Voilà le test que notre prof de réseaux a posé l'année dernière
Vu que ce forum semble etre fréquenté par pas mal de pros ou connaisseurs je me suis demandé si vous pouviez donner les réponses que vous connaissez en s'y mettant à plusieurs on devrait meme pouvoir en venir à bout....
Questions
Politique générale de sécurité
1- Quels sont les responsabilités inhérentes à la fonction de directeur informatique ?
Mettre en échec les intrus est une des missions du responsable sécurité. Il établit des procédures spécifiques, limite les accès au réseau en cas d?informations stratégiques, stocke les données et veille régulièrement à ce que le réseau ne présente aucune faille.
Au-delà, il contribue à garantir la disponibilité du système d?information de l?entreprise, préserve son intégrité et sa confidentialité et assure la sécurité des transactions électroniques. Chargé de définir la politique générale de sécurité, il doit ensuite suivre sa mise en ?uvre.
2- Quelles sont les personnes qui doivent être impliquées dans une politique de sécurité ?
- L'administrateur réseau & système
- L'ingénieur sécurité réseau & système
- Le directeur de l'entreprise
- Le directeur Informatique
la sécurité doit être abordée dans un contexte global :
La sensibilisation des utilisateurs aux problèmes de sécurité
La sécurité logique, c'est-à-dire la sécurité au niveau des données
La sécurité des télécommunications
La sécurité des applications
La sécurité physique, soit la sécurité au niveau des infrastructures matérielles
Ne pas oublier également que la politique de sécurité ne se limite pas à la technique informatique. Il ne sert à rien d'avoir le réseau le mieux sécurisé du monde si des documents sensibles trainent sur les bureaux et sont à la portée de n'importe quelle personne extérieure à l'entreprise (femmes de ménages, ouvriers effectuant des travaux, visiteurs...)
3- Décrivez les mesures que vous allez prendre afin de sécuriser votre salle informatique.
- Utilisation de cartes magnétiques :
beaucoup plus facile pour avoir un suivi de qui rentre et qui sort. En cas de perte ou de vol, on peut les desactivées et réduire les suspects (ID du badge unique et qui correspond a une personne donnée).
- La salle doit etre ventillée, avoir un système anti-feu et équipée de onduleurs
Contrôle des accès à Internet
4- L?activité de votre entreprise conduit vos collaborateurs à accéder régulièrement au même sites Internet pour consulter des documentations techniques, des listes de prix?Depuis quelques temps, les utilisateurs se plaignent des temps de réponse. Votre Direction souhaite une solution alternative à l?augmentation de la vitesse du lien vers votre Provider. De plus, on vous demande de fournir des rapports d?utilisation d?Internet par utilisateur et sites visités. Que proposez-vous d?installer ?
un proxy http assurant une fonction de cache
il est possible d'assurer un suivi des connections via la constitution de journaux d'activité (logs) en enregistrant systématiquement les requêtes des utilisateurs lors de leurs demandes de connexion à Internet. Une charte Informatique est nécessaire pour exploiter les rapports d?utilisation d?Internet par utilisateur et sites visités ( Absolument Interdit sans elle ).
Messagerie
5- Pourquoi mettre en place une architecture avec relais de messagerie ? Faite un schéma pour compléter votre explication.
Le mail étant la principale source de virus , un relais de messagerie en entrée (et sortie) d'un réseau , couplé à un antivirus est une bonne solution.
Le but affiché est de se protéger des mails venant de l'extérieur (internet), ou venant d'autres composantes du réseau interne, et de protéger les utilisateurs de l'extérieur des virus que l'on pourait leur envoyer.
Il s'agit donc d'un serveur relais de messagerie qui va "passer" à l'antivirus tous les mails qui transitent par lui : les mails "entrants" vers "le réseau et ses sous domaines , et,c'est très souhaitable, les mails "sortants".
6- Donner les règles à mettre en place sur le FireWall pour éviter que votre serveur de mail soit utilisé comme relais de messagerie pour des attaques du type SPAM ? Attention il faut prendre en compte les besoins de l?utilisateur nomade.
Règles Emetteur Destinataire Commentaire
En supposeant que les regles sont executées les unes après les autres et que lorsque qu'un mail correspond à une regle l'execution s'arrete:
Règles / @IP / Emetteur / Destinataire / Commentaire
1- ACCEPTER SMTP / Lan local / *@masociete.com / * / Autorise l'envoie de mail depuis masocieté
2- REJETER SMTP / * / *@masociete.com / * / Rejete l'envoie de mail en utilisant une adresse @masociete.com depuis une adresse exterieur
3- REJETER SMTP / LAN LOCAL / * / * /
4- ACCEPTER SMTP / * / * / *@masociete.com / Autorise l'envoie de mail de l'exterieur vers masocieté
7- Compléter le tableau sur le synoptique de votre réseau en donnant le type pour l?entrée DNS de l?enregistrement mail.soc.com
c'est un enregistrement MX qu'il s'agit (Mail eXchange)
Adressage IP, Nat/Pat et routage
8- Vous avez opté pour héberger, vous même, vos site Web et de messagerie. Quelle est la particularité de votre abonnement Internet en terme d?adressage IP ?
adresse IP fixe
9- Calculer l?ensemble des adresses IP qui vous ont été affectées par votre Provider (N° de réseau, Adresse de Broadcast et adresses utilisables) sachant que votre FireWall a pour adresse 212.208.151.62 et pour masque 255.255.255.248 .
Address: 212.208.151.62 11010100.11010000.10010111.00111 110
Masque: 255.255.255.248 = 29 11111111.11111111.11111111.11111 000
Masque inversé: 0.0.0.7 00000000.00000000.00000000.00000 111
=>Réseau: 212.208.151.56/29 11010100.11010000.10010111.00111 000 (Class C)
Broadcast: 212.208.151.63 11010100.11010000.10010111.00111 111
HostMin: 212.208.151.57 11010100.11010000.10010111.00111 001
HostMax: 212.208.151.62 11010100.11010000.10010111.00111 110
Hosts/Net: 6
212.208.151.56 Adresse Réseau du réseau 212.208.151.56/29
212.208.151.57
212.208.151.58
212.208.151.59
212.208.151.60
212.208.151.61
212.208.151.62 utilisée par le firewall
212.208.151.63 Adresse de Broadcast
212.208.151.64 Adresse Réseau du réseau suivant 212.208.151.64/29
Avec un masque de sous réseau en 255.255.255.248
on a le droit à 8 adresses dont 2 réservées ( adresse reseau et broadcast)
Si on enlève aussi le Firewall il reste 5 adresses publiques de disponibles
Compléter le tableau suivant :
Hôtes Adresses IP officielles Adresses privées
FireWall 212.208.151.62 /
www.soc.com 10.0.0.2
Mail.soc.com 10.0.0.1
Routeur ADSL
10- Expliquer comment fonctionne les translations d?adresse de type 1/1 et N/1 en décomposant la trame Ethernet (@ Ip source, @IP destination, @IP translatée).
Lorsqu'un equipement NAT recoit un paquet IP en provenance d'une machine du réseau privé, il va modifier l'@ IP source ainsi que le port le port application source.
Imaginons une station dont l'@ IP est 10.0.0.4 desire acceder au serveur web dont l'@ est 131.58.1.2
# Les paquets sont evoyes de la station 10.0.0.4 vers le serveur NAT qui possede comme adresse privee 10.0.0.1 et comme @ publique 62.150.1.1
# Le serveur NAT recoit donc les paquets dont l'entete IP est :
* @IP source 10.0.0.4
* @IP destination 131.58.1.2
l'entete de transport est :
* port source 1512 par exemple
* port destination 80 (port http)
# Le serveur NAT modifie donc les paquets dont l'entete IP est :
* @IP source 62.150.1.1
* @IP destination 131.58.1.2
l'entete de transport est :
* port source 1781 par exemple
* port destination 80 (port http)
# le serveur NAT envoie alors les paquets sur Internet avec l'entete modifiee.
# Le serveur web recoit alors les paquets et envoie la reponse au serveur NAT avec l'entete suivante :
* @IP source 131.58.1.2
* @IP destination 62.150.1.1
l'entete de transport est :
* port source 80
* port destination 1781 celui utilisé par le serveur NAT
# Lorsque le serveur NAT recoit les paquets il consulte sa table de mappage et translate les paquets afin de les acheminer au client du rezo privé. L'entete devient donc :
* @IP source 10.0.0.1
* @IP destination 131.58.1.2
l'entete de transport est :
* port source 1781
* port destination 80
11- Expliquer le fonctionnement de la translation de port (PAT) en décomposant la trame Ethernet (@IP Source, @IP destination, Port source et port destination ?).
NAT/NAPT("Network Address Translation" :traduction d'adresses IP / "Network AddressPort Translation" : traduction de ports) : assure une sécurité et une flexibilité optimale en masquant toutes les adresses IP d'un LANderrière une adresse IP Internet unique,attribuée de façon statique ou dynamique. Latraduction de ports permet d'accéder, depuisInternet (RFC 1631), aux serveurs du LAN :messagerie, Web, PPTP et autres. Passerelletransparente pour l'utilisation de MicrosoftNetMeeting
PAT : Port Address Translation
Port 80
Port 2033
Les connexions sont ouvertes de l?extérieur
Une table des translations est maintenue
Possibilité d?utiliser l?adresse publique du FW ou une autre adresse pour Arkoon
Trafic en sortie défini par d?autres règles
Économie d?adresses publiques
Possibilité de modifier les ports des serveurs sans modifier ceux-ci
PAT
Exemple :
PAT
Table de translation @IP « P »
@IP1 : port 80 -> port 80
@IP2 : port 80 -> port 81
U->P:80
U->1:80
1:80->U
P:80->U
U->P:81
U->2:80
2:80->U
P:81->U
12- Si vous êtes à cours d?adresses IP officielles, quelle technique de translation allez vous utiliser ?
IP masquerading
L'IP Masquerade est une fonctionnalité réseau de Linux. Si un hôte Linux est connecté à Internet avec l'option IP Masquerade en place, alors les ordinateurs se connectant à celui-ci (que cela soit sur le réseau local ou par modem) peuvent atteindre Internet aussi, même s'il n'ont pas d'adresse IP officielle.
Cela permet à un ensemble de machines d'accéder de manière invisible à Internet, caché derrière une passerelle, qui apparaît comme étant le seul système utilisant la connexion Internet.
NAT: translation d'adresses
Le principe de base est simple puisqu'il s'agit de remplacer à la volée les champs d'adresses dans les paquets qui sont destinés à un autre réseau (ce qui implique que le NAT soit effectué entre les 2 interfaces réseau, entre le réseau privé et les autres).
13- Donner un exemple pour les 3 classes d?adresse A, B et C de numérotation de réseau privé répondant à la norme RFC1918 ?
Plages d?adresses privées:
de 10.0.0.1 à 10.255.255.254 pour la classe A soit 1 seule classe A (la 10) et plus de 16 millions d'adresses.
de 172.16.0.1 à 172.31.255.254 pour la classe B soit 16 classes B (de 172.16 à 172.31) et 65534 adresses possibles par classe.
de 192.168.0.1 à 192.168.255.254 pour la classe C soit 256 classes C (de 192.168.0 à 192.168.255) de 254 adresses possibles par classe.
14- Quelle commande faut-il utiliser sur votre serveur SUN pour faire de l?analyse de trame ?
tcpdump : permet de visualiser et d'analyser le trafic entre plusieurs machines
etherfind : permet de tracer les trames qui circulent sur le câble, de visualiser les protocoles utilisés et d'analyser leur contenu (en Hexa)
15- Vous disposez sur votre portable d?un analyseur de trame. Votre direction vous demande de contrôler l?utilisation de la ligne spécialisée de 256Ko entre l?usine et votre site central. Positionner la sonde sur le synoptique de votre réseau, donner le filtre à mettre en place pour capturer le trafic entrant et sortant de votre routeur Cisco1 et détailler l?opération à mener sur votre switch.
2 possibilités:
- si le portable est équipé d'une patte WAN (patte serial par exemple) il faut utiliser un cable en Y et positionner la sonde derriere le routeur auquel cas tout le flux circulant sur le lien WAN sera capturé.
- si le portable est équipé que de port LAN (RJ45), il peut etre positionné sur le switch.
Au niveau du switch, faire un port span "in out" du port connecté au routeur vers un port non utilisé, sur lequel sera connecté le portable avec l'analyseur de trames.
Le filtre sera positionné sur le routeur avec les ip source et destination de l'usine et du site central
16- Donnez la table de routage à implémenter sur la machine FireWall sachant que cette machine est le routeur par défaut de tous vos serveurs. Attention il faut prendre en compte les flux IP pour les réseaux Partenaire, Usine et Internet.
@ IP Réseau Passerelle
Architecture réseau
17- Quel élément actif doit-on mettre en place pour connecter les serveurs relais de mail et web au serveur FireWall, sachant que l?on souhaite se protéger au maximum contre l?utilisation d?un sniffer sur la DMZ. Donner le mode de fonctionnement de ce matériel.
Il faut mettre un switch car il connecte les ports 2 à 2. Il est donc impossible de récuperer les trames avec un sniffer.
Switch : commutateur : permet le raccordement de X machines, chaque trame reçue sur un port est réémise vers le port auquel est connectée la machine de destination. La bande passante du réseau n'est pas partagée et la communication entre deux ports se fait à pleine vitesse.
18- La direction de votre entreprise vous demande de mettre en place une connexion avec un de vos partenaires. Vous ne maîtrisez pas l?infrastructure informatique de ce dernier. Modifiez le synoptique de votre réseau pour connecter de manière sécurisée ce nouveau réseau au vôtre. Justifiez votre choix.
Avec un routeur connecté sur le Firewall car un routeur permet le raccordement de réseaux différents et prend en charge la décision de routage en fonction des adresses de source et de destination. Un routeur est bien adapté pour l'interconnexion de LAN et/ou WAN.
19- Expliquer le fonctionnement des VLAN à l?aide d?un schéma.
20- Comment fonctionne un Switch de Niveau 3 ?
Comme un switch normal sauf que l'analyse des paquets se fait au niveau de la couche réseau (couche 3)
Contrôle des flux
21- La direction de votre entreprise vous demande de fournir un accès à l?AS400 (Telnet) aux utilisateurs de l?usine de production qui vient d?être construite. La connexion entre les sites sera une Ligne Spécialisée à 256 Kb/s. La solution qui a été retenue, pour des questions de coût, est l?installation de 2 routeurs CISCO. Soucieux des risques de malveillance sur vos systèmes informatiques vous décidez de sécuriser ce lien. Donnez les filtres à mettre en place sur les routeurs.
Sur le routeur de prod:
routeurProd# conf t
routeurProd(config)#access-list 101 permit tcp @ip_users_prod @wild_mask_users host @ip_AS400 eq 23
routeurProd(config)#int e0
routeurProd(config-if)#ip access-group 101 in
Sur le router du site central
routeurCentral# conf t
routeurCentral(config)#access-list 101 permit tcp @ip_users_prod @wild_mask_users host @ip_AS400 eq 23
routeurCentral(config)#int s0
routeurCentral(config-if)#ip access-group 101 in
22- Sur votre synoptique, dessiner les flux d?information, sachant que les utilisateurs du siège souhaitent faire des recherches sur Internet, utiliser le mail. Les utilisateurs de l?usine accèdent à l?AS400 et les utilisateurs du réseau partenaire vont se connecter sur votre AS400.
23- Donnez les règles a mettre en place sur la machine FireWall .
@ IP Source @IP Destination Action Heures Log Commentaire
24- Donnez les règles de NAT à mettre en place sur la machine FireWall.
@ IP Source @IP Destination @IP Source NAT @IP Dest NAT Commentaire
Sauvegarde
25- Présenter 3 méthodes de sauvegarde sur bande. Expliquer leur principe de sauvegarde et de restauration ? Expliquer pourquoi utiliser l?une plutôt qu?une autre.
- une sauvegarde complete: On sauvegarde TOUS les fichiers, sans exception. On en profite pour mettre l'attribut de tous les fichiers à 0.
- incrémentale: sauvegarde tout les fichiers disposant de l'attribut d'archive DEPUIS la dernière sauvegarde
- différentielle: sauvegarde tout les fichiers disposant de l'attribut d'archive DEPUIS la dernière COMPLETE
Les méthodes de restauration qui correspondent à ces sauvegardes sont :
1) disposer de la dernière complète.
2) disposer de la dernière complète et de TOUTES les incrémentales survenues depuis.
3) disposer de la dernière complète et de la dernière différentielle.
Attaque virale
26- Comment protéger efficacement votre entreprise contre les attaques virales ? Préciser dans votre réponse les vecteurs de propagation des virus et les moyens que vous mettez en place pour les contrecarrer.
Sécurisation du système de disque
27- Expliquer le système RAID 5 à l?aide d?un schéma. Donner le nombre de disques qui peuvent tomber en panne avant que vos données soient définitivement perdues.
Si un seul disque tombe en panne, il suffit de l'enlever et de le remplacer par un neuf, les données seront régénérées à partir des autres disques. Au delà, les données seront définitivement perdues.
28- Calculer la parité pour les blocs de donnés suivant
BLOC 1 : 0 1 0 0 1 1 0 0
BLOC 2 : 1 1 1 0 1 0 0 1 Calcul intermédiaire : 1 0 1 0 0 1 0 1
BLOC 3 : 1 1 1 1 0 0 1 0
Parité : 0 1 0 1 0 1 1 1
29- Que se passe-t-il si vous disposez d?un disque de Hot Spare et que l?un de vos disques de votre système RAID 5 tombe en panne ?
le disque de Hot spare remplace le disque défecteux, les données seront régénérées à partir des autres disques
30- Donner la capacité utile d?un système RAID 5 composé de 6 disques de 10 Go.
6 x10 Gb en raid 5 = 50 Gb ( 1 "disque" pour le contrôle de parité (réparti entre tous les disques), soit 5x10Gb)
31- Vos besoins de stockage ne cessent d?augmenter sur votre serveur Bureautique. Décrire une méthode, sécurisée, pour augmenter la capacité disque de votre système RAID 5.
Pour augmenter la capacité du RAID, il faut remplacer TOUS les disks par de plus gros, sachant que la taille du volume créé sera fonction du plus petit disk. Eventuellement on peut ajouter un disk au RAID.
Mais dans tous les cas, il faut faire une sauvegarde des données, casser le RAID et le récréer. Ensuite on peut rajouter les données préalablements sauvegardées.
FireWall
32- Vous examinez le journal de log de votre FireWall, quels sont les éléments qui vont vous permettre de suspecter une tentative de recherche d?informations sur vos systèmes ?
- un nombre de logs excessifs rapportant du trafic ICMP entrant (ping)
- tentative de connection sur les ports 138,139 (netbios)
- scan de tous les wellknown ports ( ->1024) consécutivement
- trafic sur les ports 20,21,23,45...(si ces services (ftp,telnet,ssh...)ne sont pas offerts en interne)
33- Décrivez une méthode de recherche de service ouvert sur un serveur (détailler les trames)
On fait un telnet en incremantant les ports à chaque tentative :
telnet @IPserveur Port
Si le bit d'ACK=OK port ouvert sinon on a DENY
ACK:Code indiquant un accusé de réception dans une transmission, il n'y a pas eu d'erreur et l'équipement (par exemple un modem) expéditeur peut alors envoyer le paquet de données suivant.
34- Compléter le tableau suivant :
Services Ports
smpt 25
ftp 21
telnet 23
ftp 20
http 80
35- Quelle commande utilisée pour ouvrir une session sur un serveur de mail à partir d?un poste Windows ?
telnet pop.fai.fr 110 ou telnet mail.fai.fr 110
USER blabla
PASS blabla
list
36- Dans la log du firewalls vous découvrez l?utilisation d?un port TCP que vous ne connaissez pas. Donner le nom du site Internet sur lequel vous trouverez la RFC 1700 qui donne l?affectation des ports TCP et UDP.
sur le site de l'Internet Engineering Task Force :
http://www.ietf.org/rfc.html
37- En quoi l?installation d?un serveur proxy peut augmenter la sécurité de votre réseau ? Faite un schéma pour compléter votre explication et connectez le serveur proxy qui est sur votre synoptique.
La finalité d'un Proxy est de dissimuler un réseau entier derrière un seul ordinateur. Par exemple on dispose d'un réseau local et on souhaite pouvoir "faire sortir" toutes les machines sur internet, mais votre provider n'a donné qu'une seule adresse IP officielle, on ne peut donc ne faire sortir qu'une seule machine: la machine qui a établi la connexion. Les autres adresses du réseau du type 10.0.0.x sont pour internet des adresses qui n'ont pas d'existence légale. On dispose donc au moment de la connexion d'une seule adresse utilisable.
Interconnexion via Internet
38- Expliquer le fonctionnement d?un VPN. Donner un exemple d?utilisation dans le cadre du réseau de la Société SOC.
Le VPN est un réseau privé virtuel, disposant des mêmes fonctionnalités qu'un réseau privé utilisant des liaisons spécialisées, qui vous permet d'interconnecter des sites distants et d'offrir un accès à vos itinérants en toute sécurité et avec une garantie d'authentification et de confidentialité des informations échangées.
Message édité par Profil supprimé le 13-12-2002 à 22:52:34
je fais filer quelques trucs 
![[:the real pinzo]](https://forum-images.hardware.fr/images/perso/the real pinzo.gif "[:the real pinzo]")
)