Vous êtes sur la page 1sur 21

FEDERATION EUROPEENNE DES ECOLES EUROPEAN FEDERATION OF SCHOOLS

Organisation non gouvernementale dote du statut participatif auprs du Conseil de lEurope NGO enjoying participatory status with the Council of Europe

UE D - TECHNIQUES PROFESSIONNELLES

Master Europen dInformatique


UC D41.1 - Rseaux, systme et scurit

Corrig

Type dpreuve : QCM et Exercice pratique Dure : 3 heures Session : Juin 2012

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2012 UC D41.1 Rseaux, systme et scurit - Corrig

1/ QCM : 45 minutes

1. Quel est le rle du fichier .rhosts ?


a. b. c. d. il contient une liste de comptes du systme il contient une liste de comptes sur des systmes distants il contient une liste des adresses IP des ordinateurs distants et leur nom FQDN il contient une liste des adresses IP des ordinateurs distants et leur nom NetBIOS

2. La commande affichant dynamiquement les processus en cours d'excution est : a. pstree b. top c. nice d. renice 3. Lequel de ces protocoles nest pas un protocole utilis pour crer un VPN ?
a. b. c. d. IPSec L2PP L2TP SSL

4. L'entte d'un paquet UDP contenant le flag PSH permet de :


a. b. c. d. dtruire une connexion TCP en urgence initier une fin de connexion forcer la couche transport livrer les donnes la couche applicative aucune de ces propositions ne convient

5. A quoi sert le protocole ARP ?


a. b. c. d. effectuer la traduction dune adresse physique en une adresse rseau ou une adresse de couche 3 effectuer la traduction dune adresse rseau en adresse physique effectuer la traduction dune adresse physique en nom Netbios effectuer la traduction dun nom Netbios en une adresse physique

6. La commande "tail n f /var/log/maillog" me permet de :


a. tailler le fichier maillog en bloc de 100 lignes b. visualiser en direct les dernires entres du fichier maillog en commenant par les 100 dernires lignes c. donner le nombre de bloc de 100 lignes dans le fichier maillog d. formater et visualiser le fichier maillog en ligne de 100 caractres maximum

7. Dans proftpd, la directive conteneur <Limit > </Limit> permet de :


a. b. c. d. paramtrer un rpertoire par dfaut autoriser ou interdire des commandes FTP dfinir le fichier des droits daccs aucune de ces propositions ne convient

8. La squence: # for n in $(cat liste|cut -d: -f1) ; do useradd -g ii4 ii4-$n ; done cre des

comptes :
a. b. c. d. partir d'une liste en les plaant dans un groupe supplmentaire ii4 partir d'une liste de login ii4 partir d'une liste partir d'une liste de type ii4-1, ii4-2, , ii4-n

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2012 UC D41.1 Rseaux, systme et scurit - Corrig

2/21

9. Pour configurer SAMBA en PDC, on doit obligatoirement configurer dans le fichier

smb.conf, l'option :
a. b. c. d. security = share domain master = yes domain logons = yes domain name = <nom_domaine>

10. Quelle est la squence utiliser par dfaut pour charger le fichier de configuration

dun routeur Cisco ?


a. b. c. d. NVRAM, FLASH, ROM FLASH, TFTP, CONSOLE NVRAM, TFTP, CONSOLE FLASH, TFTP, ROM

11. Table de routage : quel vnement peut-il occasionner une mise jour dclenche ? a. expiration dun minuteur de routage de mises jour b. rception dun message de mise jour altr c. installation dune route dans la table de routage d. convergence du rseau 12. Que se passe-t-il sur un rseau vecteur de distance qui n'a pas converg ? a. le trafic n'est pas achemin tant que le systme ne converge pas b. les mises jour de table de routage sont envoyes vers des destinations incorrectes c. des entres de table de routage incohrentes d. rien, le routage vecteur de distance na pas de convergence 13. Quelle est la bonne syntaxe pour autoriser les rponses SMTP ? a. iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT b. iptables -A INPUT -p tcp --sport 25 -j ACCEPT c. iptables -A INPUT -p tcp --dport 110 -j ACCEPT d. iptables -A OUTPUT -p tcp --dport 110 -j ACCEPT 14. On monte un nouveau systme de fichier pendant l'excution du systme

d'exploitation. Ce montage sera enregistr dans :


a. b. c. d. /etc/inittab /etc/mtab /etc/fstab /etc/mountab

15. Pour pouvoir filtrer au niveau applicatif il faut utiliser : a. NAT b. ACL c. Proxy d. Firewall 16. Que se passe-t-il si un routeur ne trouve pas de fichier de configuration correct lors de

la squence de dmarrage ?
a. la squence de dmarrage est rinitialise b. le routeur surveille le trafic local afin de dterminer la configuration requise pour les protocoles de routage c. le routeur gnre un fichier de configuration par dfaut bas sur la dernire configuration valide d. le routeur invite l'utilisateur fournir une rponse pour accder au mode setup

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2012 UC D41.1 Rseaux, systme et scurit - Corrig

3/21

17. Quelle diffrence faites-vous entre adresse multicast et unicast ? a. multicast envoie les paquets toutes les stations du rseau et unicast une seule b. multicast envoie les paquets plusieurs stations dsignes du rseau et unicast une seule station c. multicast envoie les paquets une station dsigne du rseau et unicast plusieurs dsignes d. multicast et unicast nont aucune diffrence 18. Donnez la simplification totale de ladresse IPv6 suivante :

2001:0db8:0000:85a3:0000:0000:ac1f:8001
a. b. c. d. 2001:0db8::85a3::ac1f:8001 21:db8::85a3::ac1f:81 2001:db8::85a3::ac1f:8001 2001:db8:0:85a3::ac1f:8001

19. Quelle masque de sous rseaux utiliser pour avoir au minimum 1024 machines dans

chaque sous rseau ?


a. b. c. d. 255.255.252.0 255.255.248.0 255.255.255.128 255.255.255.0

20. Quel protocole de routage est un protocole utilis dans le routage EGP ? a. RIP b. OSGF c. IGRP d. BGP 21. Quel principe d'authentification repose sur un mcanisme de clefs secrtes et

lutilisation de ticket (appel aussi jeton), et prsent sur Unix et Windows ?


a. b. c. d. NT Lan Manager Lightweight Directory Access Protocol Kerberos Secure Sockets Layer

22. Quelle diffrence existe entre la commutation de paquets et la commutation de

cellules ?
a. b. c. d. Commutation de cellules, les trames ont une taille variable et un traitement logiciel Commutation de cellules, les trames ont une taille fixe et un traitement matriel Commutation de paquets, les trames ont une taille fixe et un traitement matriel Commutation de paquets, les trames ont une taille fixe et un traitement logiciel

23. Quest-ce que le caractre & la fin dune commande UNIX permet de faire ? a. transformer le <return> : retour chariot en <newline> : nouvelle ligne b. excuter la commande en arrire-plan c. excuter la commande dans un autre terminal d. arrter le lancement dautres commandes dans le terminal 24. Une trame LCP (Link Control Protocol) du protocole PPP, ne permet pas : a. dtablir une liaison b. de fermer une liaison c. de maintenir une liaison d. de sauthentifier sur la liaison

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2012 UC D41.1 Rseaux, systme et scurit - Corrig

4/21

25. Pour rajouter une route par dfaut un nud donn, vous utiliserez la commande : a. # route add default 172.16.0.254 netmask 255.255.0.0 b. # route add -net default gw 172.16.0.254 netmask 255.255.255.0 c. # route add default gw 172.16.0.254 d. # toutes ces rponses 26. Quelle entit ne fait pas partie des PKI (Infrastructure Cls Publiques) dfinies par

lIETF ?
a. b. c. d. lautorit de chiffrage lautorit de certification lautorit denregistrement lautorit de rvocation

27. Que ne permet pas de garantir un chiffrement et une signature numrique ? a. la confidentialit b. la bonne rception des donnes c. lauthentification d. lintgrit 28. Une fonction de hashage : a. permet un destinataire dun message de vrifier lintgrit des donnes et de contrler lidentit de leur expditeur b. construit une empreinte d'une chane de donnes, partir de laquelle, il est impossible de revenir la chaine de donnes initiale c. calcule un checksum sur un fichier qui permet d'assurer de son intgrit d. n'assure aucune des fonctions prcdentes 29. Le rseau d'une entreprise trs en vue fait face de nombreuses tentatives

d'intrusions. L'administrateur souhaite mettre en place un dispositif permettant de capturer des informations des pirates, ces derniers pensant accder de vraies informations sensibles. Quel dispositif est implment ?
a. b. c. d. une DMZ (Demilitarized Zone) un pot de miel (honeypot) un pare-feu (firewall) un nouveau sous-rseau

30. Vous venez de modifier une GPO sur votre serveur Active Directory, qui est aussi le

PDC du domaine. Quelle est la commande pour forcer la mise jour des stratgies ?
a. b. c. d. gmpc gpoupdate /Force gpupdate /force aucune, vous devez obligatoirement attendre 5 minutes

31. Concernant lquilibrage de charge, quelle affirmation est exacte ? a. lquilibrage de la charge se produit lorsquun routeur envoie le mme paquet diffrents rseaux de destination b. lquilibrage de la charge se produit lorsque le mme nombre de paquets est envoy sur les routes statiques et dynamiques c. sil existe plusieurs chemins avec des mesures diffrentes vers une destination, le routeur ne peut pas prendre en charge lquilibrage de la charge d. lquilibrage de la charge cot ingal est pris en charge par le protocole EIGRP

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2012 UC D41.1 Rseaux, systme et scurit - Corrig

5/21

32. Dans SSH, le cryptage utilis pour les donnes est un : a. cryptage symtrique b. cryptage asymtrique c. les deux propositions prcdentes d. aucune de ces propositions ne convient 33. Dans Windows, quoi correspond le "systme" WMI ? a. le nouveau shell remplaant le MS-DOS b. des modules dinspection du systme c. des sauvegardes incrmentales d. des filtres appliqus sur les GPO 34. Au niveau du VPN IPSEC, quel est le protocole prsent ? a. AH b. ESP c. les deux rponses prcdentes d. aucune de ces propositions ne convient 35. Pour qu'un utilisateur Windows puisse accder un partage SAMBA, avec l'option

security par dfaut, il doit avoir :


a. b. c. d. les droits sur le partage une entre dans le fichier smbpasswd un mot de passe Windows une entre dans le fichier /etc/shadow

36. Pour interdire la station Windows "pc1s4/192.168.10.1" l'accs au serveur Samba, on

positionne dans smb.conf le paramtre :


a. b. c. d. ip deny = 192.168.10.1 interface deny = pc1s4 station deny = pc1s4 hosts deny = pc1s4

37. La gestion des comptes

sous le systme dexploitation Linux permet un compte

davoir :
a. b. c. d. plusieurs groupes principaux et plusieurs groupes secondaires plusieurs groupes principaux et un seul groupe secondaire un seul groupe principal et un seul groupe secondaire un seul groupe principal et plusieurs groupes secondaires

38. L'objectif d'un shellcode est : a. l'crasement de la valeur de retour de la fonction b. le chargement d'une nouvelle valeur dans la zone mmoire "text" c. l'crasement de la zone bss d. l'crasement de l'adresse de retour de la fonction 39. Quelle opration correspond une attaque ping de la mort ? a. une corruption de cache ARP b. une prdiction de numro de squence c. une mission de fragment ICMP interdit d. une modification des ports source et destination

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2012 UC D41.1 Rseaux, systme et scurit - Corrig

6/21

40. Quelle opration correspond une attaque TCP flooding ? a. une modification des ports source et destination b. une prdiction de numro de squence c. un vol d'adresse IP d. une demande ininterrompue de connexion TCP

41. Parmi les attaques informatiques suivantes, laquelle nest pas une attaque Web ?
a. b. c. d. linjection MySQL dbordement de tampon XSS lupload de fichiers corrompus

42. Vous venez dacheter un nom de domaine et vous voulez le faire pointer sur un ordinateur. Quel est lenregistrement utiliser dans votre serveur DNS ?
a. b. c. d. A MX NS CNAME

43. L'algorithme cryptographique dans lequel un caractre est chiffr en utilisant la formule : Crypto = (Claire + Cl) Modulo 128 est :
a. b. c. d. DES MIT RSA PGP

44. Quel lment ne fait pas partie du modle organisationnel de ladministration rseau SNMP ?
a. b. c. d. NMS Agents NSTP MIB

45. Que se passe-t-il si vous cryptez un message confidentiel avec votre cl prive ?
a. b. c. d. vous seul pourrez le dchiffrer personne ne pourra le dchiffrer le monde entier pourra le dchiffrer il est impossible de crypter avec sa cl prive

46. En utilisant la mthode de chiffrement ROT-N, le texte en clair "La bataille commence ce soir" donne le texte chiffr : "WI mleltwwp nzxxpynp np dztc". La valeur de N est de :
a. b. c. d. 1 5 8 11

47. Parmi les algorithmes de compression irrversibles suivants, lequel s'effectue avec une clef ?
a. b. c. d. MD5 CRC32 SHA-1 MAC ou HMAC

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2012 UC D41.1 Rseaux, systme et scurit - Corrig

7/21

48. Selon l'architecture ELF, la zone mmoire "data" doit contenir les variables :
a. b. c. d. globales statiques initialises globales non initialises locales dynamiques

49. Une des proprits dun tube nomm est fausse, laquelle ?
a. une opration d'ouverture sur un tube nomm, bloque le code jusqu' l'arrive d'une ouverture d'un autre processus l'autre extrmit b. les tubes nomms se grent par descripteurs c. par dfaut un tube nomm n'est pas bloquant d. les tubes nomms peuvent tre ouverts grce une rfrence

50. Ladministrateur dun rseau souhaite mettre en place des objets ADSI. A quoi servent-elles ?
a. b. c. d. elles grent les interfaces ADSL elles permettent de manipuler les objets AD et de crer des scripts elles dtectent des intrusions rseaux aucune de ces propositions ne convient

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2012 UC D41.1 Rseaux, systme et scurit - Corrig

8/21

2/ Exercice pratique : 2 heures 15


Dossier 1 - Scurit

Question 1 - Domain Name System Donnez le rle de chacun des types d'enregistrement de ressource suivants : A, CNAME, PTR, SOA et MX. Exemplifiez votre rponse. Quest-ce que le DNS Spoofing ? Expliquez lattaque du "DNS ID Spoofing" et du "DNS Cache Poisoning".
20 points : 10 points pour le rle de chacun de types denregistrement et exemplification (2 points par bonne rponse avec explications) 5 points pour le DNS Spoofing 5 points pour le DNS Cache Poisoning Rle de chacun des types denregistrement Les enregistrements de ressources constituent les enregistrements de la base de donnes DNS (Domain Name Server). Ils sont de plusieurs types, on distingue : - A : type tablissant la correspondance entre un nom canonique et une adresse IP. Par ailleurs, il peut exister plusieurs enregistrements A, correspondant aux diffrentes machines du rseau (serveurs), - CNAME (Canonical Name) : Il permet de faire correspondre un alias au nom canonique. Il est particulirement utile pour fournir des noms alternatifs correspondant aux diffrents services d'une mme machine, - MX (Mail eXchange) : correspond au serveur de gestion du courrier. Lorsqu'un utilisateur envoie un courrier lectronique une adresse (utilisateur@domaine), le serveur de courrier sortant interroge le serveur de nom ayant autorit sur le domaine afin d'obtenir l'enregistrement MX, - PTR : un pointeur vers une autre partie de l'espace de noms de domaines, - SOA (Start Of Authority) : le champ SOA permet de dcrire le serveur de nom ayant autorit sur la zone de nommage. DNS Spoofing L'objectif de cette attaque est de rdiriger, leur insu, des Internautes vers des sites pirates. Pour la mener bien, le pirate utilise des faiblesses du protocole DNS (Domain Name System) et/ou de son implmentation au travers des serveurs de nom de domaine. A titre de rappel, le protocole DNS met en oeuvre les mcanismes permettant de faire la correspondance entre une adresse IP et un nom de machine (ex.: www.truc.com). Il existe deux principales attaques de type DNS Spoofing : le DNS ID Spoofing et le DNS Cache Poisoning. Si une machine A veut communiquer avec une machine B, la machine A a obligatoirement besoin de l'adresse IP de la machine B. Cependant, il se peut que A possde uniquement le nom de B. Dans ce cas, A va utiliser le protocole DNS pour obtenir l'adresse IP de B partir de son nom. Une requte DNS est alors envoye un serveur DNS, dclar au niveau de A, demandant la rsolution du nom de B en son adresse IP. Pour identifier cette requte, un numro d'identification lui est assign. Ainsi, le serveur DNS enverra la rponse cette requte avec le mme numro d'identification. L'attaque va donc consister rcuprer ce numro d'identification (en sniffant le rseau par exemple) pour pouvoir envoyer une rponse falsifie avant le serveur DNS.

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2012 UC D41.1 Rseaux, systme et scurit - Corrig

9/21

DNS Cache Poisoning Les serveurs DNS possdent un cache permettant de garder pendant un certain temps la correspondance entre un nom de machine et son adresse IP. En effet, un serveur DNS n'a les correspondances que pour les machines du domaine sur lequel il a autorit. Pour les autres machines, il contacte le serveur DNS ayant autorit sur le domaine auquel appartiennent ces machines. Ces rponses, pour viter de sans cesse les redemander aux diffrents serveurs DNS, seront gardes dans ce cache. Le DNS Cache Poisoning consiste corrompre ce cache avec de fausses informations. Pour cela le pirate doit avoir sous son contrle un nom de domaine (par exemple fourbe.com) et le serveur DNS ayant autorit sur celui-ci ns.fourbe.com.

Question 2 - Cryptographie Calculez le CRC de 101010010010001010101 avec le polynme gnrateur.


15 points : 5 points pour les calculs 10 points pour CRC 101010010010001010101000000 1101011 011111110010001010101000000 1101011 00101000010001010101000000 1101011 011101110001010101000000 1101011 00111000001010101000000 1101011 001101101010101000000 1101011 0000110010101000000 1101011 000111001000000 1101011 001100100000 1101011 0001111000 1101011 0010011 CRC = 010011

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2012 UC D41.1 Rseaux, systme et scurit - Corrig

10/21

Question 3 - Scurit Multiprocessus a) Pour cela, on cre dabord un script nomm charge qui mesure la charge en nombre de processus sur un systme toutes les 10 secondes. Ecrivez ce script charge . b) Dans un second temps, on vous demande de dvelopper un script redond qui lance un processus qui observe, toutes les 5 sec, si le processus qui fait tourner charge est toujours en vie. Si ce nest pas le cas, il le rgnre (il relance le script charge par un processus enfant). c) Dans un troisime temps, on vous demande de modifier redond pour quil prenne en charge lui-mme le lancement de charge en argument, sur un de ces processus enfant et quen mme temps il lance un deuxime processus enfant qui excuterait comme lui rebond . On aurait ainsi, 1 processus excutant charge (mesure de la charge en nb de processus) et 2 processus redond surveillant en redondance si le script charge continue de tourner.
20 points : 5 points pour le script charge 5 points pour le script rebond 10 points pour la modification en rebond2 Script charge # vi charge #! /bin/bash while : do # le passage par une variable nest pas obligatoire, sauf si on veut # tracer nbp=$(ps edf|wc -l) # on peut prendre ps aux,, aussi echo $nbp # on peut afficher un endroit particulier : tput cup 10 20 ;echo. Sleep 10 done

Script rebond # vi redond #! /bin/bash while : do # Etre souple sur les critres du grep, car pas de machine lexamen # teste si la ligne de processus se terminant par charge, ./charge, # est vide, donc le processus nexiste plus if [ -z "$(ps edf|grep charge$)" ] then # regeneration /root/charge & # &: execution asynchrone ou conccurrente # nimporte quel nom absolu de lien (on evite les relatifs et PATH) fi sleep 5 done

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2012 UC D41.1 Rseaux, systme et scurit - Corrig

11/21

Script rebond2 # vi redond2 #! /bin/bash if [ -z "$1" ] then echo "pas dargument concernant la tche lancer " exit fi # teste si largument 1 est fichier rgulier et excutable if ! [ -f "$1" a x "$1" ] then echo "largument 1 nest pas rgulier ou excutable " exit fi

while : do # Teste au cas o, si la tche charge nest pas lance, il la lance, # puis lance son double excutant redond2 au cas o lun des 2 # viendrait mourir if [ -z "$(ps edf|grep $1$)" ] then # lancement ou rgnration de charge $1 & # &: execution asynchrone ou concurrente # nimporte quel nom absolu de lien (on vite les relatifs et PATH) fi # Lancement dun 2 me processus redond2 au cas o il serait seul if [ "$(ps edf|grep redond2$|wc -l)" lt 2 ] then # lancement ou rgnration de charge /root/redond2 & # &: excution asynchrone ou concurrente fi sleep 5 done

Note Importante au correcteur : On ne demande pas dans cette preuve, compte tenu du temps imparti, de traiter le cas o les deux processus de scurisation redond2 lanceraient, en presque mme temps (time sharing), la rgnration de charge . On se retrouverait alors avec deux processus charge . Le problme est plus long traiter et difficile.

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2012 UC D41.1 Rseaux, systme et scurit - Corrig

12/21

Question 4 - Chiffrement VPN Dfinissez brivement les 4 types de protocoles VPN. Pour chacun dentre eux, donnez les avantages et les inconvnients.
20 points : 5 points par protocole avec avantages et inconvnients Un seul avantage et inconvnient suffisent par VPN. PPTP Principe : crer des trames sous le protocole PPP et les encapsuler dans un datagramme IP. + Avantages : Implanter sur toutes les plates-formes Microsoft d'o sa facilit de mise en place. - Inconvnients : Problme de scurit d l'authentification par mot de passe (MS-CHAP). L2TP Issu de la convergence des protocoles PPTP et L2F : Encapsule des paquets PPP au niveau des couches 2 (Frame Relay et ATM) et 3 (IP). + Avantages : Mobilit (salari peut se connecter un VPN de son entreprise en conservant ses droits. - Inconvnients : Empilement des couches protocolaires : IP/PPP/L2TP/UDP/IP/Couche2 (L'ensemble n'est pas trs lger). OpenVPN Principes : expdier ces donnes chiffres et authentifies via SSL sur un port UDP en utilisant un mot de passe ou une cl publique. Les paquets sont chiffrs et authentifis (certificat sur chaque machine) en utilisant la librairie openssl. + Avantages : - outil de cration de VPN facile utiliser, robuste, scuris, rapide et configurable sur tous les systmes d'exploitations, - compatible avec le NAT et l'adressage dynamique, - volutif, vu quil repose sur 2 projets en constante volution : la bibliothque OPenSSL et le pilote TUN/TAP qui fait partie du kernel linux.

- Inconvnients : gaspillage des adresses IP.


IPSEC Permet de scuriser l'change de donnes au niveau de la couche rseau. Bas sur 2 mcanismes de scurit : AH (Authentification Header) vise assurer l'intgrit et l'authenticit des datagrammes IP, ESP (Encapsulating Security Payload) peut assurer confidentialit et intgrit des donnes. + Avantages : scurit optimale et plus robuste que celle de PPTP, scurit modulable, transparence de la scurit par rapport aux applications. - Inconvnients : - identifie les machines et non les utilisateurs, - alourdit les perfomances des rseaux du fait des oprations de cryptage/dcryptage, - pose des difficults au niveau de la mise en place au niveau des messages de broadcast et multicast, - possde de nombreux systmes de scurit ce qui le rend complexe, - ne possde pas doutil centralis pour la dfinition des rgles de scurit.

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2012 UC D41.1 Rseaux, systme et scurit - Corrig

13/21

Question 5 - Authentification Web Expliquez le mode fonctionnement du chiffrement asymtrique et lutilit des signatures numriques. Pourquoi ce chiffrement asymtrique nest utilis que pour lauthentification, et plus pour lchange des donnes ?
15 points : 10 points pour lexplication 5 points pour la justification de lauthentification Explication La cryptographie asymtrique, ou cryptographie cl publique, est une mthode de chiffrement qui s'oppose la cryptographie symtrique. Elle repose sur l'utilisation d'une cl publique (qui est diffuse) et d'une cl prive (garde secrte), l'une permettant de coder le message et l'autre de le dcoder. Ainsi, l'expditeur peut utiliser la cl publique du destinataire pour coder un message que seul le destinataire (en possession de la cl prive) peut dcoder, garantissant la confidentialit du contenu. Inversement, l'expditeur peut utiliser sa propre cl prive pour coder un message que le destinataire peut dcoder avec la cl publique ; c'est le mcanisme utilis par la signature numrique pour authentifier l'auteur d'un message. Justification de lauthentification 1re tape : Alice gnre deux cls. La cl publique (verte) qu'elle envoie Bob et la cl prive (rouge) qu'elle conserve prcieusement sans la divulguer quiconque.

2e et 3e tapes : Bob chiffre le message avec la cl publique d'Alice et envoie le texte chiffr. Alice dchiffre le message grce sa cl prive.

La signature numrique (ou certificat) permet dauthentifier la clef publique avec son propritaire (pour viter une attaque MITM par exemple). Le problme tant la lenteur de lchange des informations dans un chiffrement asymtrique. Cest pourquoi lutilisation du chiffrement asymtrique sur Internet "ne sert" qu lauthentification et changer une clef prive entre les 2 entits.

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2012 UC D41.1 Rseaux, systme et scurit - Corrig

14/21

Question 6 - Pare-feu Netfilter Donnez les commandes iptables permettant : - au client et au serveur de communiquer mutuellement par ping, - au client de se connecter au serveur via VNC, - au client de se connecter au serveur via RDP.
20 points : 5 points pour les commandes permettant au client et au serveur de communiquer (2,5 points par ligne) 10 points pour les commandes permettant au client de se connecter au serveur via VNC (5 points par ligne) 5 points pour les commandes permettant au client de se connecter au serveur via RDP (2,5 points par ligne) Commandes permettant au client et au serveur de communiquer # iptables A FORWARD p icmp i eth0 o eth1 s 12.0.0.1 d 192.168.1.1 j ACCEPT # iptables A FORWARD p icmp i eth1 o eth0 s 192.168.1.1 d 12.0.0.1 j ACCEPT Commandes permettant au client de se connecter au serveur via VNC # iptables A FORWARD p icmp i eth0 o eth1 s 12.0.0.1 d 192.168.1.1 --sport 5900 j ACCEPT # iptables A FORWARD p icmp i eth1 o eth0 s 192.168.1.1 d 12.0.0.1 --dport 5900 j ACCEPT Commandes permettant au client de se connecter au serveur via RDP # iptables A FORWARD p icmp i eth0 o eth1 s 12.0.0.1 d 192.168.1.1 --sport 3389 j ACCEPT # iptables A FORWARD p icmp i eth1 o eth0 s 192.168.1.1 d 12.0.0.1 --dport 3389 j ACCEPT

Question 7 - Script Shell Rdigez un script shell qui permet de vrifier si un login pass en argument est dclar dans le fichier des comptes. Dans le but d'assurer un suivi plus rigoureux des diffrents processus lancs, on dcide de raliser un second script userproc qui permettra de lister tous les processus en cours mais par login en session (ou connect) et de stocker les rsultats de ce script dans un fichier dont le nom est "login.proc". Ce mme fichier doit galement contenir le nombre de processus lancs par un login en session (ou connect).
20 points : 10 points pour le script shell 10 points pour le script userproc Script shell #! /bin/sh if [ "$#" -ne 1 ] ; then echo "Mauvais nombre d'arguments" echo "Usage: $0 login" exit 1 fi if grep "^$1:" /etc/passwd > /dev/null then echo "Le login $1 est dfini sur le systme" else echo "Le login $1 n'est pas dfini sur le systme" fi exit 0

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2012 UC D41.1 Rseaux, systme et scurit - Corrig

15/21

Script userproc umask 177 proc=$(who am i) set $(who|awk {print $1}`) for i in $* do echo -n "$i : " n=$(ps -u $i | wc l) if [ "$i" = "$proc" ] then echo $(($n 4)) else echo $n fi done >login.proc

Dossier 2 - Rseaux avancs

Question 1 - NAT Quelles sont les commandes IOS raliser sur le routeur 2 pour configurer et appliquer la rgle NAT souhaite ?
25 points : 10 points pour la commande ip nat inside 15 points pour les interfaces (7,5 points par interface correctement figure) $ enable # conf t (config) # ip nat inside source static 172.30.1.1 10.0.0.2 (config) # interface Fa 0/0 (config-if) # ip nat outside (config-if) # exit (config) # interface eth 1/0 (config-if) # ip nat inside

Question 2 - Routage OSPF Quelles sont les commandes IOS raliser sur le routeur 1 et retour 2 pour configurer le routage OSPF afin que les 2 htes puissent communiquer ?
20 points : 10 points par routeur correctement configur Ne pas oublier le masque gnrique. La zone (area) est bien sr lapprciation du candidat, mais celle-ci doit tre la mme dans les commandes suivantes. Sur le Routeur 1 : $ enable # conf t (config) # router ospf 10 (config-router) # network 192.0.0.0 0.255.255.255 area 10 (config-router) # network 172.1.1.0 0.0.0.255 are a 10

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2012 UC D41.1 Rseaux, systme et scurit - Corrig

16/21

Sur le Routeur 2 : $ enable # conf t (config) # router ospf 10 (config-router) # network 10.0.0.0 0.0.0.255 area 10 (config-router) # network 172.1.1.0 0.0.0.255 are a 10 Question 3 - FrameRelay

Quelle est lorigine probable du problme ? 15 points


Le paramtre ietf est absent de la commande frame-relay map ip 10.10.10.3 203.

Question 4 -VLAN Prsentez les 3 niveaux de VLAN. Donnez les commandes IOS pour configurer les ports VLAN. Comment devrez-vous configurer les ports Fa 0/0 des 2 switchs pour faire passer plusieurs VLANS ? Donnez les commandes IOS raliser.
30 points : 20 points pour les VLAN (10 points par switch bien configur) 10 points pour les commandes dagrgation Un seul switch suffira pour avoir tous les points. Pas besoin de configurer les subinterfaces des routeurs pour lencapsulation. VLAN Sur le Switch 1 : $ enable # vlan database (vlan) # vlan 20 (vlan) # vlan 30 Il faut ensuite appliquer ces vlan sur les interfaces en questions : (vlan) # exit # conf t (config) # interface Ethernet 1/0 (config-if) # switchport mode access (config-if) # switchport access vlan 30 (config-if) # exit (config) # interface Ethernet 1/1 (config-if) # switchport mode access (config-if) # switchport access vlan 20 Sur le Switch 2 : $ enable # vlan database (vlan) # vlan 20 (vlan) # vlan 30 Il faut ensuite appliquer ces vlan sur les interfaces en questions : (vlan) # exit # conf t

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2012 UC D41.1 Rseaux, systme et scurit - Corrig

17/21

(config) # interface Ethernet 1/0 (config-if) # switchport mode access (config-if) # switchport access vlan 30 (config-if) # exit (config) # interface Ethernet 1/1 (config-if) # switchport mode access (config-if) # switchport access vlan 20 Commandes dagrgation Il faut que les ports Fa 0/0 des 2 switchs soient configurs comme Trunk (aggrgation en Franais) pour que ces ports transmettent plusieurs vlans sur une mme liaison. Les commandes faire sur les 2 switchs sont : (config) # interface Fa 0/0 (config-if) # switchport mode trunk (config-if) # switchport trunk allowed vlan all (la commande # switchport trunk allowed vlan 20,30 est accepte)

Question 5 - Routage Que reprsente "O*E2" dans la ligne "O*E2 0.0.0.0/0 [110/1] via 192.168.1.1, 00:05:34, Serial0/0"
15 points : 10 points pour le terme dfaut 5 points pour linterface Serial Route OSPF externe (par dfaut) sans incrment de cot. Toutes les trames transiteront via linterface Serial 0/0.

Question 6 - Pare-feu Expliquez le rle des deux rgles de filtrage numro 1 et numro 4. Ajoutez la rgle permettant dautoriser ces connexions de maintenance en spcifiant sa position dans la table.
25 points : 16 points pour le rle des deux rgles (8 points par rgle correcte) 9 points pour lajout (6 points pour la rgle, 3 points pour le placement de la rgle) Rle des deux rgles Rgle N 1 : elle autorise les connexions des clients internet (IP source non spcifie) au site Web (serveur 179.169.10.106) par le protocole http (port 80) Rgle N4 : elle autorise lentre des rponses aux requtes DNS (port source 53) destination du serveur DNS (serveur 179.169.10.107) venant de nimporte quel serveur internet (IP source non spcifie). Le contrat de maintenance du site marchand prvoit la mise jour du site pendant deux ans. Pour permettre au technicien de maintenance deffectuer des mises jour distance sur le serveur Web, vous devez autoriser les connexions par le protocole SSH (Secure Shell) sur ce serveur, ceci uniquement en provenance de lordinateur dadresse 195.65.21.4. Ajout de la rgle La rgle suivante est insrer avant la rgle numro 7.

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2012 UC D41.1 Rseaux, systme et scurit - Corrig

18/21

Question 7 - Trames rseaux A quoi correspondent les trames de la capture ci-dessous ? Quel est le mot de passe de lutilisateur ? Expliquez les 2 modes de ce protocole. Quelles sont les mthodes pour scuriser ces transactions ?
25 points : 5 points pour lchange FTP et le mot de passe 16 points pour les 2 modes de ce protocole (8 points pour le mode passif, 8 points pour le mode actif) 4 points pour les mthodes Correspondance des trames de la capture et mot de passe Les trames de la capture prsente une communication (plus prcisment une authentification) FTP. Le mot de passe de lutilisateur est : cdts3500 2 modes de ce protocole - Mode FTP passif Comme pour le FTP actif, le client tabli une premire session TCP sur le port 21 (FTP) du serveur ("control channel"). Une fois la session tablie et l'authentification FTP accepte, on demande au serveur de se mettre en attente de session TCP grce la commande PASV. Alors le client peut tablir une seconde session TCP sur un port dynamique vers le serveur ("data channel"). Le numro de port dynamique est transmis du serveur vers le client suite la commande PASV

Mode FTP actif C'est le mode par dfaut des clients FTP. Le client tabli dans un premier temps une session TCP sur le port 21 (FTP) du serveur ("control channel"). Une fois la session tablie et l'authentification FTP accepte, c'est le serveur qui tablit une session TCP (avec le port source 20, FTP-DATA) vers un port dynamique du client ("data channel").

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2012 UC D41.1 Rseaux, systme et scurit - Corrig

19/21

Mthodes Pour offrir de la scurit au protocole ftp, un protocole ftp scuris a t dvelopp aussi nomm FTP over SSL (RFC2228). La plupart des serveurs ftp scuriss utilisent des certificats et clefs de scurit pour lauthentification des clients. Durant les tentatives de connexion, le serveur vrifie le certificat du client. Certificat permettant de confirmer lidentit du serveur FTP (pour viter une attaque MITM par exemple). Il existe dautres mcanismes de scurisation, mais pas directement li au protocole. Par exemple, nous pourrions encapsuler toutes les trames dans un tunnel VPN.

Question 8 - Trames et routage Donnez les trames des 3 tapes (cf. rseau ci-dessus) en fournissant les bonnes informations pour chacune dentre elles (adresse MAC et adresse IP).
15 points : 5 points par trame correcte Etape 1 :

Etape 2 :

Etape 3 :

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2012 UC D41.1 Rseaux, systme et scurit - Corrig

20/21

GRILLE DE NOTATION - D41.1 Rseaux, systme et scurit : Exercice NOM DU CORRECTEUR__________________________________ Prnom du correcteur___________________________________ N de candidat____________ Dossier Note attribue Observations obligatoires

Dossier 1 - Scurit

/130

Dossier 2 - Rseaux avancs

/170

TOTAL Apprciation gnrale :

/300

Je soussign,____________________, certifie avoir corrig la copie dexamens en suivant le corrig dexamens en ma possession et en respectant la procdure de correction des examens.

Fait _______________________________________ le ____________

Signature :

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2012 UC D41.1 Rseaux, systme et scurit - Corrig

21/21