Exercices VPN

I-
Soit un utilisateur qui va accéder a son réseau d'entreprise depuis sa maison. La
connexion passe nécessairement par un ISP. L'accès à l'ISP utilise le protocole PPP
avec authentification CHAP.
1. donner les équipements qui sont utilisées entre l'utilisateur, l'ISP et le réseau
d'entreprise.
2. donner l'architecture en couche de ces équipements.
3. donner les messages échangés entre l'utilisateur et l'ISP pour accéder au
service public de l'ISP en s'authentifiant par le protocole CHAP.
4. si l'utilisateur veut ouvrir un tunnel PPTP vers son réseau d'entreprise. Donner
l'architecture en couche des équipements utilisés.
5. si l'utilisateur veut chiffrer les paquets envoyés vers son entreprise en utilisant
IPsec mode transport. Donner l'architecture en couche des équipements
utilisés.
6. donner dans ce dernier cas les entêtes que l'on trouve dans un paquet PPTP en
transit sur internet. Indiquer les parties chiffrées et les parties authentifiées.

II
L’accès au réseau Internet est le plus souvent réalisé en utilisant le protocole de
liaison PPP (‘Point to Point Protocol’). C’est un protocole de communication point à
point entre deux sites voisins dans le réseau. Il lui est associé une suite de protocoles
dont un protocole de négociation des paramètres de la liaison et deux protocoles
d’authentification permettant de réaliser un contrôle d’accès au réseau.

Le protocole PAP et CHAP sont utilisés avec un format du message qui est le suivant:

Protocole PAP:
Trame PAP code1: Demande d’authentification (par l’usager)
La zone donnée comporte :
- longueur du nom du demandeur utilisé (1 octet)
- nom du demandeur d’accès (‘user's name’)
- longueur de mot de passe utilisé (1 octet)
- mot de passe (‘password’)
Le mot de passe est traité comme dans les systèmes classiques. Il est comparé avec
une valeur stockée dans un fichier de mots de passes (éventuellement cryptés) sur le
site du prestataire d’accès.
Trame PAP Code 2 : Acquittement positif d’authentification
La zone données est inexistante.
Le demandeur peut ensuite émettre des trames PPP.
Trame Code 3 : Rejet d’authentification
L’utilisateur ne peut pas transmettre de trames. Il doit émettre à nouveau une trame de
code 1 et réussir les étapes 1 et 2.
1) Citez deux faiblesses de cette méthode ?

Le protocole CHAP
Il est basé sur le même format de message et sur la même connaissance par les deux
sites demandeur et prestataire, d’un nom d’usager associé à un mot de passe secret.
Après la phase de négociation des paramètres de la liaison c’est le prestataire d’accès
qui prend l’initiative d’authentifier le demandeur de connexion :
Trame CHAP Code 1 : Envoi d’un challenge
La zone données comporte :
- longueur du challenge utilisé (1 octet)
- valeur du challenge (suite binaire)
Trame CHAP Code 2 : Réponse
Le demandeur de connexion concatène :
- la valeur de l’identificateur
- la valeur du mot de passe secret
- la valeur du challenge
L’ensemble est condensé au moyen d’une fonction de hachage à sens unique.
L’algorithme de hachage employé est négociable. MD5 est le plus souvent utilisé (16
octets de hachage).
Trame CHAP Code 3 : Acquittement positif d’authentification.
Le prestataire compare la valeur reçue à la valeur résultat d’un calcul identique
effectué localement. Si les résultats sont identiques l’authentification a réussie.
Trame CHAP Code 4 : Rejet d’authentification.
Les valeurs reçues et calculées étant différentes l’authentification est rejetée.
Ultérieurement, le prestataire périodiquement détermine une valeur de challenge et
répète les étapes un à trois.
2) Quelles sont les avantages de cette solution en matière de résistance aux attaques
par écoute et répétition de trafic écouté?
3) Pourrait-on avec CHAP authentifier le prestataire comme on authentifie le
demandeur ?
4) Peut-on utiliser plusieurs noms et plusieurs mots de passe pour un même
utilisateur? Pour quel usage ?
5) Quelles sont les inconvénients de cette solution
6) Quelles sont les qualités indispensables de la solution en matière de mot de passe ?
7) Quelles sont les qualités indispensables de la solution en matière de fonction de
hachage à sens unique?
8) Quelles sont les qualités indispensables de la solution en matière de valeur de
challenge?
9) Est ce que ce protocole résiste à l’insertion d’un intrus sur la ligne entre le
demandeur et le prestataire qui peut être écouteur actif (‘active wiretaping’) ?

III-
On souhaite utiliser IPsec tel que le chiffrement soit assuré par des routeurs
intermédiaires. Quel mode faut-il utiliser? Pourquoi?

IV-
Donner les différentes configurations (mode avec protocole) d'IPsec et citer celles qui
peuvent être utilisés avec la translation d'adresse.

V-
Dans le protocole IKE on utilise le protocole Diffie-Hellman
1. quel est le but du protocole IKE?
2. rappeler le but et le fonctionnement du protocole de Diffie-Helleman.
3. pourquoi il faut échanger deux messages dans le protocole IKE après les deux
messages du protocole Diffie-Hellman?

VI-
-I
:Soit un utilisateur distant qui se connecte a son réseau d'entreprise par VPN

L'utilisateur se sert d'une connexion Internet pour établir la connexion VPN. Il

existe deux cas:

a) L'utilisateur demande au fournisseur d'accès de lui établir une connexion

cryptée vers le serveur distant : il communique avec le Nas (Network
Access Server) du fournisseur d'accès et c'est le Nas qui établit la
connexion cryptée.
b) L'utilisateur possède son propre logiciel client pour le VPN auquel cas il
établit directement la communication de manière cryptée vers le réseau de
l'entreprise.

1) Donner un avantage et un inconvénient de chaque cas.

2) Dans a) on peut utiliser IPsec dans b) on ne peut pas. Pourquoi?

3) Dans a) on suppose que le Nas crée une connexion bidirectionnelle IPsec de

protocole ESP avec le routeur d'accès du réseau de l'entreprise.

3.1 Quel est le mode utilisé?

3.2 Si on a 100 utilisateurs distants. La moitié de ces utilisateurs

demandent des VPN. Combien des SA sont créées. Comment elles sont
établies (donner les protocoles et les entités concernées). Comment
elles sont gérées (donner les bases de données) ?

3.3 Donner le format d'un paquet envoyé sur cette liaison sécurisée en
montrant les différents champs et en signalant les parties chiffrées et
authentifiées (donner les entêtes et les adresses IP utilisées).

4) Dans b) on utilise SSL pour créer le VPN.

4.1 Pourquoi ceci est possible?

 4.2 Donner l'architecture en couche de l'utilisateur et déduire le format
d'un paquet envoyé en spécifiant les entêtes et la partie chiffrée.

4.3 Quelles sont les propriétés de sécurité réalisées.

VII

Soit un entreprise qui veut réaliser un VPN entre trois branches ; Beyrouth, Paris et
Londres connectées a IP par les routeurs RB, Rp, RL respectivement. Il décide
d’appliquer IPsec pour chiffrer et authentifier la contenue des paquets échangés entre
ces branches d’une façon transparente par rapport aux utilisateurs. On choisi
.d’appliquer un VPN entre chaque deux branches
1. Quel mode et quel Protocol utilisez-vous ?
2. Si on applique la même SA sur tous les paquets provenant de tous les
utilisateurs d’une branche vers une autre branche. Combien des SAs doit on
créer dans les différents routeurs ?
3. les utilisateurs des branches utilisent des adresses IP privées. Les routeurs
possèdent des adresses publiques pour accéder à IP. Un routeur ne doit pas
faire du NATTING entre les branches. Pourquoi ?
4. Donner le format d’un paquet qui circule sur le VPN entre un utilisateur « A » 
à Beyrouth et un utilisateur « B »  a Paris. Spécifiez les adresses utilisées
(notées par IP-A, IP-RB, …) .
5. Les utilisateurs qui veulent naviguer sur IP doivent utiliser le SSL. Donner
l’architecture en couche de l’utilisateur. Pourquoi ceci est possible même avec
le Natting du routeur ?
6. Est-ce le routeur doit appliquer de la sécurité sur ce paquet ? pourquoi ?
déduire la contenue des tableaux des bases de données SPD et SAD dans le
routeur RB.

VIII
Un administrateur observe des certificats générés par la même autorité de certification
dans le cadre d’une infrastructure à clé publique (une PKI). Il examine des certificats
différents. Pour fixer les idées on suppose par exemple que les certificats sont générés
selon la norme X509.
1) En matière de sécurité informatique, rappelez la définition d’un certificat ?
2) L’administrateur constate que deux certificats différents portent une signature
identique. Quelle peut être la source de cette situation ? Quel est le danger résultant
(que doit faire l’administrateur) ?
3) L’administrateur examine deux certificats différents et constate qu’ils portent des
clés publiques identiques. Quelle peut être la source de cette situation ? Quel est le
danger résultant ?
4) L’administrateur constate que deux certificats différents portent un numéro de série
identique. Quelle peut être la source de cette situation ? Quel est le danger résultant
(que doit faire l’administrateur) ?
5) L’administrateur constate que deux certificats différents sont signés au moyen de la
même clé privée. Quelle peut être la source de cette situation ? Quel est le danger
résultant (que doit faire l’administrateur) ?