2004M Cas

2004M Cas

Éléments de corrigé DOSSIER I INSTALLATION D’UN Question 1. 1 Déterm orn Innum necessalre, exprimée en Kbit/s, que devra supporter la liaison Transfix entre le site du GIE et celui de la société Géom & rie. Comme l’indique clairement le schéma du réseau (annexe 1), il y a douze postes dans la société « Géom & Trie Le texte mentionne de son côté « les applications de gestion… représentent 75 % des flux. Ces applications… nécessitent un débit de 10 Kbit/s par poste utilisateur… Il faut donc : IO Kbit/s * 12 postes soit 120 Kbit/s pour les applications de gestion.

Ces applications de gestion « „ eprésentent 75 % des flux Il faut donc rajouter les 25 % utilisés par les autres flux (DNS, FTP… ) soit 40 Kbit/S (120/75*25), pour obtenir le débit total nécessaire. liaison y a deux extrémités ! (2 points) Frais de mise en servlce 1 060 € * 2 extrémités = 2 120 (2 points) Coût annuel d’ abonnement ((712,70 € + (8 € * 25 rnoiS) = 1 0952,40 € Question 1. 3 Proposer la ligne à ajouter dans la table de routage du routeur « rtr-ext » pour que les machines du réseau du

Désolé, mais les essais complets ne sont disponibles que pour les utilisateurs enregistrés

Choisissez un plan d'adhésion
GIE puissent atteindre le réseau de la société Géom & Trie.

Aidons nous du schéma de l’Annexe 1 et plaçons nous entalement « sur » le routeur rtr-ext dont il convient de compléter la table. La question indique que le réseau à atteindre est celui de société Géom & Trie « … puissent atteindre le réseau de la société Géom & Tri… » soit 192. 168. 62. 0 comme l’indique clairement le schéma. Le masque de réseau est noté, dans cette même annexe, 124 ce qui correspond à la notation CIDR (Classless InterDomain Routing) d’un masque de 24 bits à 1 soit, en notation traditionnelle : 255. 255. 255,0.

Depuis le routeur rtr-ext, tous les paquets destinés au réseau Géom & Trie doivent donc être xpédiés au routeur rtr-gie (dont le « travail » sera de les rediriger à son tour vers le réseau de la société… ) et dont l’adresse de l’interface d’entrée est 172. 16. 0. 254. Pour cela, les paquets doivent sortir de notre routeur rtr-ext par l’interface de sortie 172. 16. 0. 253. Bien entendu le concentrateur n’a « rien à voir » avec un problème de routage puisqu’il est censé travailler au niveau 2 du modèle OSI et non pas au niveau 3 comme le routeur.

La ligne à rajouter dans la table de routage est donc en définitive : Cas Silvia – Éléments de correction suite à la réunion ‘harmonisation à Paris le 24 mai 2004 PAGF OF correction suite à la réunion d’harmonisation a Paris le 24 mai 2004 page 1/10 Réseau à atteindre Masque de ce réseau « On doit s’adresser à » « On sort du routeur par… » Réseau Masque Passerelle Interface 192. 168. 62. 0 255. 255. 255. 0 172. 1 6. 0. 254 172. 1 6. 0. 253 Rappelons qu’une ligne d’une table de routage se lit de la manière suivante « … our atteindre un réseau (Réseau) défini par le masque (Masque) on doit s’adresser à tel routeur (Routeur) et pour cela sortir du routeur par tel adaptateur (Interface) Donc clair • La zone Réseau définit l’adresse du réseau (sous-réseau) ? atteindre. La zone Masque définit la valeur du masque de réseau (sous- réseau) à appliquer. La zone Routeur définit l’a int d’entrée » dans un PAGF futurs en donnant des « signaux d’appel » dans telle ou telle direction. La question précisait « … a ligne qui permettrait, en remplaçant toutes les lignes précédentes, d’adresser tous les réseaux possibles du GIE. b. On doit donc chercher quels sont les réseaux en question ? A l’observation de la table de routage (complétée en principe par la ligne issue de la réponse à la question précédente) on constate ue tous les réseaux appartiennent à la même plage d’adresses 192. 1 68. x. y. On constate également que, quel que soit le réseau de destination, les valeurs de passerelle à atteindre et d’interface de sortie sont les mêmes.

Comment « fusionner » toutes ces lignes en une seule ? Si le masque de réseau appliqué aux paquets au niveau du routeur ne couvre que les deux premiers octets d’adresse, tous paquets vont « sembler » appartenir au même réseau 192. 168. 0. 0. En effet, quand les décisions de routage sont prises, seuls les bits « couverts » par le masque de sous-réseau sont utilisés pour éterminer quel est le réseau à atteindre et donc, en appliquant un masque « tronqué » ou « sur-masque toutes les adresses semblent faire partie du même réseau du point de vue du routage.

On doit donc utiliser ici un « sur-masque » Il 6 alors que pour des réseaux de classe C on s’attend à avoir 124. Cette technique est largement utilisée par les opérateurs pour limiter la taille des tables de routage. La ligne de remplacement des quatre lignes précédentes est donc en définitive : passerelle 255. 255. 0. 0 172. 16. 0. 253 Question 1. 5 Pour chacune des vérifications souhaitées, indiquer a commande « ping » à exécuter. Justifier la réponse pour chacune des quatre commandes employées.

Préalables : On ne demande pas ici de trouver la cause du dysfonctionnement mais seulement d’expliquer ce que permettraient de tester les quatre vérifications souhaitées et quel est le ping qu’il faudrait employer pour arriver à cette fin. Rappelons que nous nous situons sur le poste 192. 168. 62. 11 du réseau de la société Géom & Trie. Examinons donc une à une, chacune des quatre vérifications souhaitées. Vérification 1 : « Pile de protocoles TCP/IP sur lui-même » La commande ping 127. 0. . 1 permet de tester la pile TCP/IP de la machine, sans « descendre » au niveau de la carte.

Un ping sur l’adresse IP du poste (ping 192. 1686211) permet aussi de tester la pile TCP/IP sans descendre sur la carte mais teste en plus la validité de l’adresse. L’une ou l’autre de ces réponses est donc acceptable. Vérification 2 : « Couche Physique et Liaison de données sur le réseau de la société « Géom & Trie » La commande ping 192. 168. 62. 254 (ou sur toute autre adresse du réseau – 192. 168. 62. 1 par exemple) suffit et permet de déterminer que la liaison fonctionne sur 2 nœuds adjacents. Cette commande permet de tester la carte réseau, le concentrateur et le câble de liaison.

Par contre un « ping 127. 0. 0. 1 » au e niveau car le paquet ne « ping 192. 168. 62. 11 » est PAGF s OF serait pas testée. d’harmonlsation à paris le 24 mai 2004 page 2/10 Le sujet précise « … tout fonctionne normalement sur les autres machines… », le routeur ou tout autre poste doit donc répondre. Dans le cas contraire il faudrait incriminer la carte réseau, le port du concentrateur ou le câble de liaison entre le poste et le concentrateur, ce qui est impossible puisque le poste a accès à Internet. Compléments : Précisons que la commande ping 192. 168. 62. déclenchera une éventuelle requête ARP pour associer l’adresse MAC et l’adresse IP et que le ping est, bien entendu, une demande ICMP encapsulée dans un paquet IP de niveau 3 (liaison), niveau testé à cette occasion. Vérification 3 : « Couche Réseau entre le réseau de la société « Géom & Trie » et celui du GIE » Il s’agit de vérifier ici SI le « routage » « … couche réseau… » se fait bien. Il faut donc un ping qui « concerne » les routeurs intermédiaires aux deux réseaux intéressés. Les commandes ping 172. 16. 1. 254 au ping 172. 6. 0. 1 par exemple, sont valides.

Ces commandes permettent de déterminer que le routage fonctionne entre les deux nœuds distants. Ces commandes testent le fonctionnement du routeur (configuration et table de routage) mais aussi celui de la table de routage du poste émetteur et de celle du poste récepteur. Là aussi la réponse doit normalement être positive puisque les autres postes accèdent au serveur. Vérification 4 : « Résolution de nom en utilisant le protocole DNS » Pour provoquer la résoluti son adresse IP, il faut résolution de nom en son adresse IP, il faut faire un ping qui utilise le nom d’hôte du oste.

Ce nom est précisé dans le texte du sujet « … la machine 172. 16. 0. 10 de nom srvl O. silvia. fr… On fera donc un ping srv10. silvia. fr. On travaille ici dans les couches supérieures à la couche 3 (réseau), et donc au dessus du protocole de transport. On va ainsi tester la configuration DNS du poste ainsi qu’éventuellement le fichier de zone du serveur DNS contacté si le cache DNS sur le poste est vide, c’ est-à-dire que cette résolution n’a pas déjà été faite antérieurement. Question 1. 6 Expliquer le rôle du protocole arp.

Préalables : Il s’agit purement là d’une question « de cours Toutefois, au vu des textes précédant le questionnement, on voit clairement apparaître les adresses physiques ce qui ne devait pas manquer « d’interpeller » mémoire ou réflexion. De plus la question indique « Expliquer le rôle… On demande donc le rôle et non le fonctionnement ! Le protocole arp permet la résolution (traduction, translation, mappage. .) d’ adresse IP en adresse MAC (Media Access Control), adresse physique ou adresse Ethernet.

Complément non demandé lors de l’examen : Pour envoyer une trame Ethernet vers une machine précise, il faut absolument disposer de son adresse MAC. Comme on connaît (niveau 3) son adresse IP, il faut assurer la relation entre cette adresse IP et l’adresse MAC. Lors de la « découverte » de la machine cible, le poste demandeur envoie un broadcast arp (adresse IP connue adresse MAC inconnue) sur le réseau. La machine concernée répond en fournissant son adresse MAC. Le poste demandeur va alors stocke 7 OF concernée répond en fournissant son adresse MAC.

Le poste demandeur va alors stocker cette adresse MAC dans son cache arp pour être en mesure, à l’avenir, démettre vers ce poste Clble. La trame est complétée avec l’adresse MAC de destination et émise vers le oste cible. Question 1. 7 Expliquer le problème que l’analyse des caches arp révèle pour la machine 192. 168. 62. 11. Rappelons que la machine concernée est le poste 192. 168. 6211. L’observation des caches arp et du schéma du réseau permet de constater que les adresses MAC trouvées en cache sur deux machines différentes ne sont pas les mêmes alors qu’elles ont « pingé » la même adresse IP (ping 172. 6. 0. 10). L’observation du schéma de l’Annexe 1 nous montre que la machine « cible » (172. 16. 0. 10) se trouve de l’autre côté du routeu rtr_geo. La requête ICMP correspondant au ping devrait donc être ormalement « relayée » par ce routeur et c’est donc lui qui devrait nous retransmettre son adresse IP et son adresse MAC (pour résoudre la connexion au niveau 2 liaison). C’est bien ce qui se passe pour la machine 192. 168. 62. 11 (du moins en ce qui concerne l’adresse IP du routeur 192. 168. 62. 254).

En ce qui concerne l’adresse MAC on ne peut pas réellement vérifier qu’il s’agit bien de celle de l’interface du routeur _geo et non pas d’une adresse MAC « usurpée » mais là… on tombe dans la paranoia Or quand on effectue un ping depuis la machine qui ne fonctionne pas on observe dans le cache arp, comme adresses de etour IP et MAC celles du routeur ADSL (Ici encore la vérification ne peut porter en fait que sur l’adresse IP du routeur 192. 168. 62. 253). En clair, alors 8 OF vérification ne peut porter en fait que sur l’adresse IP du routeur 192. 68. 62. 253). En clair, alors que les adresses MAC devraient être toutes les deux celles du routeur rtr_geo, une seule est la bonne. L’autre est donc celle du routeur ADSL qui répond au lieu du routeur rtr_geo attendu. La réponse est alors « évidente », le problème vient de ce que la passerelle par défaut (gateway) sur la machine « défectueuse » (192. 68. 62. 11) correspond en fait à celle du routeur ADSL et non à celle du routeur rtr_geo. Il faudrait modifier la passerelle par défaut du poste 192. 68. 62. 11 en remplaçant la valeur actuelle 192. 168. 62. 253 par la valeur correcte : 192. 168. 62. 254. page 3/10 DOSSIER 2 SÉCURITÉ DU RÉSEAU Question 2. 1 Expliquer le rôle de la règle numéro 1 et celui de la règle numéro 6 dans la table de filtrage de interface 193. 252. 19. 3. Bien qu’on puisse penser « à priori » que cette question va être « compliquée » il n’en est rien et il s’agit avant tout d’observation. D’autant plus que les principes de fonctionnement sont expliqués dans le sujet.

Encore une fois, plaçons nous mentalement « sur » le routeur concerné (rtr-ext) et « rep quets qui arrivent sur semble utile : il est plus simple de considérer (dans un premier temps) que les règles de filtrage s’appliquent sur les paquets « en entrée » dans routeur par l’interface considérée. Les règles de filtrages s’appliquent également sur les paquets « en sortie » de l’interface – eest le cas de la ligne 7 de la table, qui n’est pas à étudier ici. Et maintenant, lisons « à voix haute » la ligne numéro 1

Un paquet arrivant (d’Internet), portant une adresse source quelconque (toutes) en provenance d’un port quelconque (tous) et destiné à l’adresse 195. 115. 90. 1 132 (masque de 32 bits donc tous les bits « traversent le masque » – c’est normal il s’aglt d’une adresse de machine : serveur SMTP, POP, DNS et SSH), dont le port de destination est le port 25 et transporté par le protocole TCP est accepté (Accepter) La seule « difficulté » est éventuellement de savoir à quoi peut bien correspondre ce port 25. L’Annexe 1 nous montre clairement que c’est le protocole SMTP qui utilise le port 25 avec

TCP comme protocole de transport. Le protocole SMTP (Simple Mail Transfert Protocol) est utilisé par les services de messagerie pour transmettre les mails entre agents de transferts du courrier ou MTA (Mail Transfer Agent), au travers dlnternet. En clair : La règle 1 autorise les requêtes « SMTP » à partir d’ Internet sur la machine d’ adresse 195. 115. 90. 1 De la même façon, lisons « à voix haute » la ligne numéro 6 : « Un paquet arrivant (d’Internet) portant une adresse source et destiné à fadresse 195. 115. 90. 0/28 (masque de 28 bits, il s’agit donc d’une adres