charges A. Donnes Ladresse du rseau est 193.250.17.0. L'entreprise est structure en trois dpartements : Administratif, Commercial et Production. Ces trois dpartements comportent respectivement 24, 16 et 18 htes ayant le rle de postes de travail. B. Contraintes 1. Chaque dpartement doit tre plac dans un sous-rseau IP distinct. On carte les rseaux ayant une adresse "tout zro" ou "tout un" 2. Les htes doivent pouvoir obtenir automatiquement leur configuration IP en en faisant la demande auprs d'un serveur DHCP. 3. Plusieurs serveurs offriront le service DHCP sur le rseau, l'indisponibilit de l'un d'entre eux ne doit pas totalement interrompre l'attribution des configurations TCP/IP aux htes qui en font la demande. On retient comme hypothse que la panne d'un seul serveur DHCP sera assume. Si un sous-rseau est priv de son serveur DHCP suite une panne, 25% de ses htes doivent pouvoir obtenir une adresse IP valide auprs du serveur DHCP d'un autre sous-rseau. 4. La configuration des serveurs DHCP doit permettre l'ajout de nouveaux htes dans chaque sous- rseau. 5. Certains htes ayant un rle de serveur doivent se voir attribuer des adresses IP toujours identiques. Les serveurs DHCP se voient attribuer ladresse IP de numro le plus haut utilisable dans chaque sous-rseau. Les serveurs et routeurs devront disposer dadresses situes dans la partie haute de la plage d'adresses du sous-rseau. Les postes de travail se voient attribuer des adresses situes dans la partie basse de la plage d'adresses du sous-rseau Liste des htes auxquels une adresse fixe doit tre attribue Hte Adresse MAC de l'hte Sous-rseau Administratif Serveur DNS 00-32-DE-5A-78-9C Passerelle par dfaut 1F-7A-90-02-F0-F0 Sous-rseau Commercial Passerelle par dfaut 2B-14-62-91-C9-B1 Routeur 82-00-06-01-9B-7A Sous-rseau Production Passerelle par dfaut 1C-96-AA-F4-C2-91
6. Trois htes du dpartement administratif ne sont pas clients DHCP. 7. Certains htes du domaine Production utiliss sur les chanes de montage ne sont pas grs par le service informatique. Une plage d'adresses leur a t rserve, elle recouvre les adresses 193.250.17.110 193.250.17.117.
73 1. Proposer un masque de sous-rseau pour le rseau de l'entreprise. 2. Calculer le nombre total d'htes que peut contenir chaque sous-rseau. 3. Affecter un numro de sous-rseau chaque dpartement. Dfinir les plages d'adresses utilisables dans chaque sous-rseau. 4. Tracer un schma du rseau de l'entreprise en faisant apparatre les htes du rseau et leur adresse IP. 5. Dfinir comment sera assure l'attribution des configurations IP suite une panne sur un des serveurs DHCP. Argumenter notamment sur la dure des baux. Noter les ventuelles contradictions vis vis du cahier des charges. 6. Dfinir la configuration des serveurs DHCP pour chaque sous-rseau : tendue, dure du bail, options DHCP (passerelle par dfaut, adresse de serveur DNS), adresses exclure, rservations prvoir. (voir annexe)
Annexe : Fiche de CONFIGURATION DHCP CONFIGURATION DHCP DU DEPARTEMENT ______________________ Adresses exclues Rservations tendue du sous-rseau IP : _________________ Plage De A Commentaire Adresse MAC Adresse IP Adresse dbut Adresse fin
Masque Dure du bail
Options DHCP Nom Valeur
IP Fixes attribuer Nom Valeur
Adresses exclues Rservations tendue de secours du sous- rseau IP : ___________________ Plage De A Commentaire Adresse MAC Adresse IP Adresse dbut Adresse fin
Masque Dure du bail
Options DHCP Nom Valeur
74 Corrig Exonet N 14 Corrig Exonet N 14 Corrig Exonet N 14 Corrig Exonet N 14
Question 1. Proposer un masque de sous-rseau pour le rseau de l'entreprise.
193.250.17.0 est une adresse de classe C, le dernier octet doit servir coder les numros de sous- rseau et les numros d'htes dans chaque sous-rseau. Pour coder trois numros de sous-rseaux, sachant que les configurations "tout zro" et "tout un" sont rserves, il est ncessaire d'utiliser 3 bits, d'o le masque de sous-rseau (1110 0000) 2 soit (224) 10 . Finalement le masque de sous-rseau complet est : 255.255.255.224.
Question 2. Calculer le nombre total d'htes que peut contenir chaque sous rseau.
Il reste 5 bits dans le dernier octet pour coder les numros d'htes, soit 2 5 = 32 possibilits auxquelles il faut retirer le numro de sous-rseau ("tout zro" ) et l'adresse de diffusion dans le sous-rseau ("tout un"), soit finalement 30 htes par sous-rseau.
Question 3. Affecter un numro de sous rseau chaque dpartement. Dfinir les plages d'adresses utilisables dans chaque sous rseau.
Le dpartement Production dispose dj d'un numro de rseau puisque nous connaissons certaines adresses statiques dans ce sous-rseau : Prenons l'adresse 193.250.17.110. Le dernier octet est 110 = (0110 1110) 2 , donc le numro de sous- rseau est (011) 2 sur 3 bits, d'o l'adresse de sous-rseau 193.250.17.96 pour le dpartement Production. Pour les dpartements Administratif et Commercial nous affectons respectivement les numros de sous-rseau (001) 2 et (010) 2 . Rcapitulons : Dpartement Numro binaire du sous-rseau Adresse IP du sous-rseau Adresses utilisables de (dernier octet) Administratif (001) 2 193.250.17.32 33 62 Commercial (010) 2 193.250.17.64 65 94 Production (011) 2 193.250.17.96 97 126
Question 4. Tracer un schma du rseau de l'entreprise en faisant apparatre les htes du rseau et leur adresse IP.
Lnonc stipulait : dutiliser ladresse la plus haute pour le serveur DHCP, les adresses en dessous pour les htes particuliers (serveurs, routeurs) avec souvent une rservation dadresse et enfin les adresses les plus basses pour les postes de travail.
75 Question 5. Dfinir comment sera assure l'attribution des configurations IP suite une panne sur un des serveurs DHCP. Argumenter notamment sur la dure des baux. Noter les ventuelles contradictions vis vis du cahier des charges.
En cas de panne d'un serveur DHCP, les htes doivent pouvoir solliciter une configuration auprs d'un autre serveur DHCP situ sur un autre sous-rseau, les requtes en diffusion envoyes par ces htes doivent pouvoir passer les routeurs. Aussi, les routeurs R1 et R2 doivent tre capables de router les datagrammes DHCP (BOOTP) ou un agent de relais DHCP doit s'excuter sur chaque sous-rseau. Chaque serveur DHCP se voit attribu une deuxime tendue d'adresse dans un autre sous-rseau dont il assure en quelque sorte le remplacement en cas de dfaillance. Ces tendues "de scurit" ne doivent pas entrer en conflit (comporter des adresses identiques) avec les plages d'adresses du serveur DHCP "titulaire" dans son sous-rseau car un risque d'attribution d'une adresse en double existerait. Voici une proposition d'attribution de ces tendues de scurit :
Le serveur DHCP du dpartement Assure une redondance pour le dpartement Nombre d'adresses (25% des htes dynamiques) De (dernier octet) Administratif Commercial 4 De 81 84 Commercial Production 4 De 118 121 Production Administratif 5 De 57 59 (*)
(*) seules trois adresses sont encore disponibles dans le sous-rseau Administratif, la rgle des 25% ne peut tre respecte. Dans une telle configuration (nombre d'adresses trs limit) la dure des baux sera plutt longue de faon limiter le nombre d'htes susceptibles de demander une nouvelle configuration un moment donn. La dure peut tre fixe 24 heures de faon laisser le temps de remettre en service le serveur DHCP. l'inverse la dure de bail des tendues de secours sera plutt brve de faon minimiser le recours aux serveurs de secours.
Question 6. Dfinir la configuration des serveurs DHCP pour chaque sous rseau : tendue, dure du bail, options DHCP (passerelle par dfaut, adresse de serveur DNS), adresses exclure, rservations prvoir. (voir annexe)
CONFIGURATION DHCP DU DEPARTEMENT Administratif Adresses exclues Rservations tendue du sous-rseau IP : 193.250.17.32 Plage De A Commentaire Adresse MAC Adresse IP Adresse dbut 193.250.17.33 193.250.17.54 0032de5a789c 193.250.17.60 Adresse fin 193.250.17.61 193.250.17.56 3 htes statiques 1f7a9002f0f0 193.250.17.61 Masque 255.255.255.224 193.250.17.57 Dure du bail 1 jour 193.250.17.59 tendue de secours
Options DHCP Nom Valeur
Serveur DNS 193.250.17.60 Passerelle 193.250.17.61 IP Fixes Serveur DHCP 193.250.17.62 Htes statiques 193.250.17.54 56
tendue de secours du sous-rseau Adresses exclues Rservations 76 IP : 193.250.17.64 Plage De A Commentaire Adresse MAC Adresse IP Adresse dbut 193.250.17.81 Adresse fin 193.250.17.84
Masque 255.255.255.224 Dure du bail 30 mn
Options DHCP Nom Valeur
Passerelle 193.250.17.125
Le tableau ci-dessus stipule des plages dadresses dexlusion. Cette fonctionnalit nexiste pas sur tous les systmes et dans ce cas il serait ncessaire de faire plusieurs plages dadresses pour un mme sous-rseau. Ainsi sous linux on aurait lquivalent des exclusions de windows sous la forme : subnet 193.250.17.32 netmask 255.255.255. 224 { range 193.250.17.33 192.168.0.53; range 193.250.17.60 192.168.0.61; } Dans la ralit ladministrateur sarrangerait pour que sa planification noblige pas de telles complications, il dfinirait une plage qui ds le dpart nintgrerait pas les adresses des htes statiques
CONFIGURATION DHCP DU DEPARTEMENT Commercial Adresses exclues Rservations tendue du sous-rseau IP : 193.250.17.64 Plage De A Commentaire Adresse MAC Adresse IP Adresse dbut 193.250.17.65 193.250.17.81 2b146291c9b1 193.250.17.93 Adresse fin 193.250.17.93 193.250.17.84 tendue de secours 820006019b7a 193.250.17.92 Masque 255.255.255.224 Dure du bail 1 jour
Options DHCP Nom Valeur
Passerelle 193.250.17.93 IP Fixes Serveur DHCP 193.250.17.94 Adresses exclues Rservations tendue de secours du sous-rseau IP : 193.250.17.96 Plage De A Commentaire Adresse MAC Adresse IP Adresse dbut 193.250.17.118 Adresse fin 193.250.17.121
Masque 255.255.255.224 Dure du bail 30 min
Options DHCP Nom Valeur
Passerelle 193.250.17.125
77 CONFIGURATION DHCP DU DEPARTEMENT Production Adresses exclues Rservations tendue du sous-rseau IP : 193.250.17.96 Plage De A Commentaire Adresse MAC Adresse IP Adresse dbut 193.250.17.97 193.250.17.110 1c96aaf4c291 193.250.17.125 Adresse fin 193.250.17.125 193.250.17.117 8 htes statiques
Masque 255.255.255.224 193.250.17.118 Dure du bail 1 jour 193.250.17.121 tendue de secours
Options DHCP Nom Valeur
Passerelle 193.250.17.125
IP Fixes Serveur DHCP 193.250.17.126
Adresses exclues Rservations tendue de secours du sous-rseau IP : 193.250.17.32 Plage De A Commentaire Adresse MAC Adresse IP Adresse dbut 193.250.17.57 Adresse fin 193.250.17.59
Masque 255.255.255.224 Dure du bail 30 min
Options DHCP Nom Valeur
Serveur DNS 193.250.17.60 Passerelle 193.250.17.61
78 Exonet N 15
LaPointe SA est une entreprise de grande taille intervenant dans le secteur du Btiment et des Travaux Publics (BTP). Son sige social est localis Marseille. Rcemment elle a fusionn avec EuroBTP, une des premires entreprises europennes dans ce secteur dactivit. Pour tre en conformit avec les mthodes dEuroBTP, LaPointe SA est amene restructurer son rseau informatique et modifier certaines pratiques de gestion. Ainsi, tous les postes de travail et les serveurs de LaPointe SA doivent tre raccords directement Internet. La socit a obtenu la plage dadresses IP 195.10.228.0/24 pour lensemble des machines du sige et des agences de LaPointe SA. Vous tes charg(e) de participer la refonte du rseau.
Le Directeur Financier rencontre un problme avec le nouvel ordinateur que vous lui avez install la semaine dernire et qui est connect au rseau de faon intermittente. Il a not les messages qui sont apparus lors de ses deux dernires tentatives de connexion : Le systme a dtect un conflit entre ladresse IP 195.10.228.116 et ladresse matrielle 00 :13 :B8 :3C :F7 :B2 Le systme a dtect un conflit entre ladresse IP 195.10.228.116 et ladresse matrielle 00 :13 :B8 :3C :F4 :D5 Son adresse IP fixe est 195.10.228.116/25 (soit un masque de 255.255.255.128).
Votre responsable vous demande de rsoudre ce problme, en vous appuyant sur les annexes 1 et 2. 1. Expliquer la cause du dysfonctionnement. 2. Proposer une solution pour liminer ce dysfonctionnement.
En utilisant les annexes 1 et 2 vous tes charg(e) danalyser le plan dadressage de la socit. 3. Vrifier que le plan dadressage permet de prendre en charge le nombre dinterfaces ncessaire pour chaque site.
Vous tes galement charg(e) de tester la configuration actuelle des routeurs R1, R2 et R3. Le routeur R4 a dj t configur et test. Deux commandes ont t lances avec succs : Commande 1 : partir du poste dadresse 195.10.228.15 : ping 195.10.228.135 Commande 2 : partir du poste dadresse 195.10.228.15 : ping 195.10.228.164 Une commande na pas abouti : Commande 3 : partir du poste dadresse 195.10.228.135 : ping 195.10.228.164 4. Lister les quipements traverss lors de lexcution de la commande 3, ainsi que les lignes des tables de routage utilises et expliquer la raison de lchec de cette commande. 5. Proposer la correction apporter pour que la commande 3 fonctionne correctement. 6. Donner le contenu de la table de routage de R4.
Le service informatique a conu une architecture DNS pour lentreprise, le principe de cette architecture est fourni en annexe 3. 7. En justifiant votre rponse, donner ladresse IP du serveur DNS sur lequel doit tre dfini le nom dhte www.marseille.lapointe.fr 8. Donner les paramtres de la configuration DNS des postes de travail du site dAix qui permettent daccder lensemble des serveurs de lentreprise en utilisant leur nom. 9. Indiquer quel est le rle et lintrt des serveurs secondaires de la zone lapointe.fr
79 Annexe 1 : Architecture du rseau de LaPointe SA
R1, R2, R3 et R4 sont des routeurs qui relient les sites. SWn identifie les commutateurs (switch) installs dans les locaux de sous-rpartition de chaque tage du site de Marseille, et dans le local technique (il ny a pas plus de quinze mtres entre les locaux les plus loigns).
Il sagit de commutateurs 12 ou 24 ports 10/100 Mbps empilables avec un emplacement accueillant actuellement un adaptateur (transceiver) optionnel 10BASE 5, et qui disposent par ailleurs dun emplacement libre permettant dinstaller au choix un adaptateur 1000BASE-SX, 1000BASE-LX ou 1000BASE-T. R1 SLP-PRINC SLP-AUX SW1 SW2 SW3 SW4 PC PC PC PC PC PC PC PC PC Internet R2 R3 R4 PC PC PC PC PC PC PC PC PC Workgroup Switch Workgroup Switch Workgroup Swi tch SLP-SP SLP-AP SLP-AR Agence de Salon de Provence 28 interfaces Agence d'Aix en Provence 16 interfaces Agence d'Arles 22 interfaces RDC ETAGE 1 ETAGE 2 Local Technique Sige 122 interfaces 195.10.228.226 195.10.228.230 195.10.228.234 195.10.228.193 195.10.228.161 195.10.228.129 195.10.228.1 195.10.228.225 195.10.228.229 195.10.228.233
12 interfaces (dont 20 rserves pour la connexion des portables des chefs de chantier) 60 htes 30 htes 30 htes 2 htes Site de Marseille 80 Annexe 2 : Extraits du plan dadressage
Site ou liaison Adresse rseau Masque de sous-rseau Marseille 195.10.228.0 255.255.255.128 Salon 195.10.228.128 255.255.255.224 Aix 195.10.228.160 255.255.255.224 Arles 195.10.228.192 255.255.255.224 R1-R2 195.10.228.224 255.255.255.252 R1-R3 195.10.228.228 255.255.255.252 R1-R4 195.10.228.232 255.255.255.252
Le sous-rseau de Marseille dispose de postes en adressage fixe, mais aussi de postes en adressage dynamique (les portables des chefs de chantier qui rapatrient les donnes enregistres dans la journe leur retour des visites de chantier). Le serveur DHCP de Marseille gre la plage dadresse suivante : Plage dadresses disponibles : 195.10.228.106 195.10.228.125
Exemples de configuration des postes dans chaque site Site Adresse dun poste Masque Routeur par dfaut Marseille 195.10.228.4 255.255.255.128 195.10.228.1 Salon 195.10.228.135 255.255.255.224 195.10.228.129 Aix 195.10.228.167 255.255.255.224 195.10.228.161 Arles 195.10.228.201 255.255.255.224 195.10.228.193
81 Annexe 3 : Architecture DNS du domaine lapointe.fr
Architecture administrative
Lentreprise dispose du domaine lapointe.fr et chaque site, lexception de celui de Marseille, gre son propre sous-domaine. Chaque ovale correspond une zone.
Architecture dimplmentation
Chaque ligne du tableau ci-dessous reprsente un serveur DNS et indique dans quel site il est implant, quelle est son adresse IP, pour quelle zone il est serveur DNS primaire et pour quelle(s) zone(s) il est serveur DNS secondaire.
Site Adresse IP du serveur DNS Serveur primaire de Serveur secondaire de Marseille 195.10.228.2 lapointe.fr
salon.lapointe.fr aix.lapointe.fr arles.lapointe.fr Salon 195.10.228.130 salon.lapointe.fr lapointe.fr Aix 195.10.228.162 aix.lapointe.fr lapointe.fr Arles 195.10.228.194 arles.lapointe.fr lapointe.fr 82 Corrig Exonet N Corrig Exonet N Corrig Exonet N Corrig Exonet N 15 15 15 15
Question 1. Expliquer la cause du dysfonctionnement
On est dans la situation o 2 machines utilisent la mme adresse IP dans le mme sous-rseau. Le poste fixe dadresse 195.10.228.116 entre en conflit avec dautres machines, par exemple avec un portable connect dans la plage dadresse 195.10.228.106 et 195.10.228.125 (deux adresses MAC pour une seule adresse IP).
Question 2. Proposer une solution pour liminer ce dysfonctionnement
Il faut donc changer ladresse du poste pour quelle sorte de cette plage, sous rserve dadresses disponibles (par exemple 195.10.228.126). Il faut que ladresse IP du poste du directeur soit unique sur le rseau et nappartienne pas une plage DHCP. On peut conserver la plage du DHCP en indiquant simplement ladresse du poste du directeur financier comme une adresse interdite.
Question 3. Vrifier que le plan dadressage permet de prendre en charge le nombre dinterfaces ncessaire pour chaque site
Les masques de sous-rseau sont utiliss ici pour rpartir les plages dadresses en fonction des besoins de chaque site : Pour le site de Marseille on a besoin de 122 adresses (123 avec le routeur). Le dernier octet commenant par un 1 ( 255.255.255.128), on dispose donc de 126 adresses dhtes. Pour le site de Salon on a besoin de 28 adresses. Le dernier octet commenant par un 111 (255.255.255.224), on dispose donc de 30 adresses dhtes. Pour le site dAix on a besoin de 12 adresses. Le dernier octet commenant par un 111 (255.255.255.224), on dispose donc de 30 adresses dhtes. Pour le site dArles on a besoin de 22 adresses. Le dernier octet commenant par un 111 (255.255.255.224), on dispose donc de 30 adresses dhtes.
Question 4. Lister les quipements traverss lors de lexcution de la commande 3, ainsi que les lignes des tables de routage utilises et expliquer la raison de lchec de cette commande.
La russite des deux premires commandes permet de constater que les liaisons entre les sites de Marseille, Salon et Aix fonctionnent correctement. Liste des quipements traverss et lignes des tables de routage utilises : Aller : Switch Salon, R2 (ligne 3), R1 (ligne 3), R3 (ligne 1), Switch Aix Retour : Switch Aix, R3 (ligne 3) Explication de la raison de lchec de la commande : Pour la rponse, le poste dadresse 195.10.228.164 envoie la rponse la commande ping vers le routeur R3. Dans le routeur R3, la troisime ligne entrane lenvoi de cette rponse sur linterface 195.10.228.230 vers le routeur dadresse 195.10.228.233, vers le sous-rseau 195.10.228.192 Ladresse de ce routeur nest pas accessible directement partir de cette interface.
83 Question 5. Proposer la correction apporter pour que la commande 3 fonctionne correctement
Il faut modifier la troisime ligne de la table de routage de R3 Table de routage pour R3 Rseau Masque Routeur Interface 195.10.228.160 255.255.255.224 195.10.228.161 195.10.228.161 195.10.228.0 255.255.255.128 195.10.228.229 195.10.228.230 195.10.228.128 255.255.255.224 195.10.228.229 195.10.228.230 195.10.228.192 255.255.255.224 195.10.228.229 195.10.228.230
Question 6. Donner le contenu de la table de routage de R4
Question 7. En justifiant votre rponse, donner ladresse IP du serveur DNS sur lequel doit tre dfini le nom dhte www.marseille.lapointe.fr.
Le domaine concern est marseille.lapointe.fr, qui appartient la zone lapointe.fr. Un nom dhte est enregistr sur le serveur DNS primaire de la zone laquelle il appartient (cette zone pouvant tre ensuite rplique sur le ou les serveurs DNS secondaires). Le serveur primaire pour la zone lapointe.fr est situ Marseille et daprs le tableau de lannexe 3 il a pour adresse IP : 195.10.228.2.
Question 8. Donner les paramtres de la configuration DNS des postes de travail du site dAix qui permettent daccder lensemble des serveurs de lentreprise en utilisant leur nom.
Il faut, sur chaque poste de travail, ladresse IP du serveur DNS dAix ou dun autre serveur DNS . Prciser les adresses IP des serveurs consulter : Aix (195.10.228.162) (serveur DNS dAix en priorit pour prendre en charge les rsolutions de noms au plus prs ) puis celui de Marseille (195.10.228.2), qui stocke lensemble des rfrences pour le domaine lapointe.fr (en tant que primaire de la zone lapointe.fr, et secondaire pour les domaines aix.lapointe.fr et salon.lapointe.fr) Donner un nom dhte Indiquer le nom de domaine par dfaut : aix.lapointe.fr (ou lapointe.fr)
Question 9. Indiquer quel est le rle et lintrt des serveurs secondaires de la zone lapointe.fr Les serveurs secondaires stockent le fichier de configuration du serveur primaire, permettant dune part une rpartition des charges (le serveur primaire nest pas le seul sollicit), dautre part une tolrance aux pannes (la liaison avec le site de Marseille peut tre dfaillante, sans perturber la rsolution de noms en local, quelque soit le site considr).
84 Exonet N 16
Le rseau local de la socit Ludo utilise les protocoles TCP/IP (adresse rseau 192.168.1.0, masque 255.255.255.0). Les adresses IP des postes de travail sont attribues dynamiquement par un serveur DHCP. Les serveurs possdent des adresses statiques. Pour prendre en charge les nouveaux serveurs et les routeurs, le FAI attribue la socit Ludo le rseau 179.169.10.96 avec le masque de sous-rseau 255.255.255.240. Ce rseau doit tre dcoup en deux sous-rseaux afin de sparer les deux segments suivants : le lien entre le routeur daccs R1 et le routeur R2, la partie comprenant le commutateur SW2 et les trois serveurs internet. Pour pouvoir identifier les deux sous-rseaux, on donne la valeur 255.255.255.248 au masque de sous-rseau. Sur le schma du rseau (annexe 1) figurent les adresses IP des serveurs et des routeurs. Le routeur R1 est fourni pr-configur par le fournisseur daccs.
1. Indiquer le nombre dadresses IP dhtes dont on dispose dans chaque sous-rseau avec ce dcoupage. Justifier la rponse et donner ladresse IP de chacun des deux sous-rseaux. 2. crire la table de routage du routeur R2 en indiquant les valeurs utiliser pour ladresse rseau, le masque de sous-rseau, la passerelle et linterface. 3. Expliquer le mcanisme mis en uvre sur le routeur R2 pour assurer la correspondance entre les adresses IP utilises dans le rseau local de lentreprise et celles utilises sur internet. 4. Expliquer ce qu'il faut faire pour que la configuration TCP/IP des postes permette ceux-ci daccder internet.
Le routeur R2 servira galement de pare-feu et permettra disoler le rseau local de la zone contenant les trois nouveaux serveurs. Cette zone est appele zone dmilitarise . 5. Justifier le choix davoir spar le rseau en deux parties : Zone dmilitarise et Rseau local protg .
Le routeur R2 est un routeur filtrant agissant au niveau paquet. Il filtre les paquets entrants et sortants sur toutes ses interfaces rseau en fonction de rgles de filtrage dfinies par ladministrateur du rseau. Un extrait de sa table de filtrage ainsi que lalgorithme quil utilise pour la prendre en compte sont prsents en annexe 2. 6. Expliquer le rle des deux rgles de filtrage numro 1 et numro 4.
Le contrat de maintenance du site marchand prvoit la mise jour du site pendant deux ans. Pour permettre au technicien de maintenance deffectuer des mises jour distance sur le serveur Web, vous devez autoriser les connexions par le protocole SSH (Secure Shell) sur ce serveur, ceci uniquement en provenance de lordinateur dadresse 195.65.21.4. 7. Ajouter la rgle permettant dautoriser ces connexions de maintenance en spcifiant sa position dans la table.
85 Annexe 1 : schma du rseau
86 Annexe 2 : Filtrage du pare-feu
Algorithme de filtrage Pour chaque paquet qui transite en entre ou en sortie sur une interface du routeur, les rgles sont examines dans lordre partir de la rgle n 1. La premire rgle dont les paramtres correspondent exactement au paquet reu ou envoy est applique, aprs quoi lanalyse des rgles sarrte. Si la fin de la table est atteinte sans quaucune rgle ne soit applicable, le paquet est refus.
Table de filtrage
N rgle Interface Sens IP source Port source IP destination Port destination Action 1 179. 169.10.98 Entre tous tous 179.169.10.106 80 Autorise 2 179. 169.10.98 Entre tous tous 179.169.10.106 443 Autorise 3 179. 169.10.98 Entre tous tous 179.169.10.107 53 Autorise 4 179. 169.10.98 Entre tous 53 179.169.10.107 tous Autorise 5 179. 169.10.98 Entre tous tous 179.169.10.108 25 Autorise 6 179. 169.10.98 Entre tous 25 179.169.10.108 tous Autorise 7 179. 169.10.98 Entre tous tous tous 22 Interdit 8 179. 169.10.98 Entre tous tous tous 23 Interdit
Table de correspondance entre les protocoles dapplication et les ports TCP ou UDP
protocole port utilis SMTP 25 HTTP 80 SSL 443 DNS 53 Telnet 23 SSH 22
87 Corrig Exonet N 16 Corrig Exonet N 16 Corrig Exonet N 16 Corrig Exonet N 16
Question 1. Indiquer le nombre dadresses IP dhtes dont on dispose dans chaque sous-rseau avec ce dcoupage. Justifier la rponse et donner ladresse IP de chacun des deux sous-rseaux.
Avec le masque 255.255.255.248 appliqu au rseau 179.169.10.96 / 255.255.255.240, on obtient 1 bit pour le sous-rseau (donc deux sous-rseaux), et 3 bits pour ladresse machine, donc 2 3 = 8, soit 8 2 = 6 machines dans chaque sous-rseau. (1 pt par adresse de sous-rseau) Les sous rseaux sont 179.169.10.96 et 179.169.10.104 (masque 255.255.255.248)
Question 2. crire la table de routage du routeur R2 en indiquant les valeurs utiliser pour ladresse rseau, le masque de sous-rseau, la passerelle et linterface. Rseau
Question 3. Expliquer le mcanisme mis en uvre sur le routeur R2 pour assurer la correspondance entre les adresses IP utilises dans le rseau local de lentreprise et celles utilises sur internet. Le routeur pare-feu permet la traduction des adresses IP prives du rseau local (non routables sur Internet) en une adresse publique (ici 179.169.10.98, ladresse IP de linterface du routeur pare-feu relie Internet). Le mcanisme NAT (Network Address Translation) ou PAT (Port Address Translation ) qui utilise le champ port source pour faire la correspondance entre les paquets mis et reus et leur adresse source ou destination dans le rseau local permet la traduction dadresses de une plusieurs (une IP publique pour plusieurs IP prives).
Question 4. Expliquer ce qu'il faut faire pour que la configuration TCP/IP des postes leur permettre daccder internet. On doit ajouter dans la configuration des postes ladresse de la passerelle par dfaut (par une option DHCP ou en dur ) soit 192.168.1.100
Question 5. Justifier le choix davoir spar le rseau en deux parties : Zone dmilitarise et Rseau local protg . Ces deux zones ne peuvent pas bnficier du mme niveau de scurit. En effet, la partie zone dmilitarise doit tre accessible d'Internet pour permettre la connexion des clients au serveur Web, la rception des requtes de rsolution de noms par le serveur DNS, la rception du courrier par le serveur POP. Par contre aucun utilisateur extrieur ne doit pouvoir accder au rseau local.
88 Question 6. Expliquer le rle des deux rgles de filtrage numro 1 et numro 4. a. Rgle N 1 : elle autorise les connexions des clients internet (IP source non spcifie) au site Web (serveur 179.169.10.106) par le protocole http (port 80) b. Rgle N4 : elle autorise lentre des rponses aux requtes DNS (port source 53) destination du serveur DNS (serveur 179.169.10.107) venant de nimporte quel serveur internet (IP source non spcifie).
Question 7. Ajouter la rgle permettant dautoriser ces connexions de maintenance en spcifiant sa position dans la table. La rgle suivante doit tre ajoute dans la table avant la rgle n 7 : ligne insrer :
Interface Sens IP source Port source IP destination Port destination Action 179.169.10.98 Entre 195.65.21.4 tous 179.10.169.106 22 Autorise
89 Exonet N 17
Lentreprise DUGALDE dite des ouvrages spcialiss dartisanat et dart. Ouverte au march mondial depuis 1998, elle assure la traduction et limpression douvrages en langues trangres : un service TRADUCTION a dailleurs t constitu cet effet. Devant grer notamment les droits dauteur et de reproduction dimages pour des uvres et des auteurs originaires des cinq continents, elle a d se doter dun service JURIDIQUE consquent. Aujourdhui, 500 personnes sont salaries de lentreprise qui sest implante dans les deux premiers tages dun grand btiment. Lentreprise est maintenant largement informatise, mais le fonctionnement du rseau et sa scurit doivent tre amliors et la gestion de la qualit des projets doit dsormais tre prise en compte. Le responsable informatique dcide de vous en confier ltude.
Au 1er tage se trouvent les services DITION, JURIDIQUE et TRADUCTION, au 2me tage le service ADMINISTRATIF et le service INFORMATIQUE. Le rseau informatique de lentreprise est dcrit en annexe 1. 1.a. Indiquer la classe et ladresse du rseau exploit au 2me tage de lentreprise DUGALDE. Justifier la rponse. 1.b. Rechercher le masque de sous-rseau utilis pour le 2me tage. Veiller prvoir le plus grand nombre de postes possible et tenir compte des 2 sous-rseaux existants. 1.c. Indiquer le nombre de sous-rseaux dont on pourrait disposer cet tage. Justifier la rponse. 1.d. Rechercher ladresse du sous-rseau auquel appartiendrait la machine dadresse 172.16.132.2. Justifier la rponse.
Chaque tage dispose dun ou de plusieurs serveurs DHCP. Le serveur nomm EDITI peut attribuer des adresses IP aux postes du 1er tage. Les serveurs ADMINI et INFORI attribuent, quant eux, des adresses IP respectivement aux postes des deux sous-rseaux 4 et 5. 2. Expliquer le rle des agents relais DHCP installs sur AGR1 et AGR2.
Des utilisateurs du sous-rseau 1 se plaignent parfois quils narrivent pas se connecter au rseau, un message leur signalant quune adresse IP existe dj sur le rseau. Un contrle a t ralis permettant dcarter les routeurs comme cause possible. 3. Donner une cause possible du problme rencontr par ces utilisateurs. 4. Proposer les paramtres de configuration du serveur DHCP EDITI afin dassurer le bon fonctionnement de lensemble des postes du 1er tage.
Lentreprise situe au 3me tage dmnage et la socit DUGALDE profite de loccasion pour y dplacer certains postes de travail du service DITION qui manque actuellement cruellement de place. 5. Proposer une solution matrielle permettant dassurer linterconnexion avec un dbit de 1 Gbit/s entre les postes du service DITION dplacs au 3me tage et les postes du service DITION rests au 1er tage. On prendra soin de ne modifier en aucun cas la configuration logicielle des machines.
90 On dcide dimplanter galement au 3me tage un nouveau service qui aura pour adresse de sous- rseau 192.168.4.0 et qui devra tre connect au routeur AGR2.
6. Donner les lignes de la table de routage du routeur AGR2 qui permettront aux postes du sous-rseau 192.168.4.0 daccder tous les autres sous-rseaux de lentreprise. Seules les lignes prcisant les accs aux sous-rseaux sont demandes. Chaque ligne de la table de routage devra comporter ladresse du rseau de destination, le masque de sous-rseau, ladresse de passerelle et ladresse dinterface.
Tous les services de lentreprise doivent accder lInternet, mais les droits daccs aux diffrents services (web, courrier, etc.) ne sont pas les mmes. Pour rsoudre le problme et aprs avoir effectu une tude de march, ladministrateur sest dot dun pare-feu (firewall) disposant galement dune fonction de translation dadresses. 7. Expliquer en quoi la translation dadresses est intressante pour la scurit de lentreprise. On prendra soin de dcrire le processus mis en uvre.
Le pare-feu choisi gre les autorisations daccs aux services de linternet en regroupant les postes de travail qui ont des droits similaires. Pour crer un groupe de machines, on associe une plage dadresses IP son nom. Le responsable informatique a ainsi choisi de crer un groupe de machines par sous-rseau. Voici un extrait partiel de la table actuelle des contrles daccs du pare-feu. Dans cette table, tout ce qui nest pas explicitement autoris est interdit.
Groupe de machines Protocoles autoriss Sous-rseau 1 DNS, HTTP, Sous-rseau 2 DNS, HTTP, Sous-rseau 3 Sous-rseau 4 Sous-rseau 5
On souhaite que les postes de travail : - du sous-rseau 1 puissent accder au web et faire du transfert de fichiers, - des sous-rseaux 2, 3 et 4 puissent accder au web et utiliser le courrier lectronique, - du sous-rseau 5 puissent accder tous les services de linternet, y compris les forums de discussion. 8. Prsenter les contrles daccs du pare-feu laide dun tableau indiquant, pour chaque groupe de machines, la liste des protocoles autoriss.
On envisage dautoriser les commerciaux transmettre leurs commandes distance travers lInternet, en utilisant les portables qui leur ont t fournis, quips de cartes modem PCMCIA. 9. Indiquer comment assurer la scurit et la confidentialit de ces transactions.
91 Annexe 1 : Rseau informatique de lentreprise DUGALDE
172.16.128.1 172.16.160.1 2 me tage Service TRADUCTION Sous-rseau 3 192.168.3.0 50 postes clients DHCP de EDITI Service EDITION Sous-rseau 1 192.168.1.0 200 postes Service JURIDIQUE Sous-rseau 2 192.168.2.0 50 postes clients DHCP de EDITI EDITI 192.168.1.100 serveur DHCP 192.168.1.1 192.168.2.1 192.168.3.2 192.168.2.2 1 er tage 172.16.128.1 172.16.160.1 2 me tage Service TRADUCTION Sous-rseau 3 192.168.3.0 50 postes clients DHCP de EDITI Service EDITION Sous-rseau 1 192.168.1.0 200 postes Service JURIDIQUE Sous-rseau 2 192.168.2.0 50 postes clients DHCP de EDITI EDITI 192.168.1.100 serveur DHCP 192.168.1.1 192.168.2.1 192.168.3.2 192.168.2.2 1 er tage Routeur R1 Routeur - Agent Relais DHCP AGR2 Service ADMINISTRATIF Sous-rseau 4 172.16.128.0 30 postes clients DHCP Service INFORMATIQUE Sous-rseau 5 172.16.160.0 20 postes clients DHCP INFORI 172.16.160.100 serveur DHCP Routeur R1 Routeur - Agent Relais DHCP AGR2 Service ADMINISTRATIF Sous-rseau 4 172.16.128.0 30 postes clients DHCP Service INFORMATIQUE Sous-rseau 5 172.16.160.0 20 postes clients DHCP INFORI 172.16.160.100 serveur DHCP ADMINI 172.16.128.100 Serveur DHCP Routeur R2 Routeur - Agent Relais DHCP AGR1 172.16.128.3 192.168.1.3 92 Corri Corri Corri Corrig Exonet N 17 g Exonet N 17 g Exonet N 17 g Exonet N 17
Question 1.a. Indiquer la classe et ladresse du rseau exploit au 2me tage de lentreprise DUGALDE. Justifier la rponse. Question 1.b. Rechercher le masque de sous-rseau utilis pour le 2me tage. Veiller prvoir le plus grand nombre de postes possible et tenir compte des 2 sous-rseaux existants. Question 1.c. Indiquer le nombre de sous-rseaux dont on pourrait disposer cet tage. Justifier la rponse. Question 1.d. Rechercher ladresse du sous-rseau auquel appartiendrait la machine dadresse 172.16.132.2. Justifier la rponse.
1.a. 1 er octet = 172 , compris entre 128 et 191 correspond la classe B Autre solution : en binaire 172 = 1011 1110 ( 10xx xxxx : classe B ) L'adresse du rseau de l'entreprise DUGALDE est 172.16.0.0
1.b. Le masque de rseau par dfaut de la classe B est 255.255.0.0 Pour adresser des sous-rseaux, on dispose des 2 octets de poids faible. Pour pouvoir disposer dun rseau en x.y.160.0, il faut utiliser 3 bits sur les 2 octets de poids faible (160 base 10 = 1010 0000 base2). Les autres bits pourront tre utiliss pour ladressage des nuds. On a donc : 1111 1111. 1111 1111. 1110 0000 . 0000 0000, soit 255.255.224.0
1.c. 3 bits sont utiliss dans la partie hte pour adresser les sous-rseaux. 2 3 2 = 6. On peut adresser 6 sous-rseaux
1.d. Les 2 octets de poids faible ont pour valeur 132.2 , soit en binaire 1000 0100 . 0000 0010. Les 3 premiers bits concernant le rseau (1000 0000 base 2 = 128), la machine d'adresse 172.16.132.2 appartient au sous-rseau d'adresse 172.16.128.0
Question 2. expliquer le rle des agents relais DHCP installs sur AGR1 et AGR2.
Les agents relais DHCP AGR1 et AGR2 sont situs entre un sous-rseau qui dispose dun serveur DHCP et des sous-rseaux ne disposant pas de serveur DHCP ; les postes des sous-rseaux 2 et 3 doivent obtenir une adresse du serveur EDITI situ sur un autre sous-rseau ; l'agent relais va servir de passerelle avec le sous-rseau 1 ; il a dans sa configuration l'adresse IP du serveur DHCP EDITI et redirigera ainsi les requtes de demandes d'adresse IP provenant des postes appartenant aux sous- rseaux 2 et 3 vers ce serveur DHCP. Inversement il relayera ladresse IP attribue vers la station qui en a fait la demande (il route les trames DHCP).
Question 3. Donner une cause possible du problme rencontr par ces utilisateurs.
Il se peut que la plage dtendue DHCP propose par EDITI nait pas exclu ladresse du serveur lui- mme ou celle du routeur. Un utilisateur faisant une demande peut donc se voir affecter une de ces adresses qui entre alors en conflit avec celle affecte de manire statique au serveur DHCP ou au routeur. Une autre cause ventuelle peut consister en une dure de bail trop longue ou trop courte. Une autre raison moins probable ici pourrait tre la prsence dune adresse IP statique (fixe) sur quelques postes.
93 Question 4. Proposer les paramtres de configuration du serveur DHCP EDITI afin dassurer le bon fonctionnement de lensemble des postes du 1 er tage.
Le serveur DHCP EDITI doit attribuer des adresses aux 3 sous-rseaux 1, 2 et 3. Il doit donc grer trois tendues. tendue de sous-rseau 1 : Plage dadresses affecter: de 192.168.1.1 192.168.1.203 Adresse exclure : 192.168.1.100 (adresse du serveur EDITI ) 192.168.1.1 (adresse Agent Relais AGR1) 192.168.1.3 (adresse du routeur R2) Masque de rseau : 255.255.255.0 Adresse de passerelle : 192.168.1.3 tendue de sous-rseau 2 : Plage dadresses affecter: de 192.168.2.1 192.168.2.52 Adresse exclure : 192.168.2.1 (adresse Agent Relais AGR1) : 192.168.2.2 (adresse Agent Relais AGR2) Masque de rseau : 255.255.255.0 Adresse de passerelle : : 192.168.2.1
tendue de sous-rseau 3 Plage dadresses affecter: de 192.168.3.1 192.168.3.51 Adresse exclure : 192.168.3.2 (adresse Agent Relais AGR2) Masque de rseau : 255.255.255.0 Adresse de passerelle : : 192.168.3.2
Question 5. Proposer une solution matrielle permettant dassurer linterconnexion avec un dbit de 1 Gbit/s entre les postes du service EDITION dplacs au 3 me tage et les postes du service DITION rests au 1 er tage. On prendra soin de ne modifier en aucun cas la configuration logicielle des machines.
Il sagit ici de dplacer des machines sans toucher leur configuration. Pas question donc de crer un autre sous-rseau au troisime tage. Il est exclu de fait, de relier les tages au travers dun routeur, puisque toutes les machines conservent leur adresse IP et restent donc dans le mme sous- rseau. La solution consiste alors relier les deux tages (distance suppose infrieure 25 m) laide dun brin supportant le 1 Gbit/s (catgorie 5 e , 5+, 6 ou 7, voire fibre optique obligatoire pour des distances suprieures 25 m). On ne va pas, bien entendu, tirer autant de brins quon dplace de stations et il faut donc prvoir en plus, ltage, un quipement dinterconnexion des postes (en principe commutateur plutt que concentrateur afin de limiter les collisions) qui sera reli lquipement actuel dinterconnexion. (on ignore son type, son dbit actuel et donc sil faut le changer). On ne demande pas changer les cartes rseau. On dcide dimplanter galement au 3 me tage un nouveau service qui aura pour adresse de sous- rseau 192.168.4.0 et qui devra tre connect au routeur AGR2.
94 Question 6. Donner les lignes de la table de routage du routeur AGR2 qui permettront aux postes du sous-rseau 192.168.4.0 daccder tous les autres sous-rseaux de lentreprise. Seules les lignes prcisant les accs aux sous-rseaux sont demandes. Chaque ligne de la table de routage devra comporter ladresse du rseau de destination, le masque de sous-rseau, ladresse de passerelle et ladresse dinterface.
Question 7. Expliquer en quoi la translation dadresses est intressante pour la scurit de lentreprise. On prendra soin de dcrire le processus mis en uvre.
La translation dadresses (NAT Network Address Translation, PAT Port Address Translation, ) permet de masquer au monde extrieur les adresses IP rellement utilises dans lentreprise, rendant ainsi plus difficiles les tentatives dintrusion. Quand un poste du rseau local met une demande de service vers linternet, le dispositif (pare-feu, routeur NAT, serveur mandataire ou proxy, ) disposant dune fonction de translation dadresses, remplace l'adresse IP du poste metteur du paquet par sa propre adresse avant lenvoi sur linternet. Il remplace de mme le port de l'application cliente par une valeur particulire, en gnral situe au del de 61 000. Ces informations, adresse IP du poste metteur, port dorigine de lapplication cliente et port attribu, sont enregistres dans une table. Lorsque la rponse du service invoqu arrive sur le pare-feu, ce dernier vrifie dans la table qu'il possde bien l'entre correspondante, par rapport au port attribu, puis il rcrit dans les paquets ladresse IP du poste metteur et port initial de lapplication cliente. Le paquet peut ainsi rejoindre sa destination dans le rseau local.
Question 8. Prsenter les contrles daccs du pare-feu laide dun tableau indiquant, pour chaque groupe de machines, la liste des protocoles autoriss.
Groupe de machines Protocoles autoriss Sous-rseau 1 DNS, HTTP, FTP Sous-rseau 2, 3 et 4 DNS, HTTP, SMTP, POP3, IMAP Sous-rseau 5 DNS, HTTP, SMTP, POP3, IMAP, NNTP
Question 9. Indiquer comment assurer la scurit et la confidentialit de ces transactions.
Une solution consiste mettre en uvre un tunnel travers linternet en utilisant un protocole comme PPTP ou L2TP (cration dun VPN). Du ct de lentreprise Dugalde, il faut installer un serveur daccs distant et sur les portables des commerciaux, il faut configurer un client daccs distant. Le VPN sera cr entre le client et le serveur et les donnes seront cryptes lors des changes. Il est galement possible denvisager la transmission de fichiers crypts en utilisant des outils PGP. Le commercial pourra alors rdiger sa commande sur son portable et crypter le fichier concern avant de lenvoyer. La fiabilit et la rapidit dun tel cryptage est obtenu en combinant les principes des cls prives/publiques et des cls secrtes.
95 Exonet N 18
Le groupement d'intrt conomique (GIE) SILVIA regroupe une dizaine de membres (appels aussi clients) dans des domaines d'activit varis relevant de la filire bois. Sa mission est de fournir ses membres une expertise dans le conseil (gestion, informatique de gestion) et de proposer galement tous les services de traitement numrique (comptabilit, paie, ...) Le GIE hberge sur ses propres machines toutes les applications informatiques de comptabilit, de gestion et de publication en ligne et propose ses membres l'accs ses services sous la forme d'un intranet. Toutes les applications sont bases sur IPv4. Sur le rseau du GIE, les postes clients ont comme passerelle par dfaut l'adresse 172.16.0.253.
La liaison avec les rseaux des membres du GIE Chaque nouveau membre se voit attribuer par le GIE une adresse de rseau de classe C prive prise dans la plage dadresses de 192.168.0.0 192.168.255.0. Les membres accdent aux applications de l'intranet par une liaison ddie loue un oprateur. Ils accdent Internet par un autre moyen (Numris, ADSL, modem...) afin de ne pas surcharger la liaison loue et garantir la scurit des donnes prives. Sur les rseaux des membres, le cahier des charges prvoit que les postes utilisent : le serveur de nom qui est situ sur le rseau du GIE, l'adresse du routeur qui les relie au GIE comme passerelle par dfaut.
Le GIE s'est dot d'un SIG (systme d'information gographique) qu'il met la disposition de ses membres. Il souhaite s'attacher les services du cabinet de gomtres Gom & Trie, situ 25 km afin de renseigner le SIG partir de relevs effectus sur le terrain. Pour chaque parcelle de bois appartenant un membre du GIE, le cabinet de gomtres devra numriser le plan cadastral correspondant, effectuer un relev sur le terrain par systme GPS (Global Positioning System), caractriser le boisement et alimenter le SIG. La liaison entre le site du GIE et le site de Gom & Trie sera ralise par une liaison loue Transfix. Afin d'tablir le besoin en bande passante, les techniciens du GIE consultent les statistiques d'utilisation des liaisons avec ses membres. Il en ressort que : Les applications de gestion bases sur le protocole HTTP reprsentent 75 % des flux. Elles ncessitent un dbit de 10 Kbit/s par poste utilisateur pour garantir une qualit de service suffisante. Le reste des flux est constitu par les autres services (DNS, FTP...) de l'intranet.
1. Dterminer la bande passante minimum ncessaire, exprime en Kbit/s, que devra supporter la liaison Transfix entre le site du GIE et celui de la socit Gom & Trie.
Toutes les machines du rseau du GIE sont configures pour utiliser le routeur rtr-ext comme passerelle par dfaut. Ce routeur dispose d'une table de routage, dont voici un extrait : Rseau Masque Passerelle Interface 192.168.11.0 255.255.255.0 172.16.0.254 172.16.0.253 192.168.12.0 255.255.255.0 172.16.0.254 172.16.0.253 192.168.13.0 255.255.255.0 172.16.0.254 172.16.0.253
2. Proposer la ligne ajouter dans la table de routage du routeur rtr-ext pour que les machines du rseau du GIE puissent atteindre le rseau de la socit Gom & Trie. 96 3. Proposer la ligne qui permettrait, en remplaant toutes les lignes prcdentes, dadresser tous les rseaux possibles des membres du GIE.
Un des gomtres semble rencontrer quelques dysfonctionnements partir de la machine 192.168.62.11 alors que tout fonctionne normalement sur les autres machines. Il peut accder tous les services Internet, mais n'arrive pas accder aux applications situes sur la machine 172.16.0.10 de nom srv10.silvia.fr. Afin de dterminer la cause du dysfonctionnement entre ces deux nuds, vous souhaitez, partir du poste 192.168.62.11, utiliser la commande ping pour vrifier le fonctionnement des lments suivants : pile de protocoles TCP/IP sur lui-mme, couche Physique et Liaison de donnes sur le rseau de la socit Gom & Trie, couche Rseau entre le rseau de la socit Gom & Trie et celui du GIE, rsolution de nom en utilisant le protocole DNS.
4. Pour chacune des vrifications souhaites, indiquer la commande ping excuter. Justifier la rponse pour chacune des quatre commandes employes.
Vous demandez au gomtre de taper la commande ping 172.16.0.10 sur la machine qui ne fonctionne pas. La consultation du cache arp de cette machine donne le rsultat suivant : Adresse internet Adresse physique Type 192.168.62.253 00:D0:59:86:3B:68 dynamique Vous demandez ensuite au gomtre de taper la commande ping 172.16.0.10 , depuis une autre machine dadresse 192.168.62.12. Aprs quoi, la consultation du cache arp de cette autre machine donne le rsultat suivant : Adresse internet Adresse physique Type 192.168.62.254 00:D0:59:82:2B:86 dynamique
5. Expliquer le rle du protocole arp. 6. Expliquer le problme que lanalyse des caches arp rvle pour la machine 192.168.62.11.
Les fonctions de filtrage du routeur rtr-ext sont dj actives sur les interfaces 193.252.19.3 et 195.115.90.15. Les tableaux ci-dessous donnent un extrait des tables de filtrage correspondant chacune de ces interfaces :
Table de filtrage de l'interface 193.252.19.3 du routeur rtr-ext :
N de rgle Adresse source Port source Adresse destination Port destination Protocole transport Action 1 Toutes Tous 195.115.90.1/32 25 TCP Accepter 2 Toutes Tous 195.115.90.1/32 110 Tous Accepter 3 Toutes Tous 195.115.90.1/32 53 Tous Accepter 4 Toutes Tous 195.115.90.2/32 80 TCP Accepter 6 Toutes Tous 195.115.90.0/28 22 Tous Accepter 7 195.115.90.0/28 Tous Toutes Tous Tous Accepter Dfaut Toutes Tous Toutes Tous Tous Refuser
97 Table de filtrage de l'interface 195.115.90.15 du routeur rtr-ext :
N de rgle Adresse source Port source Adresse destination Port destination Protocole transport Action Dfaut Toutes Tous Toutes Tous Tous Accepter
L'algorithme utilis par le service de filtrage est quivalent ceci : 1. Tant qu'il y a un paquet traiter o En suivant l'ordre des rgles de 1 n, rechercher la premire rgle applicable. o Si une des rgles est applicable, alors appliquer l'action au paquet et arrter le parcours de la table. o Si aucune rgle nest applicable, appliquer la rgle par dfaut. On souhaite remplir la table de filtrage sur l'interface 172.16.0.253 du routeur rtr-ext entre le rseau du GIE et la DMZ (zone dmilitarise), en appliquant les rgles suivantes : L'accs au service DNS de la DMZ n'est autoris que pour le serveur DNS du GIE. L'accs au service SSH est autoris partir de toutes les machines du GIE sauf pour le serveur d'adresse 172.16.0.10. Tout le reste est refus.
7. Expliquer le rle de la rgle numro 1 et celui de la rgle numro 6 dans la table de filtrage de l'interface 193.252.19.3. 8. Proposer une table de filtrage pour l'interface 172.16.0.253 afin de prendre en compte les contraintes exprimes ci-dessus. Vous respecterez la prsentation adopte pour les tables de filtrage prsentes ci-dessus. Vous traiterez aussi bien les flux provenant du GIE en direction de la DMZ que les flux en retour.
Afin de raliser des tests, vous mettez en place, avec un autre membre de l'quipe, un logiciel de capture de trames sur lune des machines du rseau du GIE. Capture de trames
Cette capture ne prsente pas le prambule de la trame Ethernet.
9. Indiquer l'adresse MAC (adresse physique ou Ethernet) de la machine destinataire de la trame capture. 10. Donner en dcimal l'adresse IP du destinataire du datagramme qui a t captur.
Chaque membre du GIE dispose d'une base de donnes sur la machine 195.115.90.2. Ces donnes sont exploites par le serveur HTTP pour la cration dynamique de pages web. 11. Dcrire, ventuellement l'aide d'un schma, le dialogue qui stablit entre un client HTTP (navigateur Internet), un serveur HTTP et un serveur de bases de donnes lorsque le client soumet un formulaire au serveur HTTP et que celui-ci doit retourner des informations contenues dans la base de donnes.
98 Annexe 1 : Plan du rseau
99 Annexe 2 : Format des trames Ethernet et datagrammes IP Format dune trame Ethernet Donnes FCS 8 octets 6 octets 6 octets 4 octets 2 octets de 46 1 500 octets Prambule + SFD Adresse destination Adresse source Type
SFD : Start Frame Delimiter indique le dbut de la trame FCS : Frame Check Sequence ou code de contrle CRC Structure du datagramme IP (par lignes de 32 bits) 1 4 5 8 9 16 17 19 20 24 25 32 Version IHL TOS (Type Of Service) Longueur du datagramme - TL (Total Length) ID (IDentification) FO Dplacement (Offset) TTL (Time To Live) Protocole Total de Contrle (Header Checksum) Adresse IP Source Adresse IP Destination Options IP ventuelles Bourrage Donnes (de 2 65 517o)
IHL : Internet Header Length ou longueur den-tte, en mots de 32 bits FO : Fragment Offset indique si le fragment est suivi dautres fragments
100 Corrig Exonet N 18 Corrig Exonet N 18 Corrig Exonet N 18 Corrig Exonet N 18
Question 1. Dterminer la bande passante minimum ncessaire, exprime en Kbit/s, que devra supporter la liaison Transfix entre le site du GIE et celui de la socit Gom & Trie.
Comme lindique clairement le schma du rseau (annexe 1), il y a douze postes dans la socit Gom & Trie . Le texte mentionne de son ct les applications de gestion reprsentent 75 % des flux. Ces applications ncessitent un dbit de 10 Kbit/s par poste utilisateur . Il faut donc : 10 Kbit/s * 12 postes soit 120 Kbit/s pour les applications de gestion. Ces applications de gestion reprsentent 75 % des flux . Il faut donc rajouter les 25 % utiliss par les autres flux (DNS, FTP) soit 40 Kbit/s (120/75*25), pour obtenir le dbit total ncessaire. Le dbit total ncessaire est donc de 120+40 Kbit/s soit 160 Kbit/s.
Question 2. Proposer la ligne ajouter dans la table de routage du routeur rtr-ext pour que les machines du rseau du GIE puissent atteindre le rseau de la socit Gom & Trie.
Aidons nous du schma de lAnnexe 1 et plaons nous mentalement sur le routeur rtr-ext dont il convient de complter la table. La question indique que le rseau atteindre est celui de socit Gom & Trie puissent atteindre le rseau de la socit Gom & Tri soit 192.168.62.0 comme lindique clairement le schma. Le masque de rseau est not, dans cette mme annexe, /24 ce qui correspond la notation CIDR (Classless InterDomain Routing) dun masque de 24 bits 1 soit, en notation traditionnelle : 255.255.255.0. Depuis le routeur rtr-ext, tous les paquets destins au rseau Gom & Trie doivent donc tre expdis au routeur rtr-gie (dont le travail sera de les rediriger son tour vers le rseau de la socit) et dont ladresse de linterface dentre est 172.16.0.254. Pour cela, les paquets doivent sortir de notre routeur rtr-ext par linterface de sortie 172.16.0.253. Bien entendu le concentrateur na rien voir avec un problme de routage puisquil est cens travailler au niveau 2 du modle OSI et non pas au niveau 3 comme le routeur. La ligne rajouter dans la table de routage est donc en dfinitive : Rseau atteindre Masque de ce rseau On doit sadresser On sort du routeur par Rseau Masque Passerelle Interface 192.168.62.0 255.255.255.0 172.16.0.254 172.16.0.253
Question 3. Proposer la ligne qui permettrait, en remplaant toutes les lignes prcdentes, dadresser tous les rseaux possibles des membres du GIE
A lobservation de la table de routage (complte en principe par la ligne issue de la rponse la question prcdente) on constate que tous les rseaux appartiennent la mme plage dadresses 192.168.x.y. On constate galement que, quel que soit le rseau de destination, les valeurs de passerelle atteindre et dinterface de sortie sont les mmes. Comment fusionner toutes ces lignes en une seule ? Si le masque de rseau appliqu aux paquets au niveau du routeur ne couvre que les deux premiers octets dadresse, tous les paquets vont sembler appartenir au mme rseau 192.168.0.0. En effet, quand les dcisions de routage sont prises, seuls les bits couverts par le masque de sous-rseau sont utiliss pour dterminer quel est le rseau atteindre et donc, en appliquant un masque tronqu ou sur-masque , toutes les adresses semblent faire partie du mme rseau du point de vue du routage. On doit donc utiliser ici un sur-masque /16 alors que pour des rseaux de classe C on sattend avoir /24. Cette technique est largement utilise par les oprateurs pour limiter la taille des tables de routage.
101 La ligne de remplacement des quatre lignes prcdentes est donc en dfinitive : Rseau Masque Passerelle Interface 192.168.0.0 255.255.0.0 172.16.0.254 172.16.0.253
Question 4. Pour chacune des vrifications souhaites, indiquer la commande ping excuter. Justifier la rponse pour chacune des quatre commandes employes.
Vrification 1 : Pile de protocoles TCP/IP sur lui-mme La commande ping 127.0.0.1 permet de tester la pile TCP/IP de la machine, sans descendre au niveau de la carte. Un ping sur ladresse IP du poste (ping 192.168.62.11) permet aussi de tester la pile TCP/IP sans descendre sur la carte mais teste en plus la validit de ladresse. Lune ou lautre de ces rponses est donc acceptable. Vrification 2 : Couche Physique et Liaison de donnes sur le rseau de la socit Gom & Trie La commande ping 192.168.62.254 (ou sur toute autre adresse du rseau - 192.168.62.1 par exemple) suffit et permet de dterminer que la liaison fonctionne sur 2 nuds adjacents. Cette commande permet de tester la carte rseau, le concentrateur et le cble de liaison. Par contre un ping 127.0.0.1 ou ping 192.168.62.11 est insuffisant ce niveau car le paquet ne sort pas sur le rseau et donc la couche physique ne serait pas teste. Vrification 3 : Couche Rseau entre le rseau de la socit Gom & Trie et celui du GIE Il sagit de vrifier ici si le routage couche rseau se fait bien. Il faut donc un ping qui concerne les routeurs intermdiaires aux deux rseaux intresss. Les commandes ping 172.16.1.254 ou ping 172.16.0.10 par exemple, sont valides. Ces commandes permettent de dterminer que le routage fonctionne entre les deux nuds distants. Ces commandes testent le fonctionnement du routeur (configuration et table de routage) mais aussi celui de la table de routage du poste metteur et de celle du poste rcepteur. L aussi la rponse doit normalement tre positive puisque les autres postes accdent au serveur. Vrification 4 : Rsolution de nom en utilisant le protocole DNS Pour provoquer la rsolution de nom en son adresse IP, il faut faire un ping qui utilise le nom dhte du poste. Ce nom est prcis dans le texte du sujet la machine 172.16.0.10 de nom srv10.silvia.fr . On fera donc un ping srv10.silvia.fr. On travaille ici dans les couches suprieures la couche 3 (rseau), et donc au dessus du protocole de transport. On va ainsi tester la configuration DNS du poste ainsi quventuellement le fichier de zone du serveur DNS contact si le cache DNS sur le poste est vide, c'est--dire que cette rsolution na pas dj t faite antrieurement.
Question 5. Expliquer le rle du protocole arp.
Le protocole arp permet la rsolution d'adresse IP en adresse MAC adresse physique ou adresse Ethernet.
Question 6. Expliquer le problme que lanalyse des caches arp rvle pour la machine 192.168.62.11.
En clair, alors que les adresses MAC devraient tre toutes les deux celles du routeur rtr_geo, une seule est la bonne. Lautre est donc celle du routeur ADSL qui rpond au lieu du routeur rtr_geo attendu. La rponse est alors vidente , le problme vient de ce que la passerelle par dfaut (gateway) sur la machine dfectueuse (192.168.62.11) correspond en fait celle du routeur ADSL et non celle du routeur rtr_geo. Il faudrait modifier la passerelle par dfaut du poste 192.168.62.11 en remplaant la valeur actuelle 192.168.62.253 par la valeur correcte : 192.168.62.254.
102 Question 7. Expliquer le rle de la rgle numro 1 et celui de la rgle numro 6 dans la table de filtrage de l'interface 193.252.19.3.
En clair : La rgle 1 autorise les requtes SMTP partir d'Internet sur la machine d'adresse 195.115.90.1 En clair : La rgle 6 autorise les requtes SSH sur toutes les machines appartenant au rseau DMZ (195.115.90.0/28)
Question 8. Proposer une table de filtrage pour l'interface 172.16.0.253 afin de prendre en compte les contraintes exprimes ci-dessus. Vous respecterez la prsentation adopte pour les tables de filtrage prsentes ci-dessus. Vous traiterez aussi bien les flux provenant du GIE en direction de la DMZ que les flux en retour.
N de rgle Adresse source Port source Adresse destination Port destination Protocole transport Action 1 172.16.0.10/32 Tous 195.115.90.1/32 53 Tous Accepter 2 195.115.90.1/32 53 172.16.0.10/32 Tous Tous Accepter 3 172.16.0.10/32 Tous 195.115.90.0/28 22 Tous Refuser 4 172.16.0.0/24 Tous 195.115.90.0/28 22 Tous Accepter 5 195.115.90.0/28 22 172.16.0.0/24 Tous Tous Accepter Dfaut Toutes Tous Toutes Tous Tous Refuser
Question 9. Indiquer l'adresse MAC (adresse physique ou Ethernet) de la machine destinataire de la trame capture.
00 : d0 : 59 : 82 : 2b : 86
Question 10. Donner en dcimal l'adresse IP du destinataire du datagramme qui a t captur
172.16.0.10
Question 11. Dcrire, ventuellement l'aide d'un schma, le dialogue qui stablit entre un client HTTP (navigateur Internet), un serveur HTTP et un serveur de bases de donnes lorsque le client soumet un formulaire au serveur HTTP et que celui-ci doit retourner des informations contenues dans la base de donnes.
1. Le client envoie la requte. 2. Les requtes des clients arrivent sur le port HTTP (80 en gnral). 3. Le serveur HTTP transmet les valeurs (noms de champs + valeurs) un script par une mthode get ou post. 4. Le serveur excute un script (requte SQL encapsule) et via un middleware la requte SQL est transmise au SGBD. 5. Le SGBD excute la requte et renvoie le rsultat au serveur http. 6. Le serveur http met en forme le rsultat (HTML dynamique) et retourne au client (navigateur) ce rsultat (page HTML).
103 Exonet N 19
Le Domaine VISTE est un domaine qui possde vingt hectares dorange, il produit environ 50 000 litres de jus dorange par an. VISTE dispose dj dun rseau informatique, reliant les bureaux, le dpt (ou sont stocks les bouteilles de jus dorange) et la cave, et dun serveur HTTP en intranet. VISTE est une petite entreprise ambitieuse qui cherche se faire connatre en participant aux diffrents salons. Rcemment le propritaire du domaine a lou un stand dans un salon qui va se drouler Mekns. Durant le salon, les commerciaux prsents auront besoin dobtenir en temps rel ltat des stocks et de se connecter sur le rseau du domaine. Il faut en effet offrir la possibilit aux visiteurs du salon de commander des jus dorange prsents ou non sur le stand et disponibles en stock au domaine.
Dans le cadre de sa participation aux diffrents salons, le propritaire du Domaine VISTE souhaite mettre en place un accs sa base de donnes de gestion de stocks afin de faciliter la prise de commandes des produits non disponibles en quantit suffisante ou non prsents au salon. Pour cela, il a contact une socit de services qui, aprs tude, lui propose dabord de modifier le rseau existant afin den amliorer la scurit. La proposition de modification est jointe en annexe 2. Le propritaire vous demande de valider les choix techniques et technologiques proposs par la socit de services. 1. Indiquer la classe, ladresse rseau et le nombre dhtes que peut accueillir chacun des sous-rseaux reprsents dans le nouveau plan dadressage. Vous justifierez vos rponses.
Le schma propos par la socit de service indique la prsence dun serveur DHCP et dun agent relais DHCP, dans la cave et dans le dpt. 2. Indiquer en quoi une telle configuration est utile.
Pour assurer le bon fonctionnement de lentreprise, il vous faut ensuite prvoir les tables de routage des routeurs afin que Tous les htes du rseau puissent communiquer entre eux et avec lextrieur. 3. tablir la table de routage du routeur Gnral afin dassurer le bon fonctionnement du rseau.
Pour maintenir la scurit interne de lentreprise VISTE, la socit de service propose de ne pas mettre les serveurs HTTP et Mail sur le rseau interne. Sur le routeur Gnral, les rgles suivantes ont t crites Rgles NAT (Network Address Translation) PAT (Port Address Translation) appliques sur linterface 172.16.0.129
IP Port IP Port 172.16.0.66 2020 192.168.0.5 5600 104 Rgles de filtrage appliques sur linterface 172.16.0.129 N rgle Interface IP Source Port Source IP Destination Port Destination Action 1 172.16.0.129 * * * * Refus Les rgles de filtrage sappliquent dans lordre de leur numro. Principes dassociation des rgles de filtrage et de NAT-PAT sur une interface.
Interface
Sortie
Filtre
NAT-PAT Entre
Sur un paquet en sortie dune interface, on applique dabord les rgles de filtrage puis les rgles NAT-PAT. Sur un paquet en entre dune interface, on applique dabord les rgles NAT-PAT puis les rgles de filtrage. Le serveur HTTP utilise le port 1060 pour communiquer et le serveur de bases de donnes le port 2020. 4. Donner les adresses IP et les ports source et destination dun paquet envoy par le serveur HTTP au serveur de bases de donnes. Vous justifierez votre rponse. 5. Rdiger la (ou les) rgle(s) dfinie(s) sur linterface 172.16.0.129, qui permet(tent) au serveur HTTP de communiquer avec le serveur de bases de donnes. Vous prciserez lordre de cette (ces) rgle(s) par rapport la rgle actuelle.
Lorsque les commerciaux du domaine VISTE participent un salon, ils doivent quiper le stand afin de pouvoir consulter le stock disponible. Pour assurer cette fonction, le domaine a fait lacquisition de trois ordinateurs portables. Ce matriel utilise les structures fournies par le salon pour accder au serveur HTTP du domaine. Cette connexion scurise permet dinterroger, au travers dune interface au format HTML, la base de donnes de gestion des stocks. La solution technique propose par la socit de services a t mise en place. Lors dun premier salon, les commerciaux ont d installer leurs portables en paramtrant leur navigateur avec ladresse IP du routeur Internet, adresse fournie par le fournisseur daccs Internet (FAI) et releve par la socit de service. De plus, alors quen interne ils utilisent lURL http://catalogue.viste.fr , ils ont d employer ladresse IP fournie par le FAI comme adresse dans leur navigateur. 6. Expliquer pourquoi les commerciaux ont d saisir ladresse IP fournie par le FAI et non pas ladresse IP du serveur HTTP. 7. Expliquer pourquoi ils ont d saisir cette adresse IP au lieu dune adresse URL, contrairement ce quils font en interne.
Quelques semaines plus tard, lors dun autre salon, les commerciaux ont cherch en vain utiliser cette mme adresse IP mais elle ne fonctionnait plus ! Aprs contact durgence avec la socit de services, ils ont d employer une autre adresse IP. 8. Proposer une solution permettant aux commerciaux daccder au site web dune manire conventionnelle (saisie soit de ladresse URL du site web, soit dune adresse IP stable).
105 Annexe 1 : schma du rseau aprs modification
106 Corrig Exonet N 19 Corrig Exonet N 19 Corrig Exonet N 19 Corrig Exonet N 19
Question 1. Indiquer la classe, ladresse rseau et le nombre dhtes que peut accueillir chacun des sous-rseaux reprsents dans le nouveau plan dadressage. Vous justifierez vos rponses.
Rseau 1 : 192.168.0.0/29 (locaux techniques, DMZ) 192 en binaire 1100 0000 => dbut par 110 => Classe C Adresse rseau : 192.168.0.0 Nombre dhtes : masque sur 29 bits => reste 3 bits pour les htes. On dispose donc de 2 3 soit 8 adresses, on enlve [000] et [111] il reste donc 6 htes possibles (2 3 - 2). Rseau 2, 3, 4 : 172.16.0.0/24, 172.16.1.0/24 (dpt), 172.16.2.0/24 (Cave), 172 en binaire 1010 1100 => dbut par 10 => Classe B Adresse rseau : 172.16.0.0, 172.16.1.0, 172.16.2.0 Nombre dhtes : masque sur 24 bits => reste 8 bits pour les htes. On dispose donc de 2 8 soit 256 adresses, on enlve [0000 0000] (adresse de rseau ) et [1111 1111] (adresse de broadcast) il reste donc 254 htes possibles (2 8 - 2).
Question 2. Indiquer en quoi une telle configuration est utile.
En cas de dfaillance du serveur DHCP, le relais DHCP est prsent ici, pour assurer la continuit de service . Dans ce cas, il faut prvoir sur les diffrents serveurs DHCP des tendues de secours pour les sous-rseaux pour lesquels on veut assurer la tolrance de panne.
Question 3. tablir la table de routage du routeur Gnral afin dassurer le bon fonctionnement du rseau. A partir des documents fournis, on constate que les routeurs de la cave et du chai ne connaissent quune route par dfaut sur le routeur gnral. Par consquent il convient de passer par ce routeur pour atteindre les rseaux du dpt et de la cave. La table de routage du routeur Gnral sera donc de la forme suivante : Destination rseau Masque rseau Adr. passerelle interface Mtrique 0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.5 1 172.16.0.0 255.255.255.0 172.16.0.129 172.16.0.129 1 172.16.1.0 255.255.255.0 172.16.0.131 172.16.0.129 1 172.16.2.0 255.255.255.0 172.16.0.130 172.16.0.129 1 192.168.0.0 255.255.255.248 192.168.0.5 192.168.0.5 1
Question 4. Donner les adresses IP et les ports source et destination dun paquet envoy par le serveur HTTP au serveur de bases de donnes. Vous justifierez votre rponse. Le paquet est envoy du serveur HTTP (192.168.0.2) sur le port 1060 comme lindique le texte, et destination du serveur de bases de donnes (172.16.0.66) pour le port 2020. Mais le paquet est pris en charge par le routeur NAT qui va assurer la translation de certaines valeurs. En effet ladresse 172.16.0.66 et le port 2020 vont tre convertis en ladresse 192.168.0.5 et le port 5600. Les valeurs dfinitives seront donc : Adresse IP source : 192.168.0.2 Port source : 1060 Adresse IP Destination : 192.168.0.5 Port Destination : 560
107 Question 5. Rdiger la (ou les) rgle(s) dfinie(s) sur linterface 172.16.0.129, qui permet(tent) au serveur HTTP de communiquer avec le serveur de bases de donnes. Vous prciserez lordre de cette (ces) rgle(s) par rapport la rgle actuelle.
Il est ncessaire dautoriser le dialogue dans les deux sens (serveur HTTP vers Serveur de bases de donnes et inversement). Dautre part on na pas se proccuper du NAT puisque les rgles de filtrage sappliquent AVANT ce NAT en sortie et aprs le NAT en entre. N rgle Interface IP Source Port Source IP Destination Port Destination Action 1 172.16.0.129 192.168.0.2 1060 172.16.0.66 2020 Accept 2 172.16.0.129 172.16.0.66 2020 192.168.0.2 1060 Accept 3 172.16.0.129 * * * * Refus Ces nouvelles rgles seront places AVANT la ligne actuellement prsente dans la table de filtrage (dans un ordre qui importe peu) car la dernire ligne a pour objet de bloquer TOUTE transmission quels que soient les IP et ports de lmetteur et de la destination. Question 6. Expliquer pourquoi les commerciaux ont d saisir ladresse IP fournie par le FAI et non pas ladresse IP du serveur HTTP. Il nest pas possible de saisir ladresse IP du serveur HTTP car il sagit dune adresse de classe prive (192.x.y.z) et qui ne sera donc pas route sur lInternet. En consquence les accs ne peuvent se faire que sur ladresse IP fournie par le FAI, gnralement obtenue partir dun serveur DHCP et renouvele rgulirement. En effet, lors du premier salon on a saisi ladresse IP du moment, telle que le serveur DHCP du FAI lavait affecte au client. Mais lors du deuxime salon cette adresse avait chang (bail expir) et on ne pouvait plus rutiliser la mme. Question 7. Expliquer pourquoi ils ont d saisir cette adresse IP au lieu dune adresse URL, contrairement ce quils font en interne. En interne, les clients font appel au serveur DNS 172.16.0.65 pour rsoudre le nom catalog.viste.fr en ladresse IP du serveur web. Comme ce serveur DNS est situ derrire deux routeurs NAT et que de plus il est en adressage priv, il sera inaccessible de lextrieur. Question 8. Proposer une solution permettant aux commerciaux daccder au site web dune manire conventionnelle (saisie soit de ladresse URL du site web, soit dune adresse IP stable). Le domaine VISTE devra faire lacquisition dune adresse IP fixe et dun nom de domaine.
108 Exonet N 20
La SOVAMI est une socit installe en France et spcialise dans la collecte, le traitement et la valorisation de dchets d'quipements lectriques et lectroniques (DEEE). La socit possde son sige historique Lyon. Il regroupe, outre les services administratifs et de direction, une unit de recherche et dveloppement. Une autre usine de traitement se situe Fos. D'autres sites dits de prvalorisation existent Toulouse, Tarbes et Bordeaux et un nouveau site doit ouvrir Bussy en rgion parisienne ; ces sites servent de lieu de collecte et de premire valorisation.. Le cur du systme d'information de la SOVAMI est Lyon. Les autres sites accdent au site de Lyon pour l'essentiel de leurs traitements.
Le rseau local du site de Lyon est vous est prsent en annexe 1. Au sige de Lyon, on souhaite quiper une salle de runion pour des visiteurs extrieurs quips dordinateurs portables. Cette salle disposera de prises rseau, dune imprimante en rseau et dun point daccs sans fil. Lensemble sera reli un commutateur capable de grer des rseaux locaux virtuels (VLAN). Pour des raisons de scurit, on veut pouvoir isoler momentanment le rseau de la salle de runion du rseau du sige tout en autorisant des communications entre les quipements prsents dans cette salle. Une prsentation de la notion de VLAN est fournie en annexe 2. 1. Indiquer quel niveau de VLAN permettra de prendre en charge lisolement temporaire du rseau de la salle de runion du sige. Justifier la rponse.
En utilisant les annexes 1, 3 et 4, vous tes charg(e) danalyser le plan dadressage de la socit. 2. Indiquer le nombre d'adresses IP encore disponibles dans le rseau IP de la zone "DMZ" du rseau. Justifier le rsultat.
L'organisation du rseau interconnectant le sige de Lyon aux diffrents sites de la SOVAMI est conue de telle sorte que chaque poste de n'importe quel site puisse se connecter au sige mais NE PUISSE PAS avoir accs aux autres sites. Afin de vrifier que cette organisation est bien en place, vous effectuez la premire srie de tests suivante : a) depuis une machine de Fos vers Bussy : ping 10.192.1.254 vous obtenez le message "Impossible de joindre lhte de destination . b) depuis le serveur de fichiers de Lyon 10.0.1.1 vers Fos : ping 10.128.1.254 vous obtenez le message "Rponse de 10.128.1.254 : octets=32 temps<10 ms ...". c) depuis une machine utilisateur de Lyon vers Fos : ping 10.128.1.254 vous obtenez le message "Impossible de joindre l'hte de destination". d) depuis une machine de Bordeaux vers Tarbes : ping 10.130.1.254 vous obtenez le message "Rponse de 10.130.1.254 : octets=32 temps<10 ms ...".
3. Justifier les messages obtenus en rponse chaque commande ping en analysant les tables de routage de l'annexe 4. 4. Proposer une solution pour empcher les machines de Bordeaux de communiquer avec celles de Tarbes.
109 Au fur et mesure de l'accroissement du nombre de sites connects, les tables de routage des routeurs se sont complexifies. 5. Proposer une solution pour rduire le nombre de lignes de la table de routage du routeur RLY2. Cette simplification ne doit pas modifier les rgles de routage actuellement en place.
Les sites reoivent souvent la visite de salaris itinrants qui utilisent leur ordinateur portable pour se connecter au rseau et travailler. C'est pourquoi il a t dcid de grer de manire centralise tout l'adressage IP de tous les postes clients de la SOVAMI l'aide d'un serveur DHCP situ au sige de Lyon. Le service DHCP sera install sur le serveur de fichiers. Dans chaque site, il existe un poste qui fait office de serveur d'impression. On souhaite que ce poste obtienne toujours la mme adresse IP du serveur DHCP. 6. Indiquer quel service rseau doit tre activ sur les routeurs pour que les postes des diffrents sites puissent obtenir une configuration IP du serveur DHCP. 7. Dfinir, pour le site de Lyon uniquement, ltendue (plage d'adresses IP) qui est gre par le serveur DHCP en prcisant les exclusions strictement ncessaires. 8. Indiquer comment procder pour que le serveur dimpression obtienne toujours la mme adresse IP de la part du serveur DHCP.
Le routeur Internet nomm RLY3 a t install par un prestataire de service qui a configur sur l'interface 201.10.1.1 les rgles de filtrage suivantes : Table de filtrage de l'interface 201.10.1.1 du routeur RLY3 : N de rgle Adresse source Port source Adresse destination Port destinatio n Protocole transport Action 1 Toutes Tous 201.10.1.10/ 32 80 TCP Accepter 2 Toutes Tous 201.10.1.10/ 32 53 Tous Accepter 3 Toutes Tous 201.10.1.11/ 32 25 Tous Accepter 4 Toutes Tous 201.10.1.12/ 32 > 1024 Tous Accepter 5 201.10.1.8/2 9 Tous Toutes Tous Tous Accepter Dfaut Toutes Tous Toutes Tous Tous Refuser
Table de correspondance entre les protocoles dapplication et les ports TCP ou UDP Protocole/ap plication Port utilis SMTP 25 HTTP 80 HTTPS 443 DNS 53 Telnet 23 SSH 22 POP3 110 IMAP 143 L'algorithme utilis par le service de filtrage fonctionne selon le principe suivant : Pour chaque paquet traiter : En suivant l'ordre des rgles de 1 n, rechercher la premire rgle applicable, Si une des rgles est applicable, alors appliquer l'action au paquet et arrter le parcours de la table, Si aucune rgle nest applicable, appliquer la rgle par dfaut.
9. Expliquer la rgle de filtrage n 4 et pourquoi le numro de port de destination est suprieur 1024. 110
Un utilisateur itinrant, qui consulte souvent ses messages lectroniques depuis l'extrieur via des connexions RTC, par exemple l'htel ou chez lui, se plaint qu'il ne peut pas rapatrier ses messages l'aide de son logiciel client de messagerie habituel. Il accde ses messages uniquement via son logiciel navigateur en mode webmail , ceci au dtriment du temps de connexion. 10. Expliquer la raison de l'impossibilit de l'utilisation du logiciel client de messagerie et proposer une solution ce problme en intervenant sur les rgles de filtrage.
111
Annexe 1 : Architecture du rseau local de la SOVAMI - site de Lyon
112 Annexe 2 : Prsentation des rseaux locaux virtuels (VLAN) Les rseaux locaux virtuels (VLAN) permettent de crer des domaines de diffusion grs par des commutateurs. Une trame ne peut tre associe qu un VLAN et cette trame ne peut tre diffuse que sur les ports du commutateur associs ce VLAN. Il existe diffrentes faons dassocier des trames et des ports un VLAN, les principales sont les suivantes : - VLAN de niveau 1 ou VLAN par port : chaque port du commutateur est affect un VLAN, une trame en entre sur ce port sera associe au VLAN du port. - VLAN de niveau 2 ou VLAN dadresses MAC : chaque adresse MAC est affecte un VLAN, donc chaque port du commutateur se voit affect dynamiquement un VLAN en fonction de ladresse MAC mettrice contenue dans une trame en entre sur ce port. - VLAN de niveau 3 ou VLAN dadresses IP : chaque carte rseau est affecte un VLAN en fonction de son adresse IP, donc chaque port du commutateur se voit affect dynamiquement un VLAN en fonction de ladresse IP contenue dans le paquet transport dans la trame en entre. Chaque VLAN peut tre gr par un ou plusieurs commutateurs, un commutateur pouvant grer plusieurs VLAN. Les commutateurs identifient le VLAN auquel appartient une trame grce au protocole 802.1q ; ils changent ces trames via des ports dinterconnexion. On considre quun port de commutateur ne sera associ qu un seul VLAN ( lexception des ports dinterconnexion).
113 Annexe 3 : Architecture du rseau de la SOVAMI
114 Annexe 4 : Extrait du plan dadressage et des tables de routage
Site ou liaison Adresse rseau Masque de sous-rseau Lyon 10.0.0.0 255.255.0.0 Fos 10.128.0.0 255.255.0.0 Bussy 10.192.0.0 255.255.0.0 Toulouse 10.129.0.0 255.255.0.0 Tarbes 10.130.0.0 255.255.0.0 Bordeaux 10.131.0.0 255.255.0.0 RLY1-RBU1 10.1.1.0 255.255.255.0 RLY2-RFO1 10.1.3.0 255.255.255.0 RFO1-RTO1 10.1.4.0 255.255.255.0 RTO1-RTA1 10.1.5.0 255.255.255.0 RTO1-RBO1 10.1.6.0 255.255.255.0 Configuration des postes de travail dans chaque site Site Exemple dadresse dun poste Masque Routeur par dfaut Lyon - postes de travail 10.0.2.1 255.255.0.0 Pas de passerelle par dfaut Lyon - serveurs 10.0.1.1 255.255.0.0 10.0.1.253 Fos 10.128.1.1 255.255.0.0 10.128.1.254 Bussy 10.192.1.1 255.255.0.0 10.192.1.254 Toulouse 10.129.1.1 255.255.0.0 10.129.1.254 Tarbes 10.130.1.1 255.255.0.0 10.130.1.254 Bordeaux 10.131.1.1 255.255.0.0 10.131.1.254 Table de routage pour RLY2 Rseau Masque Routeur Interface 10.0.0.0 255.255.0.0 10.0.1.253 10.1.3.0 255.255.255.0 10.1.3.254 10.128.0.0 255.255.0.0 10.1.3.253 10.1.3.254 10.129.0.0 255.255.0.0 10.1.3.253 10.1.3.254 10.130.0.0 255.255.0.0 10.1.3.253 10.1.3.254 10.131.0.0 255.255.0.0 10.1.3.253 10.1.3.254 10.192.0.0 255.255.0.0 10.0.1.254 10.0.1.253
Table de routage pour RTA1 Rseau Masque Routeur Interface 0.0.0.0 0.0.0.0 10.1.5.254 10.1.5.253 10.1.5.0 255.255.255.0 10.1.5.253 10.130.0.0 255.255.0.0 10.130.1.254
Table de routage pour RBO1 Rseau Masque Routeur Interface 0.0.0.0 0.0.0.0 10.1.6.254 10.1.6.253 10.1.6.0 255.255.255.0 10.1.6.253 10.131.0.0 255.255.0.0 10.131.1.254
La route par dfaut sur les routeurs s'exprime l'aide du numro de rseau 0.0.0.0.
116 Corrig Exonet N 20 Corrig Exonet N 20 Corrig Exonet N 20 Corrig Exonet N 20
Question 1. Indiquer quel niveau de VLAN permet de prendre en charge lisolement temporaire du rseau de la salle de runion. Justifier la rponse.
On choisira le niveau 1 (VLAN par ports) en effet il suffira alors de modifier la configuration du commutateur pendant les runions pour que les ports auxquels sont relis les prises et la borne wi-fi ne soient pas affects au VLAN donnant laccs au rseau de lentreprise Le niveau 2 ne convient pas car il nest pas facile de connatre les adresses MAC des portables des visiteurs. Par ailleurs, cette solution ne respecte pas la contrainte de lieu (accs limit partir de la salle de runion), en effet un ordinateur portable dont ladresse MAC serait autorise pourrait se connecter en dehors de la salle de runion. Le niveau 3 peut prsenter un risque en terme de scurit puisquune adresse IP valide peut tre ventuellement choisie par un visiteur.
Question 2. Indiquer le nombre d'adresses IP encore disponibles dans le rseau IP de la zone "DMZ" du rseau. Justifier le rsultat. La zone DMZ a pour adresse de rseau 201.10.1.8 avec comme masque 255.255.255.248. Il y a donc 29 bits pour la partie rseau et 3 bits pour la partie hte, soit 2 3 -2= 6 adresses utilisables dans le rseau. 4 adresses sont dj utilises (3 serveurs et le 1 routeur), il reste donc 2 adresses IP disponibles.
Question 3. Justifier les messages obtenus en rponse chaque commande ping en analysant les tables de routage de l'annexe 4. a) depuis une machine de Fos vers Bussy : ping 10.192.1.254 vous obtenez le message " Impossible de joindre l'hte de destination ". Il n'y a pas de route vers le rseau de Bussy (10.192.0.0) ni de route par dfaut dans la table de routage du routeur RFO1 (et idem pour RLY2). Le routeur envoie au poste une message ICMP indiquant que le destinataire est inaccessible. b) depuis le serveur de fichiers de Lyon 10.0.1.1 vers Fos : ping 10.128.1.254 vous obtenez le message "Rponse de 10.128.1.254 : octets=32 temps<10 ms ...". Les routes sont bien dfinies entre le serveur de fichiers de Lyon et le rseau local de Fos. En effet les routeurs de Lyon ont comme passerelle par dfaut 10.0.1.253(RLY2) RLY2 a une route indirecte vers 10.128.0.0 qui passe par le routeur 10.1.3.253 (RFO1) qui dessert directement le rseau de Fos. La route de retour ne pose pas de problme. La premire ligne de la table de routage de RFO1 permet de retourner vers le rseau de Lyon Tant mieux puisque c'est ce que l'on veut ! c) depuis une machine utilisateur de Lyon vers Fos: ping 10.128.1.254 vous obtenez le message "Impossible de joindre l'hte de destination". La communication est impossible entre une machine utilisateur de Lyon et le rseau local de Fos. La machine utilisateur ne possde pas de passerelle par dfaut. Cela dnote l aussi une configuration conforme aux exigences (structure hirarchique, les postes de Lyon nont pas besoin de routeur pour accder aux serveurs de Lyon)). 117
d) depuis une machine de Bordeaux vers Tarbes: ping 10.130.1.254 vous obtenez le message "Rponse de 10.130.1.254 : octets=32 temps<10 ms ...". Les machines de Bordeaux peuvent atteindre le rseau local de Tarbes, ce qui ne devrait pas tre possible (voir routeurs RTA1, RBO1 et RTO1). Les machines de bordeaux ont comme routeur 10.131.1.254 (RB01) . Celui-ci a une route par dfaut qui renvoie RT01 (10.1.6.254). RT01 a une route vers 10.130.0.0 via le routeur 10.1.5.253 (RTA1) . Les postes de Tarbes ont aussi une passerelle par dfaut RTA1 qui dispose dune route de retour vers Bordeaux via la route par dfaut et le routeur RTO1.
Question 4. Proposer une solution pour empcher les machines de Bordeaux de communiquer avec celles de Tarbes.
La configuration des routeurs RTA1 et RBO1 comporte une route par dfaut qui rend accessible le rseau de Bordeaux pour le rseau de Tarbes et retour. La solution la plus simple pour rpondre aux exigences de scurit est de remplacer la ligne de la route 0.0.0.0 dans les routeurs RTA1 et RBO1 par une route qui permet laccs au site de Lyon : Pour RTA1 : Rseau Masque Routeur Interface 10.0.0.0 255.255.0.0 10.1.5.254 10.1.5.253 Et pour RBO1 : Rseau Masque Routeur Interface 10.0.0.0 255.255.0.0 10.1.6.254 10.1.6.253
Question 5. Proposer une solution pour rduire le nombre de lignes de la table de routage du routeur RLY2. Cette simplification ne doit pas modifier les rgles de routage actuellement en place. Le routeur RLY2 connat la route de 4 rseaux dont les numros sont conscutifs (10.128.0.0 10.131.0.0). Cela correspond pour le deuxime octet aux valeurs binaires 10000000 10000011, soit 6 bits communs. Les 4 lignes concernant ces rseaux peuvent tre condenses en une seule. Rseau Masque Routeur Interface 10.128.0.0 255.252.0.0 10.1.3.253 10.1.3.254 Les masques 255.192.0.0 255.252.0.0 sont galement corrects.
Question 6. Indiquer quel service rseau doit tre activ sur les routeurs pour que les postes des diffrents sites puissent obtenir une configuration IP du serveur DHCP. Le service Agent de relais DHCP doit tre activ pour relayer les requtes DHCP des rseaux des sites vers le serveur DHCP du site de Lyon.
118 Question 7. Dfinir, pour le site de Lyon uniquement, ltendue (plage d'adresses IP) qui est gre par le serveur DHCP en prcisant les exclusions strictement ncessaires. Solution 1 Exclusions tendue 10.0.1.1 10.0.1.4 10.0.1.253 10.0.1.254 10.0.0.1 10.0.255.254 masque 255.255.0.0 Solution 2 Exclusions tendue 10.0.0.1 10.0.1.0 masque 255.255.0.0 10.0.1.5 10.0.1.252 masque 255.255.0.0 10.0.1.255 10.0.255.254 masque 255.255.0.0
Question 8. Indiquer comment procder pour que le serveur dimpression obtienne toujours la mme adresse IP de la part du serveur DHCP.
Au niveau du serveur DHCP, il faut procder une rservation, c'est dire associer l'adresse MAC de la carte rseau du serveur d'impression l'adresse IP souhaite.
Question 9. Expliquer la rgle de filtrage 4 et pourquoi le numro de port de destination est suprieur 1024.
Cette ligne concerne l'accs depuis Internet au serveur proxy en rponse des requtes inities par le serveur proxy la demande des postes clients du rseau local, lesquels utilisent forcment un port suprieur 1024 (Registered Ports) car de 0 1023 il sagit des ports rservs des processus systme (Well Known Ports). Les ports autoriss sont ceux qu'utilise le proxy pour les accs Internet. On admettra les rponses qui indiquent que le proxy ralisant une translation dadresses, les ports utiliss sont suprieurs 1024.
Question 10. Expliquer la raison de l'impossibilit de l'utilisation du logiciel client de messagerie et proposer une solution ce problme en intervenant sur les rgles de filtrage. L'accs au serveur de messagerie depuis l'extrieur est interdit pour un client de messagerie, car les protocoles POP3 (port 110) et IMAP (port 143) ne sont pas explicitement autoriss et sont donc bloqus par la rgle de filtrage par dfaut. Pour l'autoriser, il faudrait ajouter la rgle suivante : N Adresse source Port source Adresse destination Port destination Protocole transport Action 6 Toutes Tous 201.10.1.11/32 110 ou 143 Tous Accepter
119 Exonet N 21
La socit AHOLA est une socit dont lactivit est centre sur la conception dquipements et de vtements de surf. Elle emploie 74 personnes, chaque salari est quip dun ordinateur. Les ordinateurs sont des machines de bureau. Toutes ces machines sont relies au rseau local de lentreprise. Le rseau de distribution est constitu dune centaine de concessionnaires implants dans les principaux pays europens et de vingt agents commerciaux. Chacun deux dispose dun ordinateur portable qui lui permet de se connecter distance pour transmettre les commandes des clients et pour obtenir une mise jour rgulire des catalogues de produits. Les commerciaux viennent rgulirement travailler dans les locaux de lentreprise. Prenant conscience quil est temps de rorganiser totalement son rseau, l'administrateur dcide dtudier les principes dune architecture Ethernet entirement commute et la mise en uvre de rseaux locaux virtuels (VLAN). Pour cela, il a fait lacquisition dun premier commutateur qu'il a reli provisoirement au rseau afin de l'tudier. Sur ce commutateur, il a connect diffrents concentrateurs comme le montre l'annexe 1. Le commutateur mis en place peut grer les rseaux locaux virtuels (VLAN), comme lexplique l'annexe 3. Pour tester son commutateur, l'administrateur met en place provisoirement deux VLAN de niveau 1 (VLAN par ports). Les concentrateurs 3, 4 et 5 sont respectivement connects au port 3, 4 et 5 du commutateur. L'administrateur dclare un VLAN pour le port 3 et 4 et un autre VLAN pour le port 5. Avant cette manipulation, le poste de l'administrateur communiquait avec l'ensemble des serveurs et accdait Internet sans problme. partir de son poste, ladministrateur excute une commande qui vide son cache ARP puis excute plusieurs commandes laide de lutilitaire ping. 1. Aprs la mise en place des VLAN, dire quel sera le message mis lissue de lexcution des commandes suivantes mises par le poste de l'administrateur : - ping 192.168.1.2 - ping 192.168.1.5 - ping 195.26.36.2 Justifier les rponses. 2. Dire quel sera le contenu du cache ARP du poste de ladministrateur lissue de ces trois commandes. Utiliser lannexe 2 pour rpondre cette question.
Aprs son test sur le commutateur, l'administrateur est revenu la configuration sans VLAN prsente en annexe 1. Les adresses des machines du rseau 192.168.1.0, autres que les serveurs et les routeurs, sont attribues dynamiquement. Le serveur DHCP est paramtr pour distribuer des adresses aux 74 machines de bureau. Mais il faut prvoir aussi des adresses supplmentaires pour les commerciaux qui peuvent avoir besoin de connexion rseaux dans les locaux du sige. Pour des raisons de scurit, ladministrateur veut imprativement limiter la plage dadresses IP aux seules adresses indispensables, il a dfini la configuration DHCP suivante : Adresse de dbut : 192.168.1.10 Adresse de fin : 192.168.1.93 Masque de sous-rseau : 255.255.255.192 Dure du bail : 30 jours 0 heure 0 minute Mais le serveur DHCP refuse la valeur du masque de sous-rseau. 3. Expliquer la cause de cet chec et proposer un nouveau masque. 120 Aprs rectification, toutes les stations obtiennent maintenant une adresse mais la configuration DHCP n'est pas complte. 4. Dfinir les paramtres DHCP permettant aux stations de se connecter Internet et de rsoudre les noms d'hte internet.
On estime quau plus 10 commerciaux par semaine peuvent tre amens se connecter simultanment au sige de la socit. Ils branchent leur portable sur les prises RJ45 disponibles dans les bureaux et restent au maximum 3 jours sur le site. La premire semaine suivant la mise en place de la configuration DHCP, 5 commerciaux se sont connects sans problme. La deuxime semaine, 3 autres commerciaux se sont connects. La troisime semaine, 6 commerciaux ont tent de se connecter mais certains ont chou. 5. Expliquer la cause de cet chec et proposer une solution.
Le choix des adresses rseau 192.168.1.0 et 192.168.2.0 pour le rseau dAHOLA a amen ladministrateur installer le service NAT (service de translation dadresses IP) sur le routeur 192.168.1.254. 6. Justifier la ncessit du service NAT.
Le serveur du fournisseur daccs Internet (FAI), poste 200.12.200.12, est utilis comme serveur mandataire (proxy) et serveur de messagerie. Il a t paramtr pour livrer des messages (protocole POP sur le port 110) et envoyer des messages (protocole SMTP sur le port 25). Tous les salaris de lentreprise (y compris ceux du dpt de Benesse-Maremne) sont autoriss utiliser le protocole HTTP (port 80) pour consulter les sites web disponibles sur le Net. Le tableau suivant donne le filtre mis en uvre par ladministrateur sur le routeur pour que les serveurs web extrieurs l'entreprise puissent rpondre :
N rgle Interface darrive Action Source Port source Destination Port destination 1 195.26.36.2 accepte * * 192.168.1.0 >1024 2 195.26.36.2 accepte 200.12.200.12 80 192.168.2.0 > 1024 3 192.168.1.254 accepte * * 200.12.200.12 80 4 192.168.2.254 accepte * * * 80 Le filtre s'applique aprs les oprations de translation d'adresses sur les adresses relles et non sur les adresses substitues.
La premire rgle (rgle n 1) sinterprte ainsi : Sur linterface darrive 195.26.36.2, quelle que soient ladresse IP source et le numro de port source du paquet, on accepte tous les paquets destination du rseau 192.168.1.0 et dun numro de port suprieur 1024. La deuxime rgle (rgle n 2) sinterprte ainsi : Sur linterface darrive 195.26.36.2, on accepte les paquets dont ladresse IP source est 200.12.200.12, le port source 80 destination du rseau 192.168.2.0 et d'un numro de port suprieur 1024. Les rgles gnrales de filtrage sont les suivantes : - Pour chaque paquet qui transite par le routeur, les rgles sont parcourues de la rgle 1 la rgle 4. - Ds quune rgle sapplique, on arrte le parcours des rgles. - Tout ce qui nest pas autoris est interdit.
121 7.a. Dire en quoi les rgles 1 et 2 expriment un fonctionnement diffrent en termes de scurit et prciser quelle est la plus sre. 7.b. Dire en quoi les rgles 3 et 4 expriment un fonctionnement diffrent en termes de scurit et prciser quelle est la plus sre. 8. En respectant le formalisme propos ci-dessus, rdiger la ou les rgles qui permettent tous les salaris de l'entreprise (dpt de Benesse-Maremne compris) d'envoyer des messages lectroniques (on ne tiendra pas compte des flux DNS et des flux POP ou IMAP).
122 Annexe 1 : Schma du rseau
123 Annexe 2 :Tableau de correspondance adresses IP adresses MAC
Annexe 3 : Principe de fonctionnement des rseaux locaux virtuels (VLAN)
Les rseaux locaux virtuels (VLAN) permettent de crer des domaines de diffusion grs par des commutateurs. Une trame ne peut tre associe qu un VLAN et cette trame ne peut tre diffuse que sur les ports du commutateur associs ce VLAN. Il existe diffrentes faons dassocier des trames et des ports un VLAN, les principales sont les suivantes : - VLAN de niveau 1 ou VLAN par port : chaque port du commutateur est affect un VLAN, une trame en entre sur ce port sera associe au VLAN du port. - VLAN de niveau 2 ou VLAN dadresses MAC : chaque adresse MAC est affecte un VLAN, donc chaque port du commutateur se voit affect dynamiquement un VLAN en fonction de ladresse MAC mettrice contenue dans une trame en entre sur ce port. - VLAN de niveau 3 ou VLAN dadresses IP : chaque carte rseau est affecte un VLAN en fonction de son adresse IP, donc chaque port du commutateur se voit affect dynamiquement un VLAN en fonction de ladresse IP contenue dans le paquet transport dans la trame en entre. Chaque VLAN peut tre gr par un ou plusieurs commutateurs, un commutateur pouvant grer plusieurs VLAN. Les commutateurs identifient le VLAN auquel appartient une trame grce au protocole 802.1q ; ils changent ces trames via des ports dinterconnexion. On considre quun port de commutateur ne sera associ qu un seul VLAN ( lexception des ports dinterconnexion).
124 Corrig Exonet N 21 Corrig Exonet N 21 Corrig Exonet N 21 Corrig Exonet N 21
Question 1. Aprs la mise en place des VLAN, dire quel sera le message mis lissue de lexcution des commandes suivantes mises par le poste de l'administrateur : - ping 192.168.1.2 - ping 192.168.1.5 - ping 195.26.36.2 Justifier les rponses.
Chaque ping sera prcd d'une requte ARP qui rsoudra l'adresse IP en adresse MAC. Une requte ARP est transmise par une trame de diffusion. Chaque VLAN constitue un domaine de diffusion. La commande "ping 192.168.1.2" aura des rponses "reply" car la requte de diffusion ARP parvient au poste 192.168.1.5 et l'change ICMP echo/reply peut donc se faire. 192.168.1.2 fait partie du mme VLAN que le poste de l'administrateur. La rponse la commande "ping 192.168.1.5" sera "dlai d'attente dpass" car la requte de diffusion ARP ne parvient pas au poste 192.168.1.5 qui ne fait pas partie du mme VLAN que le poste de l'administrateur. La rponse la commande "ping 195.26.36.2" aura des rponses "reply" car la requte de diffusion ARP parvient au routeur 192.168.1.254 qui fait partie du mme VLAN que le poste de l'administrateur
Question 2. Dire quel sera le contenu du cache ARP du poste de ladministrateur lissue de ces trois commandes. Utiliser lannexe 2 pour rpondre cette question.
On trouvera dans le cache ARP les associations suivantes : 00-02-3f-23-9c-02 192.168.1.2 00-02-3f-01-02-54 192.168.1.254 // correspondant au ping 195.26.36.2 qui provoque le renvoi de ladresse MAC du routeur 00-02-3f-3a-80-05 192.168.1.5 // cette association ne doit pas se trouver dans le cache ARP
Question 3. Expliquer la cause de cet chec et proposer un nouveau masque.
Le masque ne permet pas de grer les 84 adresses que prtend offrir la plage dadressage (6 bits dans la partie host 64 2 = 62 adresses hosts). Il faut changer le masque. Les deux masques permettant de grer au moins 84 adresses sont 255.255.255.0 et 255.255.255.128. Comme le routeur a pour adresse 192.168.1.254, et que ladresse du rseau est 192.168.1.0 seul le masque 255.255.255.0 est acceptable.
Question 4. Dfinir les paramtres DHCP permettant aux stations de se connecter Internet et de rsoudre les noms d'hte internet.
Il faut renvoyer l'adresse 192.168.1.254 pour le routeur et 200.12.200.12 comme adresse de serveur DNS.
Question 5. Expliquer la cause de cet chec et proposer une solution.
La plage dadresses disponibles pour DHCP propose 84 adresses ; 74 postes de travail utilisent en permanence une adresse dynamique. La premire semaine, 5 commerciaux pourront donc se connecter au rseau du sige sans soucis, la deuxime semaine trois autres. En revanche, la troisime semaine, seuls 2 des 6 commerciaux russiront se connecter. En effet, comme le bail est de trente jours, les adresses n'ont pas t libres. Il faut diminuer la dure du bail pour que les adresses soient libres (attention car le renouvellement se fait avant l'expiration).
125
Question 6. Justifier la ncessit du service NAT.
Pour assurer la scurit de son rseau, loprateur lui a conseill dopter pour des adresses de rseau priv. Ces adresses ne sont pas routables sur Internet. Il faut donc substituer, dans tous les paquets IP, ces adresses par des adresses routables. C'est ce que fait le service NAT sur le routeur. Ce service prend une adresse IP dans une plage d'adresses sur son rseau (195.26.36.0), ces adresses sont obligatoirement des adresses publiques.
Question 7.a. Dire en quoi les rgles 1 et 2 expriment un fonctionnement diffrent en termes de scurit et prciser quelle est la plus sre. Question 7.b. Dire en quoi les rgles 3 et 4 expriment un fonctionnement diffrent en termes de scurit et prciser quelle est la plus sre.
En autorisant l'adressage des ports suprieurs 1024, la premire rgle autorise des flux autres quen provenance de HTTP. La deuxime rgle autorise des changes avec le proxy sur le port 80 uniquement. La deuxime rgle est donc plus sre que la premire. La quatrime rgle autorise des changes HTTP qui ne passent pas par le proxy. La troisime rgle est donc plus sre.
Question 8. En respectant le formalisme propos ci-dessus, rdiger la ou les rgles qui permettent tous les salaris de l'entreprise (dpt de Benesse-Maremne compris) d'envoyer des messages lectroniques (on ne tiendra pas compte des flux DNS et des flux POP ou IMAP).
N rgle Interface darrive Action Source Port source Destination Port destination 1 195.26.36.2 accepte * * 192.168.1.0 >1024 2 195.26.36.2 accepte 200.12.200.12 80 192.168.2.1 3 192.168.1.254 accepte * 200.12.200.12 80 4 192.168.2.254 accepte * 80 5 195.26.36.2 accepte 200.12.200.12 25 192.168.0.0/16 >1024 6 192.168.1.254 accepte 192.168.1.0/24 * 200.12.200.12 25 7 192.168.2.254 accepte 192.168.2.0/24 * 200.12.200.12 25 La notation employe sur les rgles 5 est optimise avec un supernetting, ce nest pas bien sr la notation exige. Cette ligne peut tre dcompose en deux lignes prenant en compte les rseaux 192.168.1.0 et 192.168.2.0.
126 Exonet N 22
Le groupe polymousse est spcialis dans la fabrication et la transformation de mousse de polyurthanne. Employant quelque 3 000 collaborateurs, le groupe polymousse est principalement prsent sur le march franais mais il a rcemment rachet dans diffrents pays plusieurs socits qui sont devenues des succursales. La rpartition de leffectif des collaborateurs du groupe est dsormais la suivante : - France : 1 500 - Espagne : 800 - Allemagne : 400 - Belgique : 300 Cette volution majeure ncessite de raliser lintgration des diffrents systmes dinformation prsents au sein du groupe. Le systme dinformation (SI) ainsi obtenu doit garantir la disponibilit des applications informatiques dans lensemble du groupe. Aprs lacquisition des diffrentes succursales, le groupe polymousse est organis en quatre divisions : France, Espagne, Allemagne et Belgique. Chaque division regroupe plusieurs succursales : - lEspagne compte trois succursales, - lAllemagne huit succursales, - la Belgique quatre succursales, - la France comporte une succursale qui hberge les applications du groupe. Dans un premier temps, les administrateurs du groupe dsirent harmoniser le plan dadressage pour lensemble des divisions. Lorganisation du rseau et le plan dadressage retenu pour le groupe polymousse sont dcrits en annexe 1. Pour optimiser les tables de routage, on utilise un plan dadressage dans lequel chaque division se voit attribuer un sous-rseau dans le rseau dadresse 10.0.0.0, quelle subdivise son tour en sous- rseaux pour ses succursales. La division Espagne doit regrouper terme jusqu 11 succursales rparties sur lensemble du territoire de ce pays. 1. Expliquer quelle classe correspond ladresse 10.0.0.0 et donner le masque de sous-rseau par dfaut correspondant cette classe. 2. Calculer le nombre maximum de divisions que le plan dadressage permet de dfinir. 3. Donner le masque de sous-rseau qui permet dadresser les 11 sous-rseaux des succursales de la division Espagne. Justifier la rponse. 4. Indiquer les adresses IP des sous-rseaux accessibles, en utilisant la premire ligne de la table de routage du routeur nomm R.Belgique, prsente sur lannexe 1. Expliquer la rponse. 5. Donner les lignes de la table de routage du routeur nomm R.Central qui donne accs lensemble des divisions du groupe dans tous les pays.
Aprs la mise en uvre du plan dadressage global au sein du groupe, il savre ncessaire de mettre en place un service priv de rsolution de nom DNS. Larchitecture DNS prsente en annexe 2, doit permettre de nommer les diffrents serveurs du groupe qui sont rpartis sur lensemble des Divisions.
Le domaine appel polynet constitue la racine du domaine priv du groupe. Chaque division gre son propre sous domaine et porte lextension du pays. Ainsi la Belgique disposera du sous domaine be.polynet 127 6. Expliquer le principe et lintrt de la dlgation de zone dans le systme de rsolution de nom DNS. 7. Donner ladresse IP et le nom du serveur DNS sur lequel doit tre dfini le nom dhte sap.be.polynet. Expliquer ce choix. 8. Proposer une solution permettant damliorer la tolrance aux pannes du service DNS dune division.
Ladministrateur du rseau de la division France dsire limiter les flux de diffusion aux services. Le commutateur install permet de mettre en place une configuration base sur les VLAN, dont le principe et les niveaux sont prsents en annexe 3. Dans un premier temps, ladministrateur ne prend pas en compte les problmes lis ladressage IP. Il se demande si cette opration peut tre ralise immdiatement en conservant les concentrateurs existants. 9. Donner le nombre de domaines de collision et le nombre de domaines de diffusion prsents dans le rseau de la division France avant la mise en place des VLAN. Justifier la rponse. 10. Expliquer sil est possible disoler les flux des services en conservant les concentrateurs existants.
Dans ltude mene pour linterconnexion des rseaux des diffrentes divisions, il a t dcid que chaque division grerait son propre accs Internet. Dans un premier temps on sintresse la gestion de laccs Internet du sige. Les administrateurs ont mis en place larchitecture reprsente en annexe 4. Celle-ci est constitue dun routeur filtrant (nomm RF) et dun serveur mandataire (nomm proxy) pour le service HTTP. Ce serveur mandataire analyse les URL demandes pour ne retenir que celles qui ne comportent pas certains mots et qui nappartiennent pas une liste rgulirement mise jour. Le routeur filtrant ne gre pas automatiquement les flux de retour. Lensemble du personnel lexception du poste de ladministrateur doit accder lInternet en utilisant le serveur mandataire.
Rgles de filtrage dfinies actuellement sur le routeur filtrant RF (interface S0)
rgle direction IP source Port source IP destination Port destination Action 1 Sortie 10.1.0.50 / 32 Tous Tous Tous Router 2 Entre Tous Tous 10.1.0.50 /3 2 Tous Router 3 Sortie Tous Tous Tous Tous Bloquer 4 Entre Tous Tous Tous Tous Bloquer
11. Comparer la nature des actions de filtrage que peuvent raliser le routeur filtrant RF dune part et le serveur mandataire dautre part, en prenant appui sur le modle OSI. 12. Expliquer le rle et lordonnancement des rgles de filtrage dfinies sur le routeur RF. 13. Insrer correctement des nouvelles rgles dans la table de filtrage de RF de faon permettre au serveur mandataire de communiquer sur le web, sans tenir compte des flux DNS. 14. Indiquer la configuration requise sur les postes clients du sige pour leur permettre daccder Internet avec le protocole HTTP.
128
Linfrastructure rseau du groupe polymousse permettant de relier lensemble des divisions au sige est actuellement construite sur des liaisons internationales loues haut dbit. Toutes les garanties de scurit exiges par le groupe sont prises en charge par cette infrastructure, mais lextension du groupe devrait augmenter considrablement les cots de location des liaisons. La solution envisage prvoit lexploitation du rseau public Internet avec une mise en uvre de Rseaux Privs Virtuels (RPV, ou Virtual Private Network, ou VPN). Dans un premier temps, une solution RPV va tre teste entre les divisions France et Belgique qui disposent de routeurs implmentant les fonctions de RPV. 15. Dcrire les diffrentes garanties quoffrent les mcanismes de signature et de chiffrement. 16. Indiquer les cls ncessaires dans chacune des divisions en prcisant leur rle.
129 Annexe 1 : architecture du rseau du groupe POLYMOUSSE Routeur Routeur R.Allemagne Routeur R.Belgique WAN Belgique Routeur R1 Routeur R10 Routeur R11 Routeur R12 Division ALLEMAGNE 10.30.0.0 /16 Division ESPAGNE 10.20.0.0 /16 Division BELGIQUE 10.10.0.0 /16 Succursale S2 Succursale S3 Succursale S4 Succursale S1 Rseau 10.10.17.0/24 Rseau 10.10.20.0/24 Rseau 10.10.18.0/24 Classe d'adresse 10.0.0.0 pour le groupe Polymousse Rseau 10.10.32.0 /20 195.0.0.1 195.0.0.13 195.0.0.12 195.0.0.11 10.10.32.254 10.10.32.253 Rseau WAN Europe Le rseau du groupe forme une structure arborescente dans laquelle chaque division est connecte au site central par un routeur division ddi. Au sein de chaque division les succursales sont connectes un site central qui est lui mme une succursale. Division FRANCE 10.1.0.0 /16 Sige Commutateur Routeur R.Central concentrateur Etage 2 Etage 1 Service tudes Service Ventes Service Comptabilit Rseau10.1.0.0/16 Routeur R.Espagne Internet Compose de 8 succursales Compose de 11 succursales 10.10.32.252 concentrateur concentrateur 10.1.0.254 Extrait de la table de routage du routeur R. Belgique
n dfaut 10.10.32.252 10.10.32.254 130 Annexe 2 : organisation DNS du groupe
Liste des serveurs DNS :
Annexe 3 : prsentation des rseaux locaux virtuels Les rseaux locaux virtuels (VLAN) permettent de crer des domaines de diffusion grs par des commutateurs. Une trame ne peut tre associe qu un VLAN et cette trame ne peut tre diffuse que sur les ports du commutateur associs ce Vlan. Il existe diffrentes faons dassocier des ports un VLAN, les principales sont les suivantes : - VLAN de niveau 1 ou VLAN par port : chaque port du commutateur est affect un VLAN, donc chaque carte rseau est affecte un VLAN en fonction de son port de connexion. - VLAN de niveau 2 ou VLAN dadresses MAC : chaque adresse MAC est affecte un VLAN, donc chaque port du commutateur se voit affecter dynamiquement un VLAN en fonction de ladresse MAC de la carte rseau qui y est connecte. - VLAN de niveau 3 ou VLAN dadresses IP : chaque carte rseau est affecte un VLAN en fonction de son adresse IP, donc chaque port du commutateur se voit affecter dynamiquement un VLAN en fonction de ladresse IP de la carte rseau qui y est connecte Chaque VLAN peut tre gr par un ou plusieurs commutateurs, un commutateur peut grer plusieurs VLAN. Les commutateurs identifient le VLAN auquel appartient une trame grce au protocole 802.1q, ils changent ces trames via des ports dinterconnexion. En pratique, un port de commutateur ne sera associ qu un seul VLAN ( lexception des ports dinterconnexion).
pays Zone fonction Nom du serveur adresse IP Belgique be.polynet Primaire dns.be. polynet 10.10.32.2 Allemagne de. polynet Primaire dns.de. polynet 10. 30.32.2 Espagne es. polynet Primaire dns.es. polynet 10. 20.32.2 France fr. polynet Primaire dns.fr. polynet 10.1.0.2 France polynet Primaire Racine.polynet 10.1.0.1 Polynet fr be de es Dlgation Domaine polynet 131 Annexe 4 : architecture du rseau pour laccs lInternet
Internet Routeur R.Central Modem d'accs internet Routeur Filtrant RF 10.1.0.253 postes clients S0 Serveur mandataire HTTP 10.1.0.100 Serveurs Privs Administrateur 10.1.0.50 132 Corrig Exonet N 22 Corrig Exonet N 22 Corrig Exonet N 22 Corrig Exonet N 22
Question 1. Expliquer quelle classe correspond ladresse 10.0.0.0 et donner le masque de sous- rseau par dfaut correspondant cette classe.
- Ladresse 10.0.0.0 est comprise entre 1.0.0.0 et 127.0.0.0, elle correspond donc une classe A. - Le masque de sous-rseau associ une classe A est 255.0.0.0.
Question 2. Calculer le nombre maximum de divisions que le plan dadressage permet de dfinir.
- Le plan dadressage prvoit 16 bits pour le masque de sous rseau des divisions, soit 8 bits (16 8) pour la partie sous rseau. Ce qui permet dadresser 256 (2 8 ) sous-rseaux.
Question 3. Donner le masque de sous rseau qui permet dadresser les 11 sous rseaux des succursales de la division Espagne.
- Pour adresser un minimum de 11 sous-rseaux, il faut au minimum prlever 4 bits sur la partie hte. On dispose alors de 16 (2 4 ) sous-rseaux. - Pour les divisions, le masque est dj sur 16 bits, pour les succursales de lEspagne, le masque sera donc sur 20 bits (16 + 4). Soit 255.255.240.0
Question 4. Indiquer les adresses IP des sous-rseaux accessibles, en utilisant la premire ligne de la table de routage du routeur nomm R.Belgique, prsente sur lannexe 1. Expliquer la rponse.
- La premire ligne de la table de routage fait rfrence un masque de 20 bits donc toutes les adresses disposant des mmes 20 premiers bits seront routes : Soit les succursales S2 : 00001010.00001010.00010001.0 soit 10.10.17.0 S3 : 00001010.00001010.00010010.0 soit 10.10.18.0 S4 : 00001010.00001010.00010100.0 soit 10.10.20.0
Question 5. Donner les lignes de la table de routage du routeur nomm R.Central qui donne accs lensemble des divisions du groupe dans tous les pays.
Question 6. Expliquer le principe et lintrt de la dlgation de zone dans le systme de rsolution de nom DNS.
- Permet de diviser lespace de noms et de dlguer la gestion dune partie de lespace de nom DNS chaque Division. Lextension de lespace de noms sera ainsi simplifie et sous la responsabilit de chaque Division. La modification dun nom dhte sera ralise par la division qui gre la zone concerne.
Question 7. Donner ladresse IP du serveur DNS sur lequel doit tre dfini le nom dhte, SAP.be.polynet. Expliquez ce choix.
- Le nom dhte sap.be.polynet est situ dans le sous-domaine be.polynet. Le serveur primaire qui gre cette zone est situ en Belgique. Il a pour adresse IP 10.10.32.2 et pour nom dns.be.polynet.
133 Question 8. Proposer une solution permettant damliorer la tolrance aux pannes du service DNS dune division.
- Un serveur DNS supplmentaire peut tre rajout au niveau de chaque succursale permettant ainsi doffrir une redondance de zone. Les informations de zone seront rpliques sur chacun deux. - Une autre solution consiste utiliser le serveur racine (parent) de la zone Polynet pour rpliquer lensemble des zones.
Question 9. Donner le nombre de domaines de collision et le nombre de domaines de diffusion prsents dans le rseau de la division France avant la mise en place des VLAN. Justifier la rponse.
Un domaine de diffusion (broadcast domain) est une aire logique dun rseau informatique o nimporte quel ordinateur connect au rseau peut directement transmettre tous les autres. Un domaine de collision est une zone logique dun rseau informatique o les trames de donnes peuvent entrer en collision entre elles. Dans le cas du rseau Ethernet, le domaine de collision comprend lensemble des segments connects par des concentrateurs ou rpteurs. Il y a 3 (ou 4) domaines de collision et 1 domaine de diffusion, le segment entre le routeur et le commutateur peut-tre considr comme un domaine de collision. - Soit le schma suivant.
Division FRANCE Succursale Centrale Commutateur Routeur R.Central concentrateur Etage 2 Etage 1 Service tude Service Vente Service Comptabilit
Domaine de diffusion Domaine de collision
Question 10. Expliquer sil est possible disoler les flux des services en conservant les concentrateurs existants.
Pour isoler les trois services, il est donc ncessaire de crer trois VLAN. Tous les postes dun service doivent appartenir au mme VLAN pour communiquer ensemble. Ces postent sont relis par des concentrateurs connects sur un port du commutateur. Ces ports doivent donc tre affects un VLAN. Il est donc possible de conserver les concentrateurs existants. La solution est de configurer des VLAN de niveau 1 sur le commutateur existant en affectant le numro de Vlan du service au port connect au concentrateur du service. Mais le fait de conserver les concentrateurs impose que tous les postes appartiennent au mme VLAN.
134 Remarque : le port connect vers le routeur Central peut tre affect au mme VLAN que celui correspondant au service comportant les serveurs accessibles depuis les autres Divisions. Les VLAN de niveau 2 : ncessitent dans cette configuration de saisir toutes les adresses MAC des postes pour les affecter un VLAN, mais dans cette configuration (avec concentrateur), cest inutile. Un port appartient un seul Vlan (non 802.1q), donc toutes les adresses appartiennent au VLAN correspondant au port connect au concentrateur. Les VLAN de niveau 3 : laffectation des vlan dpend de ladresse Ip dun rseau. Mme remarque que pour le niveau 2 avec les concentrateurs. La question demande de ne pas prendre en compte les problmes lis ladressage Ip. En effet, si la communication inter-VLAN est autorise, il faut passer par la mise en place dun routeur (avec une interface sur chaque VLAN) et donc des adresses rseaux diffrentes pour chaque VLAN.
Question 11. Comparer la nature des actions de filtrage que peuvent raliser le routeur filtrant RF dune part et le serveur mandataire dautre part, en prenant appui sur le modle OSI.
Le routeur filtrant agit aux niveaux 3 et 4 du modle OSI. Les filtres sont bass sur lanalyse des adresses IP source et destination et les ports de protocole. Il nest capable ni de comprendre le contexte du service quil rend, ni didentifier le demandeur du service. Le serveur mandataire agit au niveau application du modle OSI. Le filtrage se situe donc au niveau applicatif. Les rgles de filtrage peuvent tre plus labores (discriminantes) et faire rfrence lidentit de lutilisateur ou la nature du service fourni.
Question 12. Expliquer le rle et lordonnancement des rgles de filtrage dfinies sur RF.
Les rgles 1 et 2 permettent au poste de ladministrateur dadresse IP 10.1.0.50 daccder tous les services disponibles sur Internet. La rgle 3 bloque en sortie tout autre trafic de faon ce quil faille passer par le serveur mandataire (proxy) pour accder Internet. La rgle 4 bloque en entre tout autre trafic provenant dInternet. Les rgles 1 et 2 sont places avant les rgles 3 et 4 qui bloquent tout le trafic
Question 13. Insrer correctement des nouvelles rgles dans la table de filtrage de RF de faon permettre au serveur mandataire de communiquer sur le web, sans tenir compte des flux DNS.
Rgl e direction IP source Port source IP destination Port destination Action 1 Sortie 10.1.0.50 /32 Tous Tous Tous Router 2 Entre Tous Tous 10.1.0.50 /32 Tous Router 3 Sortie 10.1.0.100 /3 2 Tous Tous 80 / HTTP Router 4 Entre Tous 80 / HTTP 10.1.0.100 /32 Tous Router 5 Sortie Tous Tous Tous Tous Bloquer 6 Entre Tous Tous Tous Tous Bloquer
Question 14. Indiquer la configuration requise sur les postes clients du sige pour leur permettre daccder Internet avec les protocoles HTTP.
Il convient dindiquer au niveau des applications, voire au niveau du systme dexploitation, que les accs se font via un serveur mandataire (proxy) dont on indiquera ladresse IP ou le nom.
135
Question 15. Dcrire les diffrentes garanties quoffrent les mcanismes de signature et de chiffrement.
Les mcanismes de signature et de chiffrement permettent dassurer les fonctions de confidentialit, dauthentification, de non-rpudiation et dintgrit. Le chiffrement assure la confidentialit : linformation change entre deux entits du rseau, ne doit pas tre intelligible pour une tierce personne qui serait lcoute ou rcuprerait le message. Laction de signer assure authentification et imputabilit (non-rpudiation). o Lauthentification (ou identification) permet de prouver que la provenance de linformation est bien celle quelle dit tre. o La non-rpudiation (ou non-dsaveu) concerne la validit juridique des signatures. metteur et rcepteur ne pourront nier lmission et la rception de lobjet. Le chiffrement assure lintgrit : le destinataire est assur que linformation qui lui parvient est bien linformation qui a t transmise.
Question 16. Indiquer les cls ncessaires dans chacune des divisions en prcisant leur rle.
Lors dun change entre la succursale S1 et le sige, S1 utilisera la cl publique du destinataire (le sige) pour chiffrer le message. Puis le sige utilisera rception sa cl prive pour dchiffrer. En outre S1 peut utiliser sa propre cl prive pour signer son envoi et garantir ainsi lauthentification du message. Toute transmission linitiative du sige gnrera un processus inverse quant la mise en uvre des cls.(chiffrage avec la cl publique de S1 qui dchiffrera avec sa propre cl prive, le sige utilisant ventuellement sa cl prive pour signer son envoi).
136 Exonet N 23
Le Conseil Gnral rassemble 43 lus. Il emploie environ 1 500 personnes dont 19 au service informatique, bas la cit administrative. Linfrastructure rseau se compose principalement dune vingtaine de serveurs et environ dun millier de postes de travail rpartis sur plusieurs sites. Le rseau dispose -dune zone dmilitarise (DMZ) publique comportant : un serveur DNS matre pour la zone cg96.fr, le serveur secondaire (esclave) tant hberg par le fournisseur daccs ; un serveur relais de messagerie/anti-virus de messagerie ; un serveur web public (www.cg96.fr). -d'un rseau priv o sont situs : des serveurs dinfrastructure (DNS, DHCP, WWW, messagerie SMTP et POP3, annuaires dauthentification, serveurs de fichiers et dimpression, SGBD) ; des serveurs applicatifs ; les postes de travail. Lorganisation logique TCP/IP est base sur le domaine Internet cg96.fr. Ladressage est effectu par des serveurs DHCP.
Ladministratrice du rseau, Mme Simonet, veut mettre en place une infrastructure Wifi dans la salle du Conseil pour que les lus et les visiteurs, essentiellement des journalistes, puissent accder Internet depuis leur ordinateur portable lors des sessions du Conseil gnral. Pour cela, elle dispose dun point daccs Wifi qui propose deux SSID (identifiant de rseau physique) associs chacun un VLAN par le commutateur Wifi, ce qui permet la sparation complte des rseaux. Le premier SSID nest pas diffus sur le rseau. Il est paramtr sur les portables des lus du CG96. Ce SSID a t configur par le service informatique pour n'autoriser que certaines adresses MAC. Le second SSID est diffus sur le rseau. Il ne dispose daucune scurit particulire et permet une connexion implicite pour un poste de travail configur de manire standard. Les postes de travail utilisant ce SSID accderont Internet au moyen dun accs ADSL classique. Les adresses MAC des portables des lus sont interdites sur ce SSID. Ladressage sera effectu par deux serveurs DHCP (un pour chaque VLAN). Le point daccs est reli un commutateur qui gre des VLAN. Selon la configuration dun poste de travail portable, celui-ci se connectera sur le VLAN 1 (lus) ou sur le VLAN 2 (Visiteurs). 1. Dire pourquoi les portables des visiteurs qui se connectent sur le second SSID obtiendront obligatoirement une adresse IP donne par le serveur DHCP 192.168.1.33 et non par le serveur DHCP 172.16.108.2. Justifier la rponse en vous appuyant sur le protocole DHCP et les VLAN.
Pour le rseau VLAN2 (Visiteurs), Mme Simonet souhaite mettre en oeuvre un plan dadressage IP limitant 13 le nombre dadresses htes utilisables dans le rseau. Le serveur DHCP d'adresse 192.168.1.33 fera aussi office de routeur NAT. 2. Donner en la justifiant la valeur du masque de sous-rseau en notation classique et en notation CIDR. 3. Donner la plage dadresses utilisables par le serveur DHCP ainsi que les diffrents paramtres TCP/IP ncessaires au fonctionnement des postes de travail du rseau VLAN2 (Visiteurs).
137 Aprs avoir paramtr le serveur DHCP du VLAN 1 (lus), Mme Simonet teste la connexion avec la cit administrative au moyen de commandes ping depuis un portable d'lu disposant de ladresse 172.16.108.10 et dont la passerelle par dfaut est 172.16.108.1. Les liaisons sont oprationnelles et les postes et routeurs sont actifs. Elle excute les deux commandes suivantes. ping 172.16.4.10 Rponse de 172.16.108.1 : impossible de joindre l'hte de destination le message sous Linux serait : Network Unreachable) ping 192.168.8.1 Dlai d'attente de la demande dpass (le message sous Linux serait : Destination Host Unreachable)
En analysant les tables de routage de l'annexe 2 : 4. Justifier les rponses obtenues aux deux commandes. 5. Prciser quelles modifications sur les tables de routage Mme Simonet doit faire pour que la communication entre la salle du Conseil et la cit administrative fonctionne.
Mme Simonet doit installer un nouveau serveur dapplication architecture 3-tiers (serveur web, couche applicative et base de donnes relationnelle). Elle a command un serveur performant nomm SRV-IM. Mais le fournisseur vient de la prvenir que la livraison sera retarde de trois semaines. Or, elle doit imprativement mettre ce serveur en production ds la semaine prochaine. En attendant, elle va donc installer le serveur sur une machine un peu ancienne nomm SRV-FIC. L'application sera accessible sur SRV-FIC au moyen de lURL suivante : http://intra-marche.cg96.fr Elle prparera ensuite SRV-IM, installera les outils et les applicatifs, rinstallera le contenu de la base de donnes, puis testera la nouvelle configuration. Les deux machines, SRV-FIC et SRV-IM devront donc fonctionner simultanment sur le rseau. Lorsque les tests seront concluants, elle lancera le basculement sans que cela modifie l'URL en mettant jour le fichier de la zone cg96.fr. 6. Dire quelle modification doit tre effectue sur le fichier de zone cg96.fr du serveur Richelieu pour faire le basculement.
Mme Simonet dcide d'installer un serveur DNS secondaire (Milady) pour le domaine cg96.fr. 7. Dire quel intrt prsente la mise en place dun serveur DNS secondaire (esclave).
A lissue des tests, le serveur secondaire est oprationnel pour la rsolution de noms sur la zone cg96.fr. Les postes de travail de la cit administrative sont configurs pour utiliser le serveur DNS Milady en premier et le serveur DNS Richelieu en deuxime. Aprs linstallation dun nouveau serveur applicatif (g-equip), Mme Simonet ajoute manuellement un enregistrement Adresse (ou Hte) dans le fichier de zone cg96.fr du serveur matre (Richelieu), mais oublie d'incrmenter le numro de version. Pour tester le nouvel hte, elle lance partir d'un poste de travail de la cit administrative la commande suivante : ping g-equip.cg96.fr 8. Donner et justifier la rponse cette commande en vous appuyant sur les fichiers de zone de l'annexe 3.
138 Le pare-feu externe est paramtr pour filtrer les flux en provenance d'Internet : Extrait de la table de filtrage du pare-feu externe cot Internet
Remarques : les rgles sont appliques dans l'ordre. "> 1024" signifie tous les ports suprieurs 1024. Une toile (*) signifie "tout". "SO" signifie sans objet, c'est dire que le paramtre n'a pas d'intrt dans ce cas. L'tat TCP tabli correspond une connexion TCP en cours.
Le serveur DNS Athos ayant t victime d'attaques sur le port SSH, Mme Simonet a trois objectifs : viter momentanment toute connexion SSH ; continuer autoriser l'accs au DNS, au relais de messagerie et au serveur WWW de la DMZ ; continuer permettre la navigation sur Internet des postes du rseau interne. Pour cela elle envisage la solution suivante : Supprimer les rgles 9, 10, 11, 12, 13 et 14, puis n'autoriser dans un premier temps en entre du pare-feu externe ( partir d'Internet) que les requtes TCP tablies (c'est dire postrieures une requte de connexion TCP pralable). Pour cela elle modifie la table de filtrage ainsi : Extrait de la nouvelle table de filtrage du pare-feu externe cot Internet :
9. Dire si cette table de filtrage rpond aux trois objectifs. Justifier la rponse pour chaque objectif.
Non satisfaite par cette solution, Mme Simonet revient la table de filtrage initiale. 10. Proposer une deuxime solution respectant les trois objectifs. Justifier la rponse.
La politique de scurit interne implique l'utilisation d'un serveur mandataire (proxy) pour accder Internet. Les postes de travail de la cit administrative auront comme passerelle par dfaut le routeur R-CA8 d'adresse 172.16.4.2. La solution de paramtrer les navigateurs sur les postes n'a pas t retenue car elle n'offre pas une garantie suffisante. Mme Simonet a paramtr PROXY1 en proxy transparent. Un proxy transparent est un proxy dont l'existence n'est pas connue par les navigateurs. PROXY1 coute les requtes HTTP sur le port 8080, les navigateurs envoient leurs requtes sur le port 80. 11. Dire quel mcanisme doit mettre en oeuvre l'administratrice pour que les requtes HTTP des postes de travail soient envoyes PROXY1.
139 Annexe 1 : schma simplifi du rseau
140 Annexe 2 : Adresses des serveurs DNS des rseaux sans fil et tables de Routage
Rseau VLAN1 (lus) Serveur DNS interne : 172.16.4.10
Rseau VLAN2 (Visiteurs) Serveur DNS du fournisseur daccs Internet : 201.110.47.38
Table de routage du routeur R-SC1
Table de routage du routeur R-CA8
141 Annexe 3 : Fichiers de zones DNS des serveurs Richelieu et Milady
Serveur Richelieu : extrait du contenu du fichier de configuration de la zone cg96.fr (toutes les portions de texte prcdes par un point virgule (;) sont des commentaires). ; dfinition de la zone cg96.fr ; le serveur d'autorit est richelieu.cg96.fr (serveur primaire) ; il est administr par une personne qu'on peut joindre l'adresse simonet@cg96.fr ; le serveur esclave est milady.cg96.fr (serveur secondaire)
cg96.fr. IN SOA richelieu.cg96.fr. simonet.cg96.fr. ( 136 ; numro de version : permet aux serveurs secondaires de savoir s'ils doivent mettre ; jour leur base, une incrmentation de ce numro provoque un transfert de zone entre ; primaire et secondaire(s) 36000 ; dlai de mise jour impos aux serveurs secondaires (en secondes) 3600 ; dlai avant une autre tentative de mise jour par un serveur secondaire (en secondes) 360000 ; dure au-del de laquelle les donnes de zones seront marques comme obsoltes par ; un serveur secondaire (en secondes) 86400); dure de validit en cache par dfaut des enregistrements de zones (en secondes)
; avec deux serveurs de noms dans cette zone NS richelieu.cg96.fr. NS milady.cg96.fr. ; dclaration des adresses faisant autorit (extrait) richelieu.cg96.fr. IN A 172.16.4.10 ; dclaration des diffrents nom d'hte milady.cg96.fr. IN A 172.16.12.10 srv-im.cg96.fr. IN A 172.16.4.100 srv-fic.cg96.fr. IN A 172.16.4.50 g-equip.cg96.fr. IN A 172.16.4.97 ; ligne rajoute dans la nouvelle version r-sc1.cg96.fr. IN A 192.168.8.2 r-ca8.cg96.fr. IN A 172.16.4.2 intra-marche.cg96.fr. IN CNAME srv-fic.cg96.fr. ; declaration d'un alias
; fin de la zone dautorit Serveur Milady : extrait du contenu du fichier de configuration de la zone cg96.fr du serveur Milady (les commentaires ont t effacs)
cg96.fr. IN SOA richelieu.cg96.fr. simonet.cg96.fr. (136 36000 3600 360000 86400) NS richelieu.cg96.fr. NS milady.cg96.fr. richelieu.cg96.fr. IN A 172.16.4.10 milady.cg96.fr IN A 172.16.12.10 srv-im.cg96.fr. IN A 172.16.4.100 srv-fic.cg96.fr. IN A 172.16.4.50 r-sc1.cg96.fr IN A 192.168.8.2 r-ca8.cg96.fr IN A 172.16.4.2 intra-marche.cg96.fr. IN CNAME srv-fic.cg96.fr.
142 Corrig Exonet N 23 Corrig Exonet N 23 Corrig Exonet N 23 Corrig Exonet N 23
Question 1. Dire pourquoi les portables des visiteurs qui se connectent sur le second SSID obtiendront obligatoirement une adresse IP donne par le serveur DHCP 192.168.1.33 et non par le serveur DHCP 172.16.108.2. Justifier la rponse en vous appuyant sur le protocole DHCP et les VLAN.
Les VLAN dfinissent logiquement des domaines de diffusion. Ces domaines sont hermtiques. Le protocole DHCP est bas sur des diffusions (broadcast). La requte DHCPDISCOVER envoye par un portable de journaliste sur le VLAN 2 ne parviendra jamais au serveur DHCP 172.16.108.2.
Question 2. Donnez en la justifiant la valeur du masque de sous-rseau en notation classique et en notation CIDR.
13 adresses +1 (serveur) Au total 14 + 2 (Adr. Diffusion + Rseau) = 16 adresses possibles Il faut donc 4 bits pour adresser ces 16 adresses, car 24 = 16 Il reste donc 4 bits pour adresser les sous-rseaux Ce qui donne 255.255.255.240. Ou encore un masque 28 bits ce qui donne la notation CIDR suivante 192.168.1.32/28
Question 3. Donnez la plage dadresses utilisables par le serveur DHCP ainsi que les diffrents paramtres TCP/IP ncessaires au fonctionnement des postes de travail du rseau VLAN2 (Visiteurs).
Plage dadresses utilisable pour les postes de travail : 192.168.1.34 192.168.1.46 Paramtres DHCP : masque de sous-rseau : 255.255.255.240 passerelle par dfaut : 192.168.1.33 serveur DNS : 201.110.47.38 Ladresse 172.16.4.10 nest pas acceptable. dure du bail : 4 h (dure dune session du Conseil)
Question 4. Justifier les rponses obtenues aux deux commandes.
a)Le poste de travail 172.16.108.10 peut joindre la passerelle par dfaut 172.16.108.1, mais ensuite le routeur R-SC1 ne dispose pas de route vers le rseau 172.6.4.0. Le ping ne peut pas aboutir, donc ce routeur envoie un message ICMP au poste indiquant qu'il ne connat pas de route vers ce rseau. b)Il y a un problme pour le retour sur le routeur R-CA8. Le poste de travail 172.16.108.10 peut joindre la passerelle par dfaut 172.16.108.1, le routeur R-SC1 connat la route vers 192.168.8.1 mais la route vers le rseau 172.16.108.0 est fausse.
Question 5. Prciser quelles modifications sur les tables de routage Mme Simonet doit faire pour que la communication entre la salle du conseil et la cit administrative fonctionne.
Il suffit dajouter la route 172.16.4.0/255.255.255.252 passerelle 192.168.8.1 sur R-SC1 et de modifier la route vers 172.16.108.0/255.255.252 passerelle 192.168.8.2 sur le routeur R-CA8. Table de routage du routeur R-CA8
143 Table de routage du routeur R-SC1
Question 6. Dire quelle modification doit tre effectue sur le fichier de zone cg96.fr du serveur Richelieu pour faire le basculement.
; dclaration des adresses faisant autorit (extrait) richelieu.cg96.fr. IN A 172.16.4.10 milady.cg96.fr IN A 172.16.12.10 srv-im.cg96.fr. IN A 172.16.4.100 srv-fic.cg96.fr. IN A 172.16.4.50 g-equip.cg96.fr. IN A 172.16.4.97 r-sc1.cg96.fr IN A 192.168.8.2 r-ca8.cg96.fr IN A 172.16.4.2 intra-marche.cg96.fr. IN CNAME srv-im.cg96.fr. Il faut modifier l'enregistrement CNAME en le faisant maintenant pointer vers la nouvelle machine.
Question 7. Dire quel intrt prsente la mise en place dun serveur DNS secondaire (esclave).
Un serveur secondaire (esclave) permet : La tolrance de pannes en permettant de rsoudre les noms (pendant un certain temps) mme si le serveur matre est en panne Lquilibrage de charge en rpartissant les requtes DNS.
Question 8. Donner et justifier la rponse cette commande en vous appuyant sur les fichiers de zone de l'annexe 3.
La rsolution de noms ne se fait pas. Milady rpond qu'il n'a pas d'association pour ce nom donc les clients ne vont pas interroger Richelieu. Le fichier du secondaire n'a pas t mis jour cause de l'erreur sur le numro de version. Les postes du site quipement sont configurs pour interroger d'abord le DNS Milady puis si celui- ci ne rpond pas et uniquement si celui-ci ne rpond pas, Richelieu.
Question 9. Dire si cette table de filtrage rpond aux trois objectifs. Justifier la rponse pour chaque objectif.
En bloquant les flux entrants ne correspondant pas des connexions TCP tablies en interne, on obtient le rsultat suivant : On ne peut plus se connecter de l'extrieur sur le service SSH car il nest pas explicitement autoris la ligne 13 est supprime la ligne par dfaut bloque et la ligne 9 nautorise que les connexions tablies de lintrieur ; mais on ne peut plus se connecter sur le relais de messagerie et sur le serveur WWW qui ncessite une connexion TCP et on ne peut plus se connecter non plus au serveur DNS y compris avec UDP car la rgle par dfaut bloque l'accs ; les lignes 10 11 12 ont t supprimes ; par contre les utilisateurs peuvent utiliser Internet avec leur navigateur parce quils tablissent la connexion Cette solution ne rpond donc pas aux trois objectifs.
144 Question 10. Proposer une deuxime solution en respectant les trois objectifs. Justifier la rponse.
Il suffit de supprimer (ou de mettre sa dcision ltat bloquer ) la ligne 13 car cette ligne autorise la connexion SSH.
Cette table rpond aux trois objectifs on ne peut plus se connecter de l'extrieur sur le service SSH car la rgle par dfaut s'applique ; mais on peut se connecter aux autres services ; et les utilisateurs peuvent utiliser Internet.
Question 11. Dire quel mcanisme doit mettre en oeuvre l'administratrice pour que les requtes HTTP des postes de travail soient envoyes PROXY1.
Il faut mettre en place sur le routeur R-CA8 une redirection de port
145 Exonet N 24
La mairie de la ville de L. est charge de la gestion de 47 restaurants scolaires. Ces restaurants sont regroups en cinq secteurs, superviss par des responsables de secteur, chargs de la gestion pratique des restaurants et de lorganisation des quipes. Les responsables de secteur disposent chacun dun ordinateur utilis pour des travaux de bureautique. Ces responsables de secteur sont situs dans un local distant de lhtel de ville, btiment principal de la mairie. La gestion administrative de ces restaurants scolaires est assure par le Service des Affaires Gnrales . Ce service, situ dans les locaux de la mairie, soccupe ainsi de la gestion du personnel et de ltablissement du planning des quipes. Monsieur Franck DUBOIS, attach administratif au Service des Affaires Gnrales , veut interconnecter le rseau principal de la mairie au rseau des responsables de secteur afin damliorer lorganisation et la gestion administrative du personnel.
Vous tes amen(e) installer et configurer deux routeurs R2 et R3 pour relier le rseau principal de la mairie au rseau des responsables de secteur. 1. Expliquer la ligne 2 de la table de routage du routeur R3 (Annexe 2)
Il est dcid que les responsables de secteur connects au rseau principal de la mairie doivent aussi avoir la possibilit de se connecter au serveur de messagerie de la mairie. 2. Indiquer ladresse de passerelle qui doit tre dfinie sur chaque ordinateur des responsables de secteur.
Ces modifications faites, il savre que les ordinateurs des responsables de secteur nont toujours pas accs au serveur de messagerie 192.168.200.130. partir du serveur Windows NT4 dadresse 172.30.16.3, vous excutez la commande ping 192.168.200.130. La commande sexcute correctement. partir de lordinateur du responsable du secteur 1 dadresse 172.30.32.1, vous excutez la commande ping 172.30.16.3. La commande sexcute correctement. partir de lordinateur du responsable du secteur 1 dadresse 172.30.32.1, vous excutez la commande ping 192.168.200.130. Cette fois la rponse est Impossible de joindre lhte de destination . 3. Indiquer, en justifiant votre rponse, le routeur qui est la cause du dysfonctionnement.
Vous avez la possibilit dutiliser, pour modifier les tables de routage, la commande route. On considrera que la syntaxe de la commande route se limite : route {[ADD] | [PRINT] | [DELETE] | [CHANGE] } destination MASK masque passerelle Exemple : route CHANGE 157.0.0.0 MASK 255.0.0.0 157.55.80.1 4. Prciser, en justifiant votre rponse, la commande que vous devez employer pour mettre jour la table de routage du routeur incrimin, de faon obtenir une rponse correcte la commande ping prcdente.
Le serveur de messagerie de la mairie est dsormais accessible par les responsables de secteur. On vous demande dappliquer sur le routeur R3, la commande suivante : route add 0.0.0.0 mask 0.0.0.0 172.30.128.254 Une commande route print montre quune ligne supplmentaire a t cre dans la table de routage du routeur R3. 0.0.0.0 0.0.0.0 172.30.128.254 172.30.128.253 5. Indiquer la raison pour laquelle on a dcid dinsrer une telle ligne dans la table de routage de R3. 146 On a mis en place sur le routeur R1 connect Internet des rgles de scurit. Aprs tude de la documentation technique du routeur R1 et de la configuration existante, vous devez mettre jour les fonctions de filtrage dfinies en Annexe 3pour autoriser aux responsables de secteur l'accs aux serveurs web et de messagerie. 6. Indiquer, en justifiant votre rponse, si le serveur web de la DMZ est accessible partir dInternet. 7. Ajouter une nouvelle rgle qui autorise les responsables de secteur accder au serveur web de la DMZ en passant par le rseau principal de la mairie.
Le Service des Affaires Gnrales est rparti sur les 1 er et 2 me tages quil partage avec dautres services. Le Service des Administrs , quant lui, occupe lui seul la totalit du rez-de- chausse. Le responsable informatique souhaite isoler chacun de ces deux services en mettant en uvre des rseaux locaux virtuels (VLAN). Le commutateur actuellement install dans les btiments de la mairie est un commutateur administrable ne grant que les VLAN de niveau 1 . Aprs observation du schma du rseau (Annexe 1), ladministrateur saperoit que, dans ltat actuel de linstallation, il peut crer un VLAN de niveau 1 pour isoler le Service des Administrs mais quil ne peut pas en crer pour le Service des Affaires Gnrales . 8. Expliquer pourquoi il est possible de crer un VLAN de niveau 1 pour le Service des Administrs . 9. Expliquer pourquoi il nest pas possible de crer un VLAN de niveau 1 pour le Service des Affaires Gnrales .
Les responsables de secteur se plaignent de recevoir de nombreux pourriels (spams). 10. Dfinir la notion de pourriel (spam) et prciser en quoi ils constituent une gne pour lentreprise.
Le responsable informatique vous demande de filtrer la rception des messages, afin de bloquer certaines sources (adresses lectroniques, noms de domaine, adresses IP). Dans cette optique, la mairie adhre un service de liste noire anti-pourriels (blacklist anti-spam) hberg sur un serveur DNSBL (DNS BlackList). 11. Expliquer, en vous aidant ventuellement dun schma, le principe de fonctionnement de linterrogation par lentreprise dune liste de type Blacklist anti-spam lors de la procdure de rception dun message.
147 Annexe 1 : schma du rseau
148 Annexe 2: Tables de routage Table de routage du routeur R1
Adresse destinataire Masque Passerelle Interface 1 195.167.221.0 255.255.255.0 195.167.221.12 195.167.221.12 2 192.168.200.128 255.255.255.128 192.168.200.131 192.168.200.131 3 172.30.16.0 255.255.240.0 172.30.30.253 172.30.30.253 4 172.30.32.0 255.255.255.0 172.30.16.254 172.30.30.253 5 0.0.0.0 0.0.0.0 195.167.221.12 195.167.221.12 Table de routage du routeur R2 Adresse destinataire masque Passerelle Interface 1 172.30.128.0 255.255.128.0 172.30.128.254 172.30.128.254 2 172.30.16.0 255.255.240.0 172.30.16.254 172.30.16.254 3 172.30.32.0 255.255.255.0 172.30.128.253 172.30.128.254 3 192.168.200.128 255.255.255.128 172.30.30.253 172.30.16.254 4 195.167.221.0 255.255.255.0 172.30.30.253 172.30.16.254 5 0.0.0.0 0.0.0.0 172.30.30.253 172.30.16.254 Table de routage du routeur R3 Adresse destinataire Masque Passerelle Interface 1 172.30.128.0 255.255.128.0 172.30.128.253 172.30.128.253 2 172.30.16.0 255.255.240.0 172.30.128.254 172.30.128.253 3 4 149 Annexe 3: Politique de scurit de la mairie Le routeur R1 est un routeur filtrant. Il agit au niveau des couches 3 et 4 du modle OSI et assure des fonctions de translation dadresses et de ports (NAT/PAT). Cette translation est assure aprs filtrage. titre dexemple, voici une des rgles NAT/PAT appliques sur linterface dentre 195.167.221.12 du routeur R1, ladresse IP de destination du paquet.
Avant Translation Aprs Translation Adresse Port Adresse Port 195.167.221.12 80 192.168.200.129 80 Chaque paquet arrivant sur une interface du routeur est analys et les rgles de filtrage sont traites squentiellement. Rgles de filtrage pour R1 N de Rgle Interface darrive Adresse Source Port Source Adresse Destination Port Destination Numro de Protocole Action 1 195.167.221.12 Any Any 195.167.221.12 80 6 accept 2 172.30.30.253 172.30.16.0 /20 Any 192.168.200.130 25 6 accept 3 195.167.221.12 Any Any Any 23 6 rejet Dfaut (1) Any Any Any Any Any Any rejet
(1) Tout ce qui nest pas autoris est interdit. Principaux protocoles et ports associs Protocole Port rserv Numro de Protocole FTP 21 Telnet 23 SMTP 25 HTTP 80 NNTP 119 SNMP 161 DHCP 68 DNS 53 ICMP 1 TCP 6 UDP 17
150 Corrig Exonet N 24 Corrig Exonet N 24 Corrig Exonet N 24 Corrig Exonet N 24
Question 1. Expliquer la ligne 2 de la table de routage du routeur R3 (Annexe 2).
Rappelons quune ligne de la table de routage sinterprte de la manire suivante : pour atteindre le rseau w.x.y.z, dfini par le masque m.m.m.m, il faut transmettre les paquets ladresse w.x.y.z et pour cela quitter le routeur ou le poste par linterface w.x.y.z. Pour atteindre le rseau 172.30.16.0, dfini par le masque 255.255.240.0, il faut transmettre les paquets ladresse 172.30.128.254 (passerelle : point dentre dans ce sens l du routeur R2) et pour cela quitter le routeur (R3 dans notre cas) par linterface 172.30.128.253.
Question 2. ndiquer ladresse de passerelle qui doit tre dfinie sur chaque ordinateur des responsables de secteur.
La passerelle doit avoir pour valeur le point dentre dans le routeur R3, ct rseau des responsables de secteur, soit ladresse 172.30.32.254.
Question 3. Indiquer, en justifiant votre rponse, le routeur qui est la cause du dysfonctionnement.
Comme le ping passe depuis le serveur NT4 vers le serveur SMTP, on peut en dduire que le routeur R1 nest pas en cause. Il nous reste donc prciser qui, des routeurs R2 ou R3, est en cause. A lobservation des tables de routage, on constate que le routeur R3 ne dispose daucune ligne concernant le rseau 192.168.200.128 /25. Il ne peut donc atteindre les postes de ce rseau. Il faut lui rajouter cette ligne.
Question 4. Prciser, en justifiant votre rponse, la commande que vous devez employer pour mettre jour la table de routage du routeur incrimin, de faon obtenir une rponse correcte la commande ping prcdente.
Ladresse du rseau joindre est 192.168.200.128, ce quon dtermine en appliquant le masque /25 ladresse du Serveur SMTP/POP (192.168.200.130). La commande appliquer au routeur R3 est donc : route ADD 192.168.200.128 MASK 255.255.255.128 172.30.128.254
Question 5. Indiquer la raison pour laquelle on a dcid dinsrer une telle ligne dans la table de routage de R3.
Rappelons que la ligne de commande qui a t excute sur le routeur R3 est : route add 0.0.0.0 mask 0.0.0.0 172.30.128.254 Ce qui a pour effet dinsrer la ligne : 0.0.0.0 0.0.0.0 172.30.128.254 172.30.128.253 La ligne insre indique donc au routeur R3 quil doit rediriger les flux sortants (toutes adresses inconnues ) vers le routeur suivant R2 (interface dentre 172.30.128.254). Ici, cette ligne permet aux postes des responsables de secteur daccder Internet en passant par les routeurs R3, R2 et R1.
151 Question 6. Indiquer, en justifiant votre rponse, si le serveur web de la DMZ est accessible partir dInternet.
Rappelons la rgle 1 de la table de filtrage : N de rgle Interface darrive Adress e Source Port Source Adresse Destination Port Destinatio n Protocol e Action 1 195.167.221. 12 Any Any 195.167.221.1 2 80 6 accept Daprs cette rgle, tout accs (quelle que soit la source et quel que soit le port) en provenance dInternet (interface darrive 195.167.221.12), destination de 195.167.221.12 avec le port 80 est accept. Rappelons la table de translation : Avant Translation Aprs Translation Adresse Port Adresse Port 195.167.221.12 80 192.168.200.129 80 Du fait de lapplication de la rgle de translation, ladresse de destination 195.167.221.12 est substitue en ladresse 192.168.200.129 du serveur Web de la Mairie, qui est donc bien accessible depuis Internet.
Question 7. Ajouter une nouvelle rgle qui autorise les responsables de secteur accder au serveur web de la DMZ en passant par le rseau principal de la mairie.
Donc, quel que soit le port source, tout flux en provenance du rseau des responsables de secteur (172.30.32.0 /24) arrivant sur linterface 172.30.30.253, destination du serveur web (192.168.200.129) doit tre accept. La rgle doit tre place avant la rgle par dfaut : N de rgle Interface darrive Adresse Source Port Source Adresse Destination Port Destinatio n Protocol e Action 4 172.30.30.25 3 172.30.32.0 /24 Any 192.168.200.129 80 6 accept
Question 8. Expliquer pourquoi il est possible de crer un VLAN de niveau 1 pour le Service des Administrs .
Toutes les machines du rez-de-chausse doivent tre isoles. Donc, si lon affecte le port du commutateur sur lequel est connect le concentrateur du rez-de-chausse un VLAN (VLAN par port ou de niveau 1), toutes les machines situes derrire le concentrateur vont appartenir ce VLAN.
Question 9. Expliquer pourquoi, il nest pas possible de crer un VLAN de niveau 1 pour le Service des Affaires Gnrales .
Il nest plus possible dutiliser des VLAN par port sans bloquer, dans un unique VLAN, toutes les machines situes derrire le concentrateur. Or certaines doivent appartenir un VLAN et dautres un autre. On ne peut donc pas mettre en place de VLAN de niveau 1 pour le Service des Affaires Gnrales.
152 Question 10. Dfinir la notion de pourriel (spam) et prciser en quoi ils constituent une gne pour lentreprise.
Pourriel (spam, pollupostage) : dsigne les communications lectroniques massives, notamment de courrier lectronique, sans sollicitation des destinataires, des fins publicitaires ou malhonntes. Les pourriels polluent les boites aux lettres des usagers des messageries et ncessitent de leur part un temps de traitement parfois non ngligeable (tri, suppression). Par ailleurs ils sont parfois porteurs de virus, chevaux de Troie, espiogiciels ce qui peut nuire lefficacit des systmes (destruction de donnes, ralentissement des systmes).
Question 11. Expliquer, en vous aidant ventuellement dun schma, le principe de fonctionnement de linterrogation par lentreprise dune liste de type Blacklist anti-spam lors de la procdure de rception dun message.
153 Exonet N 25
Consciente de l'importance de modifier nos habitudes nutritionnelles et de protger notre environnement, la socit ESN a dvelopp lenseigne Espace Sant Nature qui offre une large gamme de produits issus de lagriculture biologique, labelliss et contrls par des organismes agrs. Pour accompagner le dveloppement de son enseigne Espace Sant Nature la socit a dcid de faire voluer son systme dinformation. Les locaux du sige de la socit ESN accueillent un rseau informatique darchitecture FastEthernet , entirement commut et distribu sur deux btiments principaux (A et B). Au moment de votre collaboration, le projet dvolution de larchitecture du rseau local est en cours de ralisation. Lensemble des serveurs et le cur de llectronique active ont t migrs vers un nouveau btiment appel local technique gnral . Celui-ci permet de bnficier de locaux mieux adapts notamment en termes de scurit daccs physique (utilisation de badges), de climatisation, de systme anti-incendie et de tolrance aux pannes.
Chacun des trois btiments dispose d'un commutateur : CA, CB et CG (annexe 1). Pour grer la tolrance aux pannes des liaisons, ladministrateur a reli les trois commutateurs entre eux en formant un circuit. Pour viter les temptes de diffusion, il a activ le protocole 802.1d. Ce protocole utilise un algorithme darbre de recouvrement minimum (spanning tree) pour transformer un circuit en arbre. Les liaisons redondantes doivent tre invalides quand elles ne sont pas utiles et valides en cas de rupture dune liaison. L'administrateur influe sur le choix des liaisons invalides en pondrant chaque liaison. Les serveurs sont situs dans le local technique gnral. Il n'y a pas de trafic rseau entre les postes du btiment A et ceux du btiment B. 1. Expliquer ce qu'est une tempte de diffusion et sa cause. 2. Identifier le lien qui doit tre invalid par le protocole 802.1d en justifiant la rponse.
La sparation des flux entre btiments est assure par la mise en place de rseaux locaux virtuels (VLAN) sur les commutateurs. Le commutateur CG dispose galement dune fonction de routage qui n'est pas active. L'annexe 2 prsente la configuration des rseaux virtuels et IP de la socit. 3. Expliquer pourquoi les ports d'interconnexion entre commutateurs doivent tre tiquets. 4. Expliquer s'il est ncessaire d'activer le routage sur le commutateur CG pour permettre la communication entre un poste du btiment B et le serveur SRV-ESN.
Tous les postes obtiennent dynamiquement leur configuration IP (adresse, routeur, DNS) partir du serveur SRV-ESN. Mais un commercial connect avec son portable un point d'accs sans fil du btiment A n'a pas pu accder au serveur SRV-SAGE. La liaison entre le portable et le point d'accs est pourtant oprationnelle. 5. Dfinir les adresses IP des passerelles par dfaut affectes aux postes fixes du btiment A et du btiment B pour aller vers Internet. 6. Expliquer la cause du dysfonctionnement observ sur l'ordinateur portable.
Afin de remplacer des serveurs de donnes obsoltes, on a fait l'acquisition d'un unique serveur nomm SRV-NAS plus performant, dont les caractristiques sont prsentes en annexe 3. Il dispose notamment de caractristiques matrielles permettant d'assurer la continuit d'exploitation en cas de panne. 7. Comparer les solutions RAID 0, RAID 1 et RAID 5 de ce serveur : - en terme de volume utile justifier par un calcul, - en terme de tolrance aux pannes. 154 8. Dire quels sont les autres lments du serveur NAS qui permettent d'assurer la continuit de service et la tolrance aux pannes.
La socit ESN a mis en place un catalogue en ligne accessible tous sur Internet. Mais elle a aussi dvelopp pour son rseau commercial de boutiques un accs web permettant de passer des commandes en ligne. Les sites web public et priv sont installs sur le serveur SRV-3W. Ils se distinguent par des numros de port diffrents (80 et 8000). Le SGBDR utilis par le site web est situ sur le serveur SRV-SAGE. Dans le cadre de son nouveau contrat daccs Internet, la socit ESN bnficie dune liaison haut dbit SDSL 2 Mbps, dune plage dadresses IP sur le sous-rseau 217.167.171.128 de masque 255.255.255.248 et dun nom de domaine gr par le fournisseur daccs (espace-sante- nature.com). 9. Justifier le choix dune offre daccs Internet de type SDSL. 10. Dterminer la classe, le nombre d'adresses et la plage dadresses IP offertes par le FAI (fournisseur daccs Internet) ESN.
Les boutiques sont identifies par la plage dadresses 195.200.10.65 195.200.10.126 rserve auprs du FAI. Dans un premier temps, l'administrateur n'a pas mis en place de DMZ, il a utilis les fonctionnalits NAT/PAT et de redirection du routeur SDSL pour rendre accessibles le site public et le site priv. Puis sur le pare-feu SRV-WALL, il a labor les rgles de filtrage suivantes sur linterface externe (annexes 1 et 2 uniquement) : Extrait de la table de filtrage qui ne montre pas les flux bidirectionnels : (Information sur les ports utilisables : DNS (53), HTTP site public (80), HTTP site priv (8000), SMTP (25), POP3 (110) et SGBDR (3306), tous(ports > 1024)) Source Destination N IP Port IP Port Dcision . 20 Toutes Tous 192.168.0.7/32 80 Accepter 30 Toutes Tous 192.168.0.7/32 8000 Accepter 40 Toutes Tous 192.168.0.9/32 25 Accepter 41 Toutes Tous 192.168.0.9/32 110 Accepter Dfaut Toutes Tous Toutes Tous Bloquer
11. Donner la signification de la rgle n 20. 12. Donner la signification de la rgle n 30 et expliquer pourquoi cette rgle ne rpond pas prcisment aux contraintes daccs.
Dans un deuxime temps, l'administrateur a dcid de crer une zone dmilitarise (DMZ) pour amliorer la scurit des accs Internet (annexe 4). Les deux interfaces du routeur SDSL sont configures avec ladresse IP 217.167.171.126 sur linterface externe et 217.167.171.133 sur linterface interne. Les adresses IP affectes aux serveurs SRV-MAIL et SRV-3W sont dsormais 217.167.171.129 et 217.167.171.130. Sur le routeur SDSL les fonctionnalits NAT/PAT et de redirection ne sont plus ncessaires. 13. Donner la table de routage du pare-feu SRV-WALL.
155 Le pare-feu du routeur SDSL et le pare-feu SRV-WALL disposent dsormais des rgles de filtrage permettant l'accs au site web public et au serveur SMTP et POP. L'administrateur vous demande dcrire les nouvelles rgles qui permettent laccs au site web priv depuis les boutiques pour la mise jour des commandes dans la base de donnes. 14. tablir la nouvelle rgle de filtrage sur linterface externe 217.167.171.126 du routeur SDSL. 15. tablir la rgle de filtrage sur linterface externe de SRV-WALL sachant que le SGBDR (implant sur le serveur SRV-SAGE) coute sur le port 3306.
Le serveur SRV-MAIL assure les services SMTP et POP. Ces deux services ont t tests et fonctionnent correctement. Ils utilisent les mmes mots de passe de connexion. Depuis un poste du service informatique dans le rseau local, ladministrateur a configur un compte de messagerie existant ainsi : SMTP : 217.167.171.129 POP : pop.espace-sante-nature.com Il envoie les courriels avec succs, mais il ne parvient pas en recevoir. Le logiciel client de messagerie affiche lerreur suivante : chec de la connexion au serveur. Compte : 'admin', Serveur : 'pop.espace-sante-nature.com', Protocole : POP3, Port : 110 16. Expliquer la cause de lchec de rception du courriel, sachant que le FAI na pas t inform du nouveau plan d'adressage.
156 Annexe 1 : Nouvelle architecture du rseau
157 Annexe 2 : Configuration des rseaux virtuels et IP de la socit
Architecture gnrale de l'interconnexion : Chaque btiment (A, B et local technique gnral) dispose d'un commutateur principal qui s'interconnecte avec les commutateurs principaux des autres btiments. Architecture des VLAN Commutateurs principaux CA CB CG Emplacement Btiment A Btiment B Local Technique gnral VLAN grs 1,100, 200 1,100, 200 1,100, 200 Remarque : Le commutateur CG est un commutateur / routeur. chaque VLAN dfini sur le commutateur peut tre associe une adresse IP qui permet le routage entre VLAN. Cette fonction de routage n'est pas active. Tableau d'affectation Ports - VLAN avec statut 802.1q des ports VLAN 1 VLAN 100 VLAN 200 Etiquets 802.1q (taggs) Ports de connexion des points d'accs sans fil du btiment A X NON Ports de connexion des postes fixes filaires et des autres quipements du Btiment A X NON Ports de connexion des postes fixes filaires et des autres quipements du btiment B X NON Ports de connexion des serveurs et des quipements du local technique gnral X X OUI Ports d'interconnexion des commutateurs CA, CB et CG X X X OUI Adresse IP du sous-rseau associ chaque VLAN VLAN 1 (par dfaut) VLAN 100 VLAN 200 Pas d'adresse IP affecte 192.168.0.0/24 192.168.1.0/24 Adressage IP des postes de travail : Tous les postes des btiments A et B doivent obtenir une adresse dynamiquement partir du serveur DHCP SRV-ESN. Ce serveur gre deux plages d'adresses, une pour chaque rseau IP. Adressage IP des serveurs : Le protocole 802.1q est activ sur les interfaces rseau des serveurs. Ces interfaces sont associes au VLAN 100 et au VLAN 200 et disposent d'une adresse IP par VLAN. Les cartes rseaux de ces serveurs sont donc multi-adresses. Elles associent un VLAN la trame reue en fonction de l'tiquette contenue dans la trame et remettent le paquet l'adresse IP correspondante. En mission, elles tiquettent la trame en fonction du VLAN d'mission. Tableau d'affectation serveurs / VLAN et adressage IP des serveurs (avant le dplacement dans la DMZ des serveurs SRV-3W et SRV-MAIL) VLAN 100 VLAN 200 SRV-ESN (serveur d'authentification DHCP DNS cache) 192.168.0.1 192.168.1.1 SRV-SAGE (serveur d'applications de gestion et SGBDR) 192.168.0.3 192.168.1.3 SRV-NAS (stockage des fichiers et des bases de donnes) 192.168.0.5 192.168.1.5 SRV-3W (serveur web interne et externe) 192.168.0.7 192.168.1.7 SRV-MAIL (serveur de messagerie interne et externe) 192.168.0.9 192.168.1.9 SRV-WALL (pare-feu, accs Internet des postes sur l'interface interne) 192.168.0.254 192.168.1.254 NB: le pare-feu SRV-WALL dispose de l'adresse IP 217.167.171.134 sur l'interface externe. 158 Annexe 3 : Informations techniques sur le serveur NAS
Le serveur NAS est une solution simple pour ajouter du stockage disque en rseau. Le NAS est un priphrique rseau de stockage (serveur de fichiers). Il se connecte sur un rseau Ethernet et se comporte comme un serveur autonome de fichiers. Sa simplicit d'installation et d'administration, la redondance de ses composants en font une solution fiable et efficace pour le stockage et la sauvegarde des donnes sur un rseau htrogne. Caractristiques du serveur NAS Matriel Pentium 4 2.8GHz avec 512KB L2 cache et 2 DIMM slots for 2GB ECC DDR 266/333 memory, 2 interfaces intgres Intel Gigabit Ethernet 8 disques SATA hot-swappable (250 GB chacun) RAID 0, 1, 5 Gravure sur CD-R/RW et DVD+RW (Option) Alimentation redondante et compatibilit UPS
Administration et Compatibilit Microsoft Windows NT/2000/2003 support Domaine et Active Directory UNIX, Solaris, FreeBSD, Linux, support Network Information Service (NIS), MacOS 8.x, 9.x, OS X TCP/IP, AppleTalk, IPX HTTP, CIFS/SMB, NFS v3, NCP, FTP, AFP BOOTP, RARP, DHCP, DNS, WINS, SMTP, SNMP, NTP, SSL
Annexe 4 : Schma de la DMZ Boutiques Clients SDSL 2 Mbps SRV-WALL SRV-MAIL SRV-SAGE SRV-ESN SRV-NAS CG 192.168.0.254 192.168.1.254 SRV-3W 217.167.171.134 217.167.171.129 217.167.171.130 217.167.171.133 DNS 194.20.0.50 FAI 217.167.171.126
159 Corrig Exonet N 25 Corrig Exonet N 25 Corrig Exonet N 25 Corrig Exonet N 25
Question 1. Expliquer ce qu'est une tempte de diffusion .
Le commutateur segmente le domaine de collision, il laisse cependant passer les diffusions de trames Ethernet (MAC FF-FF-FF-FF-FF-FF). Larchitecture en annexe prsente une interconnexion des commutateurs en boucle. Consquences : Les commutateurs mettent jour leur table de correspondance port source = @mac partir de la trame qui arrive. Les trames de diffusion et de multidiffusion sont achemines par inondation vers tous les autres ports du commutateur et donc vers tous les commutateurs interconnects. La trame boucle indfiniment (pas de TTL), il y a inondation de la bande passante et surcharge de tous les noeuds connects sur tous les ports.
Question 2. Identifier le lien qui doit tre invalid en justifiant la rponse
Le lien a invalider doit tre CA CB, pour deux raisons, le dbit est plus faible et il n'y a pas de flux changs entre le btiment A et le btiment B, tous les flux sont destins au local technique gnral o sont placs tous les serveurs.
Question 3. Expliquer pourquoi les ports d'interconnexion entre commutateurs doivent tre tiquets (taggs).
Les ports d'interconnexion appartiennent plusieurs VLAN. Pour pouvoir associer une trame un VLAN il faut donc rajouter l'tiquette 802.1q dans la trame.
Question 4. Expliquer s'il est ncessaire d'activer le routage sur le commutateur CG pour permettre la communication entre un poste du btiment B et le serveur SRV-ESN.
Non car le serveur SRV-ESN a deux adresses IP sur son interface o le protocole 802.1q est actif. Les trames mises et reues par lui sont "tiquetes" puis associer la bonne adresse IP en fonction du VLAN. Le serveur et le poste sont donc dans le mme rseau IP et dans le mme VLAN, on n'a donc pas besoin de router.
Question 5. Dfinir les adresses IP des passerelles par dfaut affectes aux postes du btiment A et du btiment B pour aller vers Internet.
L'accs Internet se faisant par le pare-feu SRV-WALL, on utilise l'interface de celui-ci associe au VLAN correspondant : Pour le btiment A il s'agit de 192.168.0.254 (VLAN 100). Pour le btiment B il s'agit de 192.168.1.254 (VLAN 200).
Question 6. Expliquer la cause du dysfonctionnement observ sur l'ordinateur portable.
Les points d'accs Wi-Fi sont associs au VLAN par dfaut. Ils ne peuvent communiquer avec les autres Vlan directement. Il s'agit soit d'une erreur de configuration, soit d'une volont d'isoler le flux des portables.
Question 7. Comparer les solutions RAID0, RAID1 et RAID5 de ce serveur : - en terme de volume utile justifi par un calcul, - en terme de tolrance aux pannes.
RAID0 : on utilise tous les disques, donc la totalit du volume (2000 G0) est disponible mais on n'a aucune tolrance aux pannes. RAID1 : (mirroring) la moiti de l'espace est disponible pour l'utilisateur (1000GO) et celle-ci est duplique sur l'autre moiti, la tolrance de panne est assure. Aprs une perte de disque la remise en service est trs rapide puisqu'on dispose d'un disque identique au disque perdu. 160 RAID5 : un disque est utilis pour le contrle de parit. Donc l'espace disponible est de (7 X 250 = 1750) pour l'utilisateur et la tolrance aux pannes est assure. La remise en service ncessite la reconstruction du disque perdu partir des autres disques.
Question 8. Dire quels sont les autres lments du serveur NAS qui permettent d'assurer la continuit de service et la tolrance aux pannes.
Disques durs hot-swappable (branchement chaud) en RAID 0 5 Alimentation redondante et compatibilit UPS (l'arrt se fera proprement partir de l'onduleur) Mmoire vive de type ECC (contrle derreur), 2 interfaces intgres Intel Gigabit Ethernet (tolrance de panne possible)
Question 9. Justifier le choix dune offre daccs Internet de type SDSL.
Symetric Digital Subscriber Line, liaison haut dbit symtrique en descente et en monte. Les besoins de lentreprise sont effectivement un haut dbit bidirectionnel puisque laccs Internet est offert sur le rseau local et le serveur web hberg en local est ouvert lextrieur.
Question 10. Dterminer la classe, le nombre d'adresses et la plage dadresses IP offertes par le FAI (fournisseur daccs internet) ESN.
217.167.171.128 : classe C publique (rseau de 192.0.0.0 10 223.255.255.0 10 soit 110 2 au 1 er
octet) IP : 217.167.171.128 10 1000 0000 2
Masque : 255.255.255.248 10 1111 1000 2
Plage : 1000 0001 2 1000 0110 2 217.167.171.129 10 217.167.171.134 10 Nombre d'adresses : il reste trois bits pour la partie poste (host-id) donc 2 3 2 = 6
Question 11. Donner la signification de la rgle n 20.
Les internautes (tout le monde) accdent aux pages web publiques (port standard 80) du serveur SRV-3W.
Question 12. Donner la signification de la rgle n 30, et expliquer pourquoi cette rgle ne rpond pas prcisment aux contraintes daccs.
Tout le monde accde aux pages web prives du serveur SRV-3W. Les internautes devront nanmoins connatre le port non standard utilis (http://www.espace-sante-nature.com:8000) Ceci ne rpond pas explicitement aux besoins. Au niveau du pare-feu, rien ne permet la scurit daccs aux pages prives (extranet) rserves exclusivement aux boutiques.
Question 13. Donner la table de routage du pare-feu SRV-WALL.
161 Question 14. tablir la nouvelle rgle de filtrage sur linterface externe 217.167.171.126 du routeur SDSL.
Source Destination N IP Port IP Port tat 10 Toutes 53 217.167.171.134/32 Tous Accepter 20 Toutes Tous 217.167.171.130/32 80 Accepter 30 195.200.10.64/26 Tous 217.167.171.130/32 8000 Accepter 40 Toutes Tous 217.167.171.129/32 25 Accepter 41 Toutes Tous 217.167.171.129/32 110 Accepter Dfaut Toutes Tous Tous Tous Bloquer Adresses : 195.200.10.65 195.200.10.126 .0100 0001 2 .01111 1110 2
Question 15. tablir la nouvelle table des rgles de filtrage sur linterface externe de SRV-WALL sachant que le SGBDR (implant sur le serveur SRV-SAGE) coute sur le port 3306.
Source Destination N IP Port IP Port tat 10 217.167.171.134/32 53 Toutes Tous Accepter 20 217.167.171.130/32 Tous 192.168.0.3/32 3306 Accepter 30 217.167.171.130/32 80 192.168.0.0/24 Tous Accepter 40 217.167.171.129/32 25 192.168.0.0/24 Tous Accepter 41 217.167.171.129/32 110 192.168.0.0/24 Tous Accepter Dfaut Toutes Tous Tous Tous Bloquer
Question 16. Expliquer la cause de lchec de rception du courriel, sachant que le FAI na pas t inform du nouveau plan d'adressage.
Les noms de domaine smtp.espace-sante-nature.com et pop.espace-sante-nature.com doivent tre raffects ladresse 217.167.171.129 dans la zone espace-sante-nature.com administre par le DNS primaire (SOA) du FAI.
162 Exonet N 26
La socit A'CLICK est spcialise dans la production et la distribution de logiciels pdagogiques destins aux enfants. La socit dispose aussi d'un service rdaction pour l'laboration de magazines quotidiens pour enfants. L'impression des magazines et fascicules est ralise par un imprimeur situ 160 km environ. Vingt personnes de la socit A'CLICK collaborent llaboration des logiciels, dont quatre en tltravail ( partir de leur domicile) et trois autres chez l'imprimeur pour la mise en forme des magazines et fascicules. La socit A'CLICK dispose dj dun rseau informatique reliant les collaborateurs domicile (essentiellement des dveloppeurs) et limprimeur.
Vous disposez du plan du rseau de la socit (annexe 1). Le rseau de la socit A'CLICK dessert le rez-de-chausse et le premier tage de deux btiments distants d'une trentaine de mtres. Les serveurs principaux sont placs au premier tage du btiment A dans un local technique. Les personnels sont rpartis sur les deux btiments. Les dveloppeurs sur site travaillent essentiellement dans le btiment B. La socit a mis en place un rseau bas sur une architecture Ethernet 100 Mbit/s commute bidirectionnelle avec des liaisons fibres optiques entre les commutateurs ayant un dbit de 1 Gbit/s. Pour la configuration des commutateurs, l'administrateur a choisi une solution base sur des VLAN (Virtual Local Area Network) de niveau 1 (annexe 2). 1. Prsenter les critres qui plaident en faveur de lutilisation de rseaux locaux virtuels.
Le plan d'adressage IP en fonction des rseaux locaux virtuels et la configuration actuelle des commutateurs sont spcifis dans les annexes 3 et 4. 2. Indiquer la classe, ladresse rseau et le masque par dfaut correspondant au plan dadressage spcifi lannexe 3. Justifier les rponses. 3. Calculer le nombre dhtes que peut accueillir chacun des rseaux virtuels avec ce plan dadressage. 4. Donner le nombre de domaines de diffusion (broadcast) mis en place par la configuration des commutateurs C2, C3, C4 et C5.
Ladministrateur du rseau souhaite modifier la configuration des commutateurs (annexe 4). Ladministrateur connecte un poste (appartenant au rseau IP 192.168.10.32/27 et configur sans passerelle) sur le port libre c2e8 du commutateur C2 pour le configurer. Il lance ensuite la commande http://192.168.10.33 pour accder la page daccueil de loutil dadministration du commutateur C2. Il obtient le message "page web non disponible hors connexion" "termin". Pour comprendre la nature du problme, il effectue les trois tests suivants : Test1 : Il lance la commande ping 192.168.10.33 Il obtient le message "Dlai dattente de la demande dpass".
Test2 : Depuis le poste il branche un cble console sur le commutateur C2 et lance une connexion srie avec les proprits (Bits par seconde : 9600, Bits de donnes : 8, Parit : Aucun, Bits d'arrt : 1, Contrle de flux : Matriel). Il obtient le message de connexion Login : permettant daccder loutil dadministration. 163 Test3 : Il connecte alors directement le poste (en Ethernet) sur le port libre c3e8 du commutateur C3 et lance la commande http://192.168.10.34 Il obtient la page web d'accueil de loutil dadministration du commutateur C3. 5. Donner la raison pour laquelle l'administration du commutateur C2 ne peut se faire actuellement que par le cble console. Proposer une solution pour rsoudre ce problme.
Suite une rorganisation des quipes de projet, il est ncessaire de dplacer le poste de travail dun dveloppeur, identifi Dev5, pour l'installer au rez-de-chausse du btiment B. Ce poste est reli par l'intermdiaire d'une prise murale, au port c4e7 du commutateur C4. Aprs ce changement, l'administrateur constate que le poste Dev5 ne peut plus communiquer avec son serveur d'applications Sappl. Il ralise diffrents tests partir de la prise et en conclut que ce n'est pas un problme de connexion physique. 6. Expliquer pourquoi ce dplacement a gnr ce problme. Proposer une solution pour que le poste Dev5 puisse de nouveau communiquer avec son serveur d'applications partir de son nouvel emplacement.
Tous les postes du rseau peuvent communiquer entre eux grce la fonction de routage active sur C2 qui est un commutateur de niveau 3. Cependant, l'administrateur n'a pas encore ajout dans la table de routage de C2, la route par dfaut pour accder Internet. La syntaxe de la commande pour ajouter une route dans la table de routage de C2 est dcrite dans l'annexe 4. 7. crire l'instruction qui ajoute une route dans la table de routage de C2 pour autoriser tous les postes du rseau accder Internet.
L'tude des flux sur les rseaux montre qu'aprs le redmarrage de l'ensemble des commutateurs une multitude de trames de diffusion ARP parviennent au portable de l'administrateur. Celui-ci entreprend des recherches sur Internet et obtient des rponses lui expliquant un problme de "tempte de broadcast". 8. Expliquer lexpression "tempte de broadcast" et ce qui a provoqu ce problme. Indiquer quel protocole (ou algorithme) l'administrateur doit activer sur les commutateurs pour rsoudre ce problme.
Les pages des magazines sont stockes dans une base de donnes. Elles sont composes de textes et d'images numrises et dattributs de mise en forme. Les flux de communication avec limprimeur sont de simples transferts de donnes composant le magazine : texte, images et attributs de mise en page. La solution utilise actuellement pour relier lentreprise la socit A'CLICK repose sur une liaison distance Numris 64 Kbit/s point point. L'impression quotidienne des magazines pour enfant tant en constante augmentation, l'adaptation de la ligne de communication reliant la socit A'CLICK l'imprimeur devient une priorit. Le responsable du rseau estime en effet que le transfert des pages d'un magazine est trop long. Ainsi, pour le transfert dune page de 300 Ko laquelle sajoute 15 % de donnes de gestion (des diffrents protocoles mis en uvre lors du transfert), il faut prs de 44 secondes. 9. Dterminer la bande passante minimum ncessaire, exprime en Kbit/s, que doit supporter la liaison pour ramener le temps de transfert d'une page environ 10 secondes (justifier la rponse, prendre 1 Ko = 1 000 octets).
164 L'administrateur constate que pour obtenir des temps de transfert de pages et un cot acceptables, il va falloir augmenter considrablement les dbits de transfert. Lors d'une runion, la direction de la socit a donn son accord pour augmenter les dbits via Internet. Pour amliorer les capacits d'accs, l'administrateur propose la mise en place d'une technologie ADSL pour les dveloppeurs domicile et dune technologie SDSL pour l'imprimeur. 10. Expliquer les principales diffrences techniques qui existent entre l'ADSL et le SDSL proposes par l'administrateur.
La connexion devra se faire de manire crypte, virtuelle, point point, avec une passerelle VPN (Virtual Private Network) dite aussi RPV (Rseau Priv Virtuel), situe sur le routeur Rte_Aclick de la socit. Elle offrira ainsi aux dveloppeurs et l'imprimeur une extension du rseau priv. Les dveloppeurs domicile pourront se connecter Internet, puis tablir une connexion VPN vers le rseau de la socit. Pour la mise en place de ce tunnel VPN, le routeur Rte_A'click doit possder une adresse IP publique fixe, utiliser un pare-feu effectuant de la translation d'adresses et tre capable de rediriger une demande vers une adresse IP prive (annexes 1 et 5). 11. Expliquer la dmarche que doit suivre l'administrateur du rseau pour obtenir une adresse IP publique fixe. 12. Lister les avantages (en dehors des dbits) dune solution DSL/VPN
Aprs ces dmarches, ladresse IP attribue linterface publique est 66.101.21.12. En plus des accs Internet, les donnes circulant sur le routeur Rte_A'click proviennent des changes entre l'imprimeur et le serveur de base de donnes Ssgbd ainsi que des changes entre les dveloppeurs domicile et le serveur Intranet Sweb. 13. crire la table de routage du routeur Rte_A'click, partir des informations de l'annexe 1.
Les fonctions de filtrage du routeur Rte_A'click sont dj actives sur linterface publique 66.101.21.12 et sur l'interface prive 172.16.120.253. Les tableaux ci-dessous donnent un extrait des tables de filtrage correspondant chacune de ces interfaces : Table de filtrage de l'interface publique (66.101.21.12) du routeur Rte_A'click N de rgle Adresse source Port source Adresse destination Port destination Protocole Action 1 Toutes Tous 66.101.21.12/32 tous GRE Accepter 2 66.101.21.12/32 1723 Toutes tous TCP (tabli) Accepter 3 Toutes Tous 66.101.21.12/32 1723 TCP Accepter 4 Toutes Tous 66.101.21.12/32 500 UDP Accepter 6 Toutes Tous 66.101.21.12/32 1701 UDP Accepter 7 Toutes Tous 66.101.21.12/32 4500 UDP Accepter
Dfaut Toutes Tous Toutes Tous Tous Bloquer Table de filtrage de l'interface prive (172.16.120.253) du routeur Rte_A'click N de rgle Adresse source Port source Adresse destination Port destination Protocole Action
Dfaut Toutes Tous Toutes Tous Tous Accepter
14. Expliquer les rgles de filtrage 2 et 3 appliques sur l'interface publique. 165 Lors de la mise en place du tunnel la connexion, le serveur VPN doit attribuer aux dveloppeurs domicile une adresse IP, prise sur une tendue statique allant de 172.16.120.8 172.16.120.15. L'imprimeur, quant lui, doit toujours recevoir l'adresse IP 172.16.120.100. Les dveloppeurs domicile ont accs au serveur de base de donnes Ssgbd et au serveur Intranet Sweb, mais en aucun cas l'imprimeur ne pourra accder au serveur Intranet Sweb. Ni les dveloppeurs domicile, ni l'imprimeur ne doivent avoir accs au rseau interne de la socit. 15. Ajouter la (les) rgle(s) de filtrage mettre en place sur l'interface 172.16.120.253 du routeur Rte_A'click, afin de respecter les accs prciss ci-dessus, sachant que laction de la rgle par dfaut est Accepter .
166 Annexe 1 : Rseau Ethernet de la socit A'CLICK
167 Annexe 2 : Rappel sur les VLAN
Les rseaux locaux virtuels (VLAN) permettent de crer des domaines de diffusion, grs par des commutateurs. Une trame ne peut tre associe qu un VLAN et cette trame ne peut tre diffuse que sur les ports du commutateur associs ce VLAN. Une trame ou un port peuvent tre associs un VLAN de manire statique ou dynamique : - Statique : chaque port du commutateur est affect un VLAN par ladministrateur, une trame en entre sur ce port sera associe au VLAN du port. On parle de VLAN de niveau 1 ou VLAN par port. - Dynamique : chaque port du commutateur se voit affect dynamiquement un VLAN partir dune information contenue dans la trame en entre sur ce port. Cette affectation peut tre dfinie en fonction de ladresse MAC mettrice, de ladresse IP mettrice, dun protocole, etc. contenues dans la trame. On parle de VLAN de niveau 2 (VLAN dadresse MAC) de niveau 3 (VLAN dadresse IP) ou de niveau applicatif (VLAN bas sur les protocoles d'application). On considre quun port de commutateur ne sera associ qu un seul VLAN lexception des ports dinterconnexion 802.1q. Un port 802.1q (dit tagged port) transporte des trames tiquetes avec un en-tte 802.1q qui permet d'associer la trame un VLAN. Ce port est gnralement rserv la communication entre commutateurs. Une trame ne peut tre associe qu un seul VLAN. Chaque VLAN peut tre gr par un commutateur ou par plusieurs et un commutateur peut grer un ou plusieurs VLAN. Lorsqu'un commutateur reoit une trame de diffusion (broadcast), il la transmet dune part l'ensemble des ports sur lesquels sont relis les postes appartenant au mme VLAN que lmetteur, dautre part aux ports 802.1q affects ce VLAN.
Annexe 3 : Plan d'adressage IP en fonction des rseaux locaux virtuels
Chaque VLAN correspond un sous-rseau IP. VLAN 1 (VLAN par dfaut) : Pour les postes du service administratif, adresse rseau 192.168.10.32 masque 255.255.255.224 VLAN 2 : Pour les postes du service de comptabilit, adresse rseau 192.168.10.64 masque 255.255.255.224 VLAN 3 : Pour les postes du service dveloppement et serveurs, adresse rseau 192.168.10.96 masque 255.255.255.224 La communication entre les VLAN est assure par la fonction de routage active sur C2, commutateur de niveau 3. Pour constituer la table de routage de C2, une adresse IP est affecte chaque VLAN sur le commutateur C2, soit : VLAN 1 : 192.168.10.62/27 VLAN 2 : 192.168.10.94/27 VLAN 3 : 192.168.10.126/27 Chaque poste du rseau est configur avec une passerelle par dfaut qui est l'adresse IP du VLAN correspondant, mis en place sur le commutateur C2, soit : - Service administratif, VLAN 1 (VLAN par dfaut), passerelle par dfaut : 192.168.10.62 - Service de comptabilit, VLAN 2, passerelle par dfaut : 192.168.10.94 - Service de dveloppement et serveurs, VLAN 3, passerelle par dfaut : 192.168.10.126
168 Annexe 4 : Configuration des commutateurs et des rseaux locaux virtuels
Commutateur C2 : Administrable sur le VLAN2, 192.168.10.33/27 Protocole 802.1q activ, ports : c2f1, c2f2 Routage activ Table gre du C2 VLAN1 VLAN2 VLAN3 Port Poste Port Poste Port Poste c2e1 c2e6 c2e7 c2e8 c2e9 c2ea c2eb c2ec Aimp
c2e2 Rte_Int c2e3 c2e4 c2e5 Sdns Sfic Simp
Commutateur C3 : Administrable sur le VLAN1, 192.168.10.34/27 Protocole 802.1q activ, ports : c3f1, c3f2 Table gre du C3 VLAN1 VLAN2 VLAN3 Port Poste Port Poste Port Poste c3e7 c3e8 c3e9 c3ea c3eb c3ec c3e1 c3e2 c3e3 c3e4 c3e5 c3e6 Sappl Dev1 Dev2 Dev3 Dev5 Dimp Commutateur C5 : Administrable sur le VLAN3, 192.168.10.97/27 Protocole 802.1q activ, ports : c5f1, c5f2 Table gre du C5 VLAN1 VLAN2 VLAN3 Port Poste Port Poste Port Poste c5e1 c5e9 c5ea c5eb c5ec Ad6 c5e2 c5e3 c5e4 c5e5 c5e6 c5e7 Ac1 Ac2 Ac3 Ac4 Ac5 Acim c5e8 Scomp
Commutateur C4 : Administrable sur le VLAN1, 192.168.10.35/27 Protocole 802.1q activ, ports : c4f1, c4f2 Table gre du C4 VLAN1 VLAN2 VLAN3 Port Poste Port Poste Port Poste c4e1 c4e2 c4e3 c4e4 c4e5 c4e7 c4e8 c4e9 c4ea c4eb c4ec Ad1 Ad2 Ad3 Ad4 Ad5
c4e6 Dev4
Chaque commutateur dispose dau moins une adresse IP et est administrable sur un seul VLAN. Seul C2 est un commutateur de niveau 3 qui possde une fonction de routage. Il est configur pour assurer la communication entre les rseaux locaux virtuels. La commande pour ajouter une route dans la table de routage de C2 est la suivante : Syntaxe : ADD IP ROUTE=ipadd1 INTERFACE=vlan NEXTHOP=ipadd2 [MASK=ipadd3] Paramtres : ROUTE ipadd1 : dfinit l'adresse IP du rseau destinataire (0.0.0.0 pour la route par dfaut). INTERFACE vlan : dfinit le VLAN sur lequel est associe la route ajouter (par exemple : INTERFACE=vlan1). NEXTHOP ipadd2 : dfinit l'adresse IP du prochain saut (routeur) pour cette route. MASK ipadd3 : dfinit le masque associ cette route (rseau destinataire). Ce paramtre est facultatif. Sil n'est pas dfini, c'est le masque de la classe de l'adresse IP du rseau destinataire qui est utilis (0.0.0.0 pour la route par dfaut).
169 Annexe 5 : Le rseau VPN (Virtual Private Network)
Ce rseau VPN utilise soit le protocole PPTP (Point to Point Tunneling Protocol), soit le protocole L2TP (Layer Two Tunneling Protocol) pour tablir une connexion. Le serveur VPN : Le serveur VPN doit possder une adresse IP publique fixe afin que les clients VPN puissent utiliser cette adresse ou un nom DNS correspondant pour tablir leur connexion VPN. Lors de la demande de connexion du client VPN, le serveur VPN attribue aux clients VPN une adresse IP prive prise sur une tendue statique prdfinie. Les paquets VPN entrent sur linterface publique du serveur VPN. Aprs vrification des filtres en entre, celui-ci les dsencapsule du tunnel crypt (dchiffrement des donnes) et envoie le datagramme IP priv en sortie sur linterface prive qui applique les filtres avant de transmettre le paquet vers le rseau priv.
Le filtrage du serveur VPN : Le pare-feu doit laisser entrer sur linterface publique les paquets VPN suivants : Pour un tunnel PPTP (Point to Point Tunneling Protocol) : Adresse IP source : adresse IP publique du client VPN source Adresse IP destination : adresse IP publique du serveur VPN destination Port de destination : TCP/1723 (pour ltablissement et la maintenance du tunnel) ID de protocole : GRE/47 (protocole spcifique pour les donnes encapsules dans le tunnel) Pour un tunnel L2TP/IPSec (Layer Two Tunneling Protocol / Internet Protocol Security) : Adresse IP source : adresse IP publique du client VPN source Adresse IP destination : adresse IP publique du serveur VPN destination Port de destination : UDP/500 (pour la gestion des cls dauthentification utilises pour scuriser les informations) Port de destination : UDP/1701 (trafic L2TP) Port de destination : UDP/4500 (IPSec NAT-Transversal)
170 Corrig Exonet N 26 Corrig Exonet N 26 Corrig Exonet N 26 Corrig Exonet N 26
Question 1. Prsenter les critres qui plaident en faveur de lutilisation de rseaux locaux virtuels.
Le responsable du rseau a dcid de mettre en uvre des rseaux locaux virtuels pour isoler les flux entre les diffrents services (chaque VLAN tant associ un rseau IP) et amliorer ainsi la scurit des changes (les postes de mme VLAN communiquent entre eux) et optimiser l'utilisation de la bande passante (broadcast).
Question 2. Indiquer la classe, ladresse rseau et le masque par dfaut correspondant au plan dadressage spcifi lannexe 3. Justifier les rponses.
Classe : C car 192 en binaire commence par 110 - Adresse rseau : 192.168.10.0 car on trouve par exemple une adresse 192.168.10.33 et quen classe C on considre les 3 premiers octets comme ladresse de rseau. Masque par dfaut 255.255.255.0
Question 3. Calculer le nombre dhtes que peut accueillir chacun des rseaux virtuels avec ce plan dadressage.
Masque des sous-rseaux : 255.255.255.224, soit le dernier octet en binaire : 1110 0000. Donc 3 bits pour les sous-rseaux, reste 5 bits pour les postes, soit 2 5 -2 = 30 htes possibles par VLAN.
Question 4. Donner le nombre de domaines de diffusion (broadcast) mis en place par la configuration des commutateurs C2, C3, C4 et C5.
Il y a trois VLAN, donc trois domaines de diffusion.
Question 5. Donner la raison pour laquelle l'administration du commutateur C2 ne peut se faire actuellement que par le cble console. Proposer une solution pour rsoudre ce problme. Que se passe-t-il ? L'administrateur ne peut pas administrer le commutateur C2. Justification : Car le commutateur C2 est administrable uniquement sur le VLAN2. Or, lorsque l'on se connecte sur le port C2e8 le portable est rattach au VLAN1 ce qui implique une impossibilit d'administrer le commutateur C2. Solutions : 1. Sur le commutateur C2 : changer le VLAN d'administration (pass du VLAN2 en VLAN1) 2. Sur le commutateur C2 : changer le port c2e8 en VLAN2 (avec cette solution, lIP du commutateur nest pas compatible avec le VLAN2).
Question 6. Expliquer pourquoi ce dplacement a gnr ce problme. Proposer une solution pour que le poste Dev5 puisse de nouveau communiquer avec son serveur d'applications partir de son nouvel emplacement.
Justification : Avant le dplacement, le poste Dev5 appartient au VLAN3, port c3e5 du commutateur C3. Aprs le dplacement, il est connect sur le port c4e7 du commutateur C4, qui appartient au VLAN1. Dev5, plac dans le VLAN1, ne peut plus communiquer directement avec le VLAN3 et sa configuration IP ne permet pas de communiquer avec le VLAN3 en utilisant sa passerelle par dfaut (routage activ sur C2). Solution : Sur le commutateur C4 : Configurer le port c4e7 en VLAN3.
171 Question 7. crire l'instruction qui ajoute une route dans la table de routage de C2 pour autoriser tous les postes du rseau accder Internet.
L'instruction est : ADD IP ROUTE=0.0.0.0 INTERFACE=vlan2 NEXTHOP=192.168.10.93
ou (le masque est facultatif pour la route par dfaut) ADD IP ROUTE=0.0.0.0 INTERFACE=vlan2 NEXTHOP=192.168.10.93 MASK=0.0.0.0
Question 8. Expliquer lexpression "tempte de broadcast". Indiquer quel protocole (ou algorithme) l'administrateur doit activer sur les commutateurs pour rsoudre ce problme.
Explication de lexpression Les liaisons redondantes entranent que chaque trame parcourant des chemins diffrents passent plusieurs fois par le mme commutateur qui rgnre de nouvelles trames etc. On appelle a une tempte de broadcast . Choix de lalgorithme : Les liaisons redondantes doivent tre invalides (suite la formation de liaison inter-commutateur) sous peine de diffuser en plusieurs exemplaires des trames de broadcast et d'autres trames. Pour y remdier il faut s'assurer que les commutateurs grent un algorithme de gestion des redondances comme STP (Spanning Tree Protocol) ou protocole 802.1d et l'activer sur tous les commutateurs.
Question 9. Dterminer la bande passante minimum ncessaire, exprime en Kbit/s que doit supporter la liaison pour ramener le temps de transfert d'une page environ 10 secondes (justifier la rponse, prendre 1 Ko = 1 000 octets).
Bande passante dterminer : Bande passante : Soit 15 % de donnes de gestion : 300 * 1,15 = 345 ko pour une page de magazine. Le temps de transfert actuel est de 43,12 secondes : [(345 * 1000 * 8) / (64 * 1000)], soit 345 / 8. Pour ramener 10 secondes : 10 = [(345 * 1000 * 8) / (d * 1000)] d = (345 * 8) / 10 Il faut un dbit rel de 276 kbit/s.
Question 10. Expliquer les principales diffrences techniques qui existent entre l'ADSL et le SDSL proposes par l'administrateur.
ADSL (Asymetric DSL) est la technique utilise actuellement. Les canaux (la voie descendante allant de l'abonn vers le rseau et la voie montante allant du rseau vers l'abonn) sont asymtriques c'est--dire que leur dbit est diffrent. SDSL (Symetric DSL ou Single line DSL) est une version monoligne de HDSL. Les canaux (la voie descendante allant de l'abonn vers le rseau et la voie montante allant du rseau vers l'abonn) sont symtriques c'est--dire que leur dbit est identique.
Question 11. Expliquer la dmarche que doit suivre l'administrateur du rseau pour obtenir une adresse IP publique fixe.
Faire une demande dadresse IP Publique fixe auprs du fournisseur daccs Internet.
Question 12. Lister les avantages (en dehors des dbits) dune solution DSL/VPN.
Connexion permanente du fait de la liaison DSL, cot forfaitaire et indpendant de la distance Scurit lie au VPN : encapsulation de la trame crypte et authentification.
172 Question 13. crire la table de routage du routeur Rte_A'click, partir des informations de l'annexe 1.
On acceptera en lieu et place de ladresse @IP_FAI_A'Click une adresse publique cohrente.
Question 14. Expliquer les rgles de filtrage 2 et 3 appliques sur l'interface publique.
Le pare-feu doit laisser entrer les flux VPN sur linterface publique. Les rgles de filtrage 2 et 3 servent ltablissement et le maintien du tunnel VPN, la connexion des clients VPN.
Question 15. Ajouter la (les) rgle(s) de filtrage mettre en place sur l'interface 172.16.120.253 du routeur Rte_A'click afin de respecter les accs prciss ci-dessus, sachant que laction de la rgle par dfaut est Accepter .
Table de filtrage de l'interface 172.16.120.253 du routeur Rte_A'click : N de rgle Adresse source Port source Adresse destination Port destination Protocole transport Action 1 172.16.120.100/32 Tous 172.16.120.7/32 Tous Tous Bloquer 2 172.16.120.100/32 Tous 192.168.10.0/24 Tous Tous Bloquer 3 172.16.120.8/29 Tous 192.168.10.0/24 Tous Tous Bloquer
Dfaut Toutes Tous Toutes Tous Tous Accepter
173 Exonet N 27
La socit Tholdi est implante dans plusieurs installations portuaires europennes. Elle est spcialise dans la gestion de containeurs destins au transport de marchandises. Son sige social est situ en rgion parisienne et ses zones dactivits dans les ports de : - Le Havre (France) ; - Marseille (France) ; - Hambourg (Allemagne) ; - Anvers (Belgique) ; - Rotterdam (Pays-Bas).
Chacune des implantations comporte un systme informatique organis en rseau local. Ces rseaux sont interconnects afin de permettre lchange dinformations en temps rel entre tous les sites.
Le rseau de cette entreprise est bas sur un protocole unique : TCP/IP V4. Les rseaux locaux utilisent une technologie Ethernet 100 Mb/s pour la connexion des postes de travail et 1 Gb/s pour tous les serveurs. Les diffrents sites sont relis au sige par des liaisons spcialises.
Tous les utilisateurs des diffrents sites accdent aujourdhui lInternet via le serveur proxy du sige.
La socit THOLDI, toujours soucieuse de diminuer ses charges dexploitation, dcide de tester une solution RPV (Rseau Priv Virtuel) ou VPN (Virtual Private Network), pour remplacer ses actuelles liaisons loues reliant tous les ports au site de Paris. Le site pilote choisi pour ce projet est le site de Rotterdam. Vous tes charg de cette mission par ladministrateur rseau de la socit. Ce dernier vous a fourni le plan de la solution mettre en place en annexe 1 et le plan dadressage en annexe 2. 1. Indiquer, en observant le plan dadressage, de quelle classe dadresses il sagit. Expliquer sil sagit dadresses prives ou publiques. Justifier les rponses.
Le projet commence par linstallation du routeur daccs lInternet qui doit remplacer le routeur grant la liaison loue avec Paris. Celui-ci possde une fonction NAT (Network Address Translation) et une adresse publique en 82.216.198.161/29. 2. Donner ladresse de rseau public de Rotterdam. Justifier la rponse. 3. Dterminer le nombre dhtes pouvant tre adresss sur ce sous-rseau. Donner les adresses utilisables pour ces htes ainsi que ladresse de diffusion. Justifier la rponse.
Il sagit maintenant dinstaller le serveur RPV et de configurer les lments du rseau indispensables la ralisation de ce projet. Pour faciliter votre travail, ladministrateur rseau vous a fourni une documentation sur les RPV. Elle est disponible en annexe 3. La configuration suivante a t retenue pour la mise en place du RPV entre le site de Rotterdam et le site de Paris : Le serveur RPV du rseau de Rotterdam, paramtr pour faire du routage et de la tunnelisation , est install ladresse relle 172.30.192.100/19. Ce serveur RPV possde une carte virtuelle dadresse 10.7.124.240/8. Ladministrateur rseau sest charg de linstallation du serveur RPV de Paris. Ce dernier est install sur la machine hbergeant le serveur DHCP. Ladresse virtuelle du serveur RPV de Paris est 10.119.255.97/8. Les paquets transports par le RPV utilisent le protocole UDP et le port 1500. 174 Le routeur Internet du site de Paris possde ladresse 83.225.12.17/30. Pour autoriser la redirection des paquets reus sur le routeur Internet de ce site vers le serveur RPV de ce mme site, ladministrateur rseau a mis en place une redirection de port ou DNAT (Destination Network Address Translation).
Vous tes charg(e) deffectuer un paramtrage similaire sur le routeur Internet du site de Rotterdam. Pour effectuer ce travail vous utiliserez le modle de tableau prsent ci-dessous.
Interface Type Protocole Adresse publique Port public Adresse prive Port priv DNAT
4. crire, en utilisant le modle de tableau prsent ci-dessus, la rgle mettre en place.
Lannexe 4 vous prsente la table de routage du serveur RPV de Rotterdam.
5. Indiquer, en observant la table de routage du serveur RPV de Rotterdam, si le site de Paris et le site de Rotterdam sont bien relis par un tunnel dadresse de rseau 10.0.0.0/8. Justifier la rponse. 6. Complter la table de routage pour que le site de Rotterdam puisse communiquer avec le site du Havre via le serveur RPV de Paris. 7. Simplifier la table de routage obtenue en proposant une agrgation de routes. Justifier la rponse. 8. Indiquer ladresse de passerelle qui doit tre dfinie sur chaque ordinateur du site de Rotterdam.
Pour tester votre RPV, vous connectez votre portable ladresse 172.30.192.1/19 et vous excutez la commande ping, en continu, vers le portable de ladministrateur rseau situ Paris ladresse 172.30.32.1/19. Vous lancez alors une capture de paquets sur la carte rseau relle du serveur RPV de Rotterdam. Cette capture est prsente en annexe 5. 9. Expliquer, en utilisant la capture de paquets de lannexe 5, pourquoi les adresses IP dorigine et de destination des paquets en entre et en sortie du serveur RPV (routeur chiffrant) sont diffrentes alors quil sagit pourtant du mme message (ping request pour les lignes 1 et 2).
Vous testez maintenant le fonctionnement global de linterconnexion du site de Rotterdam avec le site de Paris depuis un poste fixe de Rotterdam. Vous constatez que le serveur DHCP de Paris narrive pas vous fournir une adresse IP. 10. Indiquer la fonctionnalit qui na pas t mise en place sur le site de Rotterdam. Justifier la rponse.
Aprs la mise en place de larchitecture dcrite en annexe 1, on se proccupe maintenant des accs Wi-Fi pour le site de Rotterdam.
Les conducteurs dengins du port maritime sont quips de PDA (Personal Digital Assistant ou Assistant Personnel) de type HP iPAQ hx2490, qui ne supportent que le chiffrement en mode Wep. Les informations sur chaque transport sont ainsi saisies en temps rel.
175 Le rseau Wi-Fi de la socit THOLDI respecte la norme 802.11g et offre un dbit thorique de 54 Mbits/s (26 Mbits/s rels) sur la bande de frquence 2,4 GHz. Cette norme offre une compatibilit descendante avec la norme 802.11b. Le mode de fonctionnement utilis est le mode infrastructure, centralis autour dun seul point daccs Wi-Fi pour le site. Ce point daccs joue galement le rle de commutateur et dispose de six ports RJ45 dont trois sont libres. 11. Donner les avantages du mode point daccs (infrastructure) par rapport au mode dgal gal (ad hoc). 12. Expliquer ce quest un SSID.
Le point d'accs Wi-Fi a t paramtr ainsi : Non diffusion du SSID du rseau ; Chiffrement Wep activ ; Activation du filtrage par adresse MAC. 13. Citer les paramtres Wi-Fi enregistrer sur les PDA pour pouvoir se connecter au commutateur Wi-Fi.
Pour accentuer la scurit des LAN du site, ladministrateur rseau envisage de mettre en place des VLAN. Il espre ainsi mieux grer le trafic gnr par les PDA des camionneurs. Il pense installer deux VLAN : un VLAN Wifi pour les seuls PDA et un VLAN Lan pour le reste du site. Le commutateur Wi-Fi permet d'associer un SSID chaque VLAN et permet de grer des VLAN par port. 14. Dcrire le principe de fonctionnement dun VLAN par port.
Avant de mettre en uvre cette solution, l'administrateur souhaite tudier ses consquences sur la configuration actuelle du rseau du site de Rotterdam.
15. Donner le nombre de domaines de diffusion ainsi dfini sur le site. 16. Dterminer si l'administrateur rseau peut conserver le plan d'adressage IP des PDA. Justifier la rponse. 17. Exposer une solution permettant au PDA du VLAN Wifi de communiquer avec les postes du VLAN Lan (les commutateurs Wi-Fi sont conservs mais un matriel peut tre ajout). Prciser les configurations mettre en place sur le commutateur Wi-Fi et sur les PDA.
L'objectif attendu par l'administrateur rseau est la limitation d'coute passive par un portable pirate disposant dune liaison Wi-Fi et ayant cass la cl Wep. 18. Indiquer, avant la mise en uvre des VLAN, la nature des changes entre les serveurs du port maritime pouvant tre capturs par un portable pirate disposant dune liaison Wi-Fi. Justifier la rponse. 19. Indiquer, aprs la mise en uvre des VLAN, la nature des changes entre les serveurs du port maritime pouvant tre capturs par un portable pirate disposant dune liaison Wi-Fi. Justifier la rponse.
Aprs cette tude pralable l'administrateur rseau dcide d'abandonner la mise en place des VLAN estimant que la solution n'est pas techniquement et financirement adapte. 20. Proposer une autre solution permettant de rduire les risques dcoute passive et ses consquences sur les quipements actuels
176
177 Annexe 2 : Plan dadressage rseau de la socit THOLDI
172.30.32.0/19 rseau du sige Paris 172.30.64.0/19 rseau du port du Havre 172.30.96.0/19 rseau du port de Hambourg 172.30.128.0/19 rseau du port dAnvers 172.30.160.0/19 rseau du port de Marseille 172.30.192.0/19 rseau du port de Rotterdam
Annexe 3 : Fonctionnement dun RPV (Rseau priv virtuel)
Le RPV correspond une interconnexion de rseaux locaux via une technique de tunnel . On parle de RPV lorsqu'un organisme interconnecte ses sites via une infrastructure partage avec d'autres organismes. C'est sur Internet et les infrastructures IP que se sont dveloppes les techniques de tunnel . Le RPV utilise Internet comme support de transmission en utilisant un protocole de tunnelisation qui encapsule les donnes transmettre, donnes qui sont elles-mmes chiffres. On parle alors de RPV pour dsigner le rseau ainsi cr, qui est dit virtuel car il relie deux rseaux physiques (rseaux locaux) par une liaison non fiable (Internet) et priv car seuls les ordinateurs des rseaux locaux de part et d'autre du RPV peuvent accder aux donnes en clair. Le RPV permet donc d'obtenir une liaison scurise moindre cot, si ce n'est la mise en uvre des quipements terminaux. En contrepartie, il ne permet pas d'assurer une qualit de service comparable une ligne loue dans la mesure o le rseau physique est public, donc non garanti. Annexe 4 : Table de routage du serveur RPV de Rotterdam
178 Corrig Exonet N 2 Corrig Exonet N 2 Corrig Exonet N 2 Corrig Exonet N 27 77 7
Question 1. Indiquer, en observant le plan dadressage, de quelle classe dadresses il sagit. Expliquer sil sagit dadresses prives ou publiques. Justifier les rponses.
Il sagit de classe B car les valeurs de 128 191 pour le premier octet dfinissent la classe B. Il sagit dadresses prives car de 172.16.0.0 172.31.255.255 ce sont des adresses prives.
Question 2. Donner ladresse du rseau public de Rotterdam. Justifier la rponse.
Ladresse du routeur internet est 82.216.198.161/29. Avec un masque de 29 on utilise les cinq premiers bits du dernier octet pour adresser les sous-rseaux et les trois derniers pour adresser les htes du sous-rseau. Les adresses rseau des sous-rseaux varient donc de 8 en 8. soit 0,8,16,32,40,48,56,64,72,80,88,96,104,112,120,128,136,144,152,160,168. Ladresse du sous- rseau public de Rotterdam est donc 82.216.198.160/29.
Question 3. Dterminer le nombre dhtes pouvant tre adresss sur ce sous-rseau. Donner les adresses utilisables pour ces htes ainsi que ladresse de diffusion. Justifier la rponse.
Les 3 bits restant permettent dadresser 2 3 -2 = 6 htes. Premier hte 82.216.198.161, dernier hte 82.216.198.166, adresse de diffusion 82.216.198.167.
Question 4. En utilisant le modle de tableau prsent ci-dessous, donner la rgle mettre en place.
Interface Type Protocole Adresse publique Port public Adresse prive Port priv 82.216.198.161 DNAT UDP 82.216.198.161/29 1500 172.30.192.100/19 1500
Question 5. Indiquer, en observant la table de routage du serveur RPV de Rotterdam, si le site de Paris et le site de Rotterdam sont bien relis par un tunnel dadresse de rseau 10.0.0.0/8. Justifier la rponse.
On constate bien que pour atteindre le rseau de Paris situ en adresse 172.30.32.0/19 on sort par linterface 10.7.124.240 pour atteindre la passerelle 10.119.225.97. Cette adresse de passerelle est en fait ladresse virtuelle du serveur RPV de PARIS. Tous les paquets destination de Paris passeront donc bien par le tunnel RPV dadresse de rseau 10.0.0.0/8.
Question 6. Complter la table de routage pour que le site de Rotterdam puisse communiquer avec le site du Havre via le serveur RPV de Paris.
Il faut rajouter la ligne suivante : 172.30.64.0 255.255.224.0 10.119.255.97 10.7.124.240
179 Question 7. Simplifier la table de routage obtenue en proposant une agrgation de routes. Justifier la rponse.
Les routes concernant le site de Paris et du Havre peuvent tre regroupes car elles ont une partie commune en binaire sur le troisime octet : 32 00100000 64 01000000
Question 8. Indiquer ladresse de passerelle qui doit tre dfinie sur chaque ordinateur du site de Rotterdam. Les communications intersites doivent passes par le RPV. Ladresse de passerelle des htes de Rotterdam doit tre ladresse du serveur RPV soit 172.30.192.100. Comme le montre la table de routage si le rseau de destination est inconnu, le serveur RPV route le paquet vers sa passerelle par dfaut, le routeur internet. Les accs lInternet ne sont donc pas perturbs par la mise en place de cette passerelle par dfaut.
Question 9. Expliquer, en utilisant la capture de paquets de lannexe 5, pourquoi les adresses IP dorigine et de destination des paquets en entre et en sortie du serveur RPV (routeur chiffrant) sont diffrentes alors quil sagit pourtant du mme message (ping request lignes 1 et 2).
Un serveur RPV encapsule les paquets dorigine pour les faire transiter dans le tunnel. La ligne 1 est le premier echo request de la commande ping mise par le portable de Rotterdam destination du portable de ladministrateur rseau de Paris. Ce paquet est trait par le serveur RPV de la faon suivante : il y a chiffrement et encapsulation
Paquet reu en premier par le serveur RPV 172.30.192.1 172.30.32.1 ICMP Donnes
Le premier paquet pour pouvoir voyager sur internet est encapsul dans ce deuxime paquet 172.30.192.100 83.255.12.17 1500 UDP Donnes
La ligne 2 est donc le paquet qui encapsule les donnes chiffres du ping de la ligne 1.
Ladresse 83.255.12.17 est ladresse du routeur internet du site de Paris. Ladresse 172.30.192.100, adresse du serveur RPV de Rotterdam, sera nate par le routeur internet de Rotterdam et deviendra 82.216.198.161. Il existe donc dans les fichiers de configuration du serveur RPV, une correspondance entre son adresse virtuelle, son adresse relle et son adresse publique.
180 Question 10. Indiquer la fonctionnalit qui na pas t mise en place sur le site de Rotterdam. Justifier la rponse.
Le site de Rotterdam et le site de Paris ne sont pas sur le mme rseau. Le serveur DHCP est situ Paris. Il est donc ncessaire dinstaller un serveur relais DHCP sur le site de Rotterdam. En effet le serveur relais DHCP permet de relayer les demandes et les attributions dadresses dans le port de Rotterdam depuis le serveur DHCP du site de Paris.
Question 11. Donner les avantages du mode point daccs (infrastructure) par rapport au mode dgal gal (ad hoc).
cot Scurit Mise en uvre Infrastructure Plus lev
Trs bonne avec un routeur Point daccs ou routeur wifi Cartes wifi Ad hoc Peu lev
Peu scuris Trs simple Cartes wifi
Il sagit ici du rseau dune entreprise, le mode infrastructure est donc le mode le plus appropri.
Question 12. Expliquer ce quest un SSID.
Service Set Identifier, identifiant de 32 caractres de long au format ASCII servant de nom pour le rseau. La connaissance du SSID est ncessaire pour quune station puisse se connecter au rseau.
Question 13. Citer les paramtrages Wi-Fi enregistrer sur les PDA pour pouvoir se connecter au commutateur Wi-Fi.
Il faut configurer le SSID sur le poste puisquil nest pas diffus. Il faut dfinir la cl WEP utilise par le point daccs.
Question 14. Dcrire le principe de fonctionnement dun VLAN par port.
Cest lassociation dans le commutateur dun port un numro de VLAN. Toutes les trames mises et reues sur le port ne seront commutes que vers un port appartenant au mme VLAN. Si plusieurs VLAN sont dfinies sur le port il faut que les trames soient tiquetes.
Question 15. Donner le nombre de domaines de diffusion ainsi dfinis sur le site.
Deux domaines de diffusion sont grs sur chaque site. Un par Vlan.
Question 16. Dterminer si l'administrateur rseau peut conserver le plan d'adressage IP des PDA. Justifier la rponse.
Les deux VLANS sont isols. On peut conserver le mme plan dadressage IP mais dans ce cas on ne pourra jamais communiquer entre les deux Vlans. En effet pour communiquer en IP entre les deux VLANs il faut un routeur ce qui implique que les rseaux IP sur chaque Vlan soient diffrents.
181 Question 17. Exposer une solution qui permettrait au PDA du VLAN Wifi de communiquer avec les postes du VLAN Lan (les commutateurs Wi-Fi sont conservs mais un matriel peut tre ajout). Prciser les configurations mettre en place sur le commutateur Wi-Fi et sur les PDA.
Il faut un routeur. Ce routeur aura deux cartes rseaux (relles ou virtuelles) avec une adresse IP sur chacun des rseaux. Si le routeur possde deux cartes relles, il faut associer chacune de ces cartes un VLAN et donc mettre jour sur le commutateur Wi-Fi les associations VLAN <-> port (une carte sur Wi-Fi et une carte sur LAN). Si le routeur ne possde quune carte relle mais deux cartes virtuelles, il faut sur le commutateur Wi-Fi installer le protocole 802.1Q sur le port o est connecte cette carte relle. Sur les PDA, il faut paramtrer ladresse IP de la carte rseau du routeur situe sur le mme VLAN comme passerelle.
Question 18. Indiquer, avant la mise en uvre des VLAN, la nature des changes entre les serveurs du port maritime pouvant tre capturs par un portable pirate disposant dune liaison Wi- Fi. Justifier la rponse.
Les changes entre les serveurs sont commuts. Les changes unicast ne seront pas capturables car non transmis par le point daccs par contre les changes broadcast le seront.
Question 19. Indiquer, aprs la mise en uvre des VLAN, la nature des changes entre les serveurs du port maritime pouvant tre capturs par un portable pirate disposant dune liaison Wi- Fi. Justifier la rponse.
Cela ne change pas grand chose. Les changes entre les serveurs sont toujours commuts. Les changes unicast ne seront pas capturables car non transmis par le point daccs et isols dans un VLAN. Par contre les changes de broadcast ne seront pas transmis par le point daccs car le SSID a t associ au VLAN Wifi.
Question 20. Proposer une autre solution permettant de rduire les risques dcoute passive et ses consquences sur les quipements actuels.
Il faut passer un mode de chiffrement plus difficile craquer que le chiffrement Wep, le chiffrement WPA par exemple. On peut aussi envisager la mise en place dun serveur Radius et une authentification des PDA par certificats lectroniques.
Le choix de chiffrement WPA impose le changement des PDA.
182 Exonet N 28
La socit FEFORT, installe en France, est spcialise dans la torrfaction et lassemblage de cafs.
Activit de lentreprise FEFORT possde des units de production en Afrique, Amrique Centrale et Amrique du Sud qui soccupent de la collecte de la matire premire, la cerise de caf , auprs des producteurs locaux. Cette matire premire est ensuite lave et dpulpe sur place. Une fois schs, les grains verts qui rsultent de lopration prcdente traversent lAtlantique, en bateau, jusquau Havre. La socit procde en France la torrfaction des grains verts. Ceux-ci, grills dans des fours, librent alors larme attendu. Les laboratoires ralisent aussi, si ncessaire, lassemblage des diffrentes varits de caf, tous les consommateurs nayant pas les mmes attentes du produit, souvent en fonction de leurs habitudes culturelles. Son client principal est la grande distribution sous sa propre marque ou sous la marque du distributeur.
Implantation gographique Le sige de la socit est situ en rgion PACA (Provence-Alpes-Cte dAzur). Il regroupe les services administratifs et de direction, un service qualit, recherche et dveloppement (QR&D) intgrant un laboratoire charg de tester de nouveaux produits. Le service qualit est charg de veiller la qualit des processus de lentreprise, aussi bien administratifs, que de production. Le centre informatique principal est implant au sige de la socit. Les autres sites y accdent pour l'essentiel de leurs traitements. Le rseau et le parc informatique ont pris de lampleur au fil des annes et il est ncessaire de le rationaliser. Jeune diplm(e), vous travaillez en tant que technicien(ne) sur le site principal, dans lquipe rseau et systmes, charge de larchitecture et de la scurit de celui-ci.
Le rseau principal du sige regroupe un grand nombre de stations clientes (environ 250) et de serveurs. Bien que ce rseau s'appuie sur une arborescence de commutateurs, les diffusions sont nombreuses et pnalisent lourdement le rseau. De plus, la direction souhaite que les changes de donnes entre les postes dun mme service ne soient pas, pour des raisons de confidentialit, accessibles aux autres services. Pour scuriser et allger la charge du rseau, Monsieur Godard, le directeur du service informatique envisage deux solutions : La premire consiste crer 8 sous-rseaux (7 services plus la liaison vers le pare-feu) en remplaant le commutateur central (voir annexe 1) par un routeur IP 8 interfaces. Monsieur Godard vous demande d'tudier dans un premier temps la faisabilit de cette solution. La seconde solution fait appel aux VLAN et sera envisage dans le dossier suivant.
tude de la premire solution Chaque service correspondra un sous rseau. Monsieur Godard a choisi dutiliser un masque de sous-rseau de 20 bits.
1. Donner l'criture dcimale pointe de ce masque et indiquer combien de sous rseaux pourront tre crs l'aide de celui-ci. 2. Proposer une adresse IP de rseau pour chacun des services. La proposition doit tre compatible avec les adresses statiques existantes indiques dans l'annexe 2.
183 3. Donner ladresse de la passerelle par dfaut des postes du service commercial, sachant quil sagit de ladresse disponible la plus leve pour ce sous-rseau.
Suite cette modification, les postes des diffrents services configurs en DHCP ne reoivent plus leurs paramtres IP. 4. Expliquer la raison de ce dysfonctionnement et prciser les modifications apporter, dune part au serveur DHCP, dautre part au nouveau routeur.
Pare-feu : Filtrage du trafic rseau En complment de la protection des accs lentreprise prise en charge par le fournisseur daccs Internet, le DSI envisage de filtrer le trafic rseau entre le sige et les units du groupe. Le pare-feu du sige doit tre configur pour : permettre tous les utilisateurs l'accs la navigation web via le serveur mandataire (proxy) du FAI (port 3128) ; limiter laccs des units du groupe uniquement au service informatique ; donner au service informatique (et donc au poste de l'administrateur) accs l'ensemble des services et sites distants.
5. En utilisant le formalisme donn en annexe 4, donner les rgles applicables en entre de linterface concerne permettant de respecter les consignes donnes. Vous veillerez limiter le nombre de rgles dfinir.
DHCP : Cration d'une tendue de secours Chaque unit dispose de son propre serveur DHCP. L'administrateur du rseau souhaite introduire un dispositif de tolrance de panne s'appuyant sur le serveur DHCP du sige. En cas de dysfonctionnement dun serveur local, le serveur du sige devra donc pouvoir fournir leurs paramtres IP aux stations distantes qui en font la demande. Vous avez t charg(e) de tester la solution sur le site de Villeurbanne. Le serveur DHCP local possde la configuration suivante : tendue : Villeurbanne Plage d'adresses : 172.22.0.1 172.22.0.149 Masque : 255.255.0.0 Options Passerelle : 172.22.250.204 (adresse interne du routeur 4) DNS : 172.16.200.2
6. Indiquer les modifications apporter afin de distribuer des adresses valides aux stations de Villeurbanne, sur une tendue de mme taille.
DNS : Mise en place d'une dlgation de zone Le serveur DNS du sige prend en charge les rsolutions de noms pour l'ensemble du groupe. La charge importante pour ce serveur et lutilisation des liaisons distantes pnalisent les temps de rponse. Il a donc t dcid de mettre en place des serveurs DNS locaux sur le principe des dlgations de zone. Chaque site grera sa propre zone dpendante de la zone principale du groupe. L'arborescence souhaite est donne en annexe 6. 7. Apporter les modifications ncessaires au fichier de la zone fefort.loc (annexe 5) et crire le fichier de la zone villeurbanne.fefort.loc.
184 Pour amliorer la tolrance aux pannes, il a t dcid que le serveur DNS du sige serait serveur secondaire pour chacun des domaines fils. En cas de dfaillance d'un serveur DNS, les clients du site pourront alors utiliser les services du serveur DNS du sige. Une premire exprimentation de ce dispositif doit tre mise en uvre sur le site de Villeurbanne. 8. Expliquer les modifications apporter au serveur DNS du sige dune part et celui du site de Villeurbanne dautre part.
Le directeur vous suggre de mettre en place une solution base sur lutilisation de rseaux locaux virtuels (VLAN). Cette solution permettra de rduire le primtre des domaines de diffusion et de scuriser les changes entre les services. Lacquisition dun nouveau commutateur est ncessaire pour remplacer le commutateur actuel, notamment pour : Grer les VLAN et la priorit des flux ; viter les temptes de diffusion ; Supporter la redondance de liens avec un autre commutateur de mme type ; Administrer distance le commutateur en mode console ainsi qu laide doutils de supervision de rseau. 9. Dterminer la configuration matrielle et prciser les protocoles que devra supporter le nouveau commutateur. Le rle des fonctions et protocoles quil prendra en charge sera expliqu.
En vous documentant sur les VLAN afin de monter le dossier, vous vous apercevez que ltanchit quoffrent les VLAN ne permettra plus aux postes de communiquer avec les serveurs du service informatique. 10. Proposer une solution matrielle complmentaire pour permettre aux postes de travail des diffrents services daccder aux serveurs du service informatique. Expliquer brivement comment elle doit tre mise en uvre.
Une fois cette solution mise en place, un problme survient. Le service dassistance tlphonique interne au groupe est dbord dappels : les diffrents sites ne peuvent plus accder aux serveurs. Lorigine de la panne est trouve : le routeur R1 est hors service. Le problme est rgl par le remplacement du routeur dfaillant par un nouveau routeur quil a fallu configurer. Le dpannage a ncessit une journe de travail. Aprs avoir reu les chiffres de la perte dexploitation gnre par cette rupture de liaison, le DSI cherche viter quune telle interruption de service puisse nouveau survenir. Ce dernier vous demande de proposer une solution permettant de garantir la continuit du service daccs aux serveurs du sige lorsquune panne identique se prsente. 11. Proposer une solution permettant de garantir la continuit du service daccs aux serveurs du sige lors dune panne du routeur. Expliquer les principes de fonctionnement de votre solution.
185 Annexe 1 Schma du rseau de la socit FEFORT
Internet Rseau maill MPLS Fournisseur dAccs Internet ? Filtrage de contenu ? Proxy Web/ Ftp ? Relais de messagerie ? Anti-virus ? Anti- spam ? DNS Costa Rica Serveur de production de type Mainframe Serveur dauthentification Serveur DHCP Brsil Serveur de production de type Mainframe Serveur dauthentification Serveur DHCP Kenya Serveur de production de type Mainframe Serveur dauthentification Serveur DHCP Sige Villeurbanne ( F) Serveur dauthentification Serveur de fichiers publi FTP Serveur DHCP Bourg- en- Bresse ( F) Serveur dauthentification Serveur de fichiers publi FTP Serveur DHCP Serveur DNS Direction Service Marketing Service Relation Client Service Commercial Service Gestion/ compta Service Qualit, Recherche et Dveloppement Liaisons SDSL jusquau fournisseur MPLS F.A.I . priv Neuchtel ( Suisse) Serveur dauthentification Serveur de fichiers publi FTP Serveur DHCP Ethernet Commut Lgende R1 R2 R3 R4 R5 R6 R7 Connexion vers le reste du groupe Pare-feu 172.16. 0. 0/16 172.17.0. 0/ 16 172.20. 0. 0/16 172. 21.0.0/16 172.22.0.0/ 16 172.23.0.0/16 172.24.0. 0/ 16 172.25.0. 0/ 16 Commutateur central Serveur DHCP Service informatique Serveur SGBD et DHCP Commutateurs vers les diffrents services
186 Annexe 1 (suite)
Les sites du groupe sont interconnects par un rseau professionnel MPLS. Le rseau et son adressage sont grs par le fournisseur. Le groupe FEFORT peut tout moment observer le fonctionnement de celui-ci, dtecter les goulets dtranglement et ventuellement demander le redimensionnement de certaines liaisons sites vers MPLS . Cest pour cela quil est important dconomiser la bande passante inter-sites.
Plan d'adressage du groupe FEFORT
Classe B prive : 172.16.0.0/16 172.25.0.0/16 Le sige possde 2 rseaux : 172.16.0.0 (services sige), 172.17.0.0 (liaison PF-Routeur) Chaque service dispose dun maximum de 50 stations. Seuls le service informatique et le pare-feu utilisent des adresses statiques.
Pour information : MPLS (Multi-Protocol Label Switching)
Un rseau MPLS est mis en place par un oprateur spcialis, il permet des entreprises trs tendues dinterconnecter leurs sites trs facilement comme sils appartenaient un rseau local. Le protocole MPLS intervient au niveau 2 du modle OSI. On sy connecte le plus souvent avec une liaison SDSL.
Diffrentes entreprises peuvent emprunter les mmes chemins, car ltanchit entre les diffrents clients de ce rseau est assure, en partie, par un marquage des trames. La marque (tag) est unique pour une entreprise.
Annexe 2 : Adresses statiques attribues au sige
Machine @ IP F.Q.D.N. Serveur d'authentification 172.16.200.1 logon.fefort.loc Serveur DNS 172.16.200.2 ns.fefort.loc Serveur DHCP 172.16.200.3 dhcp.fefort.loc Serveur de messagerie 172.16.200.4 mail.fefort.loc Serveur de dveloppement 172.16.200.5 dev.fefort.loc Serveur de fichiers 172.16.200.6 fichiers.fefort.loc Serveur de sauvegardes 172.16.200.7 backup.fefort.loc Serveur d'impressions 172.16.200.8 imp.fefort.loc Serveur de bases de donnes 172.16.200.9 bdd.fefort.loc Ferme de serveurs d'applications 172.16.200.10 appli.fefort.loc Poste admininistrateur 172.16.200.200 poste_admin.fefort.loc Pare-feu 172.16.220.1 172.17.0.1
Routeur 1 (R1) 172.17.0.201 187 Annexe 3 : Configuration du serveur DHCP du sige tendue : Sige FEFORT Plage d'adresses distribues : 172.16.0.1 172.16.2.255 Masque : 255.255.0.0 Options Passerelle par dfaut : 172.16.220.1 Serveur DNS : 172.16.200.1
Annexe 4 : Structure de la table de filtrage N de rgle Adresse source Port source Adresse destination Port destination Protocole transport Action
Chaque adresse sera indique au format xxx.xxx.xxx.xxx/nn o nn est le nombre de bits 1 du masque.
Annexe 5 : Contenu du fichier de configuration de la zone fefort.loc ; dfinition de la zone fefort.loc ; le serveur d'autorit est dns.fefort.loc (serveur primaire) ; il est administr par une personne qu'on peut joindre l'adresse admin@fefort.loc
fefort.loc. IN SOA ns.fefort.loc. admin.fefort.loc. (3; 36000; 3600; 360000; 86400) NS ns.fefort.loc. ; nom du serveur DNS primaire ; dclaration des adresses faisant autorit ; serveurs du sige localhost.fefort.loc. IN A 127.0.0.1 ; serveur local logon.fefort.loc. IN A 172.16.200.1 ; serveur d'authentification ns.fefort.loc. IN A 172.16.200.2 ; serveur de nom dhcp.fefort.loc. IN A 172.16.200.3 ; serveur dhcp mail.fefort.loc. IN MX 172.16.200.4 ; serveur de messagerie dev.fefort.loc. IN A 172.16.200.5 ; serveur de dveloppement fichiers.fefort.loc. IN A 172.16.200.6 ; serveur de fichiers backup.fefort.loc. IN A 172.16.200.7 ; serveur de sauvegardes imp.fefort.loc. IN A 172.16.200.8 ; serveur d'impressions bdd.fefort.loc. IN A 172.16.200.9 ; serveur de bases de donnes appli.fefort.loc. IN A 172.16.200.10 ; serveurs d'applications poste_admin.fefort.loc. IN A 172.16.200.200 ; station de l'administrateur ; serveurs de Villeurbanne log-vi.fefort.loc. IN A 172.22.200.1 ; serveur d'authentification dhcp-vi.fefort.loc. IN A 172.22.200.3 ; serveur dhcp fic-vi.fefort.loc. IN A 172.22.200.6 ; serveur de fichiers ; serveurs des autres sites ; ; fin de la zone dautorit
188 Annexe 6 : Arborescence DNS
F e fo r t . l o c B o u r g . fe fo r t . l o c N e u c h a t e l . f e fo r t . l o c V i l l e u r b a n n e . f e f o r t . l o c K e n y a . f e f o r t . l o c B r e s i l . fe fo r t . l o c C o s t a . fe fo r t . l o c
189 Corrig Exonet N 2 Corrig Exonet N 2 Corrig Exonet N 2 Corrig Exonet N 28 88 8
Question 1. Donner l'criture dcimale pointe de ce masque et indiquer combien de sous rseaux pourront tre crs l'aide de celui-ci.
255.255.240.0 4 bits ==> 2 4 = 16 sous-rseaux possibles (on tolre 16-2 obsolte depuis 1995)
Question 2. Proposer une adresse IP pour chacun des services. La proposition doit tre compatible avec les adresses statiques existantes indiques dans l'annexe 2.
Tous les sous-rseaux commencent par 172.16 et se terminent par 0. Ils s'crivent donc sous la forme 172.16.x.0/20 o x reprsente un nombre multiple de 16 (puissance de 2 correspondant au dernier bit 1 du masque de sous-rseau) : 0, 16, 32, 48, 64, 80, 96, 112, 128, 144, 160, 176, 192, 208, 224 et 240. Tous les ordinateurs du service informatique sont en 172.16.200.x : ils doivent donc appartenir au sous rseau 172.16.192.0 car celui-ci va jusqu' l'adresse 172.16.207.255. Le pare-feu possde une adresse 172.16.220.1 : il est donc dans le rseau 172.16.208.0 Pour les diffrents services, puisqu'ils n'ont que des adresses dynamiques fournies par le DHCP, on peut choisir n'importe quel autre sous-rseau non encore attribu.
sous-rseaux services 172.16.0.0 172.16.16.0 Gestion/comptabilit 172.16.32.0 Commercial 172.16.48.0 Relation Client 172.16.64.0 Marketing 172.16.80.0 Direction 172.16.96.0 Q, R & D 172.16.112.0 172.16.128.0 172.16.144.0 172.16.160.0 172.16.176.0 172.16.192.0 Service informatique 172.16.208.0 Accs pare-feu (pour information : non exig) 172.16.224.0 172.16.240.0 La liste complte des sous rseaux possibles n'est pas demande et les deux derniers rseaux sont aussi utilisables.
Question 3. Donner ladresse de la passerelle par dfaut des postes du service commercial, sachant quil sagit de ladresse disponible la plus leve pour ce sous-rseau.
172.16.47.254 Ladresse fournie doit tre cohrente avec ladresse du sous rseau retenue pour le service commercial (ici 172.16.32.0). Au choix Obligatoire 190 Question 4. Expliquer la raison de ce dysfonctionnement et prciser les modifications apporter, dune part au serveur DHCP, dautre part au nouveau routeur.
Raison En l'tat actuel des choses, le routeur ne laisse pas passer les paquets DHCP Discover qui sont des paquets de diffusion gnrale (adresse 255.255.255.255). Seuls les clients du service informatique sont susceptibles de recevoir leurs paramtres IP. Mise jour du routeur Sur le routeur, il faut : attribuer au routeur une adresse dans chaque sous-rseau (fait la question prcdente donc pas exige); activer le relais DHCP sur toutes les interfaces du routeur sauf celle du service informatique; La citation de l'agent relais est exige mais pas sa prsence sur toutes les interfaces. lui indiquer l'adresse du serveur DHCP : 172.16.200.3. Mise jour du serveur Sur le serveur DHCP, il faut : supprimer l'tendue existante (pas exige); crer une tendue par sous-rseau utilis, donc par service Par exemple, pour le service Comptabilit/Gestion : tendue : 172.16.16.1 172.16.16.100 (doit contenir au moins 50 adresses) Masque : 255.255.240.0 Options : Passerelle : 172.16.31.254 (adresse de routeur sur ce sous-rseau) serveur DNS : 172.16.200.2 Il n'tait pas demand dexemple. Une simple phrase prcisant une cration d'tendue par sous- rseau sera donc admise.
Question 5. En utilisant le formalisme donn en annexe 4, donner les rgles applicables en entre de linterface concerne permettant de respecter les consignes donnes. Vous veillerez limiter le nombre de rgles dfinir. Interface concerne (pas demand) : 172.16.220.1 (ct sige) en entre pour la communication sige vers sites distants 172.17.0.1 (ct site) en entre pour la communication retour Ou bien une de ces interfaces en entre et en sortie (on nexige pas les deux).
N de rgle Adresse source Port source Adresse destination Port destination Protocole transport Action 1 Toutes Tous proxy 3128 TCP Accepter 2 Adresse proxy 3128 Toutes Tous TCP Accepter 3 172.0.0.0/8 Tous 172.16.192.0/20 Tous Tous Accepter 4 172.16.192.0/20 Tous 172.0.0.0/11 Tous Tous Accepter Dfaut Toutes Tous Toutes Tous Tous Refuser
1 re consigne : les rgles 1 et 2 permettent les changes entre le sige et le proxy du fournisseur d'accs. 2 me consigne : la rgle 3 permet aux units d'envoyer des paquets tous les services disponibles du service informatique et la rgle 4 permet les rponses. 3 me consigne : la rgle 4 permet au service informatique de contacter les units et la rgle 3 permet les rponses. La rgle finale (non exige) par dfaut interdit tout trafic non spcifiquement autoris donc les changes directs entre les services du sige et les units du groupe. Le pare-feu n'intervient pas dans les changes entre les services du sige. 191 On acceptera : toute adresse proxy cohrente. toute faon cohrente d'exprimer le mot "tous". tout masque de sur-rseau cohrent (/11, /12, et avec deux lignes /14 et /15) Une solution avec une ligne spcifique pour le poste de ladministrateur (/32). La ligne par dfaut n'est pas exige.
Question 6. Indiquer les modifications apporter afin de distribuer des adresses valides aux stations de Villeurbanne, sur une tendue de mme taille.
Il faut crer une tendue pour Villeurbanne, par exemple : Plage d'adresses : 172.22.1.1 172.22.1.149 Masque : 255.255.0.0 Options Passerelle : 172.22.250.204 (adresse interne du routeur 4) DNS : 172.16.200.2 La seule modification par rapport l'tendue du serveur DHCP de Villeurbanne concerne la plage d'adresses distribues. Bien videmment, il faudra activer le relais DHCP du routeur 4 et lui indiquer l'adresse du serveur DHCP du sige mais cela n'est pas demand.
Question 7. Apporter les modifications ncessaires au fichier de la zone fefort.loc (annexe 5) et crire le fichier de la zone villeurbanne.fefort.loc.
Il faut ajouter le serveur DNS de Villeurbanne. Ce serveur aura par exemple les caractristiques suivantes : Machine @ IP F.Q.D.N. serveur DNS 172.22.200.2 ns.villeurbanne.fefort.loc
Exemple avec BIND : Dans la zone fefort.loc : il faut rajouter une ligne de dlgation de zone pour chaque unit ainsi qu'une ligne de dclaration de l'adresse du serveur. Exemple pour villeurbanne villeurbanne.fefort.loc. IN NS ns.villeurbanne.fefort.loc. ns.villeurbanne.fefort.loc. IN A 172.22.200.2
On nexige quune seule zone.
il faut supprimer la dclaration des serveurs de Villeurbanne (sauf le serveur DNS dclar ci- dessus bien sr) Le fichier zone de villeurbanne.fefort.loc. ressemblera ceci :
villeurbanne.fefort.loc. IN SOA ns.villeurbanne.fefort.loc. admin.fefort.loc. (3; 36000; 3600; 360000; 86400) IN NS ns.villeurbanne.fefort.loc. ; serveurs de Villeurbanne log-vi IN A 172.22.200.1 ; serveur d'authentification dhcp-vi IN A 172.22.200.3 ; serveur dhcp fic-vi IN A 172.22.200.6 ; serveur de fichiers ns IN A 172.22.200.2 ; serveur de nom
192 Exemple sur un serveur MS-Windows : Dans la zone fefort.loc : Slectionner la zone fefort.loc Crer une nouvelle dlgation Saisir le nom de la sous-zone (ici : villeurbanne) Ajouter le nom (ns.villeurbanne.fefort.loc) et l'adresse IP (172.22.200.2) du serveur DNS qui a obtenu la dlgation. Ajout de la zone de villeurbanne.fefort.loc : 2. Slectionner les zones de recherche directes 3. Ajouter une nouvelle zone principale 4. Saisir le nom de la zone (ici : villeurbanne.fefort.loc).
Question 8. Expliquer les modifications apporter au serveur DNS du sige dune part et celui du site de Villeurbanne dautre part.
Exemple avec BIND : Au sige : Sur le serveur du sige, il faut ajouter l'information selon laquelle il sera serveur esclave pour la zone villeurbanne.fefort.loc .
zone "villeurbanne.fefort.loc" { type slave; masters { 172.22.200.2; }; };
Villeurbanne : Sur le serveur DNS de Villeurbanne, il faut ajouter une ligne NS pour le serveur ns.fefort.loc, ce qui nous donne : villeurbanne.fefort.loc. IN SOA ns.villeurbanne.fefort.loc. admin.fefort.loc. (3; 36000; 3600; 360000; 86400) IN NS ns.villeurbanne.fefort.loc. IN NS ns.fefort.loc
Exemple sur un serveur MS-Windows : Au sige : Slectionner Zones de recherche directes. Dfinir une nouvelle zone secondaire Saisir le nom de la zone (ici : villeurbanne.fefort.loc). Saisir l'adresse IP du serveur DNS principal (ici : 172.22.200.2)
Villeurbanne : Slectionner la zone villeurbanne.fefort.loc Ajouter un serveur de nom Saisir nom et adresse IP du nouveau serveur NS.
Question 9. Dterminer la configuration matrielle et prciser les protocoles que devra supporter le nouveau commutateur. Le rle des fonctions et protocoles quil prendra en charge sera expliqu.
193 Exemple de rponse : Fonctions/protocoles Rle, explication Configuration matrielle : 8 ports au moins + ports de liaison Connectivit Supporter la redondance de lien en vitant les temptes de diffusion Protocole 802.1D, STP Arbre de recouvrement (Spanning tree), Tolrance de panne par agrgation de liens Grer les VLAN Protocole 802.1q Marquage de trames pour identifier les VLAN Grer la priorit de flux Protocole 802.1p Gestion de la priorit de trames Protocoles SNMP, Telnet, HTTP Accs en mode administrateur
Question 10. Proposer une solution matrielle complmentaire pour permettre aux postes de travail des diffrents services daccder aux serveurs du service informatique. Expliquer brivement comment elle doit-tre mise en uvre.
Pour la solution base sur un routeur, il faut soit une interface relle par VLAN sans ncessit de taguer les trames soit une interface virtuelle par VLAN dans ce dernier cas le routeur doit taguer les trames. Pour la solution base sur des serveurs multidresss , il faut une interface virtuelle par VLAN et le serveur doit taguer les trames. Pour la solution base sur un commutateur-routeur il y a une interface relle par VLAN, il n'est pas ncessaire de taguer. Il existe aussi une rponse non dtaille ici avec des VLAN asymtriques? Rponses possibles : Prise en charge de la fonction de routage par lajout dun routeur avec une interface tague multi adresse afin dinterconnecter logiquement tous les VLAN. Une solution avec un commutateur de niveau 3 peut assurer l'ensemble de ces fonctionnalits. Chaque port du commutateur s'interconnectant un autre commutateur est associ un VLAN et on affecte une adresse IP. Les liaisons ne grant pas plusieurs VLAN il n'est pas ncessaire de taguer. Si les serveurs grent les VLAN (protocole 802.1Q) on peut multiadresser les serveurs en dfinissant une interface virtuelle par VLAN, dans ce cas la liaison entre les commutateurs et les serveurs doit tre tague.
Question 11. Proposer une solution permettant de garantir la continuit du service daccs aux serveurs du sige lors dune panne du routeur. Expliquer les principes de fonctionnement de votre solution.
Exemples : Mettre en place un routeur de secours et le protocole VRRP (Virtual Redondancy Router Protocol) (HSRP pour Cisco) pour activer/dsactiver le routeur de secours. Prvoir une redondance des routeurs avec rpartition de charges On accepte une solution qui n'assure pas la continuit de service mais la reprise rapide de service Par exemple : Prvoir un routeur de secours avec une reprise dactivit base sur modification dynamique de ladresse de passerelle sur les postes VRRP permet deux routeurs R1 et R1 de partager une adresse IP virtuelle. De mme pour leur adresse MAC. Lun des routeurs est actif comme sil tait seul. Mais sil tombe en panne lautre le dtecte. (Arrt des changes mutuels de messages signalant leurs prsences). R1 ne reoit plus de messages, il devient alors actif et rpond aux requtes adresses aux adresses communes (IP et MAC).