Vous êtes sur la page 1sur 7

Institut Supérieur des Etudes Technologiques en Communications

Enseignant : Yacine Djemaiel AU : 2019-2020

Techniques de protection
dans les réseaux

Exercice 1

Un administrateur a rajouté à la politique de sécurité les règles suivantes pour assurer le


contrôle d’accès à son réseau :
R1 : Le trafic web à l’entrée du réseau est autorisé uniquement pour le serveur web publique.
R2 : Uniquement les postes de travail internes ayant les adresses IP 192.168.2.5 et 192.168.2.6
sont autorisées à se connecter à n’importe quel serveur Telnet externe.
R3 : La machine d’administrateur ayant l’adresse IP 192.168.2.9 est capable d’accéder à
n’importe quel service TCP externe.
R4 : Uniquement les postes de travail ayant des adresses IP appartenant à la plage d’adresses:
192.168.2.100-110 sont autorisées d’imprimer sur l’imprimante interne ayant l’adresse IP :
192.168.2.250.
1) Préciser les règles qui peuvent être implémentées au niveau du firewall à l’entrée du
réseau. Justifier la réponse.
 Réponse :

Pour la politique de sécurité définie, il est nécessaire d’illustrer les différentes règles
définies sur l’architecture du réseau pour mettre en évidence le sens du trafic associé.

Enseignant : Yacine Djemaiel AU : 2020/2021 1/7


Institut Supérieur des Etudes Technologiques en Communications

Enseignant : Yacine Djemaiel AU : 2019-2020

Les règles qui peuvent être implémentés au niveau du firewall doivent correspondre à
un trafic qui le traverse  Les règles R1, R2 et R3 peuvent être implémentées au
niveau du firewall de bord.
La règle 4 ne peut pas être implémentée au niveau du firewall, vu qu’elle concerne un
trafic réseau interne.

2) Ecrire les règles qui doivent être rajoutées au firewall à l’entrée du réseau s’il assure le
filtrage simple de paquets et que la politique par défaut est « default=deny ».
 Réponse :
Données de l’exercice :
- Un filtrage simple de paquets  la règle de filtrage est formée par les
sélecteurs suivants : Adresse source, adresse de destination, port source,
port de destination et le type de protocole.
- Une politique par défaut « default = deny » la dernière règle à rajouter à la
liste à définir.

Enseignant : Yacine Djemaiel AU : 2020/2021 2/7


Institut Supérieur des Etudes Technologiques en Communications

Enseignant : Yacine Djemaiel AU : 2019-2020

NB : l’adresse IP du serveur web : 192.168.1.10

Id règle Action Protocole Adresse Port Adresse de Port de


source source destination destination
R1 Allow TCP * * 192.168.2.10 80
R2 Allow TCP 192.168.2.5/.6 * * 23
R3 Allow TCP 192.168.2.9 * * *
Politique Deny IP * * * *
par défaut

L’ordre des règles de filtrage peut être à considérer si les données de l’exercice présentent en
plus des statistiques sur les taux de trafic par règle.
Le taux le plus élevés doit correspondre à la règle d’ordre 1 et ainsi de suite à cause de la
propriété top  down.

3) Donner les règles d’autorisation pour un trafic FTP (filtrage simple de paquets).
 Réponse :
FTP est un service TCP qui présente un ensemble de particularités qui doivent être
considérées lors de l’élaboration des règles de filtrage surtout pour un filtrage
simple de paquets :
1) Deux canaux définis pour le FTP : canal de contrôle (port TCP 21 au niveau du
serveur FTP) et canal de données (port TCP 20 au niveau du serveur FTP). Le
canal de contrôle est établi en premier lieu.
2) Le canal de données est initié par le serveur (pour le FTP mode actif)
Si on considère comme donnée que tous les nœuds du réseau local
(192.168.2.0/24) peuvent bénéficier d’un accès à n’importe quel serveur FTP
externe au réseau, les règles de filtrage à définir doivent être comme suit :

Id règle Action Protocole Adresse Port Adresse de Port de


source source destination destination
R’1 Allow TCP 192.168.2.0/24 * * 21
R’2 Allow TCP * 21 192.168.2.0/24 *
R’3 Allow TCP * 20 192.168.2.0/24 *
R’4 Allow TCP 192.168.2.0/24 * * 20

Enseignant : Yacine Djemaiel AU : 2020/2021 3/7


Institut Supérieur des Etudes Technologiques en Communications

Enseignant : Yacine Djemaiel AU : 2019-2020

Politique Deny IP * * * *
par défaut

Les ports applicatifs ne peuvent pas être fixés dans ce cas vu que le nœud réseau peut utiliser
n’importe quel port non utilisé.

Exercice 2

Soit les cinq ressources R1R5 disposant des adresses IP privées appartenant à la classe
C, N la cardinalité de l’ensemble des adresses privées et M celle des adresses IP publiques
disponibles.

1) L’administrateur a choisi d’implémenter un NAT statique. Donner dans ce cas les


valeurs possibles de M et N et quelle est la nature des ressources (R1R5) pour qu’il
n’y ait pas de gaspillage des adresses IP publiques. Justifier la réponse.
 Réponse :
Illustration des données de l’exercice :

Enseignant : Yacine Djemaiel AU : 2020/2021 4/7


Institut Supérieur des Etudes Technologiques en Communications

Enseignant : Yacine Djemaiel AU : 2019-2020

L’endroit possible pour l’implémentation du NAT est au niveau du routeur de bord


ou le firewall de bord (à n’importe quel équipement situé au niveau d’un point de
passage forcé du trafic, appelé point de contrôle, dans le cas général).

Donnée de l’exercice : Un NAT statique  mappage un à un des ressources


privées par rapport aux ressources publiques (adresses IP). Afin de satisfaire cette
contrainte, les cardinalité des deux ensembles doit être égales, à savoir N=M.
Selon les données de l’exercice, il y a cinq ressources (R1R5), donc N=M=5.
La nature des ressources : des serveurs publics de l’entreprise.
Justification : les serveurs publics nécessitent une adresse IP publique qui ne
change pas fréquemment vu que cette information doit être définie/annoncée au
niveau du DNS et ne doit pas subir des modifications fréquentes.

2) Illustrer à travers un diagramme l’utilisation des adresses IP publiques si un NAT


dynamique est déployé pour les ressources R1 R5 et dégager à partir de ce
diagramme la condition pour que ce NAT soit utilisé (indication : une valeur possible
pour M peut être définie dans ce cas).
 Réponse :
Illustration des données de l’exercice :
NAT dynamique  condition d’exécution : N > M et le nombre de machines se
connectant en même temps est inférieur ou égale à M
Soit M= 3, un exemple de diagramme illustrant l’usage des adresses publiques pour
les cinq ressources (N=5 et M=3) est le suivant :

Enseignant : Yacine Djemaiel AU : 2020/2021 5/7


Institut Supérieur des Etudes Technologiques en Communications

Enseignant : Yacine Djemaiel AU : 2019-2020

Condition : quel que soit l’instant sélectionné sur le diagramme, la valeur max des
adresses IP publiques utilisées est : 3

3) Donner les techniques de translation d’adresse appropriées au réseau comportant


quatre ressources et disposant uniquement de trois adresses publiques sachant que
l’accès au réseau public est planifié selon la Figure 1 (justifier votre choix).

 Réponse :
Selon les données de l’exercice, la ressource R1 a besoin d’une adresse IP publique
tout le temps  R1 = serveur et un NAT statique doit être utilisé pour R1
@ privé R1 -------- > @ pub (association permanente)
N=4  N’=3 et M’=2  Utilisation d’un NAT dynamique pour le reste des
ressources vu quel que soit l’instant, le nombre max de nœuds connecté ne dépasse
pas la valeur 2 comme suit :

Enseignant : Yacine Djemaiel AU : 2020/2021 6/7


Institut Supérieur des Etudes Technologiques en Communications

Enseignant : Yacine Djemaiel AU : 2019-2020

Enseignant : Yacine Djemaiel AU : 2020/2021 7/7

Vous aimerez peut-être aussi