EMSI - Rabat Section : 4me Anne GIR Examen : Scurit des rseaux

A.U. : 2003-2004 Enseignant: Mme S. ASSOUL Dure : 2h00

N.B : Pour les exercices 1 et 2, rpondez sur la feuille 1 dexamen. Exercice N1 (2 pts)
Cocher la bonne rponse 1. Le protocole PPP utilise comme protocole dauthentification:
Kerberos PAP et CHAP Radius 2. Le protocole SSL , dvelopp par Netscape, permet dauthentifier les extrmits et dassurer la confidentialit et lintgrit des changes de donnes de : HTTP Tout type dapplication, HTTP, SMTP, Telnet, SMTP 3. Quelle cl n'ouvre pas les portes de la scurit ? Cl secrte Cl unique Cl publique 4. Les produits Cisco implmentent comme protocole dauthentification : Kerberos CHAP Radius et TACACS+ 5. Le protocole dauthentification Kerberos utilise : 2 serveurs dauthentification : SA et TGS un serveur dauthentification avec les fonction AAA Un serveur dauthentification seulement, utilisant les cls prives 6. Le mcanisme de signature lectronique repose sur : Fonction de hachage Fonction de hachage et algorithme de chiffrement cl publique Fonction de hachage et algorithme de chiffrement symtrique 7. La scurisation des accs au rseau interne par Firewall inclut une zone DMZ (Demilitarized Zone) . La DMZ dfinit : une partie du rseau interne non connecte Internet une partie non connecte ni Internet, ni au rseau interne une partie couverte par le Firewall 8. Le protocole dauthentification RADIUS est bas sur un change de paquets utilisant le protocole : UDP TCP TP4

Exercice N2 (3 pts)
Le protocole CHAP utilise le principe de challenge-rponse pour assurer lauthentification dun client par un serveur. Complter le schma dauthentification suivant :

Serveur
1. demande dauthentification ?

Client

2. ? 3. ? ?

Acceptation/Rejet de la demande

Exercice N3 (4 pts)
Choisir 2 nombres p et q premiers et grands(p, q>10100) calculer n= p*q et z = (p-1)(q-1) Soit e un nombre premier avec z Dterminer un entier d tel que e*d 1[z] Soit A un message, remplacer les caractres par leurs codes ASCII. Dcouper A en blocs de chiffres de taille infrieure au nombre_chiffres(n) 6. Soit P un bloc du message, le chiffre de P est C= E(P) = Pe (mod n) 7. Le dchiffrement du message crypt est donn par : P= D(C) = cd (mod n) 1. 2. 3. 4. 5. Q1 : On donne les valeurs numriques : p=3, q= 11 (trop petites en pratique, mais traitable en exercice). Calculer les valeurs des cls, vrifiant lalgorithme RSA(dont les tapes ont t donnes audessus). Trouver e et d ? Quelle est la cl publique et la cl prive? Q2 : Soit le message M= 43. Coder ce message en utilisant les paramtres de RSA prcdents. Q3 : Pourquoi lalgorithme RSA est-il performant ? Quel est son inconvnient ? Exercice N4 (6 pts) A/ Une entreprise utilise un serveur web pour permettre aux employs de consulter leur messagerie depuis Internet. Pour accder leur messagerie, les utilisateurs doivent s'authentifier sur une page du serveur web. Quel peut tre l'utilit de demander une authentification des connexions web entrantes au niveau du firewall? Quel principe de base est appliqu dans ce cas? B/ 1. Expliquer comment fonctionne une attaque par TCPsyn flooding. 2. Quel type de firewall ( avec/sans mmoire) permet de contrer cette attaque? Pourquoi? C/ Comment le courrier lectronique est-il vulnrable lcoute, la modification, le rejeu ou le dni dusage ? Comment PGP peut-il remdier ces problmes ? 2. Expliquer comment peut-on intgrer de la scurit dans une application de messagerie lectronique (MIME). Y a-t-il compatibilit entre le logiciel MIME et le logiciel S/MIME ? Pourquoi ? Exercice N5 (5 pts) A/ Kerberos est un systme qui permet de grer les droits daccs dans des systmes distribus et bas sur la distribution de cls. 1/ Quelle est linformation contenue dans un serveur Kerberos ? 2/ Comment un client peut-il changer son mot de passe(ou cl secrte) sur Kerberos ? 3/ Quest ce quune nonce et quelle est son utilit ? B/ Les enseignants dune universit X voudraient changer des documents scientifiques dune manire scurise sur Internet. Le professeur Ahmed veut envoyer un document sign son collgue Paul Paris. 1/ Quelle sont les dmarches suivre par Ahmed ? 2/ Donner le schma de signature du document dAhmed quil doit envoyer Paul.

EMSI - Rabat Section : 4me Anne GIR Examen : Scurit des rseaux

A.U. : 2002-2003 Enseignant: Mme S. ASSOUL Dure : 2h00

Exercice N1 (10 pts) Pour scuriser le commerce lectronique sur Internet le standard SET(Secure Electronic Transactions) a t propos en 1996/1997. Il est soutenu par les principaux groupements de cartes bancaires Visa et Master Card ainsi que par de nombreux fournisseurs (IBM, Microsoft, ...). SET propose un ensemble de protocoles de scurit pour le paiement par carte bancaire sur Internet. Il utilise pour cela des techniques de cryptographie ( cls publiques RSA, cls secrtes DES, de fonction de hachage SHA-1). C'est une solution purement logicielle. Une vision simplifie de l'architecture de SET est donne par la figure suivante o apparaissent les diffrents calculateurs de l'acheteur, du marchand, des banques ainsi qu'une passerelle faisant interface entre le monde Internet (utilisant le protocole SET) et le rseau bancaire.

Le fonctionnement de base est analogue celui des cartes de crdits habituelles. L'acheteur connecte son poste de travail sur le serveur du marchand. Il consulte le catalogue des produits proposs, passe sa commande et autorise le paiement. Le marchand accepte la commande et la ralise. Le marchand, pour se faire payer, adresse sa banque l'autorisation de paiement de l'acheteur via la passerelle de paiement. On trouve donc trois protocoles essentiels dans SET: - Le protocole d'achat, - Le protocole d'autorisation de paiement, - Le protocole de paiement. Voici (parmi de nombreuses autres) quelques rgles de scurit de base que les protocoles SET doivent respecter : a) L'acheteur et la passerelle de paiement doivent pouvoir vrifier que le marchand est bien celui qu'il prtend tre. Le marchand doit pouvoir vrifier que l'acheteur et la passerelle de paiement sont bien ceux qu'ils prtendent tre. b) Une personne non autorise ne doit pas pouvoir modifier les messages changs entre le marchand et la passerelle de paiement. c) Le marchand ne doit pas pouvoir accder au numro de la carte de l'acheteur. 1 - Les problmes de scurit associs aux rgles a) b) c) prcdentes sont des problmes

gnraux traits en cours. Donnez pour les rgles a) puis b) puis c) les noms des problmes associs. Rappelez de manire succinte la dfinition de ces problmes (en une phrase) 2- Pour mettre en uvre les protocoles de scurit utilisant la cryptographie, SET dfinit une phase d'accrditation pralable des acteurs par une autorit de certification (en fait une hirarchie d'autorits). Vue globalement, l'autorit de certification dlivre des certificats aux diffrents acteurs des protocoles SET. 2.1. Qu'est ce qu'un certificat? Quelles en sont les proprits principales? 3- SET utilise la cryptographie cl publique RSA avec des cls d'une longueur de 1024 bits. 3.1 Quels sont les avantages et les inconvnients d'une telle longueur de cls? 3.2 En fait le RSA est utilis pour distribuer des cls prives de type DES. C'est l'algorithme de cryptographie cl prive DES qui sert chiffrer les messages en confidentialit. Pourquoi adopter une telle stratgie? 3.3 Dans un cas d'cole en cryptographie RSA on utilise comme cl publique le couple (3 , 55) et comme cl prive le couple (27, 55). Quel est le codage du message M = 7 lorsque l'on chiffre avec la cl publique? 4- SET adopte une mthode de signature numrique base sur la norme SHA-1 ("Secure Hash Algorithm" - Version 1) et sur l'algorithme RSA. 4.1 SHA-1 dfinit une fonction de hachage sens unique sans cl. Rappelez la dfinition d'une fonction de hachage sens unique sans cl? 4.2 La signature numrique d'un message en SET est dfinie par: RSA cl_prive_metteur ( SHA-1 ( Message) ) C'est l'application au message de la fonction de hachage sens unique sans cl puis l'application au rsultat prcdent du cryptage RSA avec la cl prive de l'metteur. Par rapport aux proprits attendues d'une signature, pourquoi dfinit-on ainsi la signature numrique? Exercice N2 (10 pts) Q1. Il existe 3 manires de combiner la signature et le cryptage dun message : A/ Dabord chiffrer le message, ensuite le signer S(E(M)) ; B/ Dabord signer le message, ensuite crypter le message en laissant la signature en clair ; C/ Dabord signer le message, ensuite chiffrer le contenu et la signature E(S(M)) 1/ Quels sont les services offerts par chaque combinaison ? 2/ Quelle est la meilleure ? Q2. Quels sont les avantages dutilisation dun systme dauthentification Kerberos ? Comment peut-on changer son mot de passe sous Kerberos ? Q3. Comment le courrier lectronique est-il vulnrable lcoute, la modification ? Par quel protocole peut-on protger le mail ? Q4. Comment un firewall peut-il interdire laccs certaines applications de lentreprise ? Quelle est la diffrence entre un contrle daccs par systme bastion et un contrle daccs par serveur proxy ?

Bon Courage!
4

EMSI - Rabat Section : 4me Anne GIR CS Examen : Scurit des rseaux

A.U. : 2002-2003 Enseignant: Mme S. ASSOUL Dure : 1h30

1/ Quelles sont les attaques courantes sur le rseau Internet. Par quels mcanismes peut-on y remdier ? 2/ Quelle est la diffrence entre une attaque de type virus et une attaque de type ver ? 3/ Dfinir le problme de non rpudiation ? Comment y remdier ? 4/ Comment assure-t-on la confidentialit dun message ? 5/ Comment assure-t-on le cryptage mixte ? 6/ A quoi sert la signature lectronique ? Comment peut-on signer un message ? 7/ A quoi sert la certification ? Quest ce quune autorit de certification ?

Bon Courage!
Les machines allouent des ressources pour des connexions moiti ouvertes (packet syn) et se bloquent par manque de ressources. Un firewall avec mmoire peut contrer ce type d'attaque : il peut vrifier si un syn, synack reste sans rponse et alors interrompre la connexion demi-ouverte. Eventuellement, le firewall peut gnrer luimme le syn-ack et attendre la rception du ack avant de transmettre le syn puis le ack la machine interne destination. Si un bandit vient cambrioler votre coffre-fort, vous n'allez pas attendre qu'il ait dpos sa dynamite et dj saccag votre maison avant de lui donner un coup de gourdin sur la tte : vous allez tenter de le

stopper ds qu'il essayera de franchir le portail, mme si vous estimez que votre coffrefort est (( sr )). Il en est de mme dans un systme informatique : il est prfrable d'arrter le pirate au niveau du firewall plutt qu'au niveau du serveur web : mme si vous pensez que votre serveur web est (( sr )), vous n'allez pas laisser une personne non autorise essayer des attaques, mais vous allez ajouter un moyen de scurisation supplmentaire au niveau du firewall : c'est le principe de la dfense en profondeur.

EMSI - Rabat Section : 4me Anne GIR Examen de rattrapage : Rseaux haut dbit

A.U. : 2003-2004 Enseignant: Mme S. ASSOUL Dure : 1h30

Question I (4 pts)
A/ Cocher la rponse juste 1. Le Fast Ethernet, fonctionne sur: A Fibre et paire torsade B cble coaxial C Paire torsade 2. Pour coupler un tronon 10Mbits/s et un tronon 100Mbits, On utilise: A Un bridge B Un rpteur C Un switch 3. Aujourd'hui, pour raliser le backbone en GigaBit Ethernet d'un grand btiment, on utilise: A De la fibre multimode B Du cble coaxial C Du cble UTP 4. Pour transmettre du Gigabit Ethernet 3 km, on utilise : A De la fibre multimode B de la fibre monomode C du cble coaxial 5. Le marquage implicite des trames permet de A De reconnatre le VLAN dorigine dune trame et le VLAN de destination B De reconnatre le VLAN dorigine par son port dorigine C De reconnatre le VLAN dorigine par le numro de VLAN contenu dans la trame 6. Le marquage explicite des trames, dfinie par IEEE 802.1q est ralis par : A une table de correspondance entre ladresse MAC et le numro de VLAN B un champs tiquette sur 4 octets, transportant le numro de VLAN C un protocole de communication entre les switch 7. La norme 802.9 est un protocole de LAN haut dbit utilis pour : A La spcification dun Token Ring haut dbit B Les applications de type visioconfrence locales C Les applications de transfert de donnes haut dbit 8. Un switch est un quipement dinterconnexion, utilis pour : A la commutation du trafic dans un rseau Ethernet B remplacer les quipements de type concentrateur dans un LAN C remplacer les routeurs existants

B/ Question II (4 pts)
Compltez les phrases suivantes par le mot qui manque. 1. Habituellement, le Hub dun rseau 10BaseT sert de . .. 2. Le rseau 100VG Any LAN repose sur une topologie en .. 3. 1000BaseT diffre du protocole Ethernet 802.3 par le niveau physique qui implmente la norme .. 4. Lintroduction des switch dans un rseau local Ethernet a permis davoir une nouvelle segmentation logique du rseau en . 5. Le rseau 100VG Any Lan implmente au niveau MAC la mthode daccs 6. Le protocole 802.9 est une spcification de LAN qui supporte le traffic.. 7. Un VLAN est assimilable un . .

Questions (4 pts) 1/ Le transport dapplications multimdia (voix, vido, donnes informatiques) pose-t-il des problmes particuliers par rapport au transport de donnes informatiques ? 2/ Un rseau 100VG Any LAN est-il compatible avec un rseau Ehernet 802.3 100BaseT ? Est-il possible davoir dans un mme rseau des cartes coupleur 100GVAny et des cartes Ethernet 100BaseT ? Exercice (8 pts)
On considre un rseau form de 2 sous-rseaux interconnects par une passerelle, comme illustr dans la figure 1. Les 2 sous-rseaux sont des gigabits Ethernet ( 1000BaseT) compatibles avec la norme 802.3 en mode partag. La trame Ethernet est comprise entre 512 et 1518 octets. La technique CSMA/CD est utilise comme mthode daccs ces rseaux. La vitesse de propagation du signal est de 200.000 Km/s. A/ Quelle la distance maximale entre A et B ? B/ Quel est le type de passerelle utilise ? On suppose maintenant que lEthernet sur lequel A est connect est de type Ethernet commut ? C/ Quelle est alors la distance maximale entre A et B ? D/ Si les 2 rseaux ont des dbits diffrents (un 1 Gbps et lautre 100 Mbps), ce systme peut-il fonctionner valablement ?

Rseau Ethern

Passerelle

Rseau Ethernet

EMSI - Rabat Section : 4me Anne GIR Examen de rattrapage : Systmes intelligents

A.U. : 2003-2004 Enseignant: Mme S. ASSOUL Dure : 1h30

Question I (9 pts)
Le rseau smaphore (SS7) est un rseau superpos au rseau de donnes et gr indpendamment par loprateur. Q1/ Quels sont les types de nuds qui composent le rseau smaphore ? Q2/ Comment sont implmentes les fonctions de signalisation travers les diffrentes couches du modle OSI ? Q3/ La trame de signalisation, de niveau 2 est-elle compatible avec une trame HDLC ? Questions II (11 pts) A/ Faites correspondre les plans du rseau intelligent aux responsables Plan 1. Plan Service (SP) 2. Plan Fonctionnel Global (GFP) 3. Plan Fonctionnel Rparti (DFP) 4. Plan Physique (PP) Responsable a. Constructeurs et oprateurs b. Concepteurs de rseau c. Concepteur de service d. Markteur de service chez un oprateur de rseau ou de service B/ Quels sont les entits physiques utilises au niveau du plan physique pour implmenter les entits fonctionnelles (FE). C/ Citer les avantages du rseau intelligent pour loprateur et pour lutilisateur. D/ Complter le schma suivant dfinissant larchitecture protocolaire du rseau smaphore. ? ? ? ?

? ? ?