Techniques des Réseaux Informatiques EFF 2017- Théorique Réalisé par : OUSSAMA NAZIH

2- Reproduire et Compléter le tableau d’adressage en annexe 1 pour le site-D

EFF 2017 – Théorique 1/3 Réseau ID.VLAN Besoin Adresse 1ière adr Dernière adr
1- Réaliser un découpage réseau pour affecter à chacun des réseaux ci-dessous un Réseau/Masque
nombre d’adresse assurant le besoin décrit : Apprivoisement VLAN11 30 10.0.16.128/27 .129 .158
Remarque : il faut faire la différence entre VLSM et FLSM Contrôle de gestion VLAN22 55 10.0.16.0/26 .1 .62
VLSM (Découpage asymétrique) : il est utilisé pour découper un réseau en plusieurs sous Qualité et Sécurité VLAN33 22 10.0.16.160/27 .161 .190
réseaux contenant des nombres des machines différents. Laboratoire VLAN44 17 10.0.16.192/27 .193 .222
- Le masque sera différent pour chaque sous réseaux (V=Variable) Traitement VLAN55 47 10.0.16.64/26 .65 .126
FLSM (Découpage symétrique) : il est utilisé pour découper un réseau en plusieurs sous Serveurs VLAN66 5 10.0.16.240/29 .241 .246
réseaux symétriques. (similaires) VLAN de Gestion VLAN77 7 10.0.16.224/28 .225 .238
- Le masque sera le meme pour tous les sous réseaux (F=Fixe) 3- Quelles sont les caractéristiques des commutateurs multicouches ?
Solutions 1 : Raisonner à partir de nombre de bits pour la partie sous réseaux : o - Etablir les tables de routages.
Puisque l'adresse réseau sera découpé en 7 donc on calcule le nombre de bits nécessaireso - Prise en charge quelques protocoles de routage.
pour avoir le nouveau masque pour les 7 sous réseaux : o - Sécurité renforcée, qualité de service avancée et Haute disponibilité.
2n ≥ 7 -- > n= 3 bits suffisant pour la partie sous réseaux : 4- Donner les commandes pour configurer les ports F/01 et F0/2 en lien agrégé
Nouveau Masque : 16+3=/19 Etherchannel sans protocole de négociation sur Multilayer S2 :
Les sous réseaux : S(config)#interface range Fa0/1-2
Sous réseau 1 : 10.0.00000000.00000000= 10.10.0.0/19 S(config-if-range)# switchport mode trunk
Sous réseau 2 : 10.0.00100000.00000000 = 10.10.32.0/19 S(config-if-range)# channel-group 1 mode on
Sous réseau 3 : 10.0.01000000.00000000 = 10.10.64.0/19 S(config-if-range)#exit
.... 5- Configurer le port-Channel créé en mode agrégation avec l’id 77 : id vlan natif
Sous réseau 7 : 10.0.11000000.00000000 = 10.10.192.0/19 Switch MultilayerS2
S(config)#interface port-channel 1
Cette méthode gaspille beaucoup d'adresses : on aura donc 32-19=13 bits pour la partie
S(config-if)#switchport trunk native vlan 77
hots, donc chaque sous réseau peut contenir jusqu'à 213 -2 = 8 190 adresses machines par
S(config-if)#exit
contre on a besoin juste 700.
6- Donner la/les commande(s) pour autoriser tous les vlans sauf 55 sur cette liaison
Solution 2 : Raisonner à partir de nombre de bits nécessaire pour la partie hots
Puisque les sous réseaux sont similaires (masque fixe), chaque sous réseau doit contenir Switch MultilayerS2
au minimum 700. On détermine le nombre de bits nécessaire pour la partie hosts : S(config)#interface port-channel 1
2n - 2 ≥ 700 ==> n =10 (1024). 10 bits suffisant pour la partie hosts. S(config-if)#switchport trunk allowed vlan except 55
Nouveau masque fixe = 32-10=/22 Remarques : Except et Remove jouent le meme rôle sauf que :
Les sous réseaux : Except : Tous les vlans seront autorisés sur le trunk sauf le vlan 55
(Méthode rapide) : - n>8 donc on ajoute 210-8 = 4 au 2ièm octet pour obtenir l’adresse de Remove : Supprimer le vlan 55 de la liste des vlans en cours autorisés sur le trunk.
réseau suivant. 7- Assurer le routage inter vlan à l’aide de SVI entre les Vlans 11,22 et 55 sur
N° d’ordre Nom de site Adresse sous réseau MulticouheSW3. (On suppose que les vlans sont déjà définis)
1 Siège 10.0.0.0/22 S(config)#interface port-channel 1
2 Siège-A 10.0.4.0/22 S(config-if)# switchport trunk encapsulation dot1Q
3 Siège-B 10.0.8.0/22 Sconfig)#interface vlan 11
4 Siège-C 10.0.12.0/22 S(config-if)#ip address 10.0.16.129 255.255.255.224
5 Siège-D 10.0.16.0/22 S(config-if)# no shut
6 Siège-E 10.0.20.0/22 S(config)#interface vlan 22
S(config-if)# ip add 10.0.16.1 255.255.255.192
7 Siège-F 10.0.24.0/22
S(config-if)#no shut
NB : La solution correcte pour cette question est la solution numéro 2.
S(config)#interface vlan 55
S(config-if)# ip add 10.0.16.65 255.255.255.192
S(config-if)#no shut
S(config)#ip routing
pour plus d’info, consulter le lien suivant : https://goo.gl/FGhXUT
NB : Si vous trouvez une erreur, veuillez la mentionner sur la page du groupe.
Techniques des Réseaux Informatiques EFF 2017- Théorique Réalisé par : OUSSAMA NAZIH
16- Expliquer les interférences pour la bande 2.4 GHZ .donner des exmples de
EFF 2017 – Théorique 2/3 dispositifs causant ces problèmes :
Réponse : En raison d’un grand nombre d’appareils sans fil travaillant sur le
8- Quelles sont les caractéristiques d’une connexion Internet par VSAT ? 2,4GHz bande, le pont peut rencontrer des interférences des voisins les
- Internet en tout lieu : n’a besoin d’aucun raccordement terrestre. périphériques sans fil → dégradation dans la vitesse la connexion.
- La seule solution pour les zones rurales ou de montagnes reculées. Exemples : cartes sans fil , téléphone sans fil , souris sans fil…
- Le coût ne dépend pas de la distance ou vous le placez par rapport. 17- Quelles sont les normes 802.11 compatible avec la bande de fréquence 5GHz ?
- Connexion très fiable et un haut débit de transmission de données…. Réponse : 802.11a || 802.11n || 802.11ac
9- Présenter les avantages des VPN en justifiant leur utilisation par le groupe 18- Quelle solution peut etre adaptée concernant l’installation du nouveau
- Réductions des coûts : pas besoin de disposer de liaisons WAN … contrôleur de domaine :
- Évolutivité : permettent aux entreprises d'utiliser l'infrastructure d'Internet des FAI et Réponse : Contrôleur de domaine en mode lecture seule (RODC)
des périphériques, ce qui permet d'ajouter facilement de nouveaux utilisateurs. Commentaire : RODC (Read Only Domain Controller) contient toutes les
- Compatibilité avec la technologie haut débit : comme la technologie DSL… informations qu’un contrôleur classique dispose, à l’exception des mots de
- Sécurité : très élevé (protocoles de chiffrement et d'authentification avancés…) passe utilisateurs , ces informations étant stockées en lecture seule.
10- Donner les commandes pour configurer le NAT avec redirection de port (S3): 19- Donnez le contenu du fichier de configuration d’interface correspondant au
serveur (Indiquer essentiellement l’interface,le type de protocole,l’adresse
S(config)#ip nat inside source static tcp 10.0.0.100 80 41.141.244.143 8000
IP,le masque , et le type de démarrage automatique :
S(config)#ip nat inside source static tcp 10.0.0.200 80 41.141.244.143 2121 Réponse :
S(config)#interface F0/3 // interface vers les serveurs DEVICE=enth0
S(config-if)#ip nat inside BOOTPROTO=none
S(config)#inteface F0/4 // interface vers le routeur IPADDR = 10.0.16.245
S(config-if)#ip nat outside NETMASK= 255.255.255.248
11- Les access-List (SL3) : ONBOOT=yes
S(config)#ip access-list extended APP-METIER 20- Expliquer les différentes directives :
S(config-ext-nacl)# permit tcp 10.0.16.128 0.0.0.31 10.0.16.242 0.0.0.7 eq 80 Réponse :
S(config-ext-nacl)# p ermit tcp 10.0.16.0 0.0.0.63 10.0.16.242 0.0.0.7 eq 80 Forwarders : rediriger les requêtes qui ne sont pas résolues (par notre serveur
S(config-ext-nacl)# permit tcp 10.0.16.192 0.0.0.31 10.0.16.243 0.0.0.7 eq 443 DNS) vers un serveur DNS distant ( DNS de FAI par exemple)
S(config-ext-nacl)# permit tcp 10.0.16.64 0.0.0.63 10.0.16.243 0.0.0.7 eq 443 Listen-on : recevoir (Ecouter) des requêtes venant d’une interface en ipv4.
S(config)#interface F0/3 // interface vers les serveurs Allow-recursion : l’utilisation de bind ne sera autorisée que sur le serveur lui-
S(config-if)#ip access-group APP-METIER in même (empêche que le serveur devient une serveur DNS relais)
S(config-if)#exit Notify : serveur primaire informe la modification de la zone aux serveurs
secondaires.
12- Qu’est- ce qu’un site Active directory ?
21- Quelle directive doit etre ajoutée à une zone DNS sous linux pour autoriser la
Réponse : l’infrastructure physique d’AD est structuré sur la base d’une zone
mise à jour dynamique de la zone :
géographique (ou plusieurs) pour que les ordinateurs clients d’un réseau WAN
puissent sélectionner un contrôleur de domaine proche d’eux. Cette zone
Réponse : allow-update : permet d’autoriser la mise a jour de la zone à partir d’un
client.
géographique s’appel : site d’AD.
22- Si l’administrateur devait configurer une zone de recherche inversée pour le
13- Quel est le rôle d’un serveur de catalogue global dans une organisation AD :
sousréseau 10.20.0.0 /16, quelle serait le nom de cette zone ?
Réponse : conserve une copie du catalogue global.
Réponse : zone "20.10.in-addr.arpa"
23- Donnez la commande permettant de s’assurer du démarrage du service
14- L’exploitation de rapports sur l’utilisation de la bande passante du réseau
syslogd pour les deux niveaux d’exécution cités
Internet a révélé un constat lié à une forte utilisation de la liaison Internet au
moment des ouvertures de session.
Réponse : chkconfig –level 35 syslogd on
24- Quels sont les noms des différents niveaux de sécurité qui seront envoyés au
Réponse : une grande charge sur le serveur Catalogue global → BP épuisé
serveur Syslog
Réponse : Urgence (0), Alerte (1), Critique (2), Erreur (3) et Avertissement (4). (0→4)
15- Quelle solution peut-on proposer pour régler ce problème ?
Réponse : configurer plusieurs serveurs catalogue globale sur les sites.

NB : Si vous trouvez une erreur, veuillez la mentionner sur la page du groupe.

Techniques des Réseaux Informatiques EFF 2017- Théorique Réalisé par : OUSSAMA NAZIH
29- Citez quelques méthodes qui peuvent aider à faire face à cette attaque ?
EFF 2017 – Théorique 3/3 Réponse : DHCP Snooping – Inspection dynamique ARP – Port Security…
25- Quelle commande aurait permis de configurer un routeur Cisco afin d’envoyer
des messages log au serveur 10.0.13.144 30- Décrire une autre attaque qui peut donner lieu à l’écoute électronique.
Réponse : R(config)# logging 10.0.13.144 DHCP Spoofing : C’est une attaque de type « Man in the Middle » qui consiste à
26- Expliquer les champs marqués dans le message Syslog : Usurper le serveur DHCP. L’attaquant en se faisant passer pour un DHCP légitime
Réponse : va fournir ainsi aux clients des informations erronées.
*mai 28 17 :25 :34.2525 %LINK-5-CHANGED :Interface Serial 0/0/0 ,changed state to Pour plus info : https://goo.gl/JDNJXc https://goo.gl/Y3VvRQ
down
Horodatage - Description – Niveau de Gravité – Moyen Mnémotechnique – Capacité
27- Pourquoi est-il important d’avoir une date et heurs synchronisées sur
l’ensemble des équipement réseaux ? comment un administrateur peut-il
atteindre ce but facilement ?
Réponse :
- Pour une entreprise, avoir des horloges synchronisées permet une meilleure
gestion des évènements (exemple : la synchronisation des logs).
- Pour atteindre ce but, il suffit de configurer un serveur NTP.
28- De quelle attaque s’agit-t-il dans ce cas ? décrire brièvement son principe
Adresse IP/MAC de PC victime : 10.0.0.37/0022.5F9B.8746
o La table ARP du PC victime est corrompue : l’adresse MAC associée à la
passerelle du routeur est falsifiée.
o La table ARP du routeur est corrompue : l’adresse MAC associée à
l’adresse IP du PC victime à était falsifiée.
Il d’agit d’une attaque type : arp spoofing (ou arp poisonning)
Principe : l’attaquant envoie une Réponse ARP avec son propre adresse MAC et
l’adresse IP de client légitime, ainsi toutes les trames destinées au client légitime
seront redirigées vers l’attaquant. (Man in the Middle)

Remarques : il y a une différence entre ARP spoofing et MAC Spoofing :

- ARP spoofing permet d’empoisonner la table ARP.
- MAC Spoofing permet d’empoisonner la table CAM.
- L’attaque ARP Spoofing est plus dangereuse que l'usurpation d'adresse MAC
(MAC spoofing) : la table CAM stocke ces adresses pour seulement 5 minutes (par
défaut), la plupart des périphériques Cisco conservent leurs associations ARP
pendant 4 heures.
Pour plus info : https://goo.gl/JDNJXc

NB : Si vous trouvez une erreur, veuillez la mentionner sur la page du groupe.