FEDERATION EUROPEENNE DES ECOLES EUROPEAN FEDERATION OF SCHOOLS

Organisation non gouvernementale dote du statut participatif auprs du Conseil de lEurope NGO enjoying participatory status with the Council of Europe

UE D - TECHNIQUES PROFESSIONNELLES

Master Europen dInformatique

UC D41.1 - Rseaux, systme et scurit

Tous supports papiers et matriels sont interdits Les rponses au QCM doivent tre reportes sur la fiche optique fournie

Type dpreuve : QCM et Exercice pratique Dure : 3 heures Session : Juin 2011

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2011 UC D41.1 Rseaux, systme et scurit- Sujet

UC D41.1- RESEAUX, SYSTEMES ET SECURITE

PRESENTATION DE LETUDE DE CAS Ltude de cas sera compose de deux parties distinctes : - une partie Scurit concernant le dossier 1, - une partie Rseaux et systme concernant le dossier 2.

Vous devez prvoir des copies distinctes pour chaque partie.

BAREME DE NOTATION QCM

Bonne rponse Absence de rponse Rponse errone

3 points 0 point -1 point

Nombre de points possible : 150 points

BAREME DE NOTATION EXERCICE PRATIQUE

Dossier 1 - Scurit Dossier 2 - Rseaux avancs Total

130 points 170 points 300 points

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2011 UC D41.1 Rseaux, systme et scurit - Sujet

2/17

1/ QCM : 45 minutes

1. Le fichier /etc/host.conf permet :

a. b. c. d. la rsolution des noms la configuration des postes du rseau l'ordre de recherche pour la rsolution de nom la correspondance des adresses IP avec des noms dhtes

2. Si umask = 007, les droits par dfaut pour les dossiers auront la valeur octale :
a. b. c. d. 0775 0665 0660 0770

3. Lequel de ces protocoles nest pas un protocole utilis pour crer un VPN ?
a. b. c. d. IPSec L2PP L2TP SSL

4. Pour monter une partition d'un disque dur de type SATA sur le lien /usbexterne, quelle proposition est correcte ?
a. b. c. d. mount -t ext3 /dev/hdb5 /usbexterne mount -t vfat /mnt/windows /usbexterne mount /dev/sdc1 /dev/sdc mount t ext3 /dev/sdc1 /usbexterne

5. Pour vrifier la structuration et lintgrit des mots de passe et des champs associs des comptes Unix/Linux une commande possible est ?
a. b. c. d. verify shadow verify password pwck aucune des propositions ne convient

6. Pour vrifier tous les systmes de fichiers monts pendant une session, on devra consulter le fichier :
a. b. c. d. /etc/inittab /etc/mtab /etc/fstab /etc/mountab

7. Les caractristiques d'un lien par ls -l /bin/Leucippe donne : - rwx r- - -w- 2 root presocratique 755 29 Fev. 2009 Leucippe.
a. b. c. d. le lien /bin/Leucippe possde un seul lien physique root est dans le groupe "presocratique" tout processus ayant l'uid=0 est propritaire de Leucippe le lien /bin/Leucippe possde deux liens symboliques (synonymes, raccourcis,)

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2011 UC D41.1 Rseaux, systme et scurit - Sujet

3/17

8. Quelle proposition est fausse concernant ce mme lien : - rwx r- - -w- 2 root presocratique 755 29 Fev. 2009 Leucippe ?
a. b. c. d. le groupe "presocratique" est le groupe du lien Leucippe le groupe "presocratique" est le groupe du propritaire root tout processus ayant l'uid=0 est administrateur Linux/Unix les droits daccs du lien /bin/Leucippe ne sont pas 0755 (en octal)

9. Pour configurer SAMBA en PDC, on doit obligatoirement configurer, dans le fichier smb.conf, l'option :
a. b. c. d. security = share domain master = yes domain logons = yes domain name = <nom_domaine>

10. Que fait la commande : echo 0 > /proc/sys/net/ipv4/ip_forward ?

a. b. c. d. elle active le routage ipv4 elle inhibe le broadcast en icmp elle active le routage ipv6 elle dsactive le routage ipv4

11. Pour rajouter une route par dfaut un nud donn, vous utiliserez la commande :
a. b. c. d. # route add default 172.16.0.254 netmask 255.255.0.0 # route add -net default gw 172.16.0.254 netmask 255.255.255.0 # route add default gw 172.16.0.254 # toutes ces propositions

12. Que ne permet pas de faire un mcanisme de Filtration FireWall comme NetFilter (iptable) ?
a. b. c. d. iptable permet de faire de la translation dadresse rseau (adresse IP) et dadresse socket (ports) iptable peut modifier des paquets au fil de leau ( la vole) iptable permet de configurer le protocole IP iptable est le mcanisme, loutil, qui par directives permet de configurer le FireWall NetFilter

13. Quelle est la bonne syntaxe pour autoriser les rponses FTP ?
a. b. c. d. iptables -A OUTPUT -p tcp --dport ftp -j ACCEPT iptables -A INPUT -p tcp --sport ftp -j ACCEPT iptables -A INPUT -p tcp --dport ftp -j ACCEPT iptables -A OUTPUT -p tcp --dport ftp -j ACCEPT

14. Combien de type(s) de VLAN existe(nt)-t-il(s) ?

a. b. c. d. 3 1 2 5

15. Pour avoir le package Apache, PHP, PostGreSQL sous Linux, il faut installer une plate-forme :
a. b. c. d. LAMP LAPP WAMP WAPP

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2011 UC D41.1 Rseaux, systme et scurit - Sujet

4/17

16. Donnez un quivalent en mode symbolique de la commande : #chmod R 455 qcm.

a. b. c. d. chmod R go+x,ug-w qcm chmod R ugo-r,ug-w qcm chmod R ugo+r,go+x qcm chmod R ugo+x,ug-rw qcm

17. Quelle est ladresse de broadcast pour le rseau 169.168.1.0/28 ?

a. b. c. d. 169.168.1.0 169.168.1.255 169.168.1.15 169.168.255.255

18. Quel est le nombre de bits qui reprsente une adresse IP version 6 ?
a. b. c. d. 256 bits 64 bits 128 bits 32 bits

19. Quelle masque de sous rseaux utiliser pour avoir au maximum de 600 machines dans chaque sous rseau ?
a. b. c. d. 255.255.252.0 255.255.240.0 255.255.245.0 255.255.255.0

20. Un firewall peut tre un :

a. b. c. d. dispositif d'anti-intrusion dans une salle serveur informatique dispositif bloquant les dparts d'incendie dans un local informatique lment matriel contrlant les accs entre rseaux informatiques logiciel de protection d'accs des rseaux informatiques

21. Comment filtrer et contrler les accs internet en fonction des thmes consults et de l'utilisateur ?
a. b. c. d. mettre un proxy-cache mettre un routeur mettre un firewall mettre des antispywares

22. Quelle commande permet de mettre sous tension une interface de routeur ?
a. b. c. d. Router(config-if)# enable Router(config-if)# no down Router(config-if)# no shutdown Router(config-if)# interface up

23. Que se passe-t-il si un routeur ne trouve pas de fichier de configuration correct lors de la squence de dmarrage ?
a. la squence de dmarrage est rinitialise b. le routeur surveille le trafic local afin de dterminer la configuration requise pour les protocoles de routage c. le routeur gnre un fichier de configuration par dfaut bas sur la dernire configuration valide d. le routeur invite l'utilisateur fournir une rponse pour accder au mode setup

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2011 UC D41.1 Rseaux, systme et scurit - Sujet

5/17

24. Concernant lquilibrage de charge, quelle affirmation est exacte ?

a. l'quilibrage de la charge se produit lorsquun routeur envoie le mme paquet diffrents rseaux de destination b. lquilibrage de la charge se produit lorsque le mme nombre de paquets sont envoys sur les routes statiques et dynamiques c. s'il existe plusieurs chemins avec des mesures diffrentes vers une destination, le routeur ne peut pas prendre en charge lquilibrage de la charge d. l'quilibrage de la charge cot ingal est pris en charge par le protocole EIGRP

25. Quelles informations dadresse un routeur modifie-t-il parmi les informations quil reoit dune interface Ethernet associe avant de les retransmettre ?
a. b. c. d. ladresse source et ladresse de destination de la couche 2 seulement ladresse source de la couche 2 seulement ladresse source de la couche 3 ladresse source et ladresse de destination de la couche 3

26. Que se passe-t-il sur un rseau vecteur de distance qui n'a pas converg ?
a. b. c. d. le trafic n'est pas achemin tant que le systme ne converge pas les mises jour de table de routage sont envoyes vers des destinations incorrectes des entres de table de routage incohrentes rien, le routage vecteur de distance na pas de convergence

27. Dans le routage dynamique, les interfaces passives sont des interfaces :
a. b. c. d. dsactives favorises dans la mise jour des tables de routage non utilises dans la mise jour des tables de routage de rception des tables de routage

28. Quel protocole de routage nest pas vecteur de distance ?

a. b. c. d. RIPv1 EIGRP RIPv2 IS-IS

29. Quel algorithme est excut par les protocoles de routage tat de liens pour calculer le chemin le plus court vers les rseaux de destination ?
a. b. c. d. DUAL Dijkstra Bellman-Ford Diffie-Hellman

30. Les mesures utilises par les protocoles de routage sont :

a. b. c. d. une mthode propritaire de Cisco pour convertir les distances en unit standard une valeur quantitative utilise par un protocole de routage pour mesurer une route donne une valeur compose de la quantit de paquets perdus pour tous les protocoles de routage uniquement utiliss par les protocoles de routage dynamique

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2011 UC D41.1 Rseaux, systme et scurit - Sujet

6/17

31. Les interfaces dun rseau ont t configures avec des adresses IP, mais aucun protocole de routage ou route statique na encore t configure. Quelles routes sont prsentes dans la table de routage ?
a. b. c. d. routes par dfaut routes de diffusion rseaux directement connects aucune route, la table de routage est vide

32. Quelles sont les diffrences entre Multicast et Broadcast ?

a. b. c. d. il ny en a pas, cest la mme chose le Broadcast est un envoi global et le Multicast est un envoi vers un groupe le Broadcast est un renvoi de messages et Multicast est un envoi de messages le Multicast est inclus dans le routage et le Broadcast ne lest pas

33. Un systme autonome est un groupe de routeur gr par :

a. b. c. d. les mmes administrateurs et utilisant le mme protocole de routage plusieurs fournisseurs daccs et utilisant le mme protocole de routage les mmes administrateurs et utilisant plusieurs protocoles de routage plusieurs fournisseurs daccs et utilisant plusieurs protocoles de routage

34. Dfinissez le protocole Spanning Tree ?

a. b. c. d. protocole de routage protocole de rsolution dadresses protocole qui garantit lunicit du chemin et vite les boucles dans un rseau local protocole de niveau trame qui acquitte les donnes

35. Quel sigle dans la liste ci-dessous reprsente un protocole dauthentification PPP ?
a. b. c. d. SSL MsCHAP MD5 PKI

36. Quel protocole de routage est un protocole utilis dans le routage EGP ?
a. b. c. d. RIP OSPF IGRP BGP

37. Dans SSH, le cryptage utilis pour l'authentification est un :

a. b. c. d. cryptage symtrique cryptage asymtrique les deux propositions prcdentes aucune des propositions prcdentes

38. L'algorithme DES :

a. b. c. d. utilise une cl prive et une cl publique fait appel la notion PKI utilise une cl connue de tout le monde utilise une cl secrte

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2011 UC D41.1 Rseaux, systme et scurit - Sujet

7/17

39. Dans les algorithmes de "chiffrement symtrique" :

a. la mme fonction mathmatique sert chiffrer et dchiffrer b. on ne parle pas de cls chiffrement/dchiffrement on parle plutt de fonctions de Chiffrement/dchiffrement c. cest linverse de la cl de chiffrement qui sert dchiffrer d. la mme cl sert chiffrer et dchiffrer

40. Quand chaque caractre de l'alphabet du texte clair correspond un ensemble d'lments du cryptogramme, la cryptographie est du type substitution :
a. b. c. d. simple homophonique polyalphabtique de polygramme

41. Lequel des mots de passe suivants peut-il tre considr comme robuste ?
a. b. c. d. P@ssw0rd jean7669 J*ple04>F W3lc0m3

42. Une architecture PKI permet de :

a. b. c. d. grer la politique de distribution des cls publiques certifier l'authenticit des cls publiques de mes correspondants signer les cls publiques aucun des trois premiers choix

43. Parmi les suivants, quel est le meilleur moyen d'empcher des intrusions via le rseau sans fil ?
a. b. c. d. dsactiver la diffusion du SSID filtrer les adresses MAC activer le chiffrement WEP activer le chiffrement WAP

44. Une fonction de hashage :

a. permet un destinataire dun message de vrifier lintgrit des donnes et de contrler lidentit de leur expditeur b. construit une empreinte dune chane de donnes, partir de laquelle il est impossible de revenir la chane de donnes initiale c. calcule un checksum sur un fichier qui permet d'assurer de son intgrit.... d. n'assure aucune des fonctions prcdentes

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2011 UC D41.1 Rseaux, systme et scurit - Sujet

8/17

45. Vous tes l'administrateur rseau du domaine Windows 2008 dInfosup. Votre rseau est constitu d'un serveur DNS, d'un serveur DHCP et de 125 ordinateurs clients sous Windows 7. Le serveur DNS est charg de la rsolution de noms au sein du rseau et transmet des requtes de rsolution de noms au serveur DNS du fournisseur d'accs Internet de l'entreprise XSA. Un utilisateur se plaint qu'il ne peut accder un site de partenaire de l'entreprise. Il reoit le message d'erreur suivant: "Serveur non trouv ou erreur DNS". Par contre, il peut accder tous les autres sites internet qu'il souhaite. Vous tentez de votre ct d'accder au site du partenaire en question et vous n'prouvez aucune difficult cela. Vous vrifiez qu'il reoit bien les informations concernant le DNS par le serveur DHCP. Que devez-vous faire maintenant ?
a. b. c. d. ouvrir une console DOS sur l'ordinateur de l'utilisateur en question et taper "ipconfig/registerdns" ouvrir une console DOS sur l'ordinateur de l'utilisateur en question et taper "ipconfig/flushdns" ouvrir une console DOS sur l'ordinateur de l'utilisateur en question et taper "ipconfig/refreshdns" ouvrir une console DOS sur l'ordinateur de l'utilisateur en question et taper "ipconfig/renew"

46. Le rseau d'une entreprise trs en vue fait face de nombreuses tentatives d'intrusions. L'administrateur souhaite diviser son rseau afin de placer ses serveurs sensibles dans un autre emplacement que ses serveurs accessibles depuis Internet. Quel dispositif implmenter ?
a. b. c. d. une DMZ (Demilitarized Zone) un pot de miel (honeypot) un pare-feu (firewall) un nouveau sous-rseau

47. Le cblage de votre rseau traverse des ateliers qui contiennent des quipements lectriques fonctionnant des tensions leves. Vous tes proccup par les risques d'interfrence. Quel cblage conseillez-vous ?
a. b. c. d. le cble UTP le cble STP le cble coaxial la fibre optique

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2011 UC D41.1 Rseaux, systme et scurit - Sujet

9/17

48. Le service interne de tche planifie "crond", prend en charge un certain nombre de tches scurises en administration : sauvegarde, lancement de services, firewall dynamique, On voudrait dclencher une procdure de test dintgrit sur les partitions tous les 1ers et 3mes mercredis du mois minuit et 30 minutes. Indiquez la bonne directive crond :
a. b. c. d. 0 0 0 30 0 30 0 0 1,3 * * 1-7,14-20 * * * * 3 /sbin/fs_integrite C:\ D:\ E:\ wed /sbin/fs_integrite / /home /bin 2 /sbin/fs_integrite / /home /bin 3 /sbin/fs_integrite / /home /bin

49. Quel protocole d'authentification, implment dans l'annuaire Active Directory de Windows 2008, autorise un accs ses objets ?
a. b. c. d. NT Lan Manager Lightweight Directory Access Protocol Kerberos Secure Sockets Layer

50. Dcrivez la directive noyau excute par le pid=1 du fichier /etc/inittab en liminant la proposition fausse : 8:35:respawn:/etc/mgetty tty8.
a. b. c. d. respawn, lance lcoute sur un terminal respawn est un mode d'excution persistant tty8 est un lien /dev/tty8 sur un terminal 35 indique qu'il se dclenche sur les niveaux d'excution 3 et 5

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2011 UC D41.1 Rseaux, systme et scurit - Sujet

10/17

2/ Exercice pratique : 2 heures 15

Dossier 1 - Scurit

Question 1 - Scurit Windows Quel sens donnez-vous dans Windows aux permissions explicites, hrites et effectives ? Pourquoi crer des units organisationnelles (UO) dans une structure Active Directory ? Citez 2 raisons principales. Question 2 - Clef secrte Votre correspondant et vous ne possdez pas encore de clef secrte pour changer des messages confidentiels via la cryptographie symtrique. Vous choisissez une clef secrte. Quelle est la mthode pour la lui adresser avec le plus de scurit et commodit ? Question 3 - Certificat numrique Citez 6 informations diffrentes que lon trouve lintrieur dun certificat numrique. Question 4 - Attaque rseau Dfinissez une attaque Man in the Middle (Homme du milieu). Citez un exemple de cette attaque et expliquez son fonctionnement. Question 5 - Pare-feu Netfilter Expliquez lobjectif de ces commandes :
Iptables A INPUT p tcp i eth0 s 10.30.40.200 d 10.30.40.100 --sport 110 j ACCEPT Iptables A OUTPUT p tcp o eth0 s 10.30.40.100 d 10.30.40.200 --dport 110 j ACCEPT Iptables A INPUT p tcp i eth0 s 10.30.40.200 d 10.30.40.100 --sport 25 j ACCEPT Iptables A OUTPUT p tcp o eth0 s 10.30.40.100 d 10.30.40.200 --dport 25 j ACCEPT Iptables P INPUT DROP Iptables P OUTPUT DROP

Question 6 - Scurit sur les Sessions

Mettez un mcanisme de scurisation de surcharge de session sur certains services de session de flux commandes distance type rsh, telnet, ssh,

On vous demande de fabriquer un outil en script Shell, appel "monolog" qui nautorisera quune session par login.
En scurit cela peut servir limiter la charge du serveur en nombre de sessions, ou viter quune administration distante nautorise quun administrateur la fois sur un serveur sensible Pour ce script, vous avez le choix soit de : - bloquer tout de suite la nouvelle session, avant quon ait pu prendre la main sur le Shell, - faire une post-analyse, une fois que la deuxime session a lieu, de prvenir lcran que cette session va tre ferme, en laissant ventuellement un timeout suffisant Ce script pourra tre destin un login particulier. Exemple # monolog guest Le login guest, et seulement lui, ne peut ouvrir quune session. # monolog Tous les logins sont concerns.

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2011 UC D41.1 Rseaux, systme et scurit - Sujet

11/17

NB Vous devez fournir le code du script dans un des cas dcrits au-dessus, au choix, et surtout, expliquer comment ladministrateur met en place un tel mcanisme dans un systme Linux/Unix autour dun ou plusieurs comptes (les fichiers qui sont modifis). Attention galement, le mcanisme doit se dclencher louverture de la 2me session, mme si vous ne cassez pas cette session tout de suite.

Question 7 - Chiffrement asymtrique Si vous perdez votre clef prive, pouvez-vous encore envoyer des mails chiffrs ? Et en recevoir ? Pouvez-vous encore signer des mails, vrifiez des signatures de mails que vous recevez ? Que doit-on faire pour tre capable deffectuer nouveau toutes les oprations ?

Dossier 2 - Rseaux avancs

Question 1 - Routage RIP

Soit le rseau ci-dessous, exploit en RIP V1 :

Quelles sont les tables de routage de RA et RB ? On utilisera le format simplifi suivant :

Destination Masque Prochain Saut Interface Cot

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2011 UC D41.1 Rseaux, systme et scurit - Sujet

12/17

Question 2 - Routage OSPF Ladministrateur rseau souhaite dfinir le numro du processus du routeur OSPF 100 vers le rseau 192.168.100.1. Quelle est la commande permettant ladministrateur daccomplir cette opration ?

Question 3 - Table de pontage

Reportez-vous lillustration.

Quelle action SW1 effectue-t-il sur une trame envoye de PC_A vers PC_C si la tables dadresses MAC du SW1 est vide ? Quen sera-t-il lors de la prochaine trame envoye ? Quel est le rle du TTL dans une table de pontage et quadvient lassociation qui a un TTL gal zro ?

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2011 UC D41.1 Rseaux, systme et scurit - Sujet

13/17

Question 4 - Agrgation de VLAN

On considre le schma ci-dessous :

Lordinateur B ne peut pas communiquer avec lordinateur D.

Quelle est la cause la plus probable de ce problme ? Si ladministrateur supprime le VLAN 2 des switchs, quadvient-il des ports membres de ce VLAN ? Question 5 - Access list
On considre le schma ci-dessous.

Ladministrateur rseau cre deux listes de contrle daccs standard (101 et 201) sur le Routeur 1.

Dcrivez brivement le rle de ces deux ACL et leur direction applique.

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2011 UC D41.1 Rseaux, systme et scurit - Sujet

14/17

Question 6 - NAT
On considre le schma ci-dessous.

Le routeur R1 ralise la fonction NAT avec surcharge pour le rseau interne 10.1.1.0/24. Lhte A envoie un paquet au serveur Web.

Quelle est ladresse IP de destination du paquet renvoy par le serveur Web ? Question 7 - Pare-feu
Un rseau contient une zone dmilitarise (DMZ) avec le serveur web (172.16.13.250) et le serveur FTP (172.16.13.251). Un routeur pare-feu (R2) spare la DMZ du rseau local. Le routeur R1 permet laccs lInternet. La table de filtrage du routeur R2 se prsente ainsi :

Le schma du rseau est ci-dessous :

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2011 UC D41.1 Rseaux, systme et scurit - Sujet

15/17

Remarque : les rgles sont numrotes de 10 en 10 de manire ce que linsertion dune nouvelle rgle soit aise. L'algorithme utilis par le service de filtrage est le suivant, pour chaque paquet traiter : - en suivant l'ordre des rgles de 1 n, rechercher la premire rgle applicable, - si une des rgles est applicable, alors appliquer l'action au paquet et arrter le parcours de la table, - si aucune rgle nest applicable, refuser le paquet.

Indiquez le rle de la rgle numro 10. Indiquez le numro des rgles permettant aux postes du rseau local de demander et dobtenir des pages web. crivez les deux rgles ajouter pour permettre au serveur web de communiquer avec le SGBD interrogeable sur le port 1520, en prcisant le numro attribu chaque rgle ajoute.

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2011 UC D41.1 Rseaux, systme et scurit - Sujet

16/17

Question 8 - Trames rseaux A quoi correspond la trame de la capture ci-dessous ? Expliquez le processus complet correspondant. Dveloppez toutes les trames de ce processus. Que signifie source port de l'entte UDP ? Dveloppez.

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2011 UC D41.1 Rseaux, systme et scurit - Sujet

17/17