Vous êtes sur la page 1sur 3

Universit Tunis El Manar

ISI

A.U. : 2010/2011

Examen
Administration et scurit des rseaux Classes: 3SIL

Exercice 1 [7pts]: Soit larchitecture du rseau indiqu dans la figure 1.


Le rseau LAN-1 est le rseau des serveurs accessibles de lextrieur et de lintrieur de lentreprise Le rseau LAN-2 est le rseau de la direction gnrale Le rseau LAN-3 est le rseau du personnel

Internet
193.95.38.4 Routeur1/Firewall 193.95.33.3 FTP 193.95.33.66 LAN-1 :193.95.33.1-30 193.95.33.2 Routeur2/Firewall 193.95.33.80 LAN-2 :193.95.33.65-94 193.95.33.1 Web FTP

Routeur3/Firewall 193.95.33.120 LAN-3 :193.95.33.93-126

Machine administrateur 193.95.33.65

Machine administrateur 193.95.33.100 Figure 1 : architecture du rseau

Question1 : Pour permettre aux utilisateurs des rseaux LAN-1, LAN-2 et LAN-3 dialoguer avec des serveurs SMTP externe, les rgles suivantes ont t dfinies au niveau des trois routeurs du rseau de lentreprise. Expliquer pourquoi ces rgles peuvent permettre un agresseur de lancer des attaques sur les rseaux de lentreprise? Proposer une solution : de nouvelles rgles de filtrage.
Routeur 1, 2 et 3 IP source IP destination Protocole et port source Protocole et port destination Action

Paquet entrant Paquet sortant

Toutes Toutes

Toutes Toutes

TCP/25 Toutes

Toutes TCP/25

Autoriser Autoriser

Page 1 sur 3

Question2 : Donner et ordonner les rgles de filtrage sur chaque routeur permettant de rpondre la politique de scurit suivante (prsente par les rgles A, B, C et D) en se limitant aux champs suivants:
N de la rgle

Interface @IP darrive source

Port source

@IP dest

port dest

Nom ou Ndu protocole

Nom de la rgle

Action

A. Autoriser uniquement la machine administrateur 193.95.33.65 lancer la commande telnet (port 23 TCP (6)) sur toutes les machines de lentreprise. Toutes les tentatives de lancer cette commande partir de lextrieur seront bloques. B. Permettre lchange de trafic TCP (6) entre le LAN-1 et le LAN-2. C. Permettre uniquement la machine externe dadresse 103.95.11.11 denvoyer un trafic ICMP (1) sur uniquement les machines du LAN1. D. Interdire lchange de trafic FTP (port 21, TCP(6)) entre le LAN-1 et le LAN-2

Exercice 2[6pts]:
1. 2. 3. 4. Donner lutilit dun DNS cache ? Un DNS secondaire peut-il contenir plus dinformation de rsolution de noms que son DNS primaire Une zone peut-elle tre gre par un seul serveur DNS? Soient les deux messages DNS suivants reprsentant une requte et sa rponse :

a. Complter les quatre champs manquants dans le premier message b. Sagit-il dune requte standard ou inverse? Expliquer c. Le message rponse provient-il dun serveur DNS primaire? Expliquer
Page 2 sur 3

Exercice 3 [7pts]:
Une technique de chiffrement simple consiste effectuer le "ou exclusif " du message m chiffrer avec k[i]). une cl k qui est aussi longue que le message protger. On note m k le message m chiffr avec k, si m[i] est le ime bit du message m et k[i] est le ime bit de la cl k, alors le ime bit de m k est gal (m[i] 1- Quappelle-t-on technique de chiffrement symtrique? 2- Montrez que le "ou exclusif
" est une technique de chiffrement symtrique.

3- Cette technique est difficilement applicable car le fait de stocker des cls secrtes aussi longues que les messages n'est pas trs pratique. En revanche, il est possible de gnrer un message alatoire N de la mme taille que le message chiffrer. Dans le premier protocole, c'est le service S qui gnre N et l'envoie X et Y, dans le second protocole c'est X qui gnre N_X et Y qui gnre N_Y. Protocole 1 S --> X, Y: N X --> Y : m Protocole 2 X --> Y: m Y --> X : m X --> Y: m N_X N_X N_Y N_Y N

Analysez les 2 protocoles du point de vue de X, Y et de Z un participant malveillant qui peut couter tous les messages changs, en expliquant les messages transfrs entre X et Y. Est-ce que ces protocoles permettent X et Y d'changer de faon confidentielle le message m? Expliquer?

Rappel : Quelques proprits mathmatiques

Page 3 sur 3