Université de Technologie de Troyes RE16 

: sécurisation des réseaux IP

__________________________________________________________________________________________

Examen Médian
10 novembre 2004

Durée : 2 heures
Aucun document n’est autorisé

Exercice 1 Masque générique

Donnez l’ensemble des adresses IP concernées par les notations suivantes :

1. [Link] [Link]
2. [Link] [Link]
3. [Link] [Link]
4. [Link] [Link]

Exercice 2 Attaque de type « smurf sur un serveur interne »

Le réseau utilisé est celui de la figure ci-dessous. Un hacker cherche à faire une attaque de
type « deny of service » (DoS) sur le serveur [Link].

Pour cela, il décide d’envoyer (étape 1) un « ping » dans un paquet dont :

 l’adresse source contient l’adresse du serveur à attaquer, ici [Link]
 l’adresse destination est un broadcast dirigé, ici [Link].

De cette façon, toutes les machines du réseau [Link] vont recevoir un ping dont elles vont
penser qu’il vient du serveur [Link]. Elles vont donc toutes lui répondre à peu près en
même temps (étape 2), ce qui provoquera une surcharge du serveur et l’indisponibilité du
service qui a motivé son installation.

étape 1
ping
de [Link]
vers [Link]

étape 2
toutes les machines
répondent en même
temps !
Université de Technologie de Troyes RE16 : sécurisation des réseaux IP
__________________________________________________________________________________________

Il a été décidé de ne pas filtrer le protocole ICMP en entrée du réseau. Les « ping » doivent
toujours pouvoir être échangés entre les réseaux [Link]/24 et [Link]/24.

1. Proposez une ACL standard qui permette de résoudre le problème. Dites quel est votre
critère de filtrage, à quelle interface et dans quel sens vous l’appliquez (la réponse sera
comptée juste, même si la syntaxe n’est pas tout à fait exacte).

Il suffit d’interdire l’entrée sur l’interface côté Internet des paquets dont l’adresse source
appartient aux réseaux internes.
access-list 10 deny ip [Link] [Link]
access-list 10 deny ip [Link] [Link]
access-list 10 permit ip any any
interface serial 1
ip access-group 10 in

Exercice 3 Surveillance du réseau

Vous soupçonnez un utilisateur de votre réseau de passer son temps à « surfer » sur Internet,
alors que l’ordinateur qui lui est attribué est normalement destiné à une autre tâche. Pourtant,
à chaque fois que vous êtes entré dans son bureau, il semblait travailler. Vous ne pouvez pas
intervenir sur son poste car vous craignez qu’il se doute que vous surveillez son activité.

1. Que pouvez-vous faire pour mesurer facilement la quantité de paquets IP qu’il échange
grâce au protocole HTTP ?

Problème 1 Filtrage

Vous administrez le réseau ci-dessous. Le routeur interne se charge de translater les adresses
privées des utilisateurs internes vers l’adresse [Link]. Il vous est demandé de sécuriser le
réseau en autorisant explicitement certaines actions, et en interdisant par défaut toutes les
autres. Les actions autorisées en entrée sont celles en rapport avec les serveurs publics. Par
ailleurs les utilisateurs internes doivent pouvoir naviguer sur Internet.
Université de Technologie de Troyes RE16 : sécurisation des réseaux IP
__________________________________________________________________________________________
Université de Technologie de Troyes RE16 : sécurisation des réseaux IP
__________________________________________________________________________________________

1. Pour le réseau des serveurs : quelle est son adresse, quelle est son adresse de broadcast ?
2. Proposez une adresse IP pour l’interface E0 du routeur périphérique
3. Proposez une adresse IP pour l’interface E1 du routeur interne
4. Faites l’inventaire des communications que vous allez autoriser à travers le routeur
périphérique
5. Faites l’inventaire des communications que vous allez autoriser à travers le routeur interne

Vous avez créé l’ACL étendue suivante et vous l’avez appliquée sur le routeur périphérique.
Après essai, vous vous rendez compte que le fonctionnement n’est pas satisfaisant. En effet,
les utilisateurs internes n’arrivent pas à consulter Internet. Vous faites un essai en tapant
directement une adresse IP publique valide dans la barre d’adresse d’Internet Explorer, et
vous constatez que la page web correspondante vous arrive normalement.

access-list 100 permit tcp any host [Link] eq 80 (1)

access-list 100 permit udp any host [Link] eq 53 (2)
access-list 100 permit tcp any host [Link] eq 25 (3)
access-list 100 permit tcp any eq 25 host [Link] established
access-list 100 permit tcp any host [Link] eq 21 (4)
access-list 100 permit tcp any host [Link] eq 20 (5)
access-list 100 permit tcp any eq 80 host [Link] established (6)
access-list 100 deny ip any any (7)

interface Ethernet1
ip access-group 100 in

6. Expliquez le rôle de chacune des lignes

7. Pouvez-vous trouver la source de l’erreur
8. Proposez une correction de l’ACL pour résoudre le problème (dites ce qui change, ce que
vous ajoutez ou enlevez, et dites à quel endroit dans l’ACL)

Certains utilisateurs du réseau interne se plaignent de l’apparition du virus W32/Rbot-PE.

Vous avez cherché des renseignements sur ce virus (voir copie d’écran). Par ailleurs, vous
avez créé un répertoire partagé sur la machine [Link] et vous l’avez consulté depuis la
machine [Link] (voir résultat de la commande netstat –n).

9. Identifiez le mode de propagation du virus, et donnez le numéro de port TCP qu’il utilise
10. Aucun partage n’est ouvert sur les serveurs publics. Selon vous, comment le virus a-t-il pu
se retrouver sur votre réseau ?
11. Peut-on, sur ce réseau, se prémunir de ce virus en utilisant les ACLs ?
12. Que faut-il faire pour s’en débarrasser et essayer d’éviter qu’il réapparaisse ?
Université de Technologie de Troyes RE16 : sécurisation des réseaux IP
__________________________________________________________________________________________
Université de Technologie de Troyes RE16 : sécurisation des réseaux IP
__________________________________________________________________________________________

Problème 2 Segmentation

Vous administrez le réseau ci-dessus. Les utilisateurs sont assez nombreux et se plaignent de
la lenteur du réseau. Vous avez utilisé un logiciel de supervision du trafic, et vous avez
constaté qu’il y a un problème de congestion au niveau du switch. Vous décidez de segmenter
le réseau pour essayer d’améliorer la situation.

Le routeur est un modèle modulaire qui possède :

 une carte série pour le lien Internet,
 une carte Ethernet à 100 Mb/s pour le réseau local,
 plusieurs « slots » libres.

Aucun matériel de réserve n’est disponible. Le routeur et le switch sont compatibles VLAN.

Segmentation IP sans VLAN

Vous décidez de segmenter le réseau en deux sous-réseaux :

 [Link]/24 pour la CAO
 [Link]/24 pour la comptabilité

1. Dessinez la nouvelle architecture

2. Quel matériel devez-vous faire acheter ?
3. Faites la liste des opérations à faire sur chacun des matériels

La machine [Link] envoie un paquet IP à l’adresse [Link].

4. Quelles sont les machines qui entendent la trame qui contient ce paquet ?
5. Quelles sont les machines qui acceptent ce paquet IP ?
Université de Technologie de Troyes RE16 : sécurisation des réseaux IP
__________________________________________________________________________________________

La machine [Link] envoie un paquet à l’adresse IP [Link].

6. Quelles sont les machines qui entendent la trame qui contient ce paquet ?
7. Quelles sont les machines qui acceptent ce paquet IP ?

Segmentation VLANs + sous-réseaux

Vous décidez de segmenter en deux VLANs, tout en gardant la segmentation IP précédente.

8. Dessinez la nouvelle architecture, sachant que vous avez choisi la solution qui coûte le
moins cher possible
9. Quel matériel devez-vous faire acheter ?
10. Faites la liste des opérations à faire sur chacun des matériels

La machine [Link] envoie un paquet IP à l’adresse [Link].

11. Quelles sont les machines qui entendent la trame qui contient ce paquet ?
12. Quelles sont les machines qui acceptent ce paquet IP ?

La machine [Link] envoie un paquet à l’adresse IP [Link].

13. Quelles sont les machines qui entendent la trame qui contient ce paquet ?
14. Quelles sont les machines qui acceptent ce paquet IP ?

15. Quels sont les avantages et inconvénients de cette deuxième solution par rapport à la
première ?

Barème :

Exercice 1 : 4 points Problème 1 : 20 points

 1 point par question  questions 1, 2 et 3 : 1 point
 questions 4 à 10 : 2 points
Exercice 2 : 3 points  question 11 : 1 point
 question 12 : 2 ponits
Exercice 3 : 3 points
Problème 2 : 20 points
 questions 1 et 2 : 1 point
 question 3 : 3 points
 questions 4 à 9 : 1 point
 question 10 : 3 points
 questions 11 à 14 : 1 point
 question 15 : 2 point
(note sur 20) = (note sur 50) * 2/5
Université de Technologie de Troyes RE16 : sécurisation des réseaux IP
__________________________________________________________________________________________

Réponses

Exercice 1
1. [Link] à [Link]
2. [Link] à [Link]
3. Toutes les machines impaires comprises entre [Link] et 191
4. [Link]
[Link]
[Link]
...
[Link]
[Link]

Exercice 2
Il suffit d’interdire l’entrée sur l’interface côté Internet des paquets dont l’adresse source
appartient aux réseaux internes.
access-list 10 deny ip [Link] [Link]
access-list 10 deny ip [Link] [Link]
access-list 10 permit ip any any
interface serial 1
ip access-group 10 in

Exercice 3
Il suffit de créer une ACL sur l’interface du routeur qui sert cet utilisateur. Cette ACL
n’interdira rien et sera de la forme :
access-list 100 permit tcp host ??. ??.??.?? any eq 80
access-list permit ip any any

Elle permettra la consultation des statistiques (show access-list 100) et montrera combien de
fois la première instruction qui laisse passer le flux http aura été utilisée.

Problème 1
1. Adresse du réseau [Link] adresse de broadcast [Link]
2. par exemple routeur interne E1 : [Link]
3. par exemple routeur externe E0 : [Link]
4. Routeur périphérique
Protocole http ftp smtp dns
Communication requête réponse requête réponse requête réponse requête réponse
Sens int -> ext oui oui non oui oui oui oui oui
Sens ext -> int oui oui oui non oui oui oui oui
5. Routeur interne
Protocole http ftp pop3 dns
Communication requête réponse requête réponse requête réponse requête réponse
Sens int -> ext oui non oui non oui non oui non
Sens ext -> int non oui non oui non oui non oui
6. (1) autorise les requêtes http vers le serveur www
(2) autorise les requêtes dns vers le serveur dns
(3) autorise les requêtes smtp vers le serveur smtp
la deuxième ligne autorise le retour des réponses smtp aux requêtes que
Université de Technologie de Troyes RE16 : sécurisation des réseaux IP
__________________________________________________________________________________________

le serveur smtp interne envoie

(4) et (5) autorisent les requêtes ftp contrôle et data
(6) autorise l’entrée des réponses http aux requêtes que les utilisateurs internes
envoient
(7) interdit tout le reste

7. Le trafic dns n’est pas autorisé en entrée. Les réponses des serveurs dns externes ne
peuvent pas rentrer sur le réseau
8. Il faut ajouter une ligne du genre :
access-list 100 permit udp any eq 53 host [Link]
9. Ce virus se propage sur le port 445 qui correspond au partage de répertoire sous Windows.
10. Le virus n’est pas arrivé par un partage, mais soit :
 par un e-mail
 par des cookies, javascript, ..., via HTML
 par le serveur ftp
 par l’utilisation de CD, disquettes, clés USB dans le réseau interne
Le virus arrive dans le réseau par l’un des moyens ci-dessus, et se propage ensuite par
le port 445
11. Non, une ACL ne servira à rien
12. (1) utiliser un antivirus pour le détecter et l’enlever
(2) utiliser les patches correctifs pour limiter sa propagation
(3) informer les utilisateurs des risques d’utiliser les partages, et les inviter à ne laisser des
partages actifs que lorsque c’est absolument nécessaire
(4) pour éviter que le virus ne rentre dans les serveurs publics, il faut utiliser en entrée un
FireWall capable d’appliquer du filtrage sur le contenu des paquets acceptés en entrée
(passerelle d’application)

Problème 2
1.

[Link]/24 [Link]/24

2. Il fau acheter un switch et une interface pour le routeur

3. Sur le routeur : (1) installer la nouvelle interface
(2) câblage
(3) donner les bonnes @IP aux interfaces
Sur le switch : (1) installation physique
(2) câblage
Sur les postes : (1) changer les paramètres TCP/IP :
o @IP
o passerelle
4. C’est un broadcast dans son sous-réseau, le paquet IP est mis dans une trame de broadcast,
donc tous les équipements branchés sur le switch du réseau [Link]/24 entendent la
trame
5. Toutes les machines du réseau [Link]/24
Université de Technologie de Troyes RE16 : sécurisation des réseaux IP
__________________________________________________________________________________________

6. C’est un broadcast vers un autre réseau, le paquet IP est mis dans une trame à destination
de la carte réseau du routeur, donc seul le routeur entend cette trame
7. Deux solutions :
 si le routeur ne transmet pas les broadcast, aucune machine ne recevra le paquet
 si le routeur transmet les broadcast, le routeur transmetytra le paquet dans une trama
de broadcast sur le réseau [Link]/24 et toutes les machines de ce réseau entendront
cette trame et accepteront le paquet
8.

VLAN 1, SR1 VLAN 2, SR2

[Link]/24 [Link]/24

9. Aucun
10. Sur le routeur : (1) pas de câblage
(2) programmation de son interface en deux sous
interfaces et attribution des adresses IP
(3) installation du protocole d’étiquettage des trames sur
le port fastethernet
Sur le switch : (1) éventuellement câblage (dépend du type de VLAN)
(2) création des VLANet affectation des utilisateurs
(3) installation du protocole d’étiquettage des trames sur
le lien vers le routeur
11. Toutes les machines du VLAN appartient [Link], c’est à dire logiquement les machines
du réseau [Link]/24
12. Toutes les machines du réseau [Link]/24 qui sont dans le VLAN de [Link]
13. Comme 6.
14. Comme 7.
15. Avantages : (1) moins cher
(2) peu ou pas d’intervention sur le câblage (dépend du type de
VLAN mis en oeuvre)
(3) retour facile à la situation de départ si il y a un problème
Inconvénients : (1) il faut maîtriser les VLAN (configurations plus complexes)
(2) l’architecture logique n’est plus lisible sur l’architecture
physique, le réseau est plus difficile à comprendre