Exam Sec Gir03

7/27/2019 Exam Sec Gir03

1/9

EMSI - Rabat A.U. : 2003-2004

Section : 4me Anne GIR Enseignant: Mme S. ASSOUL

Examen : Scurit des rseaux Dure : 2h00

N.B : Pour les exercices 1 et 2, rpondez sur la feuille 1 dexamen.

Exercice N1 (2 pts)Cocher la bonne rponse

1. Le protocole PPP utilise comme protocole dauthentification:

Kerberos

PAP et CHAP

Radius

2. Le protocole SSL , dvelopp par Netscape, permet dauthentifier les extrmits et dassurer laconfidentialit et lintgrit des changes de donnes de :

HTTP

Tout type dapplication, HTTP, SMTP, Telnet,

SMTP3. Quelle cl n'ouvre pas les portes de la scurit ?

Cl secrte

Cl unique

Cl publique

4. Les produits Cisco implmentent comme protocole dauthentification :

Kerberos

CHAP

Radius et TACACS+

5. Le protocole dauthentification Kerberos utilise :

2 serveurs dauthentification : SA et TGS

un serveur dauthentification avec les fonction AAA

Un serveur dauthentification seulement, utilisant les cls prives6. Le mcanisme de signature lectronique repose sur :

Fonction de hachage

Fonction de hachage et algorithme de chiffrement cl publique

Fonction de hachage et algorithme de chiffrement symtrique

7. La scurisation des accs au rseau interne par Firewall inclut une zone DMZ (Demilitarized Zone) . La

DMZ dfinit :

une partie du rseau interne non connecte Internet

une partie non connecte ni Internet, ni au rseau interne

une partie couverte par le Firewall

8. Le protocole dauthentification RADIUS est bas sur un change de paquets utilisant le protocole :

UDP

TCP

TP4

Exercice N2 (3 pts)Le protocole CHAP utilise le principe de challenge-rponse pour assurer lauthentification dun client par un

serveur. Complter le schma dauthentification suivant :

Serveur Client

1

1. demandedauthentification ?

2. ?

3. ?

Acceptation/Rejet

de la demande

?


2/9

Exercice N3 (4 pts)1. Choisir 2 nombres p et q premiers et grands(p, q>10100)

2. calculer n= p*q et z = (p-1)(q-1)

3. Soit e un nombre premier avec z

4. Dterminer un entier d tel que e*d 1[z]

5. Soit A un message, remplacer les caractres par leurs codes ASCII. Dcouper A en blocs dechiffres de taille infrieure au nombre_chiffres(n)

6. Soit P un bloc du message, le chiffre de P est C= E(P) = Pe (mod n)

7. Le dchiffrement du message crypt est donn par : P= D(C) = cd (mod n)

Q1 : On donne les valeurs numriques : p=3, q= 11 (trop petites en pratique, mais traitable en

exercice). Calculer les valeurs des cls, vrifiant lalgorithme RSA(dont les tapes ont t donnes au-

dessus). Trouver e et d ? Quelle est la cl publique et la cl prive?

Q2 : Soit le message M= 43. Coder ce message en utilisant les paramtres de RSA prcdents.

Q3 : Pourquoi lalgorithme RSA est-il performant ? Quel est son inconvnient ?

Exercice N4 (6 pts)

A/ Une entreprise utilise un serveur web pour permettre aux employs deconsulter leur messagerie depuis Internet. Pour accder leur messagerie, lesutilisateurs doivent s'authentifier sur une page du serveur web. Quel peut trel'utilit de demander une authentification des connexions web entrantes auniveau du firewall? Quel principe de base est appliqu dans ce cas?

B/ 1. Expliquer comment fonctionne une attaque par TCPsyn flooding.2. Quel type de firewall ( avec/sans mmoire) permet de contrer cette attaque?Pour-quoi?C/ Comment le courrier lectronique est-il vulnrable lcoute, la modification, le rejeu ou le dni

dusage ? Comment PGP peut-il remdier ces problmes ?

2. Expliquer comment peut-on intgrer de la scurit dans une application de messagerie lectronique(MIME). Y a-t-il compatibilit entre le logiciel MIME et le logiciel S/MIME ? Pourquoi ?

Exercice N5 (5 pts)

A/ Kerberos est un systme qui permet de grer les droits daccs dans des systmes distribus et bas

sur la distribution de cls.

1/ Quelle est linformation contenue dans un serveur Kerberos ?

2/ Comment un client peut-il changer son mot de passe(ou cl secrte) sur Kerberos ?

3/ Quest ce quune nonce et quelle est son utilit ?

B/ Les enseignants dune universit X voudraient changer des documents scientifiques dune manire

scurise sur Internet. Le professeur Ahmed veut envoyer un document sign son collgue Paul

Paris.

1/ Quelle sont les dmarches suivre par Ahmed ?

2/ Donner le schma de signature du document dAhmed quil doit envoyer Paul.

2


3/9

EMSI - Rabat A.U. : 2002-2003



Exercice N1 (10 pts)

Pour scuriser le commerce lectronique sur Internet le standard SET(Secure Electronic

Transactions) a t propos en 1996/1997. Il est soutenu par les principaux groupements de

cartes bancaires Visa et Master Card ainsi que par de nombreux fournisseurs (IBM, Microsoft,

...). SET propose un ensemble de protocoles de scurit pour le paiement par carte bancaire

sur Internet. Il utilise pour cela des techniques de cryptographie ( cls publiques RSA, cls

secrtes DES, de fonction de hachage SHA-1). C'est une solution purement logicielle.

Une vision simplifie de l'architecture de SET est donne par la figure suivante o

apparaissent les diffrents calculateurs de l'acheteur, du marchand, des banques ainsi qu'unepasserelle faisant interface entre le monde Internet (utilisant le protocole SET) et le rseau

bancaire.

Le fonctionnement de base est analogue celui des cartes de crdits habituelles. L'acheteur

connecte son poste de travail sur le serveur du marchand. Il consulte le catalogue des produits

proposs, passe sa commande et autorise le paiement. Le marchand accepte la commande et la

ralise. Le marchand, pour se faire payer, adresse sa banque l'autorisation de paiement de

l'acheteur via la passerelle de paiement. On trouve donc trois protocoles essentiels dans SET:

- Le protocole d'achat,

- Le protocole d'autorisation de paiement,

- Le protocole de paiement.

Voici (parmi de nombreuses autres) quelques rgles de scurit de base que les protocoles

SET doivent respecter :

a) L'acheteur et la passerelle de paiement doivent pouvoir vrifier que le marchand est bien

celui qu'il prtend tre. Le marchand doit pouvoir vrifier que l'acheteur et la passerelle de

paiement sont bien ceux qu'ils prtendent tre.

b) Une personne non autorise ne doit pas pouvoir modifier les messages changs entre le

marchand et la passerelle de paiement.

c) Le marchand ne doit pas pouvoir accder au numro de la carte de l'acheteur.1 - Les problmes de scurit associs aux rgles a) b) c) prcdentes sont des problmes

3


4/9

gnraux traits en cours. Donnez pour les rgles a) puis b) puis c) les noms des problmes

associs. Rappelez de manire succinte la dfinition de ces problmes (en une phrase)

2- Pour mettre en uvre les protocoles de scurit utilisant la cryptographie, SET dfinit

une phase d'accrditation pralable des acteurs par une autorit de certification (en fait une

hirarchie d'autorits). Vue globalement, l'autorit de certification dlivre des certificats aux

diffrents acteurs des protocoles SET.2.1. Qu'est ce qu'un certificat? Quelles en sont les proprits principales?

3- SET utilise la cryptographie cl publique RSA avec des cls d'une longueur de 1024

bits.

3.1 Quels sont les avantages et les inconvnients d'une telle longueur de cls?

3.2 En fait le RSA est utilis pour distribuer des cls prives de type DES. C'est

l'algorithme de cryptographie cl prive DES qui sert chiffrer les messages en

confidentialit. Pourquoi adopter une telle stratgie?

3.3 Dans un cas d'cole en cryptographie RSA on utilise comme cl publique le couple (3 ,

55) et comme cl prive le couple (27, 55). Quel est le codage du message M = 7 lorsque l'on

chiffre avec la cl publique?

4- SET adopte une mthode de signature numrique base sur la norme SHA-1 ("Secure HashAlgorithm" - Version 1) et sur l'algorithme RSA.

4.1 SHA-1 dfinit une fonction de hachage sens unique sans cl. Rappelez la dfinition

d'une fonction de hachage sens unique sans cl?

4.2 La signature numrique d'un message en SET est dfinie par:

RSA cl_prive_metteur ( SHA-1 ( Message) )

C'est l'application au message de la fonction de hachage sens unique sans cl puis

l'application au rsultat prcdent du cryptage RSA avec la cl prive de l'metteur. Par

rapport aux proprits attendues d'une signature, pourquoi dfinit-on ainsi la signature

numrique?

Exercice N2 (10 pts)

Q1. Il existe 3 manires de combiner la signature et le cryptage dun message :

A/ Dabord chiffrer le message, ensuite le signer S(E(M)) ;

B/ Dabord signer le message, ensuite crypter le message en laissant la signature en clair ;

C/ Dabord signer le message, ensuite chiffrer le contenu et la signature E(S(M))

1/ Quels sont les services offerts par chaque combinaison ?

2/ Quelle est la meilleure ?

Q2. Quels sont les avantages dutilisation dun systme dauthentification Kerberos ?

Comment peut-on changer son mot de passe sous Kerberos ?

Q3. Comment le courrier lectronique est-il vulnrable lcoute, la modification ? Par quel

protocole peut-on protger le mail ?Q4. Comment un firewall peut-il interdire laccs certaines applications de lentreprise ?

Quelle est la diffrence entre un contrle daccs par systme bastion et un contrle daccs

par serveur proxy ?

BonCourage!

4


5/9

EMSI - Rabat A.U. : 2002-2003

Section : 4me Anne GIR CS Enseignant: Mme S. ASSOUL


1/ Quelles sont les attaques courantes sur le rseau Internet. Par quels

mcanismes peut-on y remdier ?

2/ Quelle est la diffrence entre une attaque de type virus et une attaque de type

ver ?

3/ Dfinir le problme de non rpudiation ? Comment y remdier ?

4/ Comment assure-t-on la confidentialit dun message ?

5/ Comment assure-t-on le cryptage mixte ?

6/ A quoi sert la signature lectronique ? Comment peut-on signer un message ?

7/ A quoi sert la certification ? Quest ce quune autorit de certification ?

BonCourage!Les machines allouent des ressources pour des connexions moiti ouvertes (packet

syn) et se bloquentpar manque de ressources.Un firewall avec mmoire peut contrer ce type d'attaque : il peut vrifier si un syn, syn-ack reste sansrponse et alors interrompre la connexion demi-ouverte. Eventuellement, le firewallpeut gnrer lui-mme le syn-ack et attendre la rception du ack avant de transmettre le syn puis le ack la machineinterne destination.

Si un bandit vient cambrioler votre coffre-fort, vous n'allez pas attendre qu'il ait dpossa dynamite etdj saccag votre maison avant de lui donner un coup de gourdin sur la tte : vous alleztenter de le

5


6/9

stopper ds qu'il essayera de franchir le portail, mme si vous estimez que votre coffre-fort est (( sr )). Il enest de mme dans un systme informatique : il est prfrable d'arrter le pirate auniveau du firewall pluttqu'au niveau du serveur web : mme si vous pensez que votre serveur web est (( sr )),vous n'allez pas

laisser une personne non autorise essayer des attaques, mais vous allez ajouter unmoyen de scurisationsupplmentaire au niveau du firewall : c'est le principe de la dfense en profondeur.

6


7/9

EMSI - Rabat A.U. : 2003-2004


Examen de rattrapage : Rseaux haut dbit Dure : 1h30

Question I (4 pts)A/ Cocher la rponse juste

1. Le Fast Ethernet, fonctionne sur:

A Fibre et paire torsade

B cble coaxial

C Paire torsade2. Pour coupler un tronon 10Mbits/s et un tronon 100Mbits, On utilise:

A Un bridge

B Un rpteur

C Un switch3. Aujourd'hui, pour raliser le backbone en GigaBit Ethernet d'un grandbtiment, on utilise:

A De la fibre multimode

B Du cble coaxial

C Du cble UTP4. Pour transmettre du Gigabit Ethernet 3 km, on utilise :

A De la fibre multimode

B de la fibre monomode

C du cble coaxial

5. Le marquage implicite des trames permet deA De reconnatre le VLAN dorigine dune trame et le VLAN dedestination

B De reconnatre le VLAN dorigine par son port dorigine

C De reconnatre le VLAN dorigine par le numro de VLANcontenu dans la trame

6. Le marquage explicite des trames, dfinie par IEEE 802.1q est ralispar :

A une table de correspondance entre ladresse MAC et le numrode VLAN

B un champs tiquette sur 4 octets, transportant le numro deVLAN

C un protocole de communication entre les switch7. La norme 802.9 est un protocole de LAN haut dbit utilis pour :

A La spcification dun Token Ring haut dbit

B Les applications de type visioconfrence locales

C Les applications de transfert de donnes haut dbit8. Un switch est un quipement dinterconnexion, utilis pour :

A la commutation du trafic dans un rseau Ethernet

B remplacer les quipements de type concentrateur dans un LAN

C remplacer les routeurs existants

7


8/9

B/Question II (4 pts)Compltez les phrases suivantes par le mot qui manque.

1. Habituellement, le Hub dun rseau 10BaseT sert de . ..

2. Le rseau 100VG Any LAN repose sur une topologie en ..

3. 1000BaseT diffre du protocole Ethernet 802.3 par le niveau physique qui implmente la norme

..4. Lintroduction des switch dans un rseau local Ethernet a permis davoir une nouvelle

segmentation logique du rseau en .

5. Le rseau 100VG Any Lan implmente au niveau MAC la mthode daccs

6. Le protocole 802.9 est une spcification de LAN qui supporte le traffic..

7. Un VLAN est assimilable un . . Un VLAN est assimilable un . .

Questions (4 pts)

1/ Le transport dapplications multimdia (voix, vido, donnes informatiques) pose-t-il des

problmes particuliers par rapport au transport de donnes informatiques ?

2/ Un rseau 100VG Any LAN est-il compatible avec un rseau Ehernet 802.3 100BaseT ?

Est-il possible davoir dans un mme rseau des cartes coupleur 100GVAny et des cartesEthernet 100BaseT ?

Exercice (8 pts)On considre un rseau form de 2 sous-rseaux interconnects par une passerelle, comme illustr

dans la figure 1. Les 2 sous-rseaux sont des gigabits Ethernet ( 1000BaseT) compatibles

avec la norme 802.3 en mode partag. La trame Ethernet est comprise entre 512 et 1518

octets. La technique CSMA/CD est utilise comme mthode daccs ces rseaux. La

vitesse de propagation du signal est de 200.000 Km/s.

A/ Quelle la distance maximale entre A et B ?

B/ Quel est le type de passerelle utilise ?

On suppose maintenant que lEthernet sur lequel A est connect est de type Ethernet commut ?C/ Quelle est alors la distance maximale entre A et B ?

D/ Si les 2 rseaux ont des dbits diffrents (un 1 Gbps et lautre 100 Mbps), ce systme

peut-il fonctionner valablement ?

A B

8

PasserelleRseau

Rseau

Ethernet


9/9

EMSI - Rabat A.U. : 2003-2004


Examen de rattrapage : Systmes intelligents Dure : 1h30

Question I (9 pts)Le rseau smaphore (SS7) est un rseau superpos au rseau de donnes et gr

indpendamment par loprateur.

Q1/ Quels sont les types de nuds qui composent le rseau smaphore ?

Q2/ Comment sont implmentes les fonctions de signalisation travers les diffrentes

couches du modle OSI ?

Q3/ La trame de signalisation, de niveau 2 est-elle compatible avec une trame HDLC ?

Questions II (11 pts)

A/ Faites correspondre les plans du rseau intelligent aux

responsables

Plan Responsable

1. Plan Service (SP)

2. Plan Fonctionnel Global (GFP)

3. Plan Fonctionnel Rparti (DFP)

4. Plan Physique (PP)

a. Constructeurs et oprateurs

b. Concepteurs de rseau

c. Concepteur de service

d. Markteur de service chez un

oprateur de rseau ou de service

B/ Quels sont les entits physiques utilises au niveau du plan physique pour implmenter les

entits fonctionnelles (FE).

C/ Citer les avantages du rseau intelligent pour loprateur et pour lutilisateur.

D/ Complter le schma suivant dfinissant larchitecture protocolaire du rseau smaphore.

9

?

?

?

? ? ? ?

Documents

Exam Sec Gir03