Techniques de Rseaux Informatiques (TRI) Elabor par : A. EL GHATTASJanvier 2010 WWW.TRI.0FEES.NET2 1J=GZT1GJ ==C=zn e t pourrussirlexamen vientpouraiderlesstagiairesdela filireTechniquesdeRseauxInformatiques(TRI),deuximeanne,seprparerpourlexamen defindeformationthorique.Voustrouverezdesexercices,destudesdecas,aveccorrigs, vous trouvez aussi les noncs des examens de fin de formation des dernires annes. A. EL GHATTAS Errachidia, le 12 Avril 2009 3=z==CJ Le calcul de la moyenne gnrale est comme suit : Moyenne gnrale de fin de formation : (moyenne de passage + moyenne des modules2 +moyennedelathorie2+moyennedelapratique3+moyennedela communication)/9 Avec : moyenne de la communication = (arabe + franais + anglais)/3 Exemple : un stagiaire ayant obtenu les notes suivantes : Moyenne de passage : 09/20 Moyenne des modules : 12/20 Moyenne de la thorie : 08/20 Moyenne de la pratique : 11/20 Arabe : 13/20 Franais : 10/20 Anglais : 07/20 A pour moyenne gnrale : 10.22/20 admis On rappelle aussi que : Lesstagiairesayantobtenuauxexamensdefindeformation,unemoyennegnrale suprieureougale09/20etinfrieure10/20serontsoumisauxdlibrationsduCGCP en vue de dcider:- soit de les autoriser redoubler;- soit de les exclure. Le droit au redoublement n'est accord qu'une seule fois durant le cycle de formation. Toutstagiaireayantobtenuunemoyenneinfrieure09/20auxexamensdefinde formation est automatiquement exclu. 4=GTTz1=C Exonet 1 : URL, Web, FTP, messagerie lectronique. Corrig : Exonet 2 : Web, FTP, courrier lectroniqueCorrig : Exonet 3 : Linux, FTP, intranet... Corrig : Exonet 4 : messagerie lectronique, trame EthernetCorrig : Exonet 5 : sous rseaux, proxyCorrig : Exonet 6:ISA Server (firewall, VPN,).. Corrig : Exonet 7 : firewall, virus, chiffrement. Corrig : Exonet 8 : VLAN, routage, firewall, proxy. Corrig : Exonet 9 : configuration dun routeur, ACLCorrig : Exonet 10 : routage, NAT/PAT, Proxy... Corrig : Exonet 11 : routage et adressage. Corrig : Exonet 12 : adressage de sur-rseau, routage.. Corrig : Exonet 13 : DNS et la dlgation de zone... Corrig : Exonet 14 : sous adressage, DHCP.Corrig : Exonet 15 : adressage, routage, DNS.. Corrig : Exonet 16 : adressage, routage, firewall.. Corrig : Exonet 17 : adressage, DHCP, scuritCorrig : Exonet 18 : routage, firewall, ARP.. Corrig : Exonet 19 : adressage, DHCP, HTTP.. Corrig : Exonet 20 : routage, DHCP. Corrig : Exonet 21 : VLAN, DHCP, filtrage.Corrig : Exonet 22 : routage, DNS, proxy, chiffrementCorrig : Exonet 23 : VLAN, DNS, filtrageCorrig : 6 9 11 13 15 18 20 24 25 26 27 28 29 33 35 41 43 49 51 53 55 59 61 62 63 69 72 74 78 82 84 87 89 92 95 100 103 106 108 116 119 124 126 132 136 142 5Exonet 24 : routage, scuritCorrig : Exonet 25 : commutation, scurit... Corrig : Exonet 26 : commutation, routage, filtrage.. Corrig : Exonet 27 : VPN, table de routage, VLAN, Wi-FiCorrig : Exonet 28 : DHCP, DNS, VLAN.... Corrig : 145 150 153 159 162 170 173 178 182 189 6CDGJC J Pourseprparerpourlesexamensdefindeformation,voussollicitezlaidedevotreformateur pourvousdonnerlessujetsetcorrigsdespreuvesd'examendelafilireTRIdesannes prcdentes. Ilvousfournitpourcelaunpointdedpart,ladressedunsiteInternetdontilapprcie rgulirement la pertinence, le site : http://www.tri-errachidia.org.maNavigation dans le site SurvotrepostedetravailconnectInternet,vousutilisezvotrenavigateuretsaisissezladresse fournie. 1. Analysez la structure de ladresse fournie : http://www.tri-errachidia.org.ma. 2.Expliquezlesoprationsquisesontdroulesentrelemomentovousavezsaisivotre adresse et celui o elle sest affiche comme prsent ci-dessus. Quelestleprotocolequiaalorstmisenjeu,entrequellesmachinessestilentremiset quelle en est la finalit ? 7Recherche dun examen Dans lcran prcdent,vous choisissez dans lemenu le lien Tlchargement FTPce qui vous conduit lcran : Vous choisissez examens etvousvoyezledossier examendefindeformation danslequelvoustrouvezles diffrentsdocumentsquivous intressent. 3. Quelles diffrences constatez-vous ici dans la mise en uvre des protocoles HTTP et FTP ? 4.Analysezlastructuredeladresseftp://ftp.tri-errachidia.org.ma/quiapparatdansla barre dadresse de votre navigateur. 5. Votre navigateur prend-il en charge aussi bien le protocole HTTP que le protocole FTP ? 6. Quelles sont les informations qui apparaissent lorsquon visite un site FTP ? Comment sont-elles structures ? 8Recherche complmentaire Ledocumentquevousaveztlchargrpondpartiellementvosbesoins,ilvousmanqueles corrigs de quelques examens. Vous pensez que ces informations ne sont peut-tre fournies que sur demande express.Danslebasdelapage Tlchargement FTP ,vousavezrepruneinformationquipeutvous tre utile : Vous cliquez sur le lien webmaster@tri-errachidia.org.ma . Ceclicouvrevotregestionnairedecourrier,danslequelvoussaisissezvotredemandeavantde lenvoyer : 7. Analysez la structure de ladresse webmaster@tri-errachidia.org.ma 8. Pourquoi votre gestionnaire de courrier a-t-il t automatiquement ouvert ? 9. Quel est le protocole mis en uvre lorsque vous expdiez ce courrier ? 10. De quels outils logiciels disposerez-vous pour prendre connaissance de la rponse et quels sont les protocoles utiliss pour la relve du courrier ? 9................ .... . .... . .... . .... . Question 1. Analysez la structure de ladresse rticulaire (URL) fournie : http://www.tri- errachidia.org.ma . Comme son nom lindique, une URL (Uniform Resource Locator) permet didentifier une ressource danslespaceInternet ;uneressourceestunepagefournieparunserveurunclientselonun certain protocole ; chez le client la page codifie laide du langage HTML est affiche aprs avoir t interprte par son explorateur. Leclient,cestlamachinedelutilisateurdisposantdelexplorateurInternetExplorerdansnotre exemple. http :nom du protocole utilis pour le dialogue entre le serveur et le client. www :nom du serveur fournissant les ressources. Ce nom est choisi arbitrairement par son administrateur ;traditionnellement,cestwwwmaiscenestpasuneobligation.Ce nestpasunnomdemachinephysique,maisceluidunserviceWebimplment dans une machine. tri-errachidia.org.ma : nom du domaine (ma) dans lequel se trouve un sous-domaine (org) , rserv pour quelques organisations, qui contient le sous sous domaine (tri-errachidia). Les caractres : ou / sont des sparateurs. Question2.Expliquezlesoprationsquisesontdroulesentrelemomentovousavez saisi votre adresse rticulaire et celui o elle sest affiche comme prsent ci-dessus. Quelestleprotocolequiaalorstmisenjeu,entrequellesmachinessestilentremiset quelle en est la finalit ? Entrelasaisiedeladresse www.tri-errachidia.org.ma etlobtentiondelapageafficheavec une adresse complte dans la barre dadresse, on peut constater que notre client a russi obtenir la rponse deux questions : - o se trouve la machine que je dsire joindre ? - quel est le protocole de communication quelle utilise ? 1. Oestlamachinewww.tri-errachidia.org.ma ?: unserveurDNS(DomainNameServer)dont ladresseIPestconnuedemonpostedetravailmefournitlarponsesouslaformedeson adresse IP. 2. Quelestleprotocoledecommunicationquelleutilise ? :unerequteenvoyeparmonposte client destination de la machine dont on connat maintenant ladresse IP reoit une rponse de lapartdeceserveurquiinclutleprotocolequilutilise(HTTP).Lademandedelapage daccueil du serveur selon ce protocole permet alors laffichage observ. 10Question3.Quellesdiffrencesconstatezvousicidanslamiseenuvredesprotocoles HTTP et FTP ? Pages affiches selon le protocole HTTP : - affichage sous forme de texte riche ; - contenu vari : essentiellement du texte mais aussi des objets divers (images, animations) ; - prsence de liens hypertextes (navigation entre les pages). Pages affiches selon le protocole FTP : - affichage sous la forme dun explorateur ; - accs une arborescence de dossiers. Question4.Analysezlastructuredeladresse ftp://ftp.tri-errachidia.org.ma/ qui apparat dans la barre dadresse de votre navigateur.ftp : le nom du protocole utilis ici ; ftp.tri-errachidia.org.ma :le serveur nomm ftp dans le sous domaine tri-errachidia du sous domaine org du domaine maOn visualise les diffrents dossiers prsents sur ce serveur. Question5.VotrenavigateurprendilenchargeaussibienleprotocoleHTTPquele protocole FTP ? Onconstatequelenavigateurutilisici,maisceseraaussilecaspourdautresnavigateurs, dialogue avec un serveur aussi bien selon le protocole HTTP que FTP. Ce protocole est impos par le serveur. Le client doit donc pouvoir sy adapter. Question 6. Quelles sont les informations qui apparaissent lorsquon visite un site FTP ? Comment sont elles structures ? Le navigateur prsente une arborescence de dossiers.Question 7. Analysez la structure de ladresse webmaster@tri-errachidia.org.ma webmaster :nom dune bote aux lettres lectronique. tri-errachidia.org.ma :dans le sous domaine tri-errachidia du sous domaine org du domaine ma. @ : sparateur. Question 8. Pourquoi votre gestionnaire de courrier a t il t automatiquement ouvert ? Parce que sur votre poste il existe une association prinstalle entre le protocole denvoi de courrier (SMTP) et lapplication que vous utilisez par dfaut pour expdier votre courrier. Question 9. Quel est le protocole mis en uvre lorsque vous expdiez ce courrier ? Cest le protocole SMTP (Simple Mail Transfer Protocol). Question10.Dequelsoutilslogicielsdisposerezvouspourprendreconnaissancedela rponse et quels seront les protocoles utiliss pour la relve du courrier ? On peut prendre connaissance de la rponse directement sur le serveur en utilisant son navigateur ; c'estlecasdelaconsultationparexempledesbotesGmail,HotMail.L'utilisateurenvoiedes requtesauserveurdecourrieretenreoitlesrponsessousprotocoleHTTP(prsentationdes donnes).Le traitement du courrier sur le serveurest alors ralis par leprotocoleIMAP (Internet Message Access Protocol) : consultation du courrier, suppression... On peut galement utiliser un logiciel de gestion de courrier (on parle de client de messagerie ), parexempleMicrosoftOutlook(Express),QualcommEudoraquivatransfrerlemessagesurla machine du client ; dans ce cas, ce logiciel recourt au protocole POP3 (Post Office Protocol version 3) ou IMAP. 11CDGJC J = Dans le cadre du dveloppement de Internet et Intranet, lentreprise REZOnet a install un serveur Linux et la connect au niveau du commutateur des ses serveurs centraux. Pour raliser l'accs vers le monde extrieur, un accs RNIS a t retenu. Ce serveur Internet aura pour rle de: - grer le courrier lectronique du REZOnet - diffuser les informations du site Web local - filtrer les donnes 1. Donner la dfinition et le rle de WWW, HTML et HTTP ? 2. On vous donne l'URL suivant: http://www.microsoft.com/products/pc.htm - Donner la dfinition et le rle d'une URL - Dcomposer cette URL en diffrentes parties en donnant le rle de chacune d'entre elles 3.Parquelmoyenfait-onlacorrespondanceentreladresseIPdunserveuretsonnomsur Internet ? 4. Donner la dfinition et le rle de SMTP 5. Donner la dfinition et le rle de POP 6. Donner la syntaxe gnrale d'une adresse e-mail 7. Complter (Annexe 1) l'interaction entre un client et un serveur SMTP et POP ToutpersonnelautorispourraseconnecterauserveurLinuxdepuissondomicilesoitpour consulter des donnes spcifiques, soit pour naviguer sur le Web. 8. Citer 4 possibilits d'accs un fournisseur d'accs Internet. Il vous fautconfigurer un poste sous Windows 98 afin de permettre uneconnexion au fournisseur daccs Internet. 9. Complter l'annexe 2 (Point d'accs: 05 35 57 57 57, Serveur DNS: 212.217.0.1, Adresse IP obtenueparmonfournisseur,Domaine:rezonet.ma,Hte:localhost,Nomutilisateurde connexion : admin@rezonet.ma, mot de passe : a5b6cde_rezo). 10. Pour un accs par RTC, donner le type de protocole utilis. 12Annexe 1 ----------------------------------------------------------------------------------------------------------------- Annexe 2 13.... .... . . .... .... . . .... .... . . .... .... . . Question 1. Donner la dfinition et le rle de WWW, HTML et HTTP ? Le World Wide Web (WWW ou Web ou W3) est une banque dinformations (textuelles, images, sonores vido) bas sur un systme de noeuds et de liens quon nomme hypertexte. Hyper Text Markup Language (HTML) : Langage utilis dans le WWW pour crire des documents hypertextes. HyperTextTransferProtocol(HTTP).ProtocoledetransfertdefichiersetdocumentsHTMLsur Internet. Question 2. On vous donne l'URL suivant: http://www.microsoft.com/products/pc.htm - Donner la dfinition et le rle d'une URL - Dcomposer cette URL en diffrentes parties en donnant le rle de chacune d'entre elles Une URL (Uniform Resource Locator) donne lemplacement dun fichier sur le Web. http : Protocole www.microsoft.com : emplacement rseau / domaines products : chemin / rpertoire pc.html : nom du fichier Question 3. Par quel moyen fait on la correspondance entre ladresse IP dun serveur et son nom sur Internet ? Serveur DNS Question 4. Donner la dfinition et le rle de SMTP Le courrier lectronique sur TCP/IP et sur Internet utilise le protocole SMTP (Simple Mail Transfer Protocol). Question 5. Donner la dfinition et le rle de POP LeprotocolePOP(PostOfficeProtocole)permetdallercherchersoncourrierpersonnelsurle serveur responsable de le recevoir. Question 6. Donner la syntaxe gnrale d'une adresse e-mail Une adresse de courrier lectronique est form de trois parties : le nom de lutilisateur, le caractre @ et le nom du domaine. Question 7. Complter (Annexe 1) l'interaction entre un client et un serveur SMTP et POP Question 8. Citer 4 possibilits d'accs un fournisseur d'accs Internet. Les diffrents modes de connexion disponibles pour accder un fournisseur daccs sont : RTC Numris LADSL Le cble Le satellite14Question 9. Complter l'annexe 2 (Point d'accs :05 35 57 57 57, Serveur DNS :212.217.0.1, AdresseIPobtenueparmonfournisseur,Domaine:rezonet.ma,Hte:localhost,Nom utilisateur de connexion admin@rezonet.ma, mot de passe : a5b6cde_rezo). Question 10. Pour un accs par RTC, donner le type de protocole utilis. PPP(PointtoPointProtocol).Protocolepermettantlaconnexionentreordinateursetrouteurspar lignessynchronesetasynchrones.SuccesseurduSLIP,ilpossdeunecorrectionderreuretdes possibilits daffectation dadresse en rseau. 15CDGJC J = La socit REZOnet possde un serveur Linux possdant un serveur ftp, qui est install dans toutes les distributions, ainsi quun client ftp en ligne de commande.Partie I : 1. Quelle est la signification du sigle ftp ?2. Quelle est lutilit de ce service rseau ?Le serveur ftp est dclar dans le fichier /etc/inetd.conf mais pas toujours activ.3.Quellemodificationfaut-ilraliserdanslefichierinetd.confsetrouvantenannexepour activer le serveur ftp ?Les fichiers de configuration :/etc/ftpaccess : ce fichier dfinit la plupart des contrles d'accs pour votre serveur ftp. Vous pouvez crerdesgroupeslogiquespourcontrlerl'accsdepuisd'autressites,limiterlenombrede connexions simultanes./etc/ftphosts : ce fichier est utilis pour autoriser ou non l'accs du serveur un certain nombre de machines/etc/ftpusers : ce fichier contient la liste des utilisateurs qui ne peuvent accder votre machine via ftp.4.Vousntespasdclarsurleserveur(fichiersenannexes),quelnomdeloginutiliser? Pourquoi ?5. Quel fichier est modifier pour autoriser root se connecter ? Quelle est la modification raliser dans le fichier ?Les fichiers .rpm sous Linux sont des fichiers binaires qui permettent dinstaller des programmes.6.Donnerdanslordrelasyntaxedesdiffrentescommandesutiliserpourrapatrierle fichier netscape-communicator-4.7.i386.rpm depuis un serveur sur une station linux?7. Donner la syntaxe de lURL ncessaire pour se connecter au serveur ftp dont le nom DNS est ftp.microsoft.com avec un navigateur web ? Partie II : LadirectiondeREZOnetpensemettreenplaceunserveursurlatoile(Web)permettant,dansun premiertemps,lamiseenligned'unsystmed'informationinterne(intranet)puis,dansun deuxime temps, de l'ouvrir la clientle via l'internet (extranet). 8. Expliquer ce quest un intranet. 9.Citerlesspcificitsdudveloppementdunintranetparrapportd'autrestypes d'architectures client-serveur. 10.Citerlesproblmesquepeutposerl'accsdelaclientlevial'internet.Proposerdes solutions pour les viter. 16Annexe 1 Extrait du fichier /etc/inetd.conf# inetd.conf This file describes the services that will be available# through the INETD TCP/IP super server#discard stream tcp nowait root internal#discard dgram udp wait root internal#chargen dgram udp wait root internal#time stream tcp nowait root internal#time dgram udp wait root internal# These are standard services.#ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -atelnet stream tcp nowait root /usr/sbin/tcpd in.telnetd# Shell, login, exec, comsat and talk are BSD protocols.shell stream tcp nowait root /usr/sbin/tcpd in.rshdlogin stream tcp nowait root /usr/sbin/tcpd in.rlogind#exec stream tcp nowait root /usr/sbin/tcpd in.rexecd#comsat dgram udp wait root /usr/sbin/tcpd in.comsattalk dgram udp wait root /usr/sbin/tcpd in.talkdntalk dgram udp wait root /usr/sbin/tcpd in.ntalkd # End of inetd.conflinuxconf stream tcp wait root /bin/linuxconf linuxconf --httpExtrait du fichier /etc/ftpusersbin, daemon, adm, lp, sync, root, shutdown, halt, mail, news, ucp, operator, games, nobodyExtrait du fichier /etc/ftpaccesclass all real,guest,anonymous *email root@localhostloginfails 5readme README* loginreadme README* cwd=*message /welcome.msg loginmessage .message cwd=*compress yes guest,real,anonymoustar yes guest,real,anonymouslog transfers guest,real,anonymous inbound,outboundshutdown /etc/shutmsgpasswd-check rfc822 warnguestgroup profs Damottechmod yes guest,real,anonymousdelete yes guest,real,anonymousoverwrite yes guest,real,anonymous 17Annexe 2 Les principales commandes ftp help : Affiche l'ensemble des commandes supportes par le serveur FTPstatus : Permet de connatre certains paramtres de la machine clientebinary : Cette commande vous fait basculer du mode ASCII (envoi de documents textes) au mode binary(envoidefichiersenmodebinaire,c'est--direpourlesfichiersnontexte,commandes images ou des programmes)ascii : Bascule du mode binary au mode ascii. Ce mode est le mode par dfauttype : Permet d'afficher le mode courant de transfert (binary ou ascii)user:VouspermetderouvrirunesessionsurlesiteFTPencoursavecunnomd'utilisateur diffrent. Un nouveau mot de passe vous sera alors demandls : Permet de lister les fichiers prsents dans le rpertoire courant. La commande "ls -l" donne des informations supplmentaires sur les fichierspwd : Affiche le nom complet du rpertoire courantCd:Cettecommandesignifiechangedirectory,ellepermetdechangerlerpertoirecourant.La commande "cd .." permet d'accder au rpertoire de niveau suprieurmkdir:Lacommandemkdir(sousUNIX,oumdsoussystmeMicrosoft)permetdecrerun rpertoiredanslerpertoirecourant.L'utilisationdecettecommandeestrserveauxutilisateurs ayant un accs le permettantrmdir :La commande rmdir (sous UNIX, ou rdsous systme Microsoft) permet de supprimer un rpertoire dans le rpertoire courant. L'utilisation de cette commande est rserve : aux utilisateurs ayant un accs le permettantget:CettecommandepermetdercuprerunfichierprsentsurleserveurSilacommandeest suivied'unnomdefichier,lefichierdistantesttransfrsurlamachinelocaledanslerpertoire local en coursSi la commande est suivie de deux noms de fichiers, le fichier distant (le premier nom) est transfr sur la machine locale : dans le rpertoire local en cours, avec le nom de fichier prcis (le deuxime nom)Si jamais le nom de fichier contient des espaces, il faut veiller le saisir entre guillemetsput:Cettecommandepermetd'envoyerunfichierlocalsurleserveurSilacommandeestsuivie d'un nom de fichier, le fichier local est transfr sur le serveurdans le rpertoire distant en coursSi la commande est suivie de deux noms de fichiers, le fichier local (le premier nom) est transfr sur le serveur dans le rpertoire distant en cours, avec le nom de fichier prcis (le deuxime nom)Si jamais le nom de fichier contient des espaces, il faut veiller le saisir entre guillemetsopen : Ferme la session en cours et ouvre une nouvelle session sur un autre serveur FTPclose : Ferme la session en cours, en laissant le logiciel FTP client actifbye ou quit : Dconnecte le logiciel client du serveur FTP et le met en tat inactif18 .... .... . , .... .... . , .... .... . , .... .... . , Question 1. Quelle est la signification du sigle ftp ?File Transfert Protocol Question 2. Quelle est lutilit de ce service rseau ? Transfert de fichiers client serveur entre systmes dexploitation diffrents. Question3. Quellemodificationfaut-ilraliserdanslefichierinetd.confsetrouvanten annexe pour activer le serveur ftp ? Supprimer le symbole # devant la ligne ftp .. Question 4. Vous ntes pas dclar sur le serveur (fichiers en annexes), quel nom de login utiliser? Pourquoi ? anonymous (fichier /etc/access) Question 5. Vous ntes pas dclar sur le serveur (fichiers en annexes), quel nom de login utiliser? Pourquoi ? Modifier le fichier /etc/ftpusers en supprimant le nom root Question6.Donnerdanslordrelasyntaxedesdiffrentescommandesutiliserpour rapatrier le fichiernetscapecommunicator4.7.i386.rpm depuis un serveur sur une station linux?ftp nom serveur nom de login et mot de passe binary get nom_de_fichier.rpm quit Question 7. Donner la syntaxe de lURL ncessaire pour se connecter au serveur ftp dont le nom DNS est ftp.microsoft.com avec un navigateur web ? ftp://ftp.microsot.com Question 8. Expliquer ce quest un intranet. Intranet : utilisation des standards de lInternet (HTML, http, SMTP, ) pour dvelopper des applications internes lentreprise, que le rseau soit local ou tendu. Question 9. Citer les spcificits du dveloppement dun intranet par rapport d'autres types d'architectures client-serveur. Les spcifits du dveloppement dun intranet sont : - davantage de middleware standard, accs universel, pas de dploiement spcifique surchaque type de plate-forme - lapplication est dveloppe sur le serveur, une mise jour de lapplication est immdiate pour tous les clients quelle que soit leur plate-forme 19Question 10. Citer les problmes que peut poser l'accs de la clientle via l'internet. Proposer des solutions pour les viter.Leproblmemajeureconcernelascuritdurseaulocalvis--visdesaccsexternes :risquede visibilit de resources sensibles, risque de prise de contrle distance et dactions malveillantes. Les solutions possibles : - utilisation dadresses non routables sur le rseau local. - miseenplacedunfirewalldestinfiltrerlespaquetsentrantssurdescritresprdfinis (adresses accessibles, types de services autoriss,etc.). - authentificationdesutilisateursdistantsparuncompteanonymedontlesdroitsetpermissions sont trs limits. - Contrleparmotdepassedanslapplicationenprvoyantuncodedaccssurlebonde rception 20CDGJC J = 1. Citer 3 protocoles permettant denvoyer des e-mails et/ou den recevoir ? 2. Dans la messagerie lectronique, on utilise des adresses du type r.errachidi@menara.ma. Que reprsente la deuxime partie de cette adresse ? Un analyseur de protocole situ dans "le rseau S" a permis de faire un relev entre une station A durseaude"T"etunserveurdelentrepriseREZOnetsitudansle"rseauS"aucoursdun change initi par lutilisateur.Voici une des trames ETHERNET II rcupres : A laide des annexes 1, 2 et 3 : 3.1. Prciser les valeurs des adresses MAC source et destinataire. 3.2.FaireunschmareprsentantlastationAetleserveurenindiquantlessocketsutiliss par le client et le serveur. Remarque : un socket est la combinaison de trois lments : ladresse IP de la machine, le protocole au niveau transport et le numro du port. 3.3. Indiquer la signification des numros de port source et destination. 3.4. Quelles sont les principales caractristiques du protocole de niveau TRANSPORT utiliss ? 4. Conclusion : Quel est lobjectif de la demande initie par lutilisateur ? 21Annexe 1 Assignation de certains ports associs aux processus serveursen fonction des protocoles de transport TCP et UDP.22Annexe 2 Les champs spcifiques d'un paquet IP sont: - version est cod sur 4 bits. Actuellement ce champ a une valeur gale 4 (IPv4). - longueur de l'en-tte ou IHL (Internet Header Length) sur 4 bits spcifie le nombre de mots de 32 bits qui composent l'en-tte. Si le champ option est vide, l'IHL vaut 5. - type de service ou ToS (Type of Service) est cod sur 8 bits. Spcifie la passerelle intermdiaire le type d'acheminement attendu. -identificationcodsur16bitspermetdescuriserlerassemblagedespaquetsaprs fragmentation. - drapeau cod sur 3 bits a le 1er bit toujours nul, le 2me bit 0 indique que le paquet peut tre fragment et 1 s'il ne peut pas l'tre, le 3me bit 0 indique s'il s'agit du dernier fragment et 1 que d'autres fragments suivent. - place du fragment cod sur 13 bits indique la position du 1er octet dans le datagramme total non fragment. Il s'agit d'un nombre multiple de 8 octets. -duredeviedtermineenseconde,laduredevied'undatagramme.Cettevaleurest dcrmente toutes les secondes ou chaque passage travers une passerelle. - protocole cod sur 8 bits indique le protocole de la couche suprieure (liste donne par le rfc 1700, ex: "1"=ICMP, "2"=IGMP, "6"=TCP, "17"=UDP). - checksum est la somme de contrle portant sur l'en-tte. - adresses de la source et de la destination sont codes sur 32 bits. - option est de longueur variable et peut tre nul. 23Annexe 3 Port source et Port destination : Ils identifient les programmes dapplication. N de squence : Il indique le n du 1er octet transmis dans le segment. Acquittement : indique le n du prochain octet attendu par l'metteur de ce message Lg entte : sur 4 bits, elle indique la taille en mots de 32 bits de l'entte Drapeaux : bit URG : Validation de la valeur du champ "pointeur message urgent" bit ACK : la valeur du champ "acquittement" peut tre prise en compte bit PSH : le donnes doivent tre immdiatement transmises la couche suprieure bit RST : fermeture de la connexion cause d'une erreur irrcuprable bit SYN : ouverture de la connexion bit FIN : fin de connexion (plus de data mettre)Fentre : Nombre d'octets que le rcepteur peut accepter sans ACR. Pointeur de message urgent : Si le drapeau URG est positionn, les donnes passent avant le flot de donnes normales. Ce champ indique alors la position de loctet de la fin des donnes urgentes. Lechampoptionpeut-treutilissideuxmachinesdoiventsemettredaccordsurunetaille maximale de segment appel MSS (Maximum Segment Size). 24.... .... . , .... .... . , .... .... . , .... .... . , Question 1. Citer 3 protocoles permettant denvoyer des e-mails et/ou den recevoir ? SMTP, POP2, POP3 et IMAP. Question2.Danslamessagerielectronique,onutilisedesadressesdutype r.errachidi@menara.ma. Que reprsente la deuxime partie de cette adresse ? Ladeuximepartieder.errachidi@menara.mareprsentelenomdudomaineosetrouvele serveur de messagerie c--d le nom du bureau de poste contenant la bote aux lettres r.errachidi. Question 3.1. Prciser les valeurs des adresses MAC source et destinataire. Lquipement source correspond ladresse MAC 00:0d:29:d4:69:7fLquipement cible qui correspond ladresse MAC 00:04:75:ce:24:cfQuestion3.2.FaireunschmareprsentantlastationAetleserveurenindiquantles sockets utiliss par le client et le serveur. Question 3.3. Indiquer la signification des numros de port source et destination. Le port source 3432 indique le port dmission (client dynamique) ouvert par la station LeportDestination143indiquequeleportderceptioncorrespondauservicedemessagerie IMAP. Question3.4.Quellessontlesprincipalescaractristiquesduprotocoledeniveau TRANSPORT utiliss ? Les qualits du protocole TCP: - Fiabilit : retransmission des trames non acquittes - Gestion des flux: ngociation de la taille de la fentre de transmission. - Offre une transmission en mode connect. - Remise en ordre des segments reus. Question 4. Conclusion : Quel est lobjectif de la demande initie par lutilisateur ? Lobjectif est de rcuprer le courrier prsent sur le serveur de messagerie. 25CDGJC J = Untablissementscolaireutiliseunserveurmandataire(Proxy)dansleDNS,pourcontrlerles accs Internet. CeProxypermetentreautred'autoriseroupasl'accsInternetenfonctiondel'adresseIPdu rseau auquel appartient la machine. L'administrateur du rseau a organis son plan d'adressage en fonction des salles. Chaquesalledisposeduneplaged'adressesspcifiquequivapermettreauniveauduProxy d'interdire ou d'autoriser l'accs Internet tous les postes de la salle. L'annexe 1 donne le plan d'adressage utilis. L'annexe 2 donne les rgles d'accs Internet pour la journe du 15 Octobre 2008.1. Dterminer quelles sont les salles qui nont pas accs Internet le 15 Octobre. 2. Expliquer pourquoi le Proxy peut appliquer des masques diffrents alors que les postes sont tous configurs avec le mme masque et la mme adresse rseau. 3. Donner la ou les rgles appliquer pour interdire l'accs la salle 204 et 208. 4. Donner la rgle appliquer pour interdire l'accs la salle 201 et 202. 5. Expliquer les autres fonctions d'un Proxy. Annexes Annexe 1 : Plan d'adressage Adresse IP du rseau de l'tablissement :10.100.40.0 Masque du rseau : 255.255.255.0 Plage d'adresses par salle : Salle 201 : 10.100.40.1 10.100.40.15 Salle 202 : 10.100.40.17 10.100.40.31 Salle 203 : 10.100.40.33 10.100.40.62 Salle 204 : 10.100.40.65 10.100.40.70 Salle 205 : 10.100.40.96 10.100.126 Salle 206 : 10.100.40.129 10.100.40.142 Salle 207 : 10.100.40.145 10.100.40.158 Salle 208 : 10.100.40.161 10.100.40.174 Salle 209 : 10.100.40.177 10.100.40.190 Salle 210 : 10.100.40.73 10.100.40.78 Annexe 2 : Rgles du 15 octobre 2008 Accs autoris tous sauf aux rseaux ci-dessous : 10.100.40.32 masque 255.255.255.224 10.100.40.128 masque 255.255.255.192 26.... .... . , .... .... . , .... .... . , .... .... . , Question 1. Dterminer quelles sont les salles qui nont pas accs Internet le 15 Octobre.Lemasque255.255.255.224dtermineuneplagede32adresses(256-224ou25).L'adressede rseau 10.100.40.32 donne la premire adresse de la plage. Donc la premire rgle interdit l'accs la salle 203.Lemasque255.255.255.192dtermineuneplagede64adresses(256-192ou26).L'adressede rseau 10.100.40.128 donne la premire adresse de la plage La deuxime rgle interdit donc l'accs aux salles 206, 207, 208, 209. On aurait d'ailleurs pu utiliser le masque 255.255.255.128 qui aurait donn le mme rsultat.Question 2. Expliquer pourquoi le Proxy peut appliquer des masques diffrents alors que les postes sont tous configurs avec le mme masque et la mme adresse rseau.Laconfigurationdespostesnapasdimportanceceniveau.LeProxyreoitunpaqueten provenanced'unposte,ilrcupredansl'entteIPl'adressesourcedupaquetetluiappliquele masquedechaquergleencomparantlersultatobtenul'adresserseaudelargle.Encas d'galitlepaquetestrejet.Ilnefautpasoublierquelemasquedesousrseaun'estpasdans l'entte IP.L'administrateurrseauabiensurchoisiunpland'adressagequiluipermettaitenfonctiondu nombre de postes par salle d'appliquer ce type de restriction.Question 3. Donner la ou les rgles appliquer pour interdire l'accs la salle 204 et 208.Les plages d'adresses des salles 204 et 208 ne sont pas contigus, il faut donc une rgle pour chaque salle. La salle 204 dispose des adresses 10.100.40.65 70, et la premire adresse ne pas interdire correspondlapremireadressedelasalle210.Ilfautdoncbloquerauplus8adresses(de64 72), soit un masque de 255.255.255.248 (256-8) pour une premire adresse de 10.100.40.64Pourlasalle208,laplageinterdireestde16adresses(entre10.100.40.160et175),pourun masque de 255.255.255.240 (256-16) et une adresse de 10.100.40.160 Il faut donc appliquer les rgles suivantes : 10.100.40.64 masque 255.255.255.24810.100.40.160 masque 255.255.255.240 Question 4. Donner la rgle appliquer pour interdire l'accs la salle 201 et 202.En appliquant les principes prcdents, on dtermine la rgle suivante : Interdire l'accs au rseau 10.100.40.0 masque 255.255.255.224 Question 5. Expliquer les autres fonctions d'un Proxy.Un Proxy est utilis galement pour mettre en cache les pages Web consultes.Un Proxy a aussi une fonction de translation d'adresses. C'est l'adresse gnre par le Proxy qui part sur Internet (selon la configuration bien sr) et non l'adresse des postes qui font appel lui. On parle alors de rseau priv et de rseau public et du protocole NAT (Network Address Translator).UnProxypeutfiltrerlessitesWebconsultsenutilisantpourcelaunfichierdessitesinterdits.Il peut aussi interdire certains protocoles (FTP par exemple) ou le tlchargement de certains fichiers en fonction de leur extension (MP3 par exemple). Il joue alors le rle de pare-feu. EnfinunProxypeutdisposerd'unAnti-virusgnralquis'appliquetouslesfichiersen provenance de l'Internet avant de les introduire dans le rseau local. 27CDGJC J Z LeserveurISA(InternetSecurityandAccelerationServer2000)remplitlesfonctionsdefirewall (pare-feu) et de serveur proxy. Configuration des interfaces du serveur ISA :LorsdelaconfigurationduserveurISA,lesrglesdescuritsuivantesonttmisesenoeuvre pour l'accs au serveur de messagerie : 1.Indiquezcequ'estleprotocoleHTTPSetprcisezsonutilit(donnezunexemple d'utilisation). 2. Indiquez ce qu'est un "Client VPN". Vous donnerez la signification de l'abrviation VPN. Lesrglesdescuritsonttraitesdemaniresquentielle(ordrecroissant).Pourchaquetrame reue, le firewall parcourt la liste des rgles jusqu' ce qu'il trouve une rgle qui s'applique. L'ordre dans lequel sont spcifies les rgles est trs important.3. Expliquez l'action de la rgle N1 sur les trames en provenance du rseau 192.168.10.0 4.Expliquezl'actiondelargleN3,PrcisezlafonctionduprotocoleDNSetdonnezla signification de l'abrviation DNS. Quel est le serveur qui remplit la fonction de serveur DNS ? 5. La rgle N4 est indispensable au bon fonctionnement du firewall, pourquoi ? 6. Les rgles de scurit mises en oeuvre permettent-elles aux utilisateurs d'accder au serveur de messagerie ? Pourquoi ? Quelle rgle faut-il ajouter, et quelle place, pour permettre tous les utilisateurs internes et externes daccder la messagerie ? 28.... .... . : .... .... . : .... .... . : .... .... . : Question1. Indiquez ce qu'est le protocole HTTPS et prcisez son utilit (donnez un exemple d'utilisation).HyperTextTransferProtocolScuris,accsscurisInternet :paiementenligne,consultation de compte bancaire Question2.Indiquezcequ'estun"ClientVPN".Vousdonnerezlasignificationde l'abrviation VPN. Client distant qui se connecte au rseau via une liaison scurise VPN (Virtual Private Network ou rseau priv virtuel) en utilisant Internet comme support. Question3.Expliquezl'actiondelargleN1surlestramesenprovenancedurseau 192.168.10.0LargleN1autorise(Allow)lepassagedesmessagesFTP,HTTPetHTTPSdel'interface interne (rseau 192.168.10.0) et des clients VPN vers l'interface externe (accs Internet) et vers la DMZ (accs au serveur de messagerie) pour tous les utilisateurs (All Users). Question4.Expliquezl'actiondelargleN3,PrcisezlafonctionduprotocoleDNSet donnez la signification de l'abrviation DNS.Quel est le serveur qui remplit la fonction de serveur DNS ?LargleN3autorise(Allow)lepassagedesmessagesDNSdel'interfaceinterne(rseau 192.168.10.0)etdesclientsVPNverslaDMZ(accsauserveurdemessagerie)pourtousles utilisateurs (All Users). DNS : Domain Name System (ou Service), indispensable pouraccder Internet car il effectue la liaison entre un nom de machine et son adresse IP. Le serveur de messagerie fait galement office de serveur DNS. Question5. La rgle N4 est indispensable au bon fonctionnement du firewall, pourquoi ?Pourunescuritmaximumilfautinterdiretoutcequin'apastautorisdanslesrgles prcdentes, c'est le rle de la rgle N4 qui interdit (Deny) tous les protocoles en provenance de tous les rseaux et vers tous les rseaux pour tout le monde. Question6. Les rgles de scurit mises en oeuvre permettent elles aux utilisateurs d'accder au serveur de messagerie ? Pourquoi ?Quelle rgle faut il ajouter, et quelle place, pour permettre tous les utilisateurs internes et externes daccder la messagerie ? Non, car les protocoles de messagerie (SMTP et POP) ne sont pas autoriss. Il faut donc ajouter une rgle autorisant les protocoles SMTP et POP entre tous les rseaux et la DMZ pour tous le monde et la placer avant la rgle N4 :* All Networks peut tre remplac par External + Internal 29CDGJC J LentrepriseCENTAURE,dirigeparM.ARABI,emploie27salaris.Elleestconstituededeux services indpendants : le service multimdia assure linstallation et le dveloppement des solutions clientescouvrantlafoislesaspectsrseauetmultimdia ;leserviceadministratif,quantlui, assure la gestion interne de lentreprise. Le schma du rseau de la socit est dcrit en annexe 1. LespostesduservicemultimdiasontamensfairebeaucoupdaccsInternettrs consommateurs en bande passante.Pour amliorer les temps de rponse, la socit a mis en service un serveur proxy. 1. Expliquer dans quelles conditions d'usage ce type de serveur rpond lobjectif vis.Lasocit,soucieusedamliorersanotorit,dcidedemettreenligneunserveurHTTPetFTP accessible au public. Ce serveur, install dans les locaux de CENTAURE, sera plac dans une zone dmilitarise (DMZ) comme lindique lannexe 1. Lquipement pare-feu (firewall) contrle les accs qui arrivent sur ses diffrentes interfaces. Il est programmdetellefaonqueseulletraficrseaurespectantlesrglesindiquesdanslannexe2estaccept.CesrglespeuventfairerfrencedesadressesIPdordinateurs,desadressesde rseau et des protocoles rseau. Unserveurmandataire(proxy)estgalementinstallentrelerouteurR1etlepare-feu :ilestle point de passage obligatoire de tous les accs du rseau local vers lInternet. 2. Expliquer en quoi la mise en uvre dune zone dmilitarise permet damliorer la scurit du rseau local.Un anti-virus a rvl la prsence dun programme cheval de Troie sur le serveur situ dans la DMZ. L'tude rvle que le "troyen" n'a pas t plac par les protocoles HTTP ou FTP. 3.a. Expliquer ce quest cheval de Troie et comment les antivirus dtectent sa prsence.3.b. Donner deux exemples de faille intrinsque relative au protocole FTP.3.c. En analysant les rgles de lannexe 2, indiquer quelle rgle a pu permettre l'installation de ce programme.3.d. Proposer, pour rduire les risques lis ce type de problme, une ou plusieurs rgles en remplacement de la rgle concerne.Ce chevaldeTroie estdestinperturberlefonctionnementdurseaulocal,ensexcutant automatiquement priodiquement. 4. En analysant les rgles de lannexe 2, indiquer si les postes du rseau local sont susceptibles dtre atteints par le cheval de Troie . LadministrateurrseauduserviceMultimdiaprendenchargeladministrationduserveurHTTP et FTP (192.168.10.10). Il doit donc avoir la possibilit de lancer une commande TELNET vers ce serveur, depuis sa machine dont ladresse IP est 192.168.1.75. Le serveur PROXY a t paramtr afin de pouvoir traiter le protocole TELNET. 5. a. Citer les interfaces du pare-feu concernes par une commande TELNET.5. b. Pour chacune de ces interfaces, rdiger les rgles ncessaires pour permettre lemploi de cette commande, en donnant leur numro dordre.30Pour permettre une tolrance aux pannes le serveur 1 comporte un dispositif matriel permettant de mettre en uvre un systme RAID (redundant arrays of inexpensive disk) au niveau 1.6. Expliquer ce qu'est un tel systme. Les utilisateurs du service Multimdia se plaignent de recevoir de nombreux pourriels (spams). 7.a.Dfinirlanotiondepourriel(spam)etprciserenquoiilsconstituentunegnepour lentreprise.7. b. Proposer une solution qui permet de se protger contre les spams. CENATUREenvisagelargirsesactivitspourcelaellesous-traiteunepartiedesonactivit en confiant des entreprises extrieures linstallation des rseaux chez les clients. Lamiseenuvredunenouvelleapplicationestenvisagepourpermettreauxsous-traitantsde consulter leur planning et denregistrer leurs indisponibilits. Cette application sera hberge sur le serveur web.Le souci de l'entreprise est dassurer la scurit des changes avec les sous-traitants et notamment la confidentialitetl'authentification.LedispositifconseillCENATUREbasesascuritsurune mthodedechiffrementasymtriquedesinformationschanges.MonsieurARABIsouhaiteen matriser le principe. 8.Expliquer,ventuellementlaidedunschma,lemodedefonctionnementdecette mthode en prcisant le type de cl utilis par chacun des intervenants (metteur et rcepteur du message) pour assurer confidentialit et authentification dans lchange.La mise en uvre des techniques de chiffrement implique souvent un tiers de confiance, prestataire de service. 9.Expliquercommentcetiersdeconfianceintervientdanslaprocdured'change d'informations.31Annexe 1 : schma du rseau de la socit CENTAURE 32Annexe2 : Rgles daccs programmes sur le pare-feu Interface 192.168.3.254OrdreSourceDestinationServiceAccs 1Any192.168.2.10HTTPAccept 2Any192.168.2.10FTPAccept 3Any192.168.2.10DNSAccept 4Any192.168.2.10SMTPAccept 5Any192.168.2.10POP3Accept 6Any192.168.10.10AnyAccept 7AnyAnyAnyRefus Interface 192.168.2.254OrdreSourceDestinationServiceAccs 1192.168.2.10AnyAnyAccept 2AnyAnyAnyRefus Interface 192.168.10.254OrdreSourceDestinationServiceAccs 1192.168.10.10AnyHTTPAccept 2192.168.10.10AnyFTPAccept 3Any192.168.1.128AnyRefus 4Any192.168.1.64AnyRefus 5AnyAnyAnyRefus Remarques : Any : quelle que soit la valeur. Une rgle traduit un droit ou un refus daccs ; les rgles sont values dans lordre. Si une action est applique, on ne passe pas la rgle suivante. Parexemple,largle1delinterface192.168.10.254indiquequetoutpaquetentrantsurcette interface, provenant de 192.168.10.10, destin nimporte quelle machine du rseau et encapsulant une requte du protocole HTTP, sera accept. 33.... .... . , .... .... . , .... .... . , .... .... . , Question1.Expliquerdansquellesconditionsd'usagecetypedeserveurrpondlobjectif recherch.Le serveur Proxy est iciutilis pour mettre en cache les pages accdes surInternet.Les temps de rponse seront amliors si les personnes du service multimdia consultent souvent les mmes sites.Sichacundeuxconsultedessitesdiffrentsetjamaislesmmes,lafonctioncachedu serveur Proxy namliorera pas les temps de rponse. Question2.Expliquerenquoilamiseenuvredunezonedmilitarisepermetdamliorerla scurit du rseau local. Lorsquune entreprise dsire rendre lun de ses serveurs accessible depuis Internet, le risque est grand douvrir une brche de scurit vers lensemble du rseau local. Une zone dmilitarise permet de ne rendre accessible de lextrieur quune partie des serveurs en isolant totalement le reste du rseau. Gnralement, on trouve sur les DMZ les serveurs Web, voire les serveurs de messagerie et les serveurs DNS. Question3.a.Expliquercequest chevaldeTroie etcommentlesantivirusdtectentsa prsence.Question 3.b. Donner un exemple de faille intrinsque relative au protocole FTP.Question3.c.Enanalysantlesrglesdelannexe2,indiquerquellergleapupermettre l'installation de ce programme.Question 3.d. Proposer, pour rduire les risques lis ce type de problme, une ou plusieurs rgles en remplacement de la rgle concerne.a.UnchevaldeTroieestunprogrammecachdansunautrequiexcutedescommandes sournoises, et qui gnralement donne un accs la machine sur laquelle il est excut. Les antivirus s'appuient ainsi sur cette signature propre chaque virus pour les dtecter. Il s'agit delamthodederecherchedesignature(scanning),laplusanciennemthodeutiliseparles antivirus. Certains antivirus utilisent un contrleur d'intgrit pour vrifier si les fichiers ont t modifis. b.LepremierdfautduprotocoleFTPestdenepasencrypterlesmotsdepasselorsdeleur transitsurlerseau.LedeuximedfautestLeserveurFTPanonymequiposedeplusgros problmes c. Il sagit de la rgle 6 de linterface 192.168.3.254. Elle permet depuis Internet darriver sur le serveur Web en utilisant des services quelconques (Telnet) d.Ilfautlimiterauxseulsprotocolesweb(HTTPetFTP)laccsauserveur192.168.10.10,en rajoutant deux rgles aprs avoir supprim la rgle 6. Cependant laccs FTP ne prserve pas de linstallation dun programmeet de son activation si le serveur web nest pas correctement configur. Question4.Enanalysantlesrglesdelannexe2,indiquersilespostesdurseaulocalsont susceptibles dtre atteints par le cheval de Troie . Lesrgles3et4surlinterface192.168.10.254empchentlaccsaurseaulocal,saufsile cheval de Troie utilise des services bass sur HTTP ou FTP. 34Question 5.a. Citer les interfaces du pare-feu concernes par une commande TELNET.Question 5.b. Pour chacune de ces interfaces, rdiger les rgles ncessaires pour permettre lemploi de cette commande, en donnant leur numro dordre.a.. Les interfaces concernes sont 192.168.2.254 et 192.168.10.254 b. La ligne numro 1 de linterface 192.168.2.254 autorise le passage vers le serveur internet. Il faut autoriser le retour sur linterface 192.168.10.254 avec la rgle suivante : Source 192.168.10.10 Destination : 192.168.2.10 Service : TelnetAccs : Accept qui doit tre intercale avant la ligne 3. Question 6. Expliquer le systme RAID1Il existe plusieurs niveaux de systmes RAID. Ils utilisent plusieurs disques durs pour garantir la scurit des donnes ou augmenter les performances d'entres-sorties du systme de stockage. Dans un systme RAID 1, pour garantir l'intgrit des donnes, le contrleur de disques effectue les mmes oprations sur les deux disques. La panne de l'un des disques n'entrane donc aucune pertededonnes.Coteuxen termesdespacedisque(50%duvolumeddilascurit),un systme Raid 1 n'amliore pas les taux de transfert. Question 7.a. Dfinir la notion de pourriel (spam) et prciser en quoi ils constituent une gne pour lentreprise.Question 7.b. Proposer une solution qui permet de se protger contre les spams.7.a.Pourriel(spam):dsignelescommunicationslectroniquesmassives,notammentde courrier lectronique, sans sollicitation des destinataires, des fins publicitaires ou malhonntes. Lespourrielspolluentlesboitesauxlettresdesusagersdesmessageriesetncessitentdeleur partuntempsdetraitementparfoisnonngligeable(tri,suppression).Parailleursilssont parfoisporteursdevirus,chevauxdeTroie,espiogicielscequipeutnuirelefficacitdes systmes (destruction de donnes, ralentissement des systmes). 7.b.Pourseprotgercontrelesspamsonpourraparexempleinstallerunfiltreantispamsau niveau du serveur de messagerie. Question 8. Expliquer, ventuellement laide dun schma, le mode de fonctionnement de cettemthodeenprcisantletypedeclutilisparchacundesintervenants(metteuret rcepteur du message) pour assurer confidentialit et authentification dans lchange. Question9.Expliquercommentcetiersdeconfianceintervientdanslaprocdured'change d'informations. Le tiers de confiance, ou autorit de certification et denregistrement, a pour rle la dlivrance dun certificatpermettantdassocieruneclpubliqueuneentit.Cetiersassurelavaliditdulienet garantitlauthentificationdudtenteur.Lecertificatdlivrpossdeunedatedevaliditlui confrant ainsi une dure de vie. Message en clair Message en clair avec auteur authentifi Message chiffr et sign (authentifi)Message chiffr et sign RseauCl PUBLIQUE de B pourchiffrer et cl PRIVEE de A pour signer Cl PRIVEE de B pour dchiffrer le message et cl PUBLIQUE de A pour afficher le certificat donc lidentit de A A metteurB rcepteur35CDGJC J C Le rseau de luniversit UNIV est organis comme suit : Lorganisation logique sarticule sur 5 VLAN rpartis de la faon suivante : Le schma ci-dessous indique quels numros de port physiques du backbone sont connects : LeNetasqF500estdsignparleconstructeurcommeunfirewall.Enfait,cettemachineest configure de faon intgrer les fonctions suivantes : firewall, routeur et serveur DHCP LacommunicationdirecteentrelesdiffrentsrseauxdeUNIVnestpossiblequtraversle Netasq.Cedernierassureleroutage InterVlan(s) .SursonlienphysiqueaveclOptiSwitch,il possde donc une adresse IP par VLAN ; ses adresses IP sont indiques par la tableau ci-dessous : Leserveurproxy(rseau Serveurs )assureuniquementlesaccsWebetFTPdesstationsde UNIV,saufpourtouteslesstationsdurseau PCProfs pourlesquellesleNetasqralisealors une translation dadresse IP. Les accs autres que Web et FTP se font sans passer par le proxy. Lefirewallbridgeassurelefiltragedutraficentrelerseauexterne,laDMZetlerseaulocal UNIV. Toutes les requtes provenant du rseau externe sont diriges vers les services de la DMZ. Seul le routeur Netasq et le serveur proxy peuvent faire des requtes vers lextrieur. Dans le VLAN 4, la premire adresse du rseau IP (soit 192.168.8.1/24) est attribue un poste de supervision.Cepostepermetdassurerlatlmaintenancesurtouslespostesetserveursdusite UNIV. LesinformationsutilesconcernantladressageIPdurseaudeUNIVsetrouventsurleschma donnen Annexe 1. 361.IlapparatquelesVLANsontgrscommedesrseauxIP.Pourquoia-t-onoptpourcette solution ?2.LerouteurNetasqF500assureunroutage InterVlan(s) .Decefait,sursonlienavec lOptiSwitch, il possde une adresse IP par VLAN. Sur le document rponse 1, complter la table de routage du routeur. 3.Lesrseauxexistantspermettentdadresserchacun254machines.Lenombredtudiants augmentant, une extension des possibilits dadressage est envisage pour le rseau PC-tudiants. 3.1.Donnerlemasquedesous-rseauquipermettraitdemultiplieraumoinspardeuxle nombre de machines (sans changer les adresses existantes et en se limitant un maximum de 1500 machines adressables). Justifier votre rponse. 3.2. Donner, dans ce cas, ladresse de diffusion. 3.3. Indiquer sur le document rponse 1 quelle serait la modification dans la table de routage du routeur Netasq F500. 4.LesconfigurationsIPdesstationsduVLAN3sontattribuesdynamiquementparleNetasq F500.Sachantqueles10premireset10derniresadressesdelaplagetotalesontrserves dautresusages,complterletableaududocumentrponse1enindiquantlesparamtresde configuration DHCP, les valeurs correspondantes et en prcisant leur caractre optionnel. 5. Tous les accs Web et FTP des machines de UNIV se font par lintermdiaire du serveur proxy. Complter la table de routage de ce serveur sur le document rponse 1.LefirewallNetasqF500enplusdelatranslationdadressesIPapourtchedefiltrerletrafic entrant et sortant en fonction du cahier des charges donn ci-dessous. Ce cahier des charges du firewall Netasq est constitu des rgles suivantes : Contraintes : les accs Web et FTP :Tous les accs directes Web et FTP vers Internet sont interdits sauf : i. requtes et rponses pour les adresses IP du rseau PC Profs ; ii. requtes et rponses pour la station du Supervision ; iii. les rponses du proxy (port : 1080) sont autorises vers le LAN. Contraintes : les accs DNS :Seules la rsolution DNS destination du serveur DNS externe situ dans la DMZ est autorise. 6. En vous basant sur ces contraintes et sur le document annexe 2, crire les rgles de filtrage correspondantes en compltant le tableau du document rponse 2. NB. -Tenir compte de la priorit : une rgle nonce est toujours prioritaire vis--vis de celles qui la suivent. -Unaccsunserviceinduitunchangedanslesdeuxsens(requte,rponse).Ilestdonc ncessaire den tenir compte dans les rgles de filtrage. 7.AdmettantquelefirewallbridgelaissepasserlesrequtesprovenantdelInternet,est-il ncessaire de prvoir des rgles qui protgent le LAN des ces accs ? Justifier votre rponse. 37Annexe 1 38Annexe 2 39Document rponse 1 40Document rponse 2 41.... .... . : .... .... . : .... .... . : .... .... . : Question 1. Il apparat que les VLAN sont grs comme des rseaux IP. Pourquoi a-t-on opt pour cette solution ?Les VLAN sont grs comme des sous-rseaux afin de permettre le routage entre eux. Question2.LerouteurNetasqF500assureunroutage InterVlan(s) .Decefait,surson lien avec lOptiSwitch, il possde une adresse IP par VLAN. Sur le document rponse 1, complter la table de routage du routeur. Lesrseauxexistantspermettentdadresserchacun254machines.Lenombredtudiants augmentant,uneextensiondespossibilitsdadressageestenvisagepourlerseauPC tudiants. Question3.1.Donnerlemasquedesous-rseauquipermettraitdemultiplieraumoinspar deuxlenombredemachines(sanschangerlesadressesexistantesetenselimitantun maximum de 1500 machines adressables). Justifier votre rponse.Question 3.2. Donner, dans ce cas, ladresse de diffusion. Question 3.3. Indiquer sur le document rponse 1 quelle serait la modification dans la table de routage du routeur Netasq F500.3.1. La solution qui permettra de doubler les possibilits dadressage du sous rseau PC-Etudiants consiste diminuer dune unit le nombre de bits du masque. Il passera donc /23 soit 255.255.254.0 Diminuerde2bitsprovoqueraitunchevauchementaveclerseau192.168.4.0 ;diminuerde3bits dpasserait la limite du nombre de machines impos.3.2. Dans ce cas, ladresse de broadcast est 192.168.7.255 3.3. Question4.LesconfigurationsIPdesstationsduVLAN3sontattribuesdynamiquement par le Netasq F500. Sachant que les 10 premires et 10 dernires adresses de la plage totale sont rserves dautres usages, complter le tableau du document rponse 1 en indiquant les paramtres de configuration DHCP, les valeurs correspondantes et en prcisant leur caractre optionnel.42Question 5. Tous les accs Web et FTP des machines de UNIV se font par lintermdiaire du serveur proxy. Complter la table de routage de ce serveur sur le document rponse 1.Question 6. En vous basant sur ces contraintes et sur le document annexe 2, crire les rgles de filtrage correspondantes en compltant le tableau du document rponse 2.Question7.Admettantquelefirewallbridgelaissepasserlesrequtesprovenantde lInternet,estilncessairedeprvoirdesrglesquiprotgentleLANdescesaccs ? Justifier votre rponse. Non,ilnestpasncessairedecrerunerglepourbloquerlesaccsexternes,ceux-ciseront inoprants du fait de la translation dadresse et de port (PAT) utilis sur le Netasq. 43CDGJC J = LerseaudelentrepriseREZOnetestcomposdediffrentssitesrpartissurtoutelargion dErrachidia. Le routeur qui nous intresse (R-fw-dmz) se situe sur le site Errachidia centre et joue le rle de passerelle filtrante vers Internet pour tous les sites en utilisant la translation d'adresses et les listes d'accs (access-list). Zoom sur le routeur et ses interfaces : Lintitul du routeur R-fw-dmz fait penser Firewall et DMZ. 1.1. Expliquer le rle d'un firewall. 1.2. Expliquer ce qu'est une DMZ. 1.3. Citer 2 protocoles routables et 2 protocoles de routage. 1.4. Hormis celles filtres, citer 2 types de trames qui ne sont pas routes par le routeur R-fw-dmz. 2.1. En vous aidant des annexes 1 et 2 complter le document rponse 1 qui concerne une partie de la configuration du routeur R-fw-dmz . 2.2.Pourlesrglesdeslignes4et6dudocumentrponse1calculerlesplagesd'adressesdes rseaux concerns. 2.3.Pourquoitouteslesaccess-listsprsentesdanslaconfigurationdurouteurseterminent par "permit ip any any" ? 2.4. Si lon souhaite interdire le service TFTP, quelle ligne faut-il ajouter la configuration du routeur dans l'access-list "dmz_in". 44Document rponse 1 45Annexe 1 Lesrouteurssontdesquipementsdeniveau3(rseau)etsontchargsdel'acheminementdes datagrammes IP entre les rseaux. En terme de scurit, ils sont chargs plus prcisment : de la recherche de chemins de secours du filtrage des broadcasts du filtrage des datagrammes IP (ACL) du contrle des correspondances entre ports et adresses IP, et entre adresses MAC et adresses IP. (contrle d'usurpation) Les ACL (Access Control Lists) Les ACL sont des filtres appliqus chaque datagramme IP transitant travers le routeur et qui ont pour paramtres : l'adresse IP de la source l'adresse IP de la destination le type du paquet (tcp, udp, icmp, ip) le port de destination du paquet Pour un datagramme donn, l'ACL prend deux valeurs : deny : le paquet est rejet. permit : le paquet peut transiter par le routeur. Syntaxe Les routeurs Cisco acceptent deux types d'ACL : l'access-list simple : access-list access-list-number {deny|permit} protocole ip-source source-masque l'access-list tendue (extended) : access-list access-list-number {deny|permit} protocole ip-source source-masque ip destination destination-masque port-destination 46Activation de l'access-list On associe chaque interface du routeur une ACL. Une ACL de type in, associe une interface, contrle le trafic qui entre dans le routeur par cette interface UneACLdetypeoutassocieuneinterfacecontrleletraficquiquittelerouteurparcette interface. Attention : - les ACL ne s'appliquent qu'au trafic en transit et pas au trafic gnr par le routeur lui-mme. Par exemple, le trafic rsultant d'une connexion telnet vers le routeur n'est pas soumis aux ACL. -Implicitementlargle:denyipanyanyesttoujoursappliquelafindel'access-list,iln'est donc pas ncessaire de rajouter cette commande pour bloquer le reste du trafic. 47L'activation d'une access-list sur une interface se fait par la commande : ip access-group access-list-number {in|out} Recommandations pour la configuration des routeurs : Access-list contre le spoofing L'access-listsuivanteinterditl'accsaurseaupourtouslesdatagrammesenprovenancede l'extrieur, dont : l'adresse source est locale (127.0.0.0, 0.0.0.0) l'adresse source est prive (10.0.0.0, 172.16.0.0 et 192.168.0.0) (RFC 1918), l'adresse source est une adresse multicast (224.0.0.0) ou broadcast (255.255.255.255) l'adresse source est sur le rseau interne access-list 100 deny ip 127.0.0.0 0.255.255.255 anyinterdire paquet ip de rseau 127.0.0.0 vers tout(toute station) access-list 100 deny ip 10.0.0.0 0.255.255.255 any access-list 100 deny ip 192.168.0.0 0.0.255.255 anyaccess-list 100 deny ip 172.16.0.0 0.0.255.255 any access-list 100 deny ip 224.0.0.0 31.255.255.255 any access-list 100 deny ip host 255.255.255.255 any access-list 100 deny ip host 0.0.0.0 any access-list 100 permit ip any any Cette access-list doit tre applique sur toutes les interfaces externes : ip access-group 100 in Adresse IP et masque gnrique Les ACL dfinissent des familles d'adresses IP l'aide d'une adresse IP et d'un masque gnrique. Pour vrifier si une adresse IP appartient une famille : prendre l'adresse IP appliquerlemasquegnrique,c'est--diremettre0dansl'adresseIPtouslesbitsquisont1 dans le masque classique. comparer le rsultat obtenu l'adresse gnrique de la famille. Exemples d'adresses gnriques et de masques : 192.9.200.00.0.0.255 Toutes les adresses IP du rseau 192.9.200.0 192.9.200.10.0.0.0 L'adresse IP 192.9.200.1 0.0.0.0255.255.255.255 Toute adresse IP. 192.9.200.00.0.0.63 Toutes les adresses IP comprises entre 192.9.200.0 et 192.9.200.63 147.210.0.2540.0.255.0 Toutes les adresses IP de la forme 147.210.x.254 48Annexe 2 Assignationdecertainsportsassocisauxprocessusserveursenfonctiondesprotocolesde transport TCP et UDP. 49.... .... . , .... .... . , .... .... . , .... .... . , Question 1.1 Expliquer le rle d'un firewall.FW:Unpare-feu(appelaussicoupe-feuoufirewallenanglais),estunsystmepermettantde protger un ordinateur des intrusions provenant d'un rseau (ex: Internet). Le pare-feu est en ralit un systme permettant de filtrer les paquets de donnes changs avec le rseau. Question 1.2. Expliquer ce qu'est une DMZ.DMZ : Une zone dmilitarise dit DMZ est un segment de rseau sur lequel des ressources internes sont accessibles par des clients externes. Question 1.3. Citer 2 protocoles routables et 2 protocoles de routage.Protocoles routables : IP, IPX Protocoles de routage : RIP, BGP, OSPF Question1.4.Hormiscellesfiltres,citer2typesdetramesquinesontpasroutesparle routeur R-fw-dmz.Les trames et les datagrammes IP que le routeur ne laisse pas passer sont : - les trames de diffusion - les datagrammes dont ladresse de destination est inconnue. - les datagrammes dont le TTL est 1. Question2.1.Envousaidantdesannexes1et2complterledocumentrponse1qui concerne une partie de la configuration du routeur R-fw-dmz.50Question2.2.Pourlesrglesdeslignes4et6dudocumentrponse1calculerlesplages d'adresses des rseaux concerns.Ligne4:laplaged'adressesconcerneest10.0.0.010.255.255.255carlemasqueclassiqueest 255.255.255.0 (masque gnrique: 0.255.255.255). Ligne6:laplaged'adressesconcerneest195.52.208.0195.52.215.255carlemasqueclassique est 255.255.248.0 (masque gnrique: 0.0.7.255). Question2.3.Pourquoitouteslesaccess-listsprsentesdanslaconfigurationdurouteurse terminent par "permit ip any any" ?Pardfaut,toutletraficestbloqudoncsionveutaucontraireautorisertoutcequin'apast interdit , il faut mettre la ligne suivante la fin de l'acces-list : " permit ip any any" Question2.4.SilonsouhaiteinterdireleserviceTFTP,quellelignefautilajouterla configuration du routeur dans l'access-list "dmz_in".deny udp any any eq 69 51CDGJC J G LentrepriseREZOnetexternalisaitsesserveursHTTP,NNTPetSMTPpourlInternetet lextranet.Elleadciddaccueillirdansunezonedmilitarisecesserveurs.Cecilaconduit revoir son architecture rseau et sa politique de scurit. AprsavoirdciddansunpremiertempsdecreruneDMZavecuneadressepublique, l'administrateurdcide d'utiliser aujourd'hui une adresse prive pour renforcer la scurit. Lerouteurdaccsdistant(R1)estunrouteurfiltrant,ilpermetdinterdirecertainsfluxeten autoriser d'autres. Ce routeur prend aussi en charge la traduction d'adresses (NAT/PAT). Les clients du rseau local ont un accs Internet. Lannexe 1 la structure schmatique du nouveau rseau de lentreprise. Lannexe 2, des exemples de rgles NAT/PAT appliques par le routeur R1. Lannexe 3 des exemples de rgles de redirection appliques par le routeur R1. 1. Pourquoi le routeur R1 masque-t-il les adresses du rseau 192.168.50.0/24 ? 2. Expliquer le rle des rgles de l'annexe 3. 3. Le routage porte-t-il sur les adresses substitues ou sur les adresses relles ? 4.Pourquoin'utilise-t-onpasleportstandard80pourredirigerversleserveurhttp partenaire de nom prive.rezonet.ma ? 5. Comment les clients http des partenaires doivent-ils adresser leur requte pour accder au serveur http partenaire prive.rezonet.ma? L'administrateur dcided'appliquer une politique de scurit plus restrictive.Il veut empcher tout traficentrel'Internetetl'Intranet.PourcelailvamettreenplaceunProxyHTTPsurunserveur d'adresse192.168.100.4danslaDMZquicouterasurleport8080.Touslesutilisateursdevront passer par ce Proxy. 6. Comment fonctionne un Proxy-HTTP et quel est son intrt ? 7. Proposer une solution pour permettre aux postes de l'Intranet d'utiliser le Proxy-HTTP de faon transparente. 8. Rdiger le(s) rgle(s) permettant cette solution. 52Annexe 1 : Structure schmatique du rseauAnnexe 2 : exemples de rgles NAT/PAT Le type NP (NAT/PAT) s'applique en sortie de l'interface et substitue ladresse IP source et le port source privs par une adresse IP publique et un port public.Cette rgle gnre une entre dans une table interne du routeur qui permettra de grer la substitution inverse. NInterfaceTypeprotocole Adresse publique port publicadresse prive port priv1213.152.47.9NPTCP213.152.47.9*192.168.50.0/24* 2213.152.47.9NPTCP213.152.47.9*192.168.100.0/24* Annexe 3 : exemples de rgles de redirection Le Type R (Redirection) s'applique en entre de l'interface et substitue l'adresseIP destination et le portdedestinationpublicsparuneadresseIPpriveetunportpriv.Cetterglegnreune entre dans une table interne du routeur qui permettra de grer la substitution inverse. NInterface Typeprotocole Adresse publique port public adresse prive port priv3213.152.47.9 RTCP213.152.47.9 80192.168.100.280 4213.152.47.9 RTCP213.152.47.9 4500192.168.100.380 53.... .... . . .... .... . . .... .... . . .... .... . . Question 1. Pourquoi le routeur R1 masque-t-il les adresses du rseau 192.168.50.0/24 ?lesadressesdeclasseC192.168.x.xsontdesadressesprivesquinepeuventtreroutessur Internet, il faut donc les substituer par une adresse publique (ici l'adresse publique du routeur). Question 2. Expliquer le rle des rgles de l'annexe 3.Lesrglesdel'annexe3 redirigentverslesserveurshttpdelaDMZlespaquetsdontl'entteTCP comporte les ports de destination prciss. L'adresse IP de destination qui est l'adresse publique du routeur sera substitue par l'adresse prive prcise. Le port de destination sera lui aussi substitu si celaestncessaire.Cessubstitutionssontfaitesavantd'entrerdansleprocessusderoutageetde filtrage. Question 3. Le routage porte t-il sur les adresses substitues ou sur les adresses relles ? Leprocessusderoutageutilisel'adressededestinationd'unpaquetpourprendresadcisionde routage. Cette dcision ne peut tre prise sur les adresses substitues car celles-ci ne correspondent pas aux adresses relles du rseau local.Les rgles suivantes sont donc appliques : On substitue en entre de l'interface les adresses et les ports de destination par les adresses et les ports privs. Cette substitution se fait avant le processus de routage et de filtrage qui va donc porter sur les adresses relles. Onsubstitueensortiedel'interfacelesadressesetlesportssourcesparlesadressesetlesports publics.Cette substitution se fait aprs le processus de routage et de filtrage qui a donc port sur les adresses relles. Question 4. Pourquoi n'utilise t-on pas le port standard 80pour rediriger vers le serveur http partenaire de nom prive.rezonet.ma ? Ilfautdiffrencierlesportsdesserveurs.EneffetunerequteDNSsurpublic.sagi.frou prive.rezonet.marenvoiel'adresseIPpubliquedurouteur.Onnepeutdoncpasavoirdeuxfoisle mme port associ la mme adresse IP publique, car il est impossible de rediriger correctement la requteversleserveurcorrespondant.Onlaisseicilesdonnespubliquessurleport80(port standard du protocole http ) mais on change le port http des donnes partenaires. Question5.Commentlesclientshttpdespartenairesdoiventilsadresserleurrequtepour accder au serveur http partenaire prive.rezonet.ma? Lesclientsdespartenairesdoiventconnatrecesnumrosdeport(ilfautsaisirlenumrodeport dans l'URL.) ex: HTTP://prive.rezonet.ma:4500 Question 6. Comment fonctionne un Proxy HTTP et quel est son intrt ? LetermefranaispourdsignerunProxyestmandataire,c'est--direceluiquionconfieun travail.Lesproxyssontdesrelais.Ilsjouentlerledeserveurpourleclient,etdeclientpourle serveur.Ilspeuventanalyserlesdonnesdanslecontextedel'applicationetappliquerdesfiltres (sitesinterdits blacklist ,audit,etc.).Dansuneconfigurationminimumunproxyhttpmettraen cachelespagesHTMLvisitesoptimisantainsileurutilisation.Unproxypeutpermettred'viter les connexions directes depuis un rseau interne vers Internet. Sans routeur, il permet le partage de laccs Internet avec une interface publique. 54Question 7. Proposer une solution pour permettre aux postes de l'Intranet d'utiliser le Proxy HTTP de faon transparente.Deux solutions sont possibles : ConfigurertouslesnavigateursInternetpourparamtrerleProxy.Cettesolutionn'estpas transparente et peut tre contourne par les postes. Redirigerenentredel'interface192.168.50.1toutpaquetavecl'adresseduportdestination80 vers le Proxy 192.168.100.4. C'est la technique dite du "Proxy transparent". Il faut bien sr que le Proxy le permette c'est le cas de la plupart des Proxy du march. Question 8. Rdiger le(s) rgle(s) permettant cette solution. numroInterfaceTypeprotocoleAdressepublique portpublic adresse privePort priv 5192.168.50.1RTCP*80192.168.100.48080 IcilesrequteshttppartirdurseaulocalsontredirigesversleproxysitudanslaDMZ.LeProxyagiraensuiteentantqueclientInternetilutiliseradoncunportclientsuprieur1024 pour ses changes. Il n'y aura donc pas de confusion avec les changes des serveurs de la DMZ.Pourplusdescuritilfaudraitsupprimerlargle1duNAT/PATquimasquelesadressesdes postes du rseau local et leur permet l'accs Internet. 55CDGJC J La filiale d'une socit est relie son sige par l'intermdiaire de deux connexions distantes : une liaison spcialise et une liaison de secours RNIS. Chaque liaison est gre par un routeur diffrent: un routeur principal et un routeur de secours. La disponibilit de la connexion est une ncessit pour la filiale. Vous tes charg d'tudier la mise en uvre d'une solution qui permettrait de tolrer la panne du routeur principal. Pour cela vous allez tout d'abord tudier ce qu'un administrateur devrait faire manuellement en cas de panne du routeur principal pour utiliser le routeur de secours. Puis vous allez tudier la mise en uvre de deux protocoles permettant dassurer dynamiquement la tolrance de panne. L'annexe 1 vous donne un schma non exhaustif du rseau. L'annexe 2 vous donne l'tat initial de la configuration des diffrents lments actifs du rseau avant la simulation de la panne. L'annexe 3 prsente sommairement les protocoles utiliss. Lannexe4prsentelecacheARPduposte192.168.200.20aprslamiseenplacedeHSRPet lexcution dune commande ping. Lannexe5prsentelannoncederoutefaiteparlerouteurprincipalaurouteurdusigeaprsla mise en place du protocole de routage RIP. Vous testez le fonctionnement du routeur principal en excutant la commande suivante partir du poste 192.168.200.20 : ping 192.168.10.1Tout se droule normalement. Voussimulezunepannesurlerouteurprincipalpuisvousactivezlerouteurdesecourssans modifier les configurations dcrites dans l'annexe 2. 1.Quelseralersultatdelacommande ping192.168.10.1 excutesurleposte 192.168.200.20 ? 2. Quelle doit tre la nouvelle configuration du poste 192.168.200.20 pour utiliser le routeur de secours ? 3.Lamodificationapportesurleposte192.168.200.20nemodifiepaslersultatdela commande prcdente, pourquoi ? Proposez une solution. VousmettezenplaceleprotocoleHSRPentrelerouteurprincipaletlerouteurdesecourssurles interfaces 192.168.200.253 et 192.168.200.254.Vousaffectezauxdeuxrouteursl'adresseIPvirtuellesuivante:192.168.200.1etl'adresseMAC virtuelle suivante 00-00-0c-07-ac-02.Toutes les tables de routage restent dans ltat prsent par lannexe 2. Vous testez le fonctionnement du routeur principal en excutant la commande suivante partir du poste 192.168.200.20 : ping 192.168.10.1Tout se droule normalement. Vous simulez de nouveau une panne sur le routeur principal. 4.Quelledoittrel'adressedurouteurpardfaututiliseparleposte192.168.200.20pour tolrer une panne du routeur principal ? 5.Doit-onviderlecacheARPduposte192.168.200.20avantd'excuterdenouveaula commande ping 192.168.10.1 Lannexe 4 prsente le contenu actuel du cache ARP. 6. Quel sera le rsultat de la commande ping 192.168.10.1 ? 7. Pourquoinemet-onpasenuvreHSRPentrelesinterfaces200.100.10.253et 200.100.20.253 ? 56Pourautomatiserlamisejourdestablesderoutagenotammentpourlerouteurdusige,vous installez un protocole de routage vecteur de distance sur les diffrents routeurs. Dans un premier temps le routeur principal est actif et transmet des annonces de route au routeur du sige alors que le routeur de secours inactiv par HSRP ne transmet rien. Lannexe 5 montre lannonce transmise.Vous simulez une panne sur le routeur principal. Le routeur du sige cesse de recevoir des annonces delapartdurouteurprincipalmaisenreoitdelapartdurouteurdesecoursquiatactivpar HSRP. 8. Sur quelles interfaces doit-on activer le protocole de routage ? 9. Rajouter une colonne mtrique aux tables de routage des routeurs. 10. Que contient l'annonce envoye par le routeur de secours au routeur du sige ? 11. Quelle est la nouvelle table de routage sur le routeur du sige aprs rception de l'annonce ? Annexe 1 : Schma non exhaustifdu rseau Routeur SigeRouteurP ri ncipal192. 168.200. 253/24Routeur dese cours192. 168.200.254/24PC PC PCP C1 92. 168.200.20Commutate urCommutateurSer veurde fic hiers192. 168.10.2/24Se rveurde fi chi ers192.168.10. 1/ 24200.100. 10. 253/30200.100. 20. 253/30200. 100.20.254/ 30 200. 100.10.254/30192.168.10.254/ 2457Annexe 2 : la configuration des diffrents lments actifs du rseau avant la simulation de la panne. Table de routage du routeur sige RseauMasquePasserelleInterface 192.168.10.0255.255.255.0192.168.10.254192.168.10.254 200.100.10.252255.255.255.252200.100.10.254200.100.10.254 200.100.20.252255.255.255.252200.100.20.254200.100.20.254 192.168.200.0255.255.255.0200.100.10.253200.100.10.254 Table de routage du routeur principal RseauMasquePasserelleInterface 192.168.200.0255.255.255.0192.168.200.253192.168.200.253 200.100.10.252255.255.255.252200.100.10.253200.100.10.253 192.168.10.0255.255.255.0200.100.10.254200.100.10.253 Le routeur Principal est actif Table de routage du routeur de secours RseauMasquePasserelleInterface 192.168.200.0255.255.255.0192.168.200.254192.168.200.254 200.100.20.252255.255.255.252200.100.20.253200.100.20.253 192.168.10.0255.255.255.0200.100.20.254200.100.20.253 Le routeur de secours est inactif Table de routage du poste 192.168.200.20 RseauMasquePasserelleInterface 192.168.200.0255.255.255.0192.168.200.20192.168.200.20 0.0.0.00.0.0.0192.168.200.253192.168.200.20 Adresse MAC du routeur principal :0D 0A C1 10 5B 2D Adresse MAC du routeur de secours : 0D 0A C1 00 24 11 Cache ARP du poste 192.168.200.20 Adresse MACAdresse IPType 0D 0A C1 10 5B 2D192.168.200.254dynamique 58Annexe 3 : Prsentation des protocoles utiliss. HSRP (Host Stanby Router Protocol) HSRP est dcrit dans la RFC 2281. Ce document est class pour information ce qui veut dire qu'il n'estpasunstandardInternet.C'estunprotocolepropritaireCISCO.Iloffreunmcanismede tolranceauxpannesdelapasserellepardfautauxdiffrentesmachinesdurseauincapablesde dcouvrir dynamiquement les routeurs qui leur sont affects (attention on ne fait pas rfrence ici DHCP qui ne permet pas cela mais plutt des mthodes dynamiques comme IRDP ICMP Router Discovery Protocol). HSRP permet deux routeurs de partager une adresse IP virtuelle et une adresse MAC virtuelle. Le routeuractifrpondauxrequtesARPdestinesl'adressecommunecommes'ils'agissaitdela siennepuisprendenchargelestramesadressesl'adresseMACcommune.Unchangede message ralis en multicast permetaux routeurs de dterminer le routeur actifpuis de vrifier la prsence de l'autre routeur. Lorsque le routeur actif est dfaillant, le deuxime routeur ne reoit plus de message multicast de sa part, il devient alors actif et rpond aux requtes adresses aux adresses communes (IP et MAC). D'autresprotocolessontbiensrutilisablescommeparexempleVRRP(VirtualRedundancy Router Protocol). RIP V2 (Routing Information Protocol). La version 2 transmet les masques de sous-rseau. Un protocole de routage permet de mettre jour dynamiquement les tables de routage des routeurs. Les routeurs s'envoient des messages contenant les rseaux qu'ils peuvent atteindre soit directement soit indirectement.Pour atteindre un rseau, un routeur utilisant un protocole vecteur de distance choisira toujours la route la plus courte. La route la plus courte est celle qui traverse le moins de routeur. Pourvaluercettedistancelerouteurassociechaquerseauunemtriquesouslaformed'un entier.Lavaleur1corresponduneremisedirecte.Unevaleursuprieure1correspondune remise indirecte. Un routeur utilisant le protocole de routage RIP diffuse toutes les 30s la liste des rseaux qu'il peut atteindre avec leur mtrique. Pour RIP la valeur 16 associe une mtrique invalide la route. D'autresprotocolesvecteurdedistancesontbiensrutilisablesparexempleIGRP(Internet Gateway Router Protocol) ou bien EIGRP (Extended Internet Gateway Router Protocol) de CISCO protocle Hybride entre les protocoles vecteur de distance et ceux tats de lien. Annexe 4 CacheARPduposte192.168.200.20aprslamiseenplacedeARPetlacommande ping 192.168.10.1 Adresse MACAdresse IPType 00-00-0c-07-ac-02192.168.200.1dynamique Annexe 5 Annonce transmise par le routeur principal au routeur du sige RseauMasqueMtrique 192.168.200.0255.255.255.01 59.... .... . .... .... . .... .... . .... .... . Question1.Quelseralersultatdelacommande ping192.168.10.1 excutesurleposte 192.168.200.20 ?Le rsultat sera"dlai d'attente dpass".Le paquetICMP echo est parti mais le paquetICMP reply nest pas revenu dans le temps imparti.Question 2. Quelle doit tre la nouvelle configuration du poste 192.168.200.20 pour utiliser le routeur de secours ?Ilfautmodifierlapasserellepardfautpouraffecterl'adresseIPdurouteurdesecours 192.168.200.254Question 3. La modification apporte sur le poste 192.168.200.20 ne modifie pas le rsultat de la commande prcdente, pourquoi ? Proposez une solution.Le problme se situe sur la table de routage du routeur du sige sur la route de retour . En effet le paquet part du poste vers la nouvelle passerelle par dfaut 192.168.200.254 qui transmet au routeur dusige.Celui-citransmetauposte192.168.10.1quirpondvialerouteurdusige.Maisce derniercontinueorienterverslerouteurprincipalquiestinactif.Ilfautdoncremplacerla ligne obsolte par la ligne suivante : 192.168.200.0255.255.255.0200.100.20.253200.100.20.254 Question4.Quelledoittrel'adressedurouteurpardfaututiliseparleposte 192.168.200.20 pour tolrer une panne du routeur principal ?L'adresse du routeur par dfaut doit tre l'adresse virtuelle IP 192.168.200.1 Question5.DoitonviderlecacheARPduposte192.168.200.20avantd'excuterde nouveaulacommandeping192.168.10.1Lannexe4prsentelecontenuactuelducache ARP. Ce n'est pas ncessaire de vider le cache ARP car les deux routeurs utilisent la mme adresse MAC virtuelle donc mme si le poste ne refait pas de requte ARP pour rsoudre l'adresse 192.168.200.1 le routeur de secours traitera bien les trames avec pour adresse MAC destinataire 00-00-0c-07-ac-02 Question 6. Quel sera le rsultat de la commande ping 192.168.10.1 ? Lersultatdelacommandesera"dlaid'attentedpasse"carlatablederoutagedurouteurdu sige n'a pas t mise jourQuestion 7. Pourquoi ne met on pasen uvreHSRP entre les interfaces200.100.10.253 et 200.100.20.253 ? On ne peut mettre en uvre HSRP que sur une mme liaison rseau or ces deux interfaces ne sont pas sur une mme liaison Question 8. Sur quelles interfaces doit on activer le protocole de routage ? Leprotocolederoutagedoittreactivsurlesinterfaces:200.100.10.254200.100.20.254 200.100.10.253 200.100.20.25360Question 9. Rajouter une colonne mtrique aux tables de routage des routeurs. Table de routage du routeur sige RseauMasquePasserelleInterfaceMtrique 192.168.10.0255.255.255.0192.168.10.254192.168.10.2541 200.100.10.252255.255.255.252200.100.10.254200.100.10.2541 200.100.20.252255.255.255.252200.100.20.254200.100.20.2541 192.168.200.0255.255.255.0200.100.10.253200.100.10.2542 Table de routage du routeur principal RseauMasquePasserelleInterfaceMtrique 192.168.200.0255.255.255.0192.168.200.254192.168.200.254 1 200.100.10.252255.255.255.252200.100.10.253200.100.10.2531 192.168.10.0255.255.255.0200.100.10.254200.100.10.2532 Table de routage du routeur de secours RseauMasquePasserelleInterfaceMtrique 192.168.200.0255.255.255.0192.168.200.254192.168.200.254 1 200.100.20.252255.255.255.252200.100.20.253200.100.20.2531 192.168.10.0255.255.255.0200.100.20.254200.100.20.2532 Question 10. Que contient l'annonce envoye par le routeur de secours au routeur du sige ? Le routeur de secours envoie le mme message quenvoyait le routeur principal : 192.168.200.0255.255.255.01 Question 11. Quelleestla nouvelle table de routage sur lerouteur du sige aprs rception de l'annonce ?Lerouteurdusigeinvalidelaroutequipassaitparlerouteurprincipalcarilnereoitplus dannonce sur cette interface et la remplace par la route propose par le routeur de secours. RseauMasquePasserelleInterfaceMtrique 192.168.10.0255.255.255.0192.168.10.254192.168.10.2541 200.100.10.252255.255.255.252200.100.10.254200.100.10.2541 200.100.20.252255.255.255.252200.100.20.254200.100.20.2541 192.168.200.0255.255.255.0200.100.20.253200.100.20.2542

61CDGJC J = Uneentreprisedisposedeplusieursrouteursdanssonrseau.Unpremierrouteur(appel SUPERNET) constitue le point d'entre sur le rseau local, de tous les rseaux partenaires (filiales etclients).Ilestinterconnectundeuximerouteur(nommPRIVANET)quirouteversles diffrentssous-rseauxinternesdel'entreprise,entransmettantventuellementlespaquets d'autres routeurs.L'annexe 1 prsente la table de routage de SUPERNET. L'annexe 2 prsente la table de routage de PRIVANET. 1.Indiquer,parmilessous-rseauxdelentreprise,ceuxquisontaccessiblesvialerouteur SUPERNET 2. Indiquer quelles sont les lignes rajouter dans la table de routage du routeur SUPERNET pour router vers les rseaux non accessibles. 3.Indiquersilestpossible,avecuneseulelignedanslatablederoutagedurouteur SUPERNET de router vers tous les rseaux. Annexe 1 : Table de routage du routeur SUPERNET DestinationMasquePasserelleInterface 0.0.0.00.0.0.0184.10.20.254184.10.20.200 200.100.32.0255.255.224.010.0.0.110.0.0.2 Annexe 2 : Table de routage du routeur PRIVANET DestinationMasquePasserelleInterface 0.0.0.00.0.0.010.0.0.210.0.0.1 200.100.18.0255.255.255.0200.100.33.250200.100.33.254 200.100.31.0255.255.255.0200.100.33.250200.100.33.254 200.100.32.0255.255.255.0200.100.32.254200.100.32.254 200.100.33.0255.255.255.0200.100.33.254200.100.33.254 200.100.34.0255.255.255.0200.100.34.254200.100.34.254 200.100.48.0255.255.255.0200.100.33.250200.100.33.254 200.100.49.0255.255.255.0200.100.33.250200.100.33.254 200.100.50.0255.255.255.0200.100.33.250200.100.33.254 200.100.66.0255.255.255.0200.100.33.250200.100.33.254 200.100.98.0255.255.255.0200.100.33.250200.100.33.254 62.... .... . . .... .... . . .... .... . . .... .... . . Question1.Indiquer,parmilessous-rseauxdelentreprise,ceuxquisontaccessiblesviale routeur SUPERNETLadeuximelignedelatablederoutagedurouteurSUPERNETfaitrfrenceunmasque 255.255.224.0. Cela signifie que dans le troisime octet, les trois premiers bits sont 1. Touteslesadressesdisposantdoncdesmmes19premiersbits(8+8+3)serontroutes.Ilfaut doncrechercherparmilensembledessous-rseauxcontenusdanslatablederoutagede PRIVANET les adresses de rseau qui correspondent cette proprit. Pour rpondre il faut convertir ces adresses rseaux en binaire : 200.100.18.0 11001000.11000100.00010010.00000000 200.100.31.0 11001000.11000100.00011111.00000000 200.100.32.0 11001000.11000100.00100000.00000000 200.100.33 011001000.11000100.00100001.00000000 200.100.34 011001000.11000100.00100010.00000000 200.100.48 011001000.11000100.00110000.00000000 200.100.49 011001000.11000100.00110001.00000000 200.100.50.0 11001000.11000100.00110010.00000000 200.100.66.0 11001000.11000100.01000010.00000000 200.100.98.0 11001000.11000100.01100010.00000000 Lesrseaux200.100.32.0,200.100.33.0;200.100.34.0;200.100.48.0;200.100.49.0;200.100.50.0 sontainsiaccessibles.Carsionappliqueunmasquequirestreintl'identifiantdurseauces19 bits, avec une seule ligne dans la table de routageon route vers l'ensemble decesrseaux. Ce qui impliquebienunautrerouteur(iciPRIVANET)quidistribuelespaquetsverslesbonssous-rseaux. Crerdessur-rseaux(l'inversedessous-rseaux)permetdoncdelimiterlenombredelignessur une table de routage, pour les routeurs "gnraux" d'une entreprise. Question2.Indiquerquellessontleslignesrajouterdanslatablederoutagedurouteur SUPERNET pour router vers les rseaux non accessibles. Ligne rajouter pour router vers 200.100.66.0 et 200.100.98.0 200.100.64.0255.255.192.0 10.0.0.110.0.0.2 Il suffit en effet que les deux premiers bits du troisime octet soient gaux 01 (0x27 + 1x26 = 64), et que le masque dispose dun troisime octet commenant par 11 (1x27 + 1x26 = 192). Ligne rajouter pour router vers 200.100.18.0 et 200.100.31.0 Il faut que les trois premiers bits du troisime octet soient gaux 000 (0x27 + 0x26 + 0x25 = 0), donc que le masque dispose dun troisime octet commenant par 111 (1x27 + 1x26 + 1x25 =224).200.100.0.0255.255.224.0 10.0.0.110.0.0.2 Il est aussi possible de restreindre la plage dadresses routes en tablant sur les quatre premiers bits identiques (0001), ce qui donnerait ladresse 200.100.16.0 et le masque /20 . Question3.Indiquersilestpossible,avecuneseulelignedanslatablederoutagedu routeur SUPERNET de router vers tous les rseaux.Onconsidrequetouteslesadressesontletroisimeoctetquicommencepar0(adresse 200.100.0.0) ce qui donne un masque dans lequel le troisime octet commence par 1 (soit 128) 200.100.0.0255.255.128.0 10.0.0.110.0.0.2 Onpourraitaussitendrelaplagedadressesroutesenconsidrantqueseulslesdeuxpremiers octets sont identiques, ce qui donnerait une adresse identique, mais le masque /16 . 63CDGJC J = Laconfigurationproposenereprsentepas,loins'enfaut,uneconfigurationidale.Sontudea simplement pour objectif de balayer diffrentes fonctionnalits d'un DNS.L'annexe 1 vous permet devousfamiliariseraveclevocabulaireetlesconceptsemploys.Lannexe2fournitleplan dadressage du rseau gberger.fr. 1.Complterl'annexe3afindepositionnerchaquemachinerfrencedanssondomaine (associesonadresseIP)partirdelanalysedufichierdeconfigurationdeszones gberger.fr, tsig.gberger.fr et tscg.gberger.fr (annexe 4). Faire apparatre pour chaque zone la liste des serveurs DNS. Indiquer les htes du rseau gberger.fr qui ne sont pas encore rfrencs. 2. Rpondre aux questions suivantes, en les justifiant : 2.1 Sur quelle machine est stock le fichier de configuration de la zone tsig.gberger.fr ? 2.2 Quelle est la dure de validit de ses donnes en cache(exprime en jours) ? 2.3 Quelle est l'adresse et le nom du serveur secondaire de la zone tscg.gberger.fr ? 2.4 Parmi ces deux zones (tsig.gberger.fr et tscg.gberger.fr), quelle est la zone qui a t le plus souvent modifie ? 2.5 arle.tsig.gberger.fr est-elle une zone indpendante ? 2.6 Que faut-il faire pour que la rsolution de nom pour la machine srv.gberger.fr, d'adresse 10.0.2.1 soit possible ? 3.Enutilisantlammereprsentationquepourlesfichiersdeconfigurationfournisenannexe4, lorsque cela est ncessaire, rpondre aux questions suivantes : 3.1Quelestlecontenudufichierdedescriptiondezoneassociauserveur dns2.tsig.gberger.fr ?3.2 Comment faire pour dclarer un nouveau serveur de noms pour la zone tscg.gberger.fr, de nom dns2 et d'adresse 10.0.2.13 ? 3.3 Comment faire pour que arle.tsig.gberger.fr devienne une zone indpendante ? 64Annexe 1 Rappels de quelques dfinitions Le rle d'un serveur de noms de domaines est avant tout de permettre de "rsoudre un nom", c'est--dire d'associer une adresse IP un nom d'hte. L'espacedesnomsdedomainesestdcoupenzones.Cesdcoupespeuventtreralisesentre deux nuds adjacents quelconques. Chaque groupe de nuds interconnects devient ainsi une zone indpendante.Du fait de la structure d'arbre (dans lequel chaque branche correspond un domaine), chaque zone contient un nud "de plus haut niveau" qui est plus proche de la racine que tous les autres nuds de cette zone. Le nom de ce nud est utilis pour identifier la zone elle-mme.Chaquezoneestgreparuneorganisation,quipeutmodifiersesdonnesdefaonunilatrale, crerdesnouveauxsous-arbresl'intrieurdelazone,supprimerdesnudsexistants,ouencore dlguer la gestion de sous-zones d'autres organisations plus locales.Une zone contient donc un ensemble d'htes (noeuds). Les donnes dcrivant une zone se divisent en quatre parties majeures : Les donnes sur lesquelles le serveur fait autorit (pour tous les nuds dans la zone). Des donnes dfinissant le nud de plus haut niveau de la zone (qui fait partie des donnes sur lesquelles le serveur fait autorit). Des donnes dcrivant les sous-zones dlgues, c'est--dire, les points de coupure dans les parties infrieures de la zone. Lesdonnespermettantl'accsauxserveursdenomstraitantlessous-zonesdlgues (appeles souvent "glue data").Toutescesdonnessontexprimesdansunfichiersurleserveurprimairedelazone,sousforme d'enregistrements de ressources (en anglais Ressource Record : RR.) Les principaux types d'enregistrements sont reprs par un code. On rencontre le plus souvent : SOA (Start Of Authority): identifie le dbut d'une "sphre d'autorit" (description d'une zone) A(Address): dcrit une adresse d'hte NS(Name Server): dfinit un serveur de noms faisant autorit surla zone Un serveur primaire d'une zone dispose du fichier de configuration de cette zone. Il fait rfrence sur cette zone. Unserveursecondairetravaillesurunecopielocaledufichierdeconfigurationd'unserveur primaire,serveurqu'ilcontactergulirementpourmettrejourlesdonnesqu'ilpossdesurla zone. Chaqueserveurdisposegalementd'uncachequicontientd'autresrfrences(surlesquellesilne faitpasautorit)obtenuesaucoursdesdiffrentesoprationsdersolutionsdenoms.Pour simplifier, on considrera que sa structure correspond un ensemble de RR de type A. Un serveur de cache ne travaille quavec un cache local qui contient les rsultats des prcdentes rsolutionsdenoms.Celaviteunemisejourpriodiquepartirduserveurprimaire(moinsde trafic rseau), mais peut entraner beaucoup de trafic sur le rseau, notamment au dpart, lorsque le cache est vide, et des erreurs, lorsque la dure de validit des informations est trop longue. 65Annexe 2 Plan d'adressage du rseau gberger.fr Remarque : Seules les machines ncessaires cet exercice sont visualises sur ce document Le serveur proxy fait office de passerelle vers le Fournisseur d'Accs Internet qui a fourni deux adresses de DNS : 118.39.5.53 et 118.39.17.26. Les htes du rseau 10.0.2.0/24 ont pour passerelle par dfaut 10.0.2.200. Les htes du rseau 10.0.1.0/24 ont pour passerelle par dfaut 10.0.1.200. 66Annexe 3 Arbre de la zone gberger.fr gberger fr tsig tscg arleda . 67Annexe 4 Description de la zone gberger.fr Configuration des postes Chaque poste du rseau 10.0.1.0/24 dispose de la liste des serveurs DNS par dfaut : 10.0.1.8 10.0.2.9 Chaque poste du rseau 10.0.2.0/24 dispose de la liste des serveurs DNS par dfaut : 10.0.2.9 10.0.1.8 Contenu du fichier de configuration de la zone gberger.fr ; dfinition de la zone gberger.fr ; le serveur d'autorit est dns.tsig.gberger.fr (serveur primaire) ; il est administr par une personne qu'on peut joindre l'adresse admgb@gberger.fr gberger.fr. IN SOA dns.tsig.gberger.fr. admgb.gberger.fr. ( 3 ; numro de version : permet aux serveurs secondaires de savoir s'ils doivent mettre jour leur; base 36000; dlai de mise jour impos aux serveurs secondaires (en secondes) 3600;dlaiavantuneautretentativedemisejourparunserveursecondaire(en secondes) 360000;dureau-deldelaquellelesdonnesdezonesserontmarquescomme obsoltes par un ;serveur; secondaire (en secondes) 86400) ; dure de validit en cache par dfaut des enregistrements de zones (en secondes) ; avec deux serveurs de noms dans cette zone NS dns.tsig.gberger.fr. NS dns2.gberger.fr. ; et dlgation de la zone tsig.gberger.fr avec trois serveurs de nomstsig.gberger.fr.INNS dns.arle.tsig.gberger.fr.NS dns2.tsig.gberger.fr NS dns2.gberger.fr. ; et dlgation de la zone tscg.gberger.fr avec deux serveurs de nomstscg.gberger.fr.INNS dns.tscg.gberger.fr. NS dns2.gberger.fr. 68; dclaration des adresses faisant autorit localhost.gberger.fr. INA127.0.0.1 dns2.gberger.fr.INA10.0.2.9 proxy.gberger.fr.INA10.0.2.2 routeur.gberger.frINA10.0.2.200 routeur.gberger.frINA10.0.1.200 ; fin de la zone dautorit ; glue data dns.tsig.gberger.fr.INA10.0.1.8 dns.arle.tsig.gberger.fr INA10.0.1.4 dns.tscg.gberger.frINA10.0.2.12 dns2.tsig.gberger.frINA10.0.1.9Contenu du fichier de configuration de la zone tsig.gberger.fr tsig.gberger.fr. IN SOAdns.arle.tsig.gberger.fr.admig.gberger.fr.(191800036007200086400) NS dns.arle.tsig.gberger.fr. NS dns2.ts