Exam Sec Gir03
-
Upload
ahmed-aniked -
Category
Documents
-
view
214 -
download
0
Transcript of Exam Sec Gir03
-
7/27/2019 Exam Sec Gir03
1/9
EMSI - Rabat A.U. : 2003-2004
Section : 4me Anne GIR Enseignant: Mme S. ASSOUL
Examen : Scurit des rseaux Dure : 2h00
N.B : Pour les exercices 1 et 2, rpondez sur la feuille 1 dexamen.
Exercice N1 (2 pts)Cocher la bonne rponse
1. Le protocole PPP utilise comme protocole dauthentification:
Kerberos
PAP et CHAP
Radius
2. Le protocole SSL , dvelopp par Netscape, permet dauthentifier les extrmits et dassurer laconfidentialit et lintgrit des changes de donnes de :
HTTP
Tout type dapplication, HTTP, SMTP, Telnet,
SMTP3. Quelle cl n'ouvre pas les portes de la scurit ?
Cl secrte
Cl unique
Cl publique
4. Les produits Cisco implmentent comme protocole dauthentification :
Kerberos
CHAP
Radius et TACACS+
5. Le protocole dauthentification Kerberos utilise :
2 serveurs dauthentification : SA et TGS
un serveur dauthentification avec les fonction AAA
Un serveur dauthentification seulement, utilisant les cls prives6. Le mcanisme de signature lectronique repose sur :
Fonction de hachage
Fonction de hachage et algorithme de chiffrement cl publique
Fonction de hachage et algorithme de chiffrement symtrique
7. La scurisation des accs au rseau interne par Firewall inclut une zone DMZ (Demilitarized Zone) . La
DMZ dfinit :
une partie du rseau interne non connecte Internet
une partie non connecte ni Internet, ni au rseau interne
une partie couverte par le Firewall
8. Le protocole dauthentification RADIUS est bas sur un change de paquets utilisant le protocole :
UDP
TCP
TP4
Exercice N2 (3 pts)Le protocole CHAP utilise le principe de challenge-rponse pour assurer lauthentification dun client par un
serveur. Complter le schma dauthentification suivant :
Serveur Client
1
1. demandedauthentification ?
2. ?
3. ?
Acceptation/Rejet
de la demande
?
-
7/27/2019 Exam Sec Gir03
2/9
Exercice N3 (4 pts)1. Choisir 2 nombres p et q premiers et grands(p, q>10100)
2. calculer n= p*q et z = (p-1)(q-1)
3. Soit e un nombre premier avec z
4. Dterminer un entier d tel que e*d 1[z]
5. Soit A un message, remplacer les caractres par leurs codes ASCII. Dcouper A en blocs dechiffres de taille infrieure au nombre_chiffres(n)
6. Soit P un bloc du message, le chiffre de P est C= E(P) = Pe (mod n)
7. Le dchiffrement du message crypt est donn par : P= D(C) = cd (mod n)
Q1 : On donne les valeurs numriques : p=3, q= 11 (trop petites en pratique, mais traitable en
exercice). Calculer les valeurs des cls, vrifiant lalgorithme RSA(dont les tapes ont t donnes au-
dessus). Trouver e et d ? Quelle est la cl publique et la cl prive?
Q2 : Soit le message M= 43. Coder ce message en utilisant les paramtres de RSA prcdents.
Q3 : Pourquoi lalgorithme RSA est-il performant ? Quel est son inconvnient ?
Exercice N4 (6 pts)
A/ Une entreprise utilise un serveur web pour permettre aux employs deconsulter leur messagerie depuis Internet. Pour accder leur messagerie, lesutilisateurs doivent s'authentifier sur une page du serveur web. Quel peut trel'utilit de demander une authentification des connexions web entrantes auniveau du firewall? Quel principe de base est appliqu dans ce cas?
B/ 1. Expliquer comment fonctionne une attaque par TCPsyn flooding.2. Quel type de firewall ( avec/sans mmoire) permet de contrer cette attaque?Pour-quoi?C/ Comment le courrier lectronique est-il vulnrable lcoute, la modification, le rejeu ou le dni
dusage ? Comment PGP peut-il remdier ces problmes ?
2. Expliquer comment peut-on intgrer de la scurit dans une application de messagerie lectronique(MIME). Y a-t-il compatibilit entre le logiciel MIME et le logiciel S/MIME ? Pourquoi ?
Exercice N5 (5 pts)
A/ Kerberos est un systme qui permet de grer les droits daccs dans des systmes distribus et bas
sur la distribution de cls.
1/ Quelle est linformation contenue dans un serveur Kerberos ?
2/ Comment un client peut-il changer son mot de passe(ou cl secrte) sur Kerberos ?
3/ Quest ce quune nonce et quelle est son utilit ?
B/ Les enseignants dune universit X voudraient changer des documents scientifiques dune manire
scurise sur Internet. Le professeur Ahmed veut envoyer un document sign son collgue Paul
Paris.
1/ Quelle sont les dmarches suivre par Ahmed ?
2/ Donner le schma de signature du document dAhmed quil doit envoyer Paul.
2
-
7/27/2019 Exam Sec Gir03
3/9
EMSI - Rabat A.U. : 2002-2003
Section : 4me Anne GIR Enseignant: Mme S. ASSOUL
Examen : Scurit des rseaux Dure : 2h00
Exercice N1 (10 pts)
Pour scuriser le commerce lectronique sur Internet le standard SET(Secure Electronic
Transactions) a t propos en 1996/1997. Il est soutenu par les principaux groupements de
cartes bancaires Visa et Master Card ainsi que par de nombreux fournisseurs (IBM, Microsoft,
...). SET propose un ensemble de protocoles de scurit pour le paiement par carte bancaire
sur Internet. Il utilise pour cela des techniques de cryptographie ( cls publiques RSA, cls
secrtes DES, de fonction de hachage SHA-1). C'est une solution purement logicielle.
Une vision simplifie de l'architecture de SET est donne par la figure suivante o
apparaissent les diffrents calculateurs de l'acheteur, du marchand, des banques ainsi qu'unepasserelle faisant interface entre le monde Internet (utilisant le protocole SET) et le rseau
bancaire.
Le fonctionnement de base est analogue celui des cartes de crdits habituelles. L'acheteur
connecte son poste de travail sur le serveur du marchand. Il consulte le catalogue des produits
proposs, passe sa commande et autorise le paiement. Le marchand accepte la commande et la
ralise. Le marchand, pour se faire payer, adresse sa banque l'autorisation de paiement de
l'acheteur via la passerelle de paiement. On trouve donc trois protocoles essentiels dans SET:
- Le protocole d'achat,
- Le protocole d'autorisation de paiement,
- Le protocole de paiement.
Voici (parmi de nombreuses autres) quelques rgles de scurit de base que les protocoles
SET doivent respecter :
a) L'acheteur et la passerelle de paiement doivent pouvoir vrifier que le marchand est bien
celui qu'il prtend tre. Le marchand doit pouvoir vrifier que l'acheteur et la passerelle de
paiement sont bien ceux qu'ils prtendent tre.
b) Une personne non autorise ne doit pas pouvoir modifier les messages changs entre le
marchand et la passerelle de paiement.
c) Le marchand ne doit pas pouvoir accder au numro de la carte de l'acheteur.1 - Les problmes de scurit associs aux rgles a) b) c) prcdentes sont des problmes
3
-
7/27/2019 Exam Sec Gir03
4/9
gnraux traits en cours. Donnez pour les rgles a) puis b) puis c) les noms des problmes
associs. Rappelez de manire succinte la dfinition de ces problmes (en une phrase)
2- Pour mettre en uvre les protocoles de scurit utilisant la cryptographie, SET dfinit
une phase d'accrditation pralable des acteurs par une autorit de certification (en fait une
hirarchie d'autorits). Vue globalement, l'autorit de certification dlivre des certificats aux
diffrents acteurs des protocoles SET.2.1. Qu'est ce qu'un certificat? Quelles en sont les proprits principales?
3- SET utilise la cryptographie cl publique RSA avec des cls d'une longueur de 1024
bits.
3.1 Quels sont les avantages et les inconvnients d'une telle longueur de cls?
3.2 En fait le RSA est utilis pour distribuer des cls prives de type DES. C'est
l'algorithme de cryptographie cl prive DES qui sert chiffrer les messages en
confidentialit. Pourquoi adopter une telle stratgie?
3.3 Dans un cas d'cole en cryptographie RSA on utilise comme cl publique le couple (3 ,
55) et comme cl prive le couple (27, 55). Quel est le codage du message M = 7 lorsque l'on
chiffre avec la cl publique?
4- SET adopte une mthode de signature numrique base sur la norme SHA-1 ("Secure HashAlgorithm" - Version 1) et sur l'algorithme RSA.
4.1 SHA-1 dfinit une fonction de hachage sens unique sans cl. Rappelez la dfinition
d'une fonction de hachage sens unique sans cl?
4.2 La signature numrique d'un message en SET est dfinie par:
RSA cl_prive_metteur ( SHA-1 ( Message) )
C'est l'application au message de la fonction de hachage sens unique sans cl puis
l'application au rsultat prcdent du cryptage RSA avec la cl prive de l'metteur. Par
rapport aux proprits attendues d'une signature, pourquoi dfinit-on ainsi la signature
numrique?
Exercice N2 (10 pts)
Q1. Il existe 3 manires de combiner la signature et le cryptage dun message :
A/ Dabord chiffrer le message, ensuite le signer S(E(M)) ;
B/ Dabord signer le message, ensuite crypter le message en laissant la signature en clair ;
C/ Dabord signer le message, ensuite chiffrer le contenu et la signature E(S(M))
1/ Quels sont les services offerts par chaque combinaison ?
2/ Quelle est la meilleure ?
Q2. Quels sont les avantages dutilisation dun systme dauthentification Kerberos ?
Comment peut-on changer son mot de passe sous Kerberos ?
Q3. Comment le courrier lectronique est-il vulnrable lcoute, la modification ? Par quel
protocole peut-on protger le mail ?Q4. Comment un firewall peut-il interdire laccs certaines applications de lentreprise ?
Quelle est la diffrence entre un contrle daccs par systme bastion et un contrle daccs
par serveur proxy ?
BonCourage!
4
-
7/27/2019 Exam Sec Gir03
5/9
EMSI - Rabat A.U. : 2002-2003
Section : 4me Anne GIR CS Enseignant: Mme S. ASSOUL
Examen : Scurit des rseaux Dure : 1h30
1/ Quelles sont les attaques courantes sur le rseau Internet. Par quels
mcanismes peut-on y remdier ?
2/ Quelle est la diffrence entre une attaque de type virus et une attaque de type
ver ?
3/ Dfinir le problme de non rpudiation ? Comment y remdier ?
4/ Comment assure-t-on la confidentialit dun message ?
5/ Comment assure-t-on le cryptage mixte ?
6/ A quoi sert la signature lectronique ? Comment peut-on signer un message ?
7/ A quoi sert la certification ? Quest ce quune autorit de certification ?
BonCourage!Les machines allouent des ressources pour des connexions moiti ouvertes (packet
syn) et se bloquentpar manque de ressources.Un firewall avec mmoire peut contrer ce type d'attaque : il peut vrifier si un syn, syn-ack reste sansrponse et alors interrompre la connexion demi-ouverte. Eventuellement, le firewallpeut gnrer lui-mme le syn-ack et attendre la rception du ack avant de transmettre le syn puis le ack la machineinterne destination.
Si un bandit vient cambrioler votre coffre-fort, vous n'allez pas attendre qu'il ait dpossa dynamite etdj saccag votre maison avant de lui donner un coup de gourdin sur la tte : vous alleztenter de le
5
-
7/27/2019 Exam Sec Gir03
6/9
stopper ds qu'il essayera de franchir le portail, mme si vous estimez que votre coffre-fort est (( sr )). Il enest de mme dans un systme informatique : il est prfrable d'arrter le pirate auniveau du firewall pluttqu'au niveau du serveur web : mme si vous pensez que votre serveur web est (( sr )),vous n'allez pas
laisser une personne non autorise essayer des attaques, mais vous allez ajouter unmoyen de scurisationsupplmentaire au niveau du firewall : c'est le principe de la dfense en profondeur.
6
-
7/27/2019 Exam Sec Gir03
7/9
EMSI - Rabat A.U. : 2003-2004
Section : 4me Anne GIR Enseignant: Mme S. ASSOUL
Examen de rattrapage : Rseaux haut dbit Dure : 1h30
Question I (4 pts)A/ Cocher la rponse juste
1. Le Fast Ethernet, fonctionne sur:
A Fibre et paire torsade
B cble coaxial
C Paire torsade2. Pour coupler un tronon 10Mbits/s et un tronon 100Mbits, On utilise:
A Un bridge
B Un rpteur
C Un switch3. Aujourd'hui, pour raliser le backbone en GigaBit Ethernet d'un grandbtiment, on utilise:
A De la fibre multimode
B Du cble coaxial
C Du cble UTP4. Pour transmettre du Gigabit Ethernet 3 km, on utilise :
A De la fibre multimode
B de la fibre monomode
C du cble coaxial
5. Le marquage implicite des trames permet deA De reconnatre le VLAN dorigine dune trame et le VLAN dedestination
B De reconnatre le VLAN dorigine par son port dorigine
C De reconnatre le VLAN dorigine par le numro de VLANcontenu dans la trame
6. Le marquage explicite des trames, dfinie par IEEE 802.1q est ralispar :
A une table de correspondance entre ladresse MAC et le numrode VLAN
B un champs tiquette sur 4 octets, transportant le numro deVLAN
C un protocole de communication entre les switch7. La norme 802.9 est un protocole de LAN haut dbit utilis pour :
A La spcification dun Token Ring haut dbit
B Les applications de type visioconfrence locales
C Les applications de transfert de donnes haut dbit8. Un switch est un quipement dinterconnexion, utilis pour :
A la commutation du trafic dans un rseau Ethernet
B remplacer les quipements de type concentrateur dans un LAN
C remplacer les routeurs existants
7
-
7/27/2019 Exam Sec Gir03
8/9
B/Question II (4 pts)Compltez les phrases suivantes par le mot qui manque.
1. Habituellement, le Hub dun rseau 10BaseT sert de . ..
2. Le rseau 100VG Any LAN repose sur une topologie en ..
3. 1000BaseT diffre du protocole Ethernet 802.3 par le niveau physique qui implmente la norme
..4. Lintroduction des switch dans un rseau local Ethernet a permis davoir une nouvelle
segmentation logique du rseau en .
5. Le rseau 100VG Any Lan implmente au niveau MAC la mthode daccs
6. Le protocole 802.9 est une spcification de LAN qui supporte le traffic..
7. Un VLAN est assimilable un . . Un VLAN est assimilable un . .
Questions (4 pts)
1/ Le transport dapplications multimdia (voix, vido, donnes informatiques) pose-t-il des
problmes particuliers par rapport au transport de donnes informatiques ?
2/ Un rseau 100VG Any LAN est-il compatible avec un rseau Ehernet 802.3 100BaseT ?
Est-il possible davoir dans un mme rseau des cartes coupleur 100GVAny et des cartesEthernet 100BaseT ?
Exercice (8 pts)On considre un rseau form de 2 sous-rseaux interconnects par une passerelle, comme illustr
dans la figure 1. Les 2 sous-rseaux sont des gigabits Ethernet ( 1000BaseT) compatibles
avec la norme 802.3 en mode partag. La trame Ethernet est comprise entre 512 et 1518
octets. La technique CSMA/CD est utilise comme mthode daccs ces rseaux. La
vitesse de propagation du signal est de 200.000 Km/s.
A/ Quelle la distance maximale entre A et B ?
B/ Quel est le type de passerelle utilise ?
On suppose maintenant que lEthernet sur lequel A est connect est de type Ethernet commut ?C/ Quelle est alors la distance maximale entre A et B ?
D/ Si les 2 rseaux ont des dbits diffrents (un 1 Gbps et lautre 100 Mbps), ce systme
peut-il fonctionner valablement ?
A B
8
PasserelleRseau
Rseau
Ethernet
-
7/27/2019 Exam Sec Gir03
9/9
EMSI - Rabat A.U. : 2003-2004
Section : 4me Anne GIR Enseignant: Mme S. ASSOUL
Examen de rattrapage : Systmes intelligents Dure : 1h30
Question I (9 pts)Le rseau smaphore (SS7) est un rseau superpos au rseau de donnes et gr
indpendamment par loprateur.
Q1/ Quels sont les types de nuds qui composent le rseau smaphore ?
Q2/ Comment sont implmentes les fonctions de signalisation travers les diffrentes
couches du modle OSI ?
Q3/ La trame de signalisation, de niveau 2 est-elle compatible avec une trame HDLC ?
Questions II (11 pts)
A/ Faites correspondre les plans du rseau intelligent aux
responsables
Plan Responsable
1. Plan Service (SP)
2. Plan Fonctionnel Global (GFP)
3. Plan Fonctionnel Rparti (DFP)
4. Plan Physique (PP)
a. Constructeurs et oprateurs
b. Concepteurs de rseau
c. Concepteur de service
d. Markteur de service chez un
oprateur de rseau ou de service
B/ Quels sont les entits physiques utilises au niveau du plan physique pour implmenter les
entits fonctionnelles (FE).
C/ Citer les avantages du rseau intelligent pour loprateur et pour lutilisateur.
D/ Complter le schma suivant dfinissant larchitecture protocolaire du rseau smaphore.
9
?
?
?
? ? ? ?