Académique Documents
Professionnel Documents
Culture Documents
Présentation du contexte
Dans le cadre du développement d’Internet et Intranet, l’entreprise REZOnet a installé un
serveur Linux et l’a connecté au niveau du commutateur de ses serveurs centraux. Pour
réaliser l'accès vers le monde extérieur, un accès RNIS a été retenu. Ce serveur Internet aura
pour rôle de :
- gérer le courrier électronique du REZOnet
- diffuser les informations du site Web local
- filtrer les données
La société REZOnet possède un serveur Linux possédant un serveur ftp, qui est installé dans
toutes les distributions, ainsi qu’un client ftp en ligne de commande.
La direction de REZOnet pense mettre en place un serveur sur la toile (Web) permettant, dans
un premier temps, la mise en ligne d'un système d'information interne (intranet) puis, dans un
deuxième temps, de l'ouvrir à la clientèle via l'internet (extranet).
L’entreprise REZOnet , emploie 27 salariés. Elle est constituée de deux services indépendants
: le service multimédia assure l’installation et le développement des solutions clientes
couvrant à la fois les aspects réseau et multimédia ; le service administratif, quant à lui, assure
la gestion interne de l’entreprise. Le schéma du réseau de la société est décrit en annexe 8.
Les postes du service multimédia sont amenés à faire beaucoup d’accès Internet très
consommateurs en bande passante.
Une société X, soucieuse d’améliorer sa notoriété, décide de mettre en ligne un serveur HTTP
et FTP accessible au public. Ce serveur, installé dans les locaux de REZOnet, sera placé dans
une zone démilitarisée (DMZ) comme l’indique l’annexe 8.
L’équipement pare-feu (firewall) contrôle les accès qui arrivent sur ses différentes interfaces.
Il est programmé de telle façon que seul le trafic réseau respectant les règles indiquées dans
l’annexe 9 est accepté. Ces règles peuvent faire référence à des adresses IP d’ordinateurs, des
adresses de réseau et des protocoles réseau.
Un serveur mandataire (proxy) est également installé entre le routeur R1 et le pare-feu : il est
le point de passage obligatoire de tous les accès du réseau local vers l’Internet.
PARTIE I : Généralités sur les réseaux (25 points)
Documents à utiliser : annexes 1 et 2
1. Donner la définition et le rôle de WWW, HTML et HTTP ? (1.5*3 pts)
2. On vous donne l'URL suivant: http://www.microsoft.com/products/pc.htm
- Donner la définition et le rôle d'une URL (1.5 pts)
- Décomposer cette URL en différentes parties en donnant le rôle de chacune (3 pts)
3. Par quel moyen fait-on la correspondance entre l’adresse IP d’un serveur et son
nom sur Internet ? (0.5 pt)
4. Donner la définition et le rôle de SMTP (1 pt)
5. Donner la définition et le rôle de POP (1 pt)
6. Donner la syntaxe générale d'une adresse e-mail (3 pts)
7. Compléter (Annexe 1) l'interaction entre un client et un serveur SMTP et POP (1 pt)
Tout personnel autorisé pourra se connecter au serveur Linux depuis son domicile soit pour
consulter des données spécifiques, soit pour naviguer sur le Web.
8. Citer 4 possibilités d'accès à un fournisseur d'accès Internet. (2 pts)
Il vous faut configurer un poste sous Windows 98 afin de permettre une connexion au
fournisseur d’accès Internet.
9. Compléter l'annexe 2 (Point d'accès: 05 35 57 57 57, Serveur DNS: 212.217.0.1,
Adresse IP obtenue par mon fournisseur, Domaine: rezonet.ma, Hôte : localhost,
Nom utilisateur de connexion : admin@rezonet.ma, mot de passe : a5b6cde_rezo).
(1.75 pts)
10. Pour un accès par RTC, donner le type de protocole utilisé. (0.25 pt)
11. Expliquer ce qu’est un intranet. (0.5 pt)
12. Citer les spécificités du développement d’un intranet par rapport à d'autres types
d'architectures client-serveur. (2 pts)
13. Citer les problèmes que peut poser l'accès de la clientèle via l'internet. Proposer des
solutions pour les éviter. (3 pts)
10.1. Préciser les valeurs des adresses MAC source et destinataire. (1 pt)
10.2. Faire un schéma représentant la station A et le serveur en indiquant les sockets
utilisés par le client et le serveur. (4 pts)
Remarque : un socket est la combinaison de trois éléments : l’adresse IP de la machine, le
protocole au niveau transport et le numéro du port.
10.3. Indiquer la signification des numéros de port source et destination. (0.75*2 pts)
10.4. Quelles sont les principales caractéristiques du protocole de niveau TRANSPORT
utilisés ? (0.5*4 pts)
11. Quel est l’objectif de la demande initiée par l’utilisateur ? (1 pt)
Les réseaux des « IPES » (Institut Privé d’Enseignement Supérieur) au Cameroun sont
organisés comme suit :
• L’organisation logique s’articule sur 5 VLAN répartis de la façon suivante :
Le serveur proxy (réseau « Serveurs ») assure uniquement les accès Web et FTP des stations
de l’IPES, sauf pour toutes les stations du réseau « PC Profs » pour lesquelles le Netasq
réalise alors une translation d’adresse IP. Les accès autres que Web et FTP se font sans passer
par le proxy. Le firewall bridge assure le filtrage du trafic entre le réseau externe, la DMZ et
le réseau local de l’IPES. Toutes les requêtes provenant du réseau externe sont dirigées vers
les services de la DMZ. Seul le routeur Netasq et le serveur proxy peuvent faire des requêtes
vers l’extérieur. Dans le VLAN 4, la première adresse du réseau IP (soit 192.168.8.1/24) est
attribuée à un poste de supervision. Ce poste permet d’assurer la télémaintenance sur tous les
postes et serveurs du site de l’IPES. Les informations utiles concernant l’adressage IP du
réseau de l’IPES se trouvent sur le schéma donné en Annexe 10.
11. Il apparaît que les VLAN sont gérés comme des réseaux IP. Pourquoi a-t-on opté
pour cette solution ? (0.5 pt)
12. Le routeur Netasq F500 assure un routage « InterVlan(s) ». De ce fait, sur son lien
avec l’OptiSwitch, il possède une adresse IP par VLAN.
Sur le document réponse 1, compléter la table de routage du routeur. (4 pts)
13. Les réseaux existants permettent d’adresser chacun 254 machines. Le nombre
d’étudiants augmentant, une extension des possibilités d’adressage est envisagée pour le
réseau PC-étudiants.
a Donner le masque de sous-réseau qui permettrait de multiplier au moins
par deux le nombre de machines (sans changer les adresses existantes et en se
limitant à un maximum de 1500 machines adressables). Justifier votre
réponse. (1 pt)
b Donner, dans ce cas, l’adresse de diffusion. (0.5 pt)
c Indiquer sur le document réponse 1 quelle serait la modification dans la
table de routage du routeur Netasq F500. (2 pts)
14. Les configurations IP des stations du VLAN 3 sont attribuées dynamiquement par le
Netasq F500. Sachant que les 10 premières et 10 dernières adresses de la plage totale sont
réservées à d’autres usages, compléter le tableau du document réponse 1 en indiquant
les paramètres de configuration DHCP, les valeurs correspondantes et en précisant
leur caractère optionnel. (4 pts)
15. Tous les accès Web et FTP des machines de l’IPES se font par l’intermédiaire du
serveur proxy. Compléter la table de routage de ce serveur sur le document réponse 1.
(5 pts)
Le firewall Netasq F500 en plus de la translation d’adresses IP a pour tâche de filtrer le trafic
entrant et sortant en fonction du cahier des charges donné ci-dessous.
Ce cahier des charges du firewall Netasq est constitué des règles suivantes :
Contraintes : les accès Web et FTP :
Tous les accès directes Web et FTP vers Internet sont interdits sauf :
i. requêtes et réponses pour les adresses IP du réseau PC
Profs ;
ii. requêtes et réponses pour la station du Supervision ;
iii. les réponses du proxy (port : 1080) sont autorisées vers le
LAN.
Contraintes : les accès DNS :
Seule la résolution DNS à destination du serveur « DNS externe » situé dans la DMZ est
autorisée.
16. En vous basant sur ces contraintes et sur le document annexe 11, écrire les règles
de filtrage correspondantes en complétant le tableau du document réponse 2. (8.5 pts)
NB. -Tenir compte de la priorité : une règle énoncée est toujours prioritaire vis-à-vis de celles
qui la suivent.
-Un accès à un service induit un échange dans les deux sens (requête, réponse). Il est donc
nécessaire d’en tenir compte dans les règles de filtrage.
17. Admettant que le firewall bridge laisse passer les requêtes provenant de
l’Internet, est-il nécessaire de prévoir des règles qui protègent le LAN de ces accès ?
Justifier votre réponse. (2 pts)
Pour améliorer les temps de réponse, REZOnet a mis en service un serveur proxy.
1. Expliquer dans quelles conditions d'usage ce type de serveur répond à l’objectif
visé. (1.5 pts)
Un serveur mandataire (proxy) est également installé entre le routeur R1 et le pare-feu : il est
le point de passage obligatoire de tous les accès du réseau local vers l’Internet.
2. Expliquer en quoi la mise en œuvre d’une zone démilitarisée permet d’améliorer
la sécurité du réseau local. (2 pts)
Un anti-virus a révélé la présence d’un programme « cheval de Troie » sur le serveur situé
dans la DMZ. L'étude révèle que le "troyen" n'a pas été placé par les protocoles HTTP ou
FTP.
3.a. Expliquer ce qu’est « cheval de Troie » et comment les antivirus détectent
sa présence. (2 pt)
3.b. Donner deux exemples de faille intrinsèque relative au protocole FTP. (1.5
pts)
3.c. En analysant les règles de l’annexe 2, indiquer quelle règle a pu permettre
l'installation de ce programme. (1 pt)
3.d. Proposer, pour réduire les risques liés à ce type de problème, une ou
plusieurs règles en remplacement de la règle concernée. (2 pts)
Ce « cheval de Troie » est destiné à perturber le fonctionnement du réseau local, en
s’exécutant automatiquement périodiquement.
4. En analysant les règles de l’annexe 9, indiquez si les postes du réseau local sont
susceptibles d’être atteints par le « cheval de Troie ». (1 pt)
L’administrateur réseau du service Multimédia prend en charge l’administration du serveur
HTTP et FTP (192.168.10.10). Il doit donc avoir la possibilité de lancer une commande
TELNET vers ce serveur, depuis sa machine dont l’adresse IP est 192.168.1.75.
Le serveur PROXY a été paramétré afin de pouvoir traiter le protocole TELNET.
5. a. Citer les interfaces du pare-feu concernées par une commande TELNET. (1.5
pts)
5. b. Pour chacune de ces interfaces, rédiger les règles nécessaires pour permettre
l’emploi de cette commande, en donnant leur numéro d’ordre. (3 pts)
Pour permettre une tolérance aux pannes le serveur 1 comporte un dispositif matériel
permettant de mettre en œuvre un système RAID (redundant arrays of inexpensive disk) au
niveau 1.
6. Expliquer ce qu'est un tel système. (2 pts)
Les utilisateurs du service Multimédia se plaignent de recevoir de nombreux pourriels
(spams).
7. a. Définir la notion de pourriel (spam) et préciser en quoi ils constituent une gêne
pour l’entreprise. (1.5 pts)
7. b. Proposer une solution qui permet de se protéger contre les spams. (0.5 pt)
REZOnet envisage élargir ses activités pour cela elle sous-traite une partie de son activité en
confiant à des entreprises extérieures l’installation des réseaux chez les clients.
La mise en œuvre d’une nouvelle application est envisagée pour permettre aux sous-traitants
de consulter leur planning et d’enregistrer leurs indisponibilités. Cette application sera
hébergée sur le serveur web.
Le souci de l'entreprise est d’assurer la sécurité des échanges avec les sous-traitants et
notamment la confidentialité et l'authentification. Le dispositif conseillé à REZOnet base sa
sécurité sur une méthode de chiffrement asymétrique des informations échangées. Monsieur
ARABI souhaite en maîtriser le principe.
8. Expliquer, éventuellement à l’aide d’un schéma, le mode de fonctionnement de
cette méthode en précisant le type de clé utilisé par chacun des intervenants (émetteur
et récepteur du message) pour assurer confidentialité et authentification dans
l’échange. (4 pts)
La mise en œuvre des techniques de chiffrement implique souvent un tiers de confiance,
prestataire de service.
9. Expliquer comment ce tiers de confiance intervient dans la procédure d'échange
d'informations. (1.5 pts)
Annexe 1
-----------------------------------------------------------------------------------------------------------------
Annexe 2
Annexe 3
Extrait du fichier
/etc/ftpacces class all
real,guest,anonymous *
email root@localhost
loginfails
readme README* login
readme README* cwd=*
message /welcome.msg login
message .message cwd=*
compress yes
guest,real,anonymous tar
yes guest,real,anonymous
log transfers guest,real,anonymous
inbound,outbound shutdown /etc/shutmsg
passwd-check rfc822 warn guestgroup profs
Damotte chmod yes guest,real,anonymous
delete yes guest,real,anonymous
overwrite yes guest,real,anonymous
Annexe 4
Les principales commandes ftp
help : Affiche l'ensemble des commandes supportées par le serveur FTP
status : Permet de connaître certains paramètres de la machine cliente
binary : Cette commande vous fait basculer du mode ASCII (envoi de documents textes) au
mode binary (envoi de fichiers en mode binaire, c'est-à-dire pour les fichiers non texte,
commandes images ou des programmes)
ascii : Bascule du mode binary au mode ascii. Ce mode est le mode par
défaut
type : Permet d'afficher le mode courant de transfert (binary ou ascii)
user : Vous permet de réouvrir une session sur le site FTP en cours avec un nom d'utilisateur
différent. Un nouveau mot de passe vous sera alors demandé
ls : Permet de lister les fichiers présents dans le répertoire courant. La commande "ls -l"
donne des informations supplémentaires sur les fichiers pwd : Affiche le nom complet du
répertoire courant
Cd : Cette commande signifie change directory, elle permet de changer le répertoire courant.
La commande "cd .." permet d'accéder au répertoire de niveau supérieur
mkdir : La commande mkdir (sous UNIX, ou md sous-système Microsoft) permet de créer
un répertoire dans le répertoire courant. L'utilisation de cette commande est réservée aux
utilisateurs ayant un accès le permettant
rmdir : La commande rmdir (sous UNIX, ou rd sous-système Microsoft) permet de
supprimer un répertoire dans le répertoire courant. L'utilisation de cette commande est
réservée : aux utilisateurs ayant un accès le permettant
get : Cette commande permet de récupérer un fichier présent sur le serveur Si la commande
est suivie d'un nom de fichier, le fichier distant est transféré sur la machine locale dans le
répertoire local en cours
Si la commande est suivie de deux noms de fichiers, le fichier distant (le premier nom) est
transféré sur la machine locale : dans le répertoire local en cours, avec le nom de fichier
précisé (le deuxième nom)
Si jamais le nom de fichier contient des espaces, il faut veiller à le saisir entre guillemets
put : Cette commande permet d'envoyer un fichier local sur le serveur Si la commande est
suivie d'un nom de fichier, le fichier local est transféré sur le serveur dans le répertoire
distant en cours Si la commande est suivie de deux noms de fichiers, le fichier local (le
premier nom) est transféré sur le serveur dans le répertoire distant en cours, avec le nom de
fichier précisé (le deuxième nom) Si jamais le nom de fichier contient des espaces, il faut
veiller à le saisir entre guillemets open : Ferme la session en cours et ouvre une nouvelle
session sur un autre serveur FTP
close : Ferme la session en cours, en laissant le logiciel FTP client actif
bye ou quit : Déconnecte le logiciel client du serveur FTP et le met en état inactif
Annexe 5
Assignation de certains ports associés aux processus serveurs en fonction des protocoles
de transport TCP et UDP.
Annexe 6
Les champs spécifiques d'un paquet IP sont:
- Version est codé sur 4 bits. Actuellement ce champ a une valeur égale à 4 (IPv4).
- longueur de l'en-tête ou IHL (Internet Header Length) sur 4 bits spécifie le nombre
de mots de 32 bits qui composent l'en-tête. Si le champ option est vide, l'IHL vaut 5.
- type de service ou ToS (Type of Service) est codé sur 8 bits. Spécifie à la passerelle
intermédiaire le type d'acheminement attendu.
- identification codé sur 16 bits permet de sécuriser le réassemblage des paquets après
fragmentation.
- drapeau codé sur 3 bits a le 1er bit toujours nul, le 2ème bit à 0 indique que le paquet
peut être fragmenté et à 1 s'il ne peut pas l'être, le 3ème bit à 0 indique s'il s'agit du dernier
fragment et à 1 que d'autres fragments suivent.
- place du fragment codé sur 13 bits indique la position du 1er octet dans le
datagramme total non fragmenté. Il s'agit d'un nombre multiple de 8 octets.
- durée de vie détermine en seconde, la durée de vie d'un datagramme. Cette valeur est
décrémentée toutes les secondes ou à chaque passage à travers une passerelle.
- protocole codé sur 8 bits indique le protocole de la couche supérieure (liste donnée
par le rfc 1700, ex: "1"=ICMP, "2"=IGMP, "6"=TCP, "17"=UDP).
- checksum est la somme de contrôle portant sur l'en-tête.
- adresses de la source et de la destination sont codées sur 32 bits. - option est de
longueur variable et peut être nul.
Annexe 7
Réseau
local de
REZOnet
Interface 192.168.10.254
Annexe 10
Annexe 11
Document réponse 1
Document réponse 2