Correction de
l'examen 2002-2003
DU Info - Module M1
RETOUR
Un domaine Windows 2000 comporte un ou plusieurs contrôleurs de domaine et 0, 1 ou plusieurs machines clientes simples. Ces informations de sécurité sont stockées et répliquées sur les contrôleurs au sein d'Active Directory. Les contrôles de sécurité sont réalisés uniquement par les contrôleurs. Les machines clientes délèguent ces contrôles à l'un quelconque des contrôleurs.
L'administration d'un domaine Windows 2000 peut être réalisée de manière centralisée depuis n'importe quel contrôleur sans hiérarchie en ceux-ci.
b) Un domaine TCP/IP est un ensemble de machines dont les noms TCP/IP
fournis par serveur(s) DNS (Domain Name Server) se terminent par la même sous-chaîne
alphanumérique. Les points de cette chaîne sont les délimiteurs entre tokens de domaine
et sous-domaine.
Exemple n°1: fr est le domaine TCP/IP pour la France.
Exemple n°2: univ-fcomte.fr est un sous-domaine du domaine fr est et le domaine TCP/IP de
l'Université de Franche-Comte.
Ces deux notions n'ont donc que peu de rapport si ce n'est que les
domaines Windows 2000 sont mappés sur des domaines TCP/IP.
Au moins dans les cas simples, la création d'un serveur DNS et d'un domaine TCP/IP sera
généralement associée à la création d'un domaine Windows 2000.
Pour transiter sur un réseau Ethernet, les messages d'information sont découpés en
morceaux élémentaires de quelques dizaines d'octets. A partir de chacun de ces morceaux,
un "paquet" et construit avec indication, entre autres, de la machine émettrice
et de la machine destinataire. Puis le paquet est transmis sur le réseau.
Les modes de fonctionnement des deux types de matériel d'interconnexion sont différents
du point de vue de l'information transmise aux machines qui sont connectées sur leurs
ports.
Dans le cas des concentrateurs, tout paquet est transmis à l'ensemble des machines
connectées. La machine destinataire réceptionne et utilise l'information. Toutes les
machines non destinataires réceptionnent et ignorent l'information.
Dans le cas des commutateurs, le matériel d'interconnexion acquière la connaissance des
machines qui lui sont reliées (via l'adresse MAC de leurs cartes réseau) de manière à
n'envoyer les éléments d'information que vers les machines auxquelles ils sont
destinés.
On comprend bien que du point de vue de la sécurité, utiliser des concentrateurs
revient à crier des informations confidentielles dans une pièce pleine de gens en
espérant que ceux-ci entendront mais n'écouteront pas ce qu'on leur dit. Un programme
"Sniffer" installé sur une machine QUELCONQUE connectée à un concentrateur
pourra écouter l'ensemble des communications à la recherche de données précises
(login, password par exemple). Dans le cas d'un réseau commuté, ce même programme
sniffer ne pourra entendre que les communications originaire ou à destination de la
machine sur laquelle il fonctionne
-> une plus grande confidentialité.
a) Dans la configuration TCP/IP d'une machine, le masque de sous-réseau définit l'ensemble des machines situées dans le même sous-réseau logique qu'elle. Lorsqu'un message doit être envoyé à l'une de ces machines, il l'est directement. Tout message envoyé à une autre machine sera dans un premier temps envoyé à l'adresse de la "passerelle par défaut" où doit se trouver un matériel à même de router ce message vers le véritable destinataire.
Un masque de sous réseau est constitué, comme les adresses IP, d'une quadrette d'octets. Ceux-ci ne peuvent pas être arbitraires car ils définissent un masque numérique. En arithmétique binaire, ces 4 octets forment une suite de 32 bits définissant une suite gauche de 1 suivie d'une suite droite de 0 (exemple: 11111111.11111111.11111111.10000000). Si, d'une part, le "et binaire" entre une première adresse IP et le masque et, d'autre part, le "et binaire" entre une deuxième adresse IP et le masque sont égaux alors les deux machines font partie du même sous-réseau TCP/IP. Il est bien entendu, que les deux machines possédant ces adresses IP devront avoir le même masque de sous réseau pour que cela fonctionne effectivement. Les masques de sous réseau ne sont pas renseignés en binaire, mais classiquement en décimal (exemples: 255.255.0.0, 255.255.255.192).
b) La plage de 42 d'adresses correspondant à l'opération de filtrage demandée ne
peut pas être implantée au moyen d'un seul filtre car elle est trop complexe (172.20.132.11 et 172.20.132.52) et ne peut être mappée sur
un masque.
Le filtre est donc le suivant:
Toutes les connexions sont refusées sauf pour les 6 filtres:
Groupe de machine ou machine |
Taille | Adresse | Masque |
| 172.20.128.11 | 1 | 172.20.128.11 | - |
| 172.20.128.12, ..., 172.20.128.15 | 4 | 172.20.128.12 | 255.255.255.252 |
| 172.20.128.16, ..., 172.20.128.31 | 16 | 172.20.128.16 | 255.255.255.240 |
| 172.20.128.32, ..., 172.20.128.47 | 16 | 172.20.128.32 | 255.255.255.240 |
| 172.20.128.48, ..., 172.20.128.51 | 4 | 172.20.128.49 | 255.255.255.252 |
| 172.20.128.52 | 1 | 172.20.128.52 | - |