1.

1 Dans la spécification d’une MIB, rappelez la signification des champs SYNTAX et MAX-ACCESS utilisés dans la définition d’un objet géré.
SYNTAX définit le type de données que peut prendre un objet géré dans la MIB. Il peut être défini comme un type de données primitif (comme INTEGER, OCTET STRING) ou comme un type
défini par l'utilisateur (comme l'identificateur d'une autre entrée dans la MIB).
MAX-ACCESS définit les restrictions d'accès aux objets gérés. Il peut être défini comme read-only, read-write ou not-accessible, ce qui indique respectivement si l'objet peut être consulté,
modifié ou si l'accès est restreint.

1.1. La gestion de la configuration fait partie des aires fonctionnelles FCAPS définies par l’ISO. Selon vous, dans quelle mesure la gestion de la configuration est-elle
fortement liée aux autres aires fonctionnelles (donnez un ou deux exemples) ?

La gestion de la configuration est fortement liée aux autres aires fonctionnelles de FCAPS, notamment à la surveillance de la performance (Performance Management) et à la
gestion des incidents (Incident Management). Exemple 1 : La gestion de la configuration permet de savoir quelle configuration est en place sur un équipement ou une application, ce
qui aide à comprendre les causes racines d'un incident. Exemple 2 : La gestion de la configuration peut fournir des informations sur les équipements et les applications qui sont
affectés par une modification de configuration, ce qui peut aider à prévenir les impacts négatifs sur les performances.

1.2 Dans le modèle organisationnel Manager/Agent, l’architecture centralisée dans laquelle un manager dialogue avec plusieurs agents est très rependue dans les
solutions de gestion. Citez deux autres architectures de déploiement de ce modèle organisationnel Manager/Agent.

Trois types d’architectures de déploiement du modèle organisationnel Manager/Agent sont :

La commande Architecture centralisée : Dans cette architecture, les agents communiquent directement avec le manager central, sans aucun intermédiaire. Cette architecture est
snmpwalk est souvent utilisée dans les environnements de petite taille ou lorsque les exigences en matière de bande passante sont limitées.
exécutée sur
l’OID Architecture hiérarchique : Dans cette architecture, il existe plusieurs niveaux de managers intermédiaires qui communiquent avec les agents et transmettent les
ipIfStatsInRecei
informations au manager central. Cette architecture est utilisée dans des environnements plus vastes ou lorsque des exigences en matière de bande passante plus
ves à
destination de élevées existent. Elle permet également une gestion plus efficace des données en répartissant la charge de traitement entre plusieurs niveaux de managers
l’agent intermédiaires.
manipulant les
instances du Architecture distribuée : L'architecture distribuée du modèle Manager/Agent implique la répartition de la gestion entre plusieurs managers répartis sur différents sites.
tableau suivant. Chaque manager peut gérer un sous-ensemble d'agents et communiquer avec d'autres managers pour échanger des informations sur les équipements gérés. Cette
Combien de approche permet une gestion efficace des équipements distribués, avec une flexibilité et une évolutivité accrues, et offre une meilleure tolérance aux pannes.
requêtes SNMP
get-next sont 1.3 Les MIB propriètaires contiennent des informations de gestion spécifiques à un constructeur. Ces MIB sont-elles spécifiées à l’aide des mêmes langages que les MIB
générées par standards ? Si oui, pourquoi ?
cette
commande ?
Les MIB propriétaires peuvent être spécifiées à l'aide des mêmes langages que les MIB standards, tels que le langage de définition de la gestion de réseau (SNMP Management
n objets, 3 lignes
Information Base, SMI). Cela permet une compatibilité avec les systèmes de gestion standard et une interopérabilité avec les autres équipements réseau. L'utilisation du même Le choix du type
donc 3n +1
langage pour spécifier les MIB propriétaires et les MIB standards assure également une cohérence dans la manière de représenter les informations de gestion dans le réseau. Cela d'objet dans une
comme indice de MIB SNMP est
fin ⇒ 1 objet → peut faciliter la compréhension et l'analyse des données de gestion par les administrateurs réseau.
basé sur les
1*3+1=4 caractéristiques des
1.4 La consulation périodique (polling) et la notification d’événements (event reporting) sont deux mécanismes distincts utilisés dans l’activité de surveillance. Vous informations à
parait-il pertinent que les informations « remontées » par l’un des deux mécanismes puissent avoir un impact sur l’utilisation de l’autre mécanisme ? Si oui, donnez un surveiller et la
exemple. manière de les
collecter. Gauge32
Oui, c'est tout à fait pertinent que les informations remontées par l'un des deux mécanismes aient un impact sur l'utilisation de l'autre mécanisme. Par exemple, si une notification est utilisé pour
d'événement est envoyée pour signaler une erreur critique sur un équipement, il est probable que la fréquence de consultation périodique soit augmentée pour surveiller de près représenter des
valeurs continues
l'état de cet équipement et s'assurer que la situation est résolue. De même, si la consultation périodique révèle une anomalie sur un équipement, il est possible que le système de
changeantes pour
gestion déclenche une notification d'événement pour alerter l'administrateur réseau. En résumé, les informations remontées par l'une des deux méthodes peuvent influencer la des données
manière dont l'autre mécanisme est utilisé pour surveiller le réseau, ce qui permet une réponse plus efficace en cas de problèmes. sensibles au temps,
tandis que
1.5. Après avoir rappelé l’objectif de la surveillance de réseaux de communication, donnez un exemple de cette activité pour chacune des 5 aires fonctionnelles définies Counter32 est utilisé
par l’ISO dans la gestion OSI. pour représenter des
compteurs
L'objectif de la surveillance de réseaux de communication est de surveiller et de gérer les performances et la disponibilité des équipements réseau pour garantir un service fiable aux incrémentants. Le
utilisateurs. choix entre les deux
dépend des
caractéristiques des
1. Configuration (F): La surveillance de la configuration consiste à vérifier que les équipements réseau sont correctement configurés et que les paramètres requis pour leur fonctionnement
informations à
sont en place. Par exemple, vérifier si les adresses IP sont correctement attribuées et si les routes sont correctement définies. surveiller pour
assurer une collecte
2. Accounting (A): La surveillance de la comptabilité consiste à suivre l'utilisation des ressources réseau. Par exemple, enregistrer le nombre de paquets transmis sur une interface réseau ou de données SNMP
le nombre de sessions actives sur un serveur. précise et efficace.

3. Performance (P): La surveillance des performances consiste à surveiller les indicateurs de performance du réseau pour détecter les problèmes potentiels et les corriger. Par exemple,
surveiller le débit d'une interface réseau ou le temps de réponse d'un serveur.

4. Security (S): La surveillance de la sécurité consiste à surveiller les activités de sécurité pour protéger les données et les ressources du réseau. Par exemple, surveiller les tentatives
d'intrusion ou les violations de sécurité.

5. Fault (F): La surveillance des fautes consiste à détecter les pannes et les incidents pour les corriger rapidement. Par exemple, surveiller les états d'interface réseau pour détecter les
pannes de lien ou les incidents de couche liaison de données.

1.6 Citez les deux types d’interactions supportés par le modèle organisationnel Manager / Agent. Pour chacun de ces types d’interactions, que pouvez-vous dire en
termes de :
GET Lecture de la valeur d'un objet
a. Nombre de messages échangés. b. Capacité de reprise de messages perdus. c. Temps de prise en compte d’incidents F SET Mise à jour de la valeur d'un objet
F TRAP Notification d'un évènement significatif
Il existe deux types d'interactions supportées par le modèle organisationnel Manager / Agent :

1. Interaction Synchrone: a. Nombre de messages échangés: Un seul message est échangé à la fois. b. Capacité de reprise de messages perdus: Faible, car il n'y a pas
de capacité de reprise de messages perdus en mode synchrone. c. Temps de prise en compte d'incidents: Immédiat, car l'interaction est en temps réel.

2. Interaction Asynchrone: a. Nombre de messages échangés: Plusieurs messages peuvent être échangés en parallèle. b. Capacité de reprise de messages perdus:
Élevée, car les messages peuvent être stockés et récupérés en cas de perte de connexion. c. Temps de prise en compte d'incidents: Différé, car l'interaction n'est pas
en temps réel.

1.7 En quoi consiste l’intégration d’une MIB ?

L'intégration d'une MIB permet à un NMS (Network Management System) de surveiller et gérer les équipements du réseau en ajoutant des informations à un système de gestion de
réseau. La MIB est une base de données hiérarchique qui contient des informations sur les objets gérables du réseau et peut être accédée à distance via SNMP. L'intégration
nécessite la définition des objets à surveiller, la mise en place de SNMP sur les équipements et la configuration du NMS pour accéder à la MIB. Les informations collectées peuvent
être utilisées pour surveiller les performances du réseau, diagnostiquer les problèmes et prendre des décisions de gestion.

1.8 Vous venez d’installer un nouveau routeur au sein du réseau de communication de votre entreprise déjà supervisé par un logiciel de supervision de réseaux (tel que
Nagios). Décrivez les différentes étapes chronologiques à réaliser pour intégrer ce nouvel équipement à votre outil existant.

Les étapes chronologiques pour intégrer un nouveau routeur dans un réseau déjà supervisé par un outil de supervision de réseau seraient les suivantes :

Configuration du routeur: assurez-vous que le routeur est correctement configuré et fonctionne correctement avant de l'intégrer dans le système de supervision.
Mise en place de SNMP sur le routeur: configurez SNMP sur le nouveau routeur pour permettre la communication avec l'outil de supervision.
Ajout du routeur à l'outil de supervision: ajoutez le nouveau routeur à l'outil de supervision en spécifiant ses informations d'identification (adresse IP, nom d'hôte, etc.).
Définition des objets à surveiller: définissez les objets à surveiller sur le nouveau routeur dans l'outil de supervision. Cela peut inclure les interfaces réseau, les
statistiques de trafic, les performances, etc.

b) Quelles sont les opérations du protocole SNMP v1 autorisées sur cet objet ? D'après la définition de l'objet
IpReasmTimeout, seule l'opération de lecture (read) est autorisée sur cet objet dans le protocole SNMP v1. En raison de la
définition de MAX-ACCESS en tant que "read-only", aucune opération d'écriture (write) n'est autorisée sur cet objet.
 Vérification de la surveillance: vérifiez que le nouveau routeur est correctement surveillé en visualisant les données de surveillance dans l'outil de supervision.
Ajout de notifications: ajoutez des notifications pour les alarmes importantes pour être alerté en cas de problèmes sur le nouveau routeur.
Test et vérification: effectuez des tests pour vous assurer que le nouveau routeur est intégré correctement et fonctionne de manière optimale avec l'outil de
supervision.

1.10 Quels liens pouvez-vous identifier entre les aires fonctionnelles « fautes » et « performances » (de FCAPS) ? Les aires fonctionnelles "fautes" et "performances" sont
liées car elles sont toutes les deux nécessaires pour garantir le bon fonctionnement et la disponibilité d'un réseau. L'aire fonctionnelle "fautes" se concentre sur la détection et la
gestion des erreurs et des incidents dans le réseau, tandis que l'aire fonctionnelle "performances" se concentre sur la surveillance et l'optimisation des performances du réseau. En
ensemble, les aires fonctionnelles FCAPS permettent une gestion complète et efficace du réseau, en permettant de surveiller, de contrôler et de résoudre les problèmes liés à la
performance, à la sécurité et à la qualité de service.

1.11 Dans le domaine de la gestion, des standards existent pour le modèle de communication et pour le modèle informationnel. Quel est l’intérêt de disposer de
standards dans chacun de ces modèles ? L'utilisation de standards dans les modèles de communication et informationnel de la gestion présente plusieurs avantages:

1. Interopérabilité: Les standards permettent une interopérabilité entre les différents équipements et systèmes de gestion, ce qui permet à ces équipements de travailler
ensemble sans problèmes de compatibilité. Amélioration de la qualité: Les standards garantissent une qualité cohérente dans les données collectées et les processus
de gestion, ce qui peut aider à éviter les erreurs et les incohérences dans les informations. Facilitation de la gestion: Les standards simplifient la gestion en
permettant aux administrateurs réseau de comprendre et de gérer plus facilement les données et les équipements du réseau. Meilleure collaboration: Les standards
permettent une collaboration entre les différents acteurs du réseau, ce qui peut améliorer la qualité de service et la réactivité en cas de problème.

En résumé, l'utilisation de standards dans les modèles de communication et informationnel de la gestion aide à garantir une gestion cohérente, efficace et de qualité pour les réseaux
de communication. L’intérêt des INDEX ? Le concept d'index permet d'identifier de manière unique les entrées dans une table SNMP en associant une ou plusieurs valeurs uniques à chaque entrée. Cela
facilite l'accès à des entrées spécifiques dans la table et la surveillance de ses changements pour une gestion efficace et fiable des données.
1.12 Rappelez le rôle d’un modèle informationnel dans l’activité de gestion de réseaux. Il permet de visualiser, de comprendre et de gérer le réseau de manière efficace et
La commande cohérente. De plus, le modèle informationnel peut être utilisé pour simuler différents scénarios et évaluer leur impact sur le réseau, ce qui aide à prendre des décisions informées sur
suivante est les améliorations à apporter au réseau pour atteindre les objectifs de performance et de disponibilité souhaités.
éxécutée (on
suppose un 1.13 Dans certaines entreprises, il n’est pas rare d’avoir plusieurs « manager » déployés dans différentes parties du réseau. Citez deux raisons qui peuvent justifier ce
agent SNMP à choix. Scalabilité: La mise en place de plusieurs managers peut permettre une meilleure scalabilité du système de gestion en gérant les différentes parties du réseau de manière
l’adresse indépendante et plus efficace. Délégation de responsabilité: Cela peut également permettre une meilleure délégation de responsabilité en attribuant à chaque manager une partie
192.168.1.22) : du réseau à surveiller. Les managers peuvent alors être en charge de la surveillance et de la gestion des problèmes locaux sans avoir à faire appel à une équipe centralisée.
snmpgetnext -v2c
-c public
1.14 Certaines limites existent dans la première version du protocole SNMP. Citez une amélioration introduite par la version 2 et une amélioration par la version 3. SNMP
192.168.1.22
version 2 (SNMPv2) : une amélioration introduite par SNMPv2 est la mise en place de la gestion de la communauté, permettant une meilleure sécurité pour les données et les
ipIfStatsOutForwD informations gérées par le protocole. SNMP version 3 (SNMPv3) : une amélioration introduite par SNMPv3 est la mise en place de la sécurité de bout en bout, incluant
atagrams l'authentification et le cryptage des données, ainsi que la prise en charge de l'accès à distance sécurisé. Cela a amélioré la protection des données sensibles transmises entre les
ipIfStatsOutDiscar équipements réseau et le système de gestion.
ds
a) Combien de 1.15 Quels sont les limites de la première version du protocole SNMP ? Les limites de la première version du protocole Simple Network Management Protocol (SNMPv1)
requêtes SNMP incluent : Faible sécurité: SNMPv1 utilise un simple système de mot de passe, qui peut facilement être piraté. Pas de cryptage des données: Les données transmises via Un administrateur
souhaite
sont envoyées
SNMPv1 ne sont pas cryptées, ce qui peut les rendre vulnérables aux attaques de sniffing. Taille limitée des données: SNMPv1 a des limites sur la taille des données pouvant être connaître le
par cette
transmises, ce qui peut limiter les informations disponibles pour la gestion du réseau. Pas de gestion des erreurs: SNMPv1 ne prend pas en charge la gestion des erreurs, ce qui nombre de
commande ?
Cette commande peut rendre difficile la détection et la résolution des problèmes réseau. paquets IP reçus
sur l’interface i0
envoie une seule
requête SNMP. La Ces limitations ont entraîné le développement de versions ultérieures du protocole SNMP, telles que SNMPv2c et SNMPv3, qui apportent une meilleure sécurité et des et détruits par
manque
commande fonctionnalités améliorées pour la gestion du réseau.
"snmpgetnext" d’information
dans la table de
envoie une 1.16 Parmi les mécanismes utilisés dans l’activité de supervision de réseaux de communication, nous trouverons la consultation périodique d’informations de gestion
requête SNMP routage (notez
(polling). a) Identifiez et positionnez dans un schéma, tous les concepts de gestion de l’ISO (vus en cours) qui permettent de mettre en œuvre ce mécanisme. que le nom « i0 »
pour obtenir la
b) Ce mécanisme de supervision présente-t-il des limites ? Si oui, lesquelles ? de l’interface
valeur suivante
correspond à la
dans la MIB d'un a) Pour mettre en œuvre le mécanisme de consultation périodique d'informations de gestion, les concepts clés de la gestion de l'ISO incluent :
agent SNMP cible. valeur de ifDescr
• Modèle de gestion de réseau OSI (Open Systems Interconnection) qui définit les différentes couches de réseau et leur fonctionnalité. de la table
Les entrées
spécifiées d’interface
• Protocoles de gestion de réseau tels que SNMP (Simple Network Management Protocol) qui fournissent une méthode standard pour la collecte d'informations de
ifTable). Détaillez
(ipIfStatsOutForw gestion à partir des équipements réseau.
Datagrams et la procédure à
• Agents de gestion qui sont des programmes logiciels installés sur les équipements réseau pour collecter les informations de gestion et les transmettre à un système de mettre en œuvre
ipIfStatsOutDiscar
ds) sont des gestion central. pour obtenir cette
• Système de gestion central qui reçoit les informations de gestion collectées par les agents de gestion et les présente de manière organisée pour une analyse et une information
entrées distinctes
dans la MIB, mais surveillance plus faciles. (objets SNMP
consultés et
elles sont toutes
incluses dans une algorithme
b) Les limites du mécanisme de consultation périodique d'informations de gestion incluent : général).
seule requête
SNMP. snmpget -v2c -c
• La dépendance à un horaire de polling fixe, ce qui peut entraîner un délai entre l'occurrence d'un événement et la détection de celui-ci. public 192.168.1.22
• La surcharge réseau causée par la fréquence élevée des requêtes de polling. mib-
• La difficulté à collecter des informations en temps réel sur des événements rapides. 2.4...ipifstattrafic .ip
ifstattabble .ipIfstat
• La limitation des informations collectées aux seules données disponibles via les protocoles de gestion de réseau standard.
sEntry .ipIfStatsIndi
scards sont toutes
1.17 Les 4 modèles d'abstraction de la gestion de systèmes OSI de l'ISO (ISO/IEC 10040) sont les suivants : Le modèle fonctionnel : ce modèle définit les fonctionnalités incluses dans une
nécessaires pour la gestion d'un système OSI, telles que la surveillance, la configuration, la maintenance et la résolution des incidents. Le modèle organisationnel : ce modèle seule requête
définit les différentes parties impliquées dans la gestion d'un système OSI, telles que les utilisateurs, les opérateurs, les administrateurs et les développeurs. Le modèle de SNMP.
communication : ce modèle définit les protocoles de communication nécessaires pour la gestion d'un système OSI, tels que SNMP, CMIP et TMN. Le modèle informatif : ce
modèle définit les informations nécessaires pour la gestion d'un système OSI, telles que les données de configuration, les données de performance et les données d'états.

1.4) Nous souhaitons mettre en place un système de détection d’attaque de déni de service de type SYN flooding. Pour rappel, ce type d’attaque consiste à envoyer une succession de requêtes SYN vers la cible sans émettre le dernier
ACK, laissant les connexions semi-ouvertes.
Nous supposons l’existence d’un agent SNMP sur la cible attaquée.

a) Réprésentez le schéma organisationnel de ce scénario (attaqué, attaquant, agent et manager)

Dans ce scénario, nous avons les éléments suivants : La requête SNMP pour lire la valeur de
La cible attaquée qui est la victime de l'attaque SYN flooding
L'attaquant qui envoie les requêtes SYN à la cible InetCidrRouteNumber est : "snmpget
L'agent SNMP qui se trouve sur la cible et qui surveille les activités de réseau
Le manager SNMP qui interagit avec l'agent pour collecter des informations sur le réseau et les activités d'attaque inetCidrRouteNumber"
Le schéma organisationnel pourrait être représenté de la manière suivante :
Attaquant ---> Cible Attaquée | | | V Agent SNMP | | | V Manager SNMP Ajouter une nouvelle entrée à une table : snmp set-request
b) Quel objet SNMP peut-on superviser pour déceler ce type d’attaque ? (nous le noterons X)
On peut superviser l'objet SNMP "tcpActiveOpens" qui représente le nombre de connexions TCP actives qui ont été initialisées. Si ce nombre augmente rapidement et de manière anormale, cela peut indiquer une attaque de déni de service de
type SYN flooding. De plus, on peut également superviser l'objet "tcpPassiveOpens" qui représente le nombre de connexions TCP passive qui ont été initialisées. Si ce nombre augmente rapidement et de manière anormale, cela peut également
indiquer une attaque de déni de service de type SYN flooding.

c) Afin de détecter cette attaque, est-il approprié de configurer le manager pour consulter périodiquement l’objet X ? En configurant le manager, il pourrat détecter une augmentation anormale et rapide du nombre de connexions actives
ou passives, ce qui peut indiquer une telle attaque.

d) Les trois paramètres que l'on peut configurer sur l'agent pour surveiller l'objet X sont :
La fréquence de consultation : définit à quelle fréquence le manager SNMP doit consulter l'objet X pour collecter des informations sur les activités de réseau.
Le seuil d'alerte : définit une limite supérieure pour le nombre de connexions TCP actives ou passives, au-delà de laquelle une alerte est déclenchée pour indiquer une attaque potentielle.
Le temps d'alerte : définit le délai de temps pendant lequel le nombre de connexions TCP actives ou passives doit dépasser le seuil d'alerte pour déclencher une alerte.
e) Pour détecter l'arrivée d'au moins 500 requêtes TCP SYN sur 10 secondes, nous pouvons configurer les paramètres de l'agent de la manière suivante :
La fréquence de consultation : 1 seconde
Le seuil d'alerte : 500 connexions TCP actives ou passives en 10 secondes
Le temps d'alerte : 10 secondes Ces valeurs permettent de surveiller en temps réel l'objet X pour détecter une augmentation anormale et rapide du nombre de connexions actives ou passives, ce qui peut indiquer une attaque de déni de
service de type SYN flooding.