Institut Supérieur des Etudes Technologiques en Communications
Enseignant : Yacine Djemaiel AU : 2019-2020
Techniques de protection dans les réseaux
Exercice 1
Un administrateur a rajouté à la politique de sécurité les règles suivantes pour assurer le
contrôle d’accès à son réseau : R1 : Le trafic web à l’entrée du réseau est autorisé uniquement pour le serveur web publique. R2 : Uniquement les postes de travail internes ayant les adresses IP 192.168.2.5 et 192.168.2.6 sont autorisées à se connecter à n’importe quel serveur Telnet externe. R3 : La machine d’administrateur ayant l’adresse IP 192.168.2.9 est capable d’accéder à n’importe quel service TCP externe. R4 : Uniquement les postes de travail ayant des adresses IP appartenant à la plage d’adresses: 192.168.2.100-110 sont autorisées d’imprimer sur l’imprimante interne ayant l’adresse IP : 192.168.2.250. 1) Préciser les règles qui peuvent être implémentées au niveau du firewall à l’entrée du réseau. Justifier la réponse. Réponse :
Pour la politique de sécurité définie, il est nécessaire d’illustrer les différentes règles définies sur l’architecture du réseau pour mettre en évidence le sens du trafic associé.
Enseignant : Yacine Djemaiel AU : 2020/2021 1/7
Institut Supérieur des Etudes Technologiques en Communications
Enseignant : Yacine Djemaiel AU : 2019-2020
Les règles qui peuvent être implémentés au niveau du firewall doivent correspondre à un trafic qui le traverse Les règles R1, R2 et R3 peuvent être implémentées au niveau du firewall de bord. La règle 4 ne peut pas être implémentée au niveau du firewall, vu qu’elle concerne un trafic réseau interne.
2) Ecrire les règles qui doivent être rajoutées au firewall à l’entrée du réseau s’il assure le filtrage simple de paquets et que la politique par défaut est « default=deny ». Réponse : Données de l’exercice : - Un filtrage simple de paquets la règle de filtrage est formée par les sélecteurs suivants : Adresse source, adresse de destination, port source, port de destination et le type de protocole. - Une politique par défaut « default = deny » la dernière règle à rajouter à la liste à définir.
Enseignant : Yacine Djemaiel AU : 2020/2021 2/7
Institut Supérieur des Etudes Technologiques en Communications
Enseignant : Yacine Djemaiel AU : 2019-2020
NB : l’adresse IP du serveur web : 192.168.1.10
Id règle Action Protocole Adresse Port Adresse de Port de
L’ordre des règles de filtrage peut être à considérer si les données de l’exercice présentent en plus des statistiques sur les taux de trafic par règle. Le taux le plus élevés doit correspondre à la règle d’ordre 1 et ainsi de suite à cause de la propriété top down.
3) Donner les règles d’autorisation pour un trafic FTP (filtrage simple de paquets). Réponse : FTP est un service TCP qui présente un ensemble de particularités qui doivent être considérées lors de l’élaboration des règles de filtrage surtout pour un filtrage simple de paquets : 1) Deux canaux définis pour le FTP : canal de contrôle (port TCP 21 au niveau du serveur FTP) et canal de données (port TCP 20 au niveau du serveur FTP). Le canal de contrôle est établi en premier lieu. 2) Le canal de données est initié par le serveur (pour le FTP mode actif) Si on considère comme donnée que tous les nœuds du réseau local (192.168.2.0/24) peuvent bénéficier d’un accès à n’importe quel serveur FTP externe au réseau, les règles de filtrage à définir doivent être comme suit :
Id règle Action Protocole Adresse Port Adresse de Port de
Institut Supérieur des Etudes Technologiques en Communications
Enseignant : Yacine Djemaiel AU : 2019-2020
Politique Deny IP * * * * par défaut
Les ports applicatifs ne peuvent pas être fixés dans ce cas vu que le nœud réseau peut utiliser n’importe quel port non utilisé.
Exercice 2
Soit les cinq ressources R1R5 disposant des adresses IP privées appartenant à la classe C, N la cardinalité de l’ensemble des adresses privées et M celle des adresses IP publiques disponibles.
1) L’administrateur a choisi d’implémenter un NAT statique. Donner dans ce cas les
valeurs possibles de M et N et quelle est la nature des ressources (R1R5) pour qu’il n’y ait pas de gaspillage des adresses IP publiques. Justifier la réponse. Réponse : Illustration des données de l’exercice :
Enseignant : Yacine Djemaiel AU : 2020/2021 4/7
Institut Supérieur des Etudes Technologiques en Communications
Enseignant : Yacine Djemaiel AU : 2019-2020
L’endroit possible pour l’implémentation du NAT est au niveau du routeur de bord
ou le firewall de bord (à n’importe quel équipement situé au niveau d’un point de passage forcé du trafic, appelé point de contrôle, dans le cas général).
Donnée de l’exercice : Un NAT statique mappage un à un des ressources
privées par rapport aux ressources publiques (adresses IP). Afin de satisfaire cette contrainte, les cardinalité des deux ensembles doit être égales, à savoir N=M. Selon les données de l’exercice, il y a cinq ressources (R1R5), donc N=M=5. La nature des ressources : des serveurs publics de l’entreprise. Justification : les serveurs publics nécessitent une adresse IP publique qui ne change pas fréquemment vu que cette information doit être définie/annoncée au niveau du DNS et ne doit pas subir des modifications fréquentes.
2) Illustrer à travers un diagramme l’utilisation des adresses IP publiques si un NAT
dynamique est déployé pour les ressources R1 R5 et dégager à partir de ce diagramme la condition pour que ce NAT soit utilisé (indication : une valeur possible pour M peut être définie dans ce cas). Réponse : Illustration des données de l’exercice : NAT dynamique condition d’exécution : N > M et le nombre de machines se connectant en même temps est inférieur ou égale à M Soit M= 3, un exemple de diagramme illustrant l’usage des adresses publiques pour les cinq ressources (N=5 et M=3) est le suivant :
Enseignant : Yacine Djemaiel AU : 2020/2021 5/7
Institut Supérieur des Etudes Technologiques en Communications
Enseignant : Yacine Djemaiel AU : 2019-2020
Condition : quel que soit l’instant sélectionné sur le diagramme, la valeur max des adresses IP publiques utilisées est : 3
3) Donner les techniques de translation d’adresse appropriées au réseau comportant
quatre ressources et disposant uniquement de trois adresses publiques sachant que l’accès au réseau public est planifié selon la Figure 1 (justifier votre choix).
Réponse : Selon les données de l’exercice, la ressource R1 a besoin d’une adresse IP publique tout le temps R1 = serveur et un NAT statique doit être utilisé pour R1 @ privé R1 -------- > @ pub (association permanente) N=4 N’=3 et M’=2 Utilisation d’un NAT dynamique pour le reste des ressources vu quel que soit l’instant, le nombre max de nœuds connecté ne dépasse pas la valeur 2 comme suit :
Enseignant : Yacine Djemaiel AU : 2020/2021 6/7
Institut Supérieur des Etudes Technologiques en Communications
![TP N°12 - Implémenter l’accès sécurisé au Serveur[SSH]](https://imgv2-1-f.scribdassets.com/img/document/559193359/149x198/f9591b1405/1644969279?v=1)
