OFPPT

Office de la Formation Professionnelle

et de la Promotion du Travail

Direction Régionale Centre Sud

Examen Régional de fin de module : Année 2018-2019

Filière : TRI Durée : 02h30

Niveau : TS Barème : /40 points
Module : Sécurité des Réseaux Informatiques Variante : N°1

La société FesNet est une société de services en informatique. Vous êtes recrutés en tant
que administrateur réseau dans cette société chargé de la sécurité informatique. Le réseau de la
société FesNet est représenté sur annexe 1

Partie A : Les concepts de base de la sécurité

1. Vous devez mettre à la disposition de votre responsable supérieur une étude technique lui
expliquant les différentes contremesures à entreprendre. Pour cela, vous devez utiliser certains
termes.
1.1 Définir les termes suivants :
a) Trojan Horse.
b) Les « Carders ».
1.2. Expliquer le type de trafic relié au plan de gestion.

Partie B : La sécurisation des périphériques

2. Pour la sécurisation du plan gestion, on vous a confié un cahier de charge que vous devrez
l’appliquer sur R1.
2.1 Attribuer des rôles administratifs et configurer les connexions SSH :
a) Configurer une longueur minimale de mot de passe de 8 caractères.
b) Configurer les connections ssh avec les options suivantes :
 Nom de domaine : fes.local,
 La clé de cryptage RSA est de 1024 bit,
 La version SSH est la version 2,
 Le délai d'attente 60s,
 le nombre de tentatives de connexion 3,
 Autoriser uniquement les sessions SSH.
c) Créez un nouveau compte utilisateur avec les options suivantes :
 Nom de compte : « User1 »,
 Mot de passe « UsErSshPs»,
 Niveau de privilège 10,
d) Configurer un niveau de privilège 10 avec les options suivantes :
 Mot de passe du niveau de privilège «CiscoPrivPs »,
 Autoriser la commande « ping » à ce niveau de privilège dans le mode exec,
 Autoriser la commande « ssh » à ce niveau de privilège dans le mode exec

Page 1/4 Variante 1

 Partie C : Sécurisation des réseaux locaux :
3. On veut sécuriser le LAN.
3.1 Remplir le Tableau suivant qui présente quelques attaques dans les LANs :

N.B : Dans les contre-mesures, il n’est pas demandé de préciser les commandes à introduire, se
contenter d’expliquer la technique et/ou le protocole pour empêcher l’attaque.

Attaque Principe Contre-Mesures ou Remèdes

Attaque d’Inondation @ MAC

Attaque épuisement de ressources

DHCP « DHCP Starvation »

Attaque STP « Spanning-Tree »

Partie D : La supervision des éléments réseau.

4. Pour superviser le réseau, il a été décidé d’implanter le protocole SNMP.
4.1 Définir le rôle du protocole SNMP.
4.2 Superviser le réseau avec SNMP.
Configurer le routeur R1 pour utiliser SNMP avec les options suivantes :
 l'identifiant de la « communauté » : fesNet,
 niveau d'accès : lecture/écriture,

Partie E : La sécurisation de l'accès aux réseaux à l’aide d’un pare-feu.

5. Pour contrôler le flux de données venant de l’extérieur et traversant le routeur R1, le cahier de
charge contient l’obligation d’utiliser un pare-feu à base de zone (ZFW ). Vous allez appliquer la
configuration sur le routeur R1.
5.1 Expliquer le fonctionnement des éléments suivant :
a) Un ZFW
b) Une zone DMZ
5.2 Implémenter un pare-feu à base de zone.
a) Créer une les zones de sécurité suivantes :
 la zone interne avec le nom IN-ZONE,
 la zone DMZ avec le nom DMZ-ZONE,
 la zone externe avec le nom OUT-ZONE.
b) Créer une Class-Map pour identifier le trafic autorisé dans la zone DMZ-ZONE avec les options
suivantes :
 l'identifiant de la Class-Map : CMAP-IN-TO-DMZ,
 protocoles autorisés : http, ftp, icmp.
c) Créer une Policy-Map pour appliquer les règles d’accès de Class-Map CMAP-IN-TO-DMZ avec
les options suivantes :
 l'identifiant de la Class-Map : PMAP-IN-TO-DMZ,
 règle appliquée: Pass,
d) Créer une paire de zone qui applique la stratégie PMAP-IN-TO-DMZ entre IN-ZONE avec
DMZ-ZONE.

Page 2/4 Variante 1

 e) Affecter les interfaces aux zones.

Partie F : La sécurisation des données sur Internet

6. Le réseau de la société doit échanger plusieurs données sensibles à travers le réseau Internet.
Pour sécuriser ce trafic de données vous devez créer un tunnel VPN entre le routeur R1 et R2.
Cette technique utilise plusieurs concepts que vous devez maitriser avant de configurer les
routeurs.
6.1 Définir les termes suivants :
a) Un chiffrement symétrique et donner deux exemples d’algorithmes.
b) Une fonction de Hachage.
6.2 Expliquer le fonctionnement de la cryptographie à clé publique dans le cas suivant:
L’authentification.

7. La configuration du VPN a été introduite sur le routeur R1 par un spécialiste.

Cependant, vous êtes invités à expliquer certains paramètres.
7.1 En se basant sur les commandes suivantes, remplir le tableau 1.
R1 (config)# crypto isakmp policy 10
R1 (config-isakmp)# encryption aes 256
R1 (config-isakmp)# authentication pre-share
R1 (config-isakmp)#group 2
R1 (config-isakmp)# lifetime 86400
R1 (config-isakmp)# hash sha
R1 (config-isakmp)# exit
R1 (config)# crypto isakmp key CiscoVpnPs address 212.217.0.16

Les paramètres ISAKMP Phase 1

L’algorithme de cryptage
Le nombre de bit utilisé pour la clé de cryptage
L’algorithme de hachage
La méthode d’authentification
La clé ISAKMP
Tableau 1

Page 3/4 Variante 1

Annexe 1 :

Barème :
Partie A Partie B Partie C Partie D Partie E Partie F
1 2 3 4 5 6 7
1.1 1.2 2.1 3.1 4.1 4.2 5.1 5.2 6.1 6.2 7.1
a b a b c d a b a b c d e a b
2p 2p 2p 1,5p 1,5p 1,5p 1,5p 6p 2p 2p 1,5p 1,5p 1,5p 1,5p 1,5p 1,5p 1,5p 1,5p 1,5p 2p 2,5p

Page 4/4 Variante 1