SESSION NORMALE 2017-2018

CORRECTION DE L’EXAMEN DE SECURITE DES SYSTEMES D’INFORMATIONS

EXERCICE 1

1) Donnons la signification des sigles suivants :

AH : Authentication Header
ESP : Encapsulation Security Payload
SAD: Security Association Database
ISAKMP: Internet Security Association and Key Management Protocol
2) Le principal objectif de l’IPSec est de sécuriser les trames IP.
3) La solution HMAC retenue pour l’IPSec est de combiner MAC (Message Authentication
Code) et les fonctions de hachage sécurisées(SHA-1).
4) Une Association de sécurité(AS) est une relation en sens unique entre un émetteur et un
destinataire qui garantit les services de sécurité pour le trafic généré.
5) Décrivons le schéma ci-dessous de fonctionnement de l’IPSec dans le cadre des trafics
entrant et sortant :
Trafic sortant :
(i) IPSec reçoit les données à envoyer
(ii) Consultation de la base de données SPD
(iii) Mécanisme de sécurité pour ce trafic ?
(iv) Oui, récupération des caractéristiques requises pour la SA et consultation de la base
SAD
(v) SA existe ?
(vi) Oui, utilisée pour traiter le trafic en question
Non, appel à IKE pour rétablir une nouvelle SA

Trafic entrant :

(i) Réception paquet

(ii) Examen l’en-tête services IPSec appliquées ?
(iii) Oui, références de la SA ? consultation de la SAD
(iv) Déchiffrement
(v) Consultation de la SPD : « SA du paquet correspond bien à cette requise par les
politiques de sécurités ? »
Proposé par la cellule formation du club TTIC Page 1|3
 SESSION NORMALE 2017-2018

EXERCICE 2

Donnons une procédure détaillée permettant de prendre le contrôle d’un routeur dont on a oublié
le mot de passe :

(i) Démarrer le routeur, tapez show version et regarder quelle est la valeur du registre
(dernière ligne). Par défaut c’est 0x2102 ;
(ii) Arrêtez et redémarrez le routeur.
Dans les secondes qui suivent, appuyez sur CTRL+C ou CTRL+pause pour rentrer dans
le mode ROM Monitor (rommon)
(iii) Modification de la valeur du registre de démarrage
Modification de la valeur du registre de démarrage
rommon 1>confreg 0x2142
rommon 2>reset
(iv) Après redémarrage, répondez no à chaque question de la procédure de setup initiale
(assistant) ou ctrl+c pour l'éviter
(v) Visualisation de la startup-config
Router>enable
Router#show configuration

La startup-config s'affiche, ainsi que les mots de passe précédemment définis

(vi) Les mots de passe en clair peuvent être réutilisés, les mots de passes cryptés doivent
être remplacés. Pour cela, tapez configure terminal
L'invite <hostname>(config)# apparaît
Tapez enable secret <password> pour redéfinir ce mot de passe
Tapez ctrl+z pour revenir à l'invite Router#
Tapez copy running-config startup-config pour valider les changements
(vii) Rétablissement de la valeur du registre de démarrage et redémarrage
Router#configure terminal
Router(config)#config-register 0x2102
Router(config)#exit
Router#reload

Proposé par la cellule formation du club TTIC Page 2|3

 SESSION NORMALE 2017-2018

EXERCICE 3

1) Routeurs dans lesquels on doit implémenter des règles de filtrage dans chacun des cas
suivants (réponse par oui ou non)

Routeur1 Routeur2 Routeur3

Permettre aux utilisateurs internes et externes d’accéder aux Oui Oui Oui
serveurs HTTP, FTP et SMTP du LAN1.
Permettre à la machine administrateur d’accéder aux Non Oui Oui
différents LAN.
Permettre aux utilisateurs du LAN1 d’accéder à Internet Oui Non Non

2) Complétons le tableau suivant permettant aux utilisateurs externes d’accéder au serveur

http du LAN1 et permettant aux utilisateurs du LAN1 d’accéder aux serveurs web externes.
@IP source @IP dest Port source Port destination Protocole ACK=1 Action
(Accepter
ou refuser
* 193.95.33.5 >1023 80 TCP * accepter
193.95.33.5 * 80 >1023 TCP oui accepter
193.95.33.0 * >1023 80 TCP * accepter
* 193.95.33.0 80 >1023 TCP oui accepter

3) Traduisons les règles de filtrage implémenté au niveau du routeur 1 en utilisant des ACL
Cisco.
Router(config)#access-list 101 permit tcp any host 193.95.33.6 eq 23
Router(config)#access-list 101 permit tcp any host 193.95.33.7 eq 25
Router(config)#access-list 102 permit tcp host 193.95.33.6 any gt 1023
Router(config)#access-list 102 permit tcp host 193.95.33.7 any gt 1023

Proposé par la cellule formation du club TTIC Page 3|3