Médian du 10 novembre 2004 - David Bertho

Examen Médian
10 novembre 2004
Durée : 2 heures
Aucun document n'est autorisé
Exercice 1 Masque générique Donnez l'ensemble des adresses IP concernées par les notations suivantes : 1. 192.168.0.128 0.0.0.63
2. 192.168.0.191 0.0.0.63
3. 192.168.0.191 0.0.0.62
4. 192.168.0.254 0.0.255.0
Exercice 2 Attaque de type « smurf sur un serveur interne » Le réseau utilisé est celui de la figure ci-dessous. Un hacker cherche à
faire une attaque de type « deny of service » (DoS) sur le serveur
200.1.2.1. Pour cela, il décide d'envoyer (étape 1) un « ping » dans un paquet dont :
. l'adresse source contient l'adresse du serveur à attaquer, ici
200.1.2.1
. l'adresse destination est un broadcast dirigé, ici 200.1.1.255. De cette façon, toutes les machines du réseau 200.1.1.0 vont recevoir un
ping dont elles vont penser qu'il vient du serveur 200.1.2.1. Elles vont
donc toutes lui répondre à peu près en même temps (étape 2), ce qui
provoquera une surcharge du serveur et l'indisponibilité du service qui a
motivé son installation.
[pic] Il a été décidé de ne pas filtrer le protocole ICMP en entrée du réseau.
Les « ping » doivent toujours pouvoir être échangés entre les réseaux
200.1.2.0/24 et 200.1.1.0/24. 1. Proposez une ACL standard qui permette de résoudre le problème. Dites
quel est votre critère de filtrage, à quelle interface et dans quel sens
vous l'appliquez (la réponse sera comptée juste, même si la syntaxe n'est
pas tout à fait exacte).
Exercice 3 Surveillance du réseau Vous soupçonnez un utilisateur de votre réseau de passer son temps à
« surfer » sur Internet, alors que l'ordinateur qui lui est attribué est
normalement destiné à une autre tâche. Pourtant, à chaque fois que vous
êtes entré dans son bureau, il semblait travailler. Vous ne pouvez pas
intervenir sur son poste car vous craignez qu'il se doute que vous
surveillez son activité. 1. Que pouvez-vous faire pour mesurer facilement la quantité de paquets IP
qu'il échange grâce au protocole HTTP ?
Problème 1 Filtrage Vous administrez le réseau ci-dessous. Le routeur interne se charge de
translater les adresses privées des utilisateurs internes vers l'adresse
200.1.1.10. Il vous est demandé de sécuriser le réseau en autorisant
explicitement certaines actions, et en interdisant par défaut toutes les
autres. Les actions autorisées en entrée sont celles en rapport avec les
serveurs publics. Par ailleurs les utilisateurs internes doivent pouvoir
naviguer sur Internet. [pic] 1. Pour le réseau des serveurs : quelle est son adresse, quelle est son
adresse de broadcast ?
2. Proposez une adresse IP pour l'interface E0 du routeur périphérique
3. Proposez une adresse IP pour l'interface E1 du routeur interne
4. Faites l'inventaire des communications que vous allez autoriser à
travers le routeur périphérique
5. Faites l'inventaire des communications que vous allez autoriser à
travers le routeur interne Vous avez créé l'ACL étendue suivante et vous l'avez appliquée sur le
routeur périphérique. Après essai, vous vous rendez compte que le
fonctionnement n'est pas satisfaisant. En effet, les utilisateurs internes
n'arrivent pas à consulter Internet. Vous faites un essai en tapant
directement une adresse IP publique valide dans la barre d'adresse
d'Internet Explorer, et vous constatez que la page web correspondante vous
arrive normalement. access-list 100 permit tcp any host 200.1.1.14 eq 80
(1)
access-list 100 permit udp any host 200.1.1.13 eq 53
(2)
access-list 100 permit tcp any host 200.1.1.12 eq 25
(3)
access-list 100 permit tcp any eq 25 host 200.1.1.12 established
access-list 100 permit tcp any host 200.1.1.11 eq 21
(4)
access-list 100 permit tcp any host 200.1.1.11 eq 20
(5)
access-list 100 permit tcp any eq 80 host 200.1.1.10 established
(6)
access-list 100 deny ip any any (7) interface Ethernet1
ip access-group 100 in 6. Expliquez le rôle de chacune des lignes
7. Pouvez-vous trouver la source de l'erreur
8. Proposez une correction de l'ACL pour résoudre le problème (dites ce qui
change, ce que vous ajoutez ou enlevez, et dites à quel endroit dans
l'ACL) Certains utilisateurs du réseau interne se plaignent de l'apparition du
virus W32/Rbot-PE. Vous avez cherché des renseignements sur ce virus (voir
copie d'écran). Par ailleurs, vous avez créé un répertoire partagé sur la
machine 10.10.0.5 et vous l'avez consulté depuis la machine 10.10.0.35
(voir résultat de la commande netstat -n). 9. Identifiez le mode de propagation du virus, et donnez le numéro de port
TCP qu'il utilise
10. Aucun partage n'est ouvert sur les serveurs publics. Selon vous,
comment le virus a-t-il pu se retrouver sur votre réseau ?
11. Peut-on, sur ce réseau, se prémunir de ce virus en utilisant les ACLs ?
12. Que faut-il faire pour s'en débarrasser et essayer d'éviter qu'il
réapparaisse ?
[pic]
[pic]
Problème 2 Segmentation [pic] Vous administrez le réseau ci-dessus. Les utilisateurs sont assez nombreux
et se plaignent de la lenteur du réseau. Vous avez utilisé un logiciel de
supervision du trafic, et vous avez constaté qu'il y a un problème de
congestion au niveau du switch. Vous décidez de segmenter le réseau pour
essayer d'améliorer la situation. Le routeur est un modèle modulaire qui possède :
. une carte série pour le lien Internet,
. une carte Ethernet à 100 Mb/s pour le réseau local,
. plusieurs « slots » libres. Aucun matériel de réserve n'est disponible. Le routeur et le switch sont
compatibles VLAN. Segmentation IP sans VLAN Vous décidez de segmenter le réseau en deux sous-réseaux :
. 10.10.10.0/24 pour la CAO
. 10.10.20.0/24 pour la comptabilité 1. Dessinez la nouvelle architecture
2. Quel matériel devez-vous faire acheter ?
3. Faites la liste des opérations à faire sur chacun des matériels La machine 10.10.10.3 envoie un paquet IP à l'adresse 10.10.10.255. 4. Quelles sont les machines qui entendent la trame qui contient ce
paquet ?
5. Quelles sont les machines qui acceptent ce paquet IP ? La machine 10.10.10.3 envoie un paquet à l'adresse IP 10.10.20.255. 6. Quelles sont les machines qui entendent la trame qui contient ce
paquet ?
7. Quelles sont les machines qui acceptent ce paquet IP ? Segmentation VLANs + sous-réseaux Vous décidez de segmenter en deux VLANs, tout en gardant la segmentation IP
précédente. 8. Dessinez la nouvelle architecture, sachant que vous avez choisi la
solution qui coûte le moins cher possible
9. Quel matériel devez-vous faire acheter ?
10. Faites la liste des opérations à faire sur chacun des matériels La machine 10.10.10.3 envoie un paquet IP à l'adresse 10.10.10.255. 11. Quelles sont les machines qui entendent la trame qui contient ce
paquet ?
12. Quelles sont les machines qui acceptent ce paquet IP ? La machine 10.10.10.3 envoie un paquet à l'adresse IP 10.10.20.255. 13. Quelles sont les machines qui entendent la trame qui contient ce
paquet ?
14. Quelles sont les machines qui acceptent ce paquet IP ? 15. Quels sont les avantages et inconvénients de cette deuxième solution
par rapport à la première ? Barème : Exercice 1 : 4 points
. 1 point par question Exercice 2 : 3 points Exercice 3 : 3 points Problème 1 : 20 points
. questions 1, 2 et 3 : 1 point
. questions 4 à 10 : 2 points
. question 11 : 1 point
. question 12 : 2 ponits Problème 2 : 20 points
. questions 1 et 2 : 1 point
. question 3 : 3 points
. questions 4 à 9 : 1 point
. question 10 : 3 points
. questions 11 à 14 : 1 point
. question 15 : 2 point
. (note sur 20) = (note sur 50) * 2/5
Réponses Exercice 1
1. 192.168.0.128 à 192.168.0.191
2. 192.168.0.128 à 192.168.0.191
3. Toutes les machines impaires comprises entre 192.168.0.129 et 191
4. 192.168.0.254
192.168.1.254
192.168.2.254
...
192.168.254.254
192.168.255.254
Exercice 2 Il suffit d'interdire l'entrée sur l'interface côté Internet des paquets
dont l'adresse source appartient aux réseaux internes.
access-list 10 deny ip 200.1.1.0 0.0.0.255
access-list 10 deny ip 200.1.2.0 0.0.0.255
access-list 10 permit ip any any
interface serial 1
ip access-group 10 in Exercice 3
Il suffit de créer une ACL sur l'interface du routeur qui sert cet
utilisateur. Cette ACL n'interdira rien et sera de la forme :
access-list 100 permit tcp host ??. ??.??.?? any eq 80
access-list permit ip any any Elle permettra la consultation des statistiques (show access-list 100) et
montrera combien de fois la première instruction qui laisse passer le flux
http aura été utilisée.
Problème 1 1. Adresse du réseau 200.1.1.0 adresse de broadcast 200.1.1.15
2. par exemple routeur interne E1 : 200.1.1.1
3. par exemple routeur externe E0 : 200.1.1.2
4. Routeur périphérique
|Protocole |http |ftp |smtp |dns |
|Communication |requête |réponse |requête |réponse |
Communication |requête |réponse |requête |réponse |requête |réponse
|requête |réponse | |Sens int -> ext |oui |non |oui |non |oui |non |oui
|non | |Sens ext -> int |non |oui |non |oui |non |oui |non |oui | | (1)
autorise les requêtes http vers le serveur www
(2) autorise les requêtes dns vers le serveur dns
(3) autorise les requêtes smtp vers le serveur smtp
la deuxième ligne autorise le retour des réponses smtp aux requêtes
que
le serveur smtp interne envoie
(4) et (5) a