Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

A.U. : 2021-2022 Ben Hassine Inès 1/4 TD 5 : Sécurité_TCP/IP Exercice 1 : Soit

A.U. : 2021-2022 Ben Hassine Inès 1/4 TD 5 : Sécurité_TCP/IP Exercice 1 : Soit le réseau suivant : 1- Sur le réseau interne 192.168.34.0/24. La machine 192.168.34.2 ne doit pas être accessible de l'extérieur. a. Quelle ACL doit-on choisir : A. access-list 101 deny tcp any host 192.168.34.2 B. access-list 101 deny ip any 192.168.34.0 0.0.0.255 C. access-list 101 deny ip any 192.168.34.2 255.255.255.255 D. access-list 101 deny ip any host 192.168.34.2 b. A quelle interface doit-on la définir ? Expliquer ? A. Sur l'interface S0/0 in B. Sur l’interface Fa0/0 in C. Sur l'interface S0/0 out D. Sur l’interface Fa0/0 out 2- Nous voulons restreindre tout accès SMTP (port 25) à la machine 192.168.34.200. a. Quelle ligne d'ACL doit-on choisir A. access-list 101 permit tcp any host 192.168.34.200 eq 25 B. access-list 101 deny tcp any 192.168.34.0 0.0.0.255 eq 25 C. access-list 101 permit tcp host 192.168.34.200 any eq 25 D. access-list 101 deny tcp any 192.168.34.200 0.0.0.255 eq 25 b. À quelle interface doit-on la définir ? c. Ecrire les commandes nécessaires pour positionner cette ACL à l’interface que vous avez choisie. 3- Supposons que la liste de contrôle d'accès suivante soit correctement appliquée à une interface de routeur, Router(config)# access-list 165 deny tcp 192.168.34.0 0.0.0.255 172.23.0.0 0.0.255.255 eq telnet Router(config)# access-list 165 permit ip any any a. Que peut-on conclure de cet ensemble de commandes ? b. Expliquer le choix des masques génériques? Corrigé : A.U. : 2021-2022 Ben Hassine Inès 2/4 Exercice 2 : Une entreprise dispose d’un pare-feu pour limiter l’accès depuis et vers les machines de son réseau interne. L’architecture du réseau de l’entreprise comprend également une zone démilitarisée (DMZ) pour le déploiement des serveurs Web et DNS propres à l’entreprise. La politique de sécurité appliquée par le pare-feu est décrite par le tableau 1. 1- Donner la politique correspondante à chaque paire de règles (1-2), (3-4), (5-6) et (7-8) 2- Préciser la règle qui vérifiera chacun des paquets suivants et dites si le paquet sera accepté ou refusé p1- IP sce : 172.16.0.30 IP Dest : 12.230.24.45 Prot : TCP Port sce :1045 Port dest : 443 p2- IP sce : 172.16.10.5 IP Dest : 172.17.0.2 Prot : UDP Port sce :6810 Port dest : 53 p3- IP sce : 140.10.2.1 IP Dest : 172.17.0.1 Prot : TCP Port sce :8000 Port dest : 80 p4- IP sce : 17.14.3.3 IP Dest : 172.17.0.2 Prot : UDP Port sce :6000 Port dest : 53 p5- IP sce : 172.17.0.1 IP Dest : 1.2.3.4 Prot : TCP Port sce :80 Port dest : 9999 3- Traduire les règles 6 et 7 en utilisant les ACL Cisco Corrigé : A.U. : 2021-2022 Ben Hassine Inès 3/4 Exercice 3 : On étudie l'architecture de protection réseau suivante : 1- Compte tenu du mode de fonctionnement suggéré par le schéma, présentez les différentes zones de sécurité associées à l'architecture de protection réseau et leurs niveaux de sécurité respectifs. 2- Commentez les rôles respectifs du serveur DNS situé en DMZ d'administration et du contrôleur de domaine AD vis à vis du service DNS offert globalement par le système d'information aux utilisateurs internes et externes. 3- On a ici une architecture de protection faisant appel à deux équipements distincts, l'un tourné vers Internet et l'autre vers les systèmes serveurs. Que pensez- vous de ce choix d'architecture en termes de protection, de configuration ? Quelles seront à votre avis les contraintes de fonctionnement respectives de chacun des deux équipements, en particulier du point de vue des flux réseaux à traiter (nature, débit, etc.). (Mettez notamment en évidence les différences.) 4- On suppose que les deux Firewalls sont de technologie identique et que le serveur d'administration et de gestion des traces est unique pour les deux. Commentez cet aspect vis à vis de l'administration et du positionnement de la DMZ d'administration. 5- Quel avantage et quel inconvénient pourrait-il y avoir au fait d'avoir deux Firewalls de technologies différentes au lieu de deux équipements similaires ? Corrigé : 1- • La DMZ Admin est une zone d'administration des équipements de sécurité. Elle contient un serveur de gestion des Firewall qui stocke également les traces que ces équipements collectent. On trouve également dans cette zone un serveur DNS, probablement placé là car il s'agit d'une zone de haut niveau de sécurité. Ce serveur DNS est alors probablement le serveur principal des zones attribuées à l'entreprise ou l'organisme concerné. • La DMZ contient un serveur Web accessible de l'extérieur. Elle contient également un relais HTTP, qui doit servir à relayer les accès internes vers Internet. • La zone « salle serveurs » est elle aussi placée dans une zone de sécurité spécifique. Ainsi, l'ensemble des serveurs sont logiquement isolés au niveau du réseau des postes de travail et des autres zones de sécurité. A.U. : 2021-2022 Ben Hassine Inès 4/4 2- On peut supposer que le serveur DNS de la DMZ Admin. correspond au serveur DNS visible sur Internet qui gère en propre la zone DNS de l'entreprise. Par contre, le serveur DNS associé au serveur AD situé en interne gère également des zones de nommage (via le DNS) mais qui sont associées aux machines internes du LAN (noms de machines Windows, noms de domaines, etc.). Cette zone n'est a priori pas visible depuis Internet. Par contre, on entrevoit là une difficulté de fonctionnement. En effet, les postes de travail peuvent avoir besoin d'accéder simultanément aux deux zones de nommage et la configuration respective des deux serveurs sera à étudier plus précisément (notamment si on souhaite éviter que tous les clients n'aient à essayer la résolution de leurs noms auprès des deux serveurs tour à tour, ce qui n'est pas vraiment optimal). 3- En termes de protection, on dispose ici de deux lignes de défense pour les éléments de l'organisme ayant très probablement le plus de valeur dans le système d'information: ses serveurs internes. C'est certainement positif du point de vue de la sécurité si les Firewalls sont gérés correctement. Un point d'administration central est également prévu, qui semble donc ainsi offrir des fonctions de gestion unifiée des 2 équipements afin de faciliter leur configuration. Toutefois, on imagine déjà que cette configuration sera plus compliquée qu'avec un seul équipement faisant face seulement à des flux à la frontière avec Internet. Le firewall externe est exposé à l'ensemble d'Internet. Il est donc susceptible de faire face à des menaces extrêmement variées. Par contre, les protocoles qui le traversent sont probablement peu nombreux et relativement faciles à préciser et maitriser. C'est finalement un cas assez classique d'utilisation de ce genre d'équipement. Le firewall interne est essentiellement destiné à assurer une protection des serveurs vis à vis des utilisateurs internes (ou en 2° ligne de protection pour une intrusion externe réussie sur les postes de travail). Or, en interne au LAN, les flux réseaux sont parfois très variés (impression, partage de fichiers, etc.) et la configuration de ce firewall va sans doute être difficile à affiner précisément. On sera même surement amené à faire des compromis sur cette configuration afin d'éviter des dysfonctionnements. Par ailleurs, la volumétrie des flux réseaux concernés sera certainement beaucoup plus importante sur le LAN au niveau du firewall interne que vis à vis d'Internet. La performance de cet équipement sera donc à surveiller. 4- La DMZ d'administration peut être vue comme la zone de plus haut niveau de sécurité dans l'architecture. Il aurait peut- être été plus logique dans ce cas de la faire elle aussi bénéficier du double niveau de protection réseau (tout comme les serveurs). On aurait donc pu raccorder cette DMZ d'administration sur le 2° firewall interne au lieu de la connecter directement au 1° firewall. (Par contre, dans ce cas, le positionnement du serveur DNS serait à réétudier.) Peut- être le firewall interne a t'il été installé dans un 2° temps, après que le firewall tourné vers Internet ait été déployé ? 5- Si les deux Firewalls sont identiques, on note déjà un risque en cas de faille de sécurité sur l'équipement en question. L'avantage d'avoir deux Firewalls différents, c'est que même en cas de vulnérabilité grave affectant le firewall en contact avec Internet, le 2° équipement interne pourra assurer une protection des principaux serveurs. Par contre, en termes de configuration, il sera alors certainement très difficile de disposer d'un moyen de configuration unifié des deux équipements. On aura donc un inconvénient (proba- blement important) vis à vis de la facilité d'administration de l'architecture uploads/Management/ td5-corrige 2 .pdf