IUC.TD.

MP2RT
Question de cours
1- Définissez le concept de sécurité périmétrique
Sécurité périmétrique ou zone démilitarisée : La DMZ peut aussi faire office de « zone tampon
» entre le réseau à protéger et le réseau hostile.
2- Définir protocole de sécurité
Ensemble des règles de sécurité d'un domaine donné.
3- Dans un réseau, qu’est ce qu’on entend par zone de confiance. ?
Le réseau interne (où sont hébergés les postes des utilisateurs et les serveurs) ;
4- Dans le monde numérique toujours en mouvement, qu’est ce que la règle des cinq
neufs ?
5- Définissez le concept de politique de sécurité des Systèmes d’information
La Politique de Sécurité du Système d’Information définie l’intégralité
de la stratégie de sécurité informatique de l’entreprise. Elle se traduit
par la réalisation d’un document qui regroupe l’ensemble des
règles de sécurité à adopter ainsi que le plan d’actions ayant pour
objectif de maintenir le niveau de sécurité de l’information dans
l’organisme.
6- Qu’est ce qu’un portail captif
Un portail captif est une application qui permet de gérer l'authentification des
utilisateurs d'un réseau local qui souhaitent accéder à un réseau externe
(généralement Internet)
Un portail captif est une page Web que les utilisateurs voient avant de pouvoir
accéder au réseau Wi-Fi. Certains l’appellent également « page de connexion » ou
« portail d’authentification de l’utilisateur ». L’objectif principal d’un portail captif
est de permettre d’authentifier un utilisateur afin de lui donner accès à un réseau
Wi-Fi.
ALCASAR ? ZeroShell
7- Qu’est ce qu’un IDS/IPS, Donnez un exemple de NIDS
Les systèmes de détection des intrusions (IDS) analysent le trafic
réseau pour détecter des signatures correspondant à des
cyberattaques connues. Les systèmes de prévention des
intrusions (IPS) analysent également les paquets, mais ils peuvent
aussi les bloquer en fonction du type d’attaques qu’ils détectent,
ce qui contribue à stopper ces attaques

Les IDS et les IPS font tous deux partie de l’infrastructure réseau.
Les IDS/IPS comparent les paquets de réseau à une base de
données de cybermenaces contenant des signatures connues
de cyberattaques et repèrent tous les paquets qui concordent avec
ces signatures.

1
 La principale différence entre les deux tient au fait que l’IDS est un
système de surveillance, alors que l’IPS est un système de
contrôle.

L’IDS ne modifie en aucune façon les paquets réseau, alors que

l’IPS empêche la transmission du paquet en fonction de son
contenu, tout comme un pare-feu bloque le trafic en se basant sur
l’adresse IP.

8- Définir vulnérabilité, Comment est-il possible de gérer une vulnérabilité?

une vulnérabilité ou faille est une faiblesse dans un
système informatique permettant à un attaquant de porter atteinte à l'intégrité de
ce système, c'est-à-dire à son fonctionnement normal, à la confidentialité ou à
l'intégrité des données qu'il contient.

1. la veille des vulnérabilités;( L’activité de veille consiste à s’informer de façon

systématique sur les technologies utilisées au sein de l’organisation.)
2. les scans de vulnérabilités;
3. les campagnes de mises à jour.

Donnez le nom de deux scanners de vulnérabilités

9- Expliquez la différence entre : Le chiffrement de flux (en anglais stream cipher) et
le chiffrement par bloc (en anglais block cipher)
10- Qu’est ce qu’une infrastructure à clé publique
11- Dressez un tableau comparatif entre la cryptographie Symétrique et Asymétrique
12- Pour sécuriser les échanges ayant lieu sur le réseau Internet, il existe plusieurs
approches (protocoles de sécurité). Lesquelles ?
13- Définir et donnez le rôle du protocole SSL dans un réseau
Le protocole SSL (Secure Sockets Layer) était le protocole cryptographique le
plus largement utilisé pour assurer la sécurité des communications sur Internet
avant d'être précédé par le TLS (Transport Layer Security) 

SSL signifie couche des sockets sécurisés (secure sockets layer). Protocole pour
navigateurs Web et serveurs qui permet l'authentification, le chiffrement et le
déchiffrement des données envoyées sur l'Internet.
14- Définir ce que s’est qu’un client VPN, quel est son intérêt pour une entreprise
15- Décrire deux variantes de l’attaque de déni de service

2
 16- Comment peut-on réaliser l’attaque de déni de service (DoS Denial of Service)
dans :
a-Un réseau local ethernet
b-Un réseau sans fil
c-Un serveur web

17-Que signifie (Smurf) ou attaque par réflexion , attaque par flooding , attaque par
rejeu
18-Quelles sont les propriétés principales fournies par les systèmes cryptographiques

19-Citez les différentes composantes d’IPSec

3
 20-La sécurité ne doit pas rester statique car toute défense peut être contournée. Quels
sont les deux volets faisant partir d’une bonne politique de sécurité ?

21-Donnez deux types d’attaques qui peuvent être faites contre la sécurité des
couches 1,2 et 3 du modèle OSI ?
21-En quoi consiste le principe de la segmentation dans la sécurité des SI ?
Ce principe est-il applicable des mesures de protection de type cryptographiques ?

4
 20-Un administrateur examine une session réseau à un serveur de BDD compromis
avec un navigateur de paquet. Il a remarqué qu’il y’a une série répétée du caractère
hexadécimal(0x90). Il s’agit d’une attaque
a. SQL Injection
b. Xml Injection
c. Débordement de tampon
d. Xss

Exercice1
Le mécanisme AH dans IPSec authentifie un datagramme dans son ensemble et intercale
un champ supplémentaire d’authentification entre l’entête IP et le contenu du
datagramme
a)Quel sont les champs de l’entête du datagramme IP qui doivent être exclus de ce
mécanisme ?
b) Quelle sécurité a-t-on quant aux adresses IP utilisées ?
c)On utilise IPSec avec AH en mode transport pour un utilisateur mobile qui se trouve
derrière un pare-feu avec mécanisme NAT. Quelle est la conséquence ?

Exercice 2
L’un des dangers des communications est l’écoute par un attaquant qui peut intercepter
les messages entre deux correspondants, ce que les Anglo-Saxons désignent par
l’expression « man in the middle » (littéralement, l’homme au milieu).
Considérez le scénario ci-après.

5
A et B  qui ne se connaissent pas veulent partager un secret afin de chiffrer leurs
communications futures. Ils utilisent un dispositif créé par Diffie et Hellman.
On suppose que deux grands nombres, n et  g  sont connus et publics.  
A choisit un nombre  x  et calcule  gx mod n  qu’il envoie à B , lequel, de son côté,
choisit un nombre  y  et calcule  gy  mod n  qu’il envoie à  A. La théorie des nombres
permet démontrer que [gx mod n]y  mod n = [gymod n ]x  mod n = gxy mod n.

a)Quel est l’intérêt du système de Diffie-Hellman ?

b) Imaginez que vous êtes the man in the middle , c’est-à-dire un attaquant C capable
d’intercepter la communication entre A et B . Que pouvez-vous faire ?

Exercice 3

6
Ensuite, on a un analyseur de messages échangés sur un réseau
local Ethernet/IP donne le résultat suivant. Il est constitué
d’une suite de lignes correspondant à un message observé sur le
réseau local. On   trouve un numéro d’ordre du message observé,
la date de l’observation en seconde, les   adresses IP source et

7
destination, le nom du protocole pour lequel le message a
circulé et le   type du message 

Pour le message numéro 1 de la trace expliquez la signification

des adresses IP source et destination (pourquoi selon vous
utilise t’on ces adresses dans cet échange) ? Est-ce que les
messages DHCP utilisent UDP ou TCP ?

Afin d’améliorer la tolérance aux pannes, l’administrateur

réseau décide de mettre en place deux serveurs DHCP sur deux
machines différentes en utilisant exactement la même étendue
D’adresses IP. Quels sont les conséquences de cette stratégie
? Avez-vous une meilleure proposition et en quoi elle consiste?

On a aussi considéré un réseau constitué de trois sous réseaux

reliés par le même routeur. Un serveur DHCP est installé dans le
1er sous réseau et un autre dans le 2ième sous réseau.
1-Une machine du 3ième sous réseau peut-elle obtenir une adresse
IP en utilisant DHCP ?

2-Pourquoi avoir installé plusieurs serveurs DHCP ?

Soient les messages suivants :

8
Exercice 4
On rappelle qu’une trame Ethernet est composée d’un en-tête de 14 octets, d’au moins 46
octets de données et de 4 octets pour le code CRC. Vous trouverez ci-dessous des détails
sur le contenu d’un en-tête Ethernet. On considère une capture tcpdump de trames
visualisée grâce à l’outil Wireshark. La partie supérieure de la fenêtre représente toutes
les trames de la capture et la partie inférieure représente le détail de la trame 6 en
surbrillance.

1. Décrire précisément le rôle des trames n° 1 et 2 ? 2. Quel est le rôle des trames n°
3à5?
2. De même, quel est le rôle des trames n° 9 à 12 ?
3. A quoi correspond selon vous l’échange des trames n° 6 et 8 ?
On se concentre maintenant sur le détail de la trame n° 6.

9
 4. Quelle est l’adresse MAC source et destination ? Quelle est la valeur
correspondant au protocole réseau (en hexa) ? Il s’agit du protocole IPv4.
5. Dans le paquet IP, quelle est la valeur du champs hdrl (HeaDeR Length) ? Ce
nombre représente la longueur de l’en-tête du paquet IP, comptée en mots de 32 bits.
En déduire la taille en octets de cet en-tête ?
6. Donner l’écriture en hexadécimal des adresses IP de la source et du destinataire
sans faire de calculs.
7. Que trouve-t-on immédiatement après l’en-tête IP ? Que représentent les 4 premiers
octets ? Décodez ces valeurs.

Exercice 5
On étudie l'architecture de protection réseau suivante :

10
a)Qu’est ce qu’une zone démilitarisée(DMZ) ?, Donnez une conception et une
architecture

b) Compte   tenu   du   mode   de   fonctionnement   suggéré   par   le   schéma,

présentez les différentes zones de sécurité associées à l'architecture de protection réseau 
et leurs niveaux de sécurité respectifs.

c) On suppose que les deux firewall sont de technologie identique et que le
serveur d'administration et de gestion des traces est unique pour les deux. Commentez cet
aspect vis à vis de l'administration et du positionnement de la DMZ d'administration.

d) Ecrire une règle (iptables) qui accepte le routage entre les réseaux (192.168.10.0,
LAN) et (192.168.20.0, DMZ) vers le port 80 pour le protocole TCP
daspect vis à vis de l'administration et du positionnement de la DMZ d'administration.

AH ne peut pas être utilisé dans un environnement nécessitant ces modifications d'en-
tête(NAT)

IPSec pose également des problèmes lors de la traversée d'un NAT dans la
mesure où l'en-tête authentifié par AH est altéré par le NAT. Avec AH, le
contrôle d'intégrité échouerait

11
/////
Pour mieux comprendre les différences entre AH et ESP, nous allons voir le schéma
suivant : 

On peut donc voir tout en haut un paquet IP tout à fait normal, constitué d'une en-tête
et des données que ce protocole transporte. En dessous, un paquet IPSec utilisant AH,
la couche AH s'intercale entre l'en-tête IP et les données, mais assure l'authenticité de
l'ensemble des données, en-tête comprise. 

Ceci dit les valeurs variables de l'en-tête ne sont pas authentifiés, tel que le TTL.
Ou[Le champ TTL et le CRC ]Évidemment, comme il est amené à changer lors de la
transmission (puisqu'au travers d'internet on passe par des routeurs), si ces données
étaient authentifiées, les données seraient systématiquement refusées.

12
13
////
Différence entre le chiffrement par bloc et le
chiffrement par flot
juillet 28, 2018 Aucun commentaire chiffrement par bloc, chiffrement par flot, définition,
Différence entre, vs

Chiffrement par bloc et chiffrement par flot sont les méthodes utilisées pour convertir
directement le texte brut en texte chiffré et appartiennent à la famille des chiffrements de clés
symétriques.

La différence majeure entre un chiffrement de bloc et un chiffrement par flot est que le
chiffrement par bloc chiffre et déchiffre un bloc du texte à la fois. De l’autre côté, le
chiffrement par flot crypte et décrypte le texte en prenant un octet du texte à la fois.

///////
Le SSL créé un canal sécurisé entre deux machines ou appareils communiquant sur Internet ou un
réseau interne. ... Lorsque des données sont envoyées via un navigateur qui utilise le protocole « https
», le SSL garantit que celles-ci seront chiffrées et protégées contre toute interception.
//////////////////

14
en cryptographie l 'RC5 est un algorithme de chiffrement par bloc conçu par Ronald Rivest en 1994. Il est
remarquable par sa simplicité et parce que sa propre évolution (l 'RC6) Il a été parmi les candidats au
'Advanced Encryption Standard.
///

15
16
17
Le protocole IKE est en charge de négocier la connexion. Ce protocole permet deux types
d'authentifications, PSK (Pre-Shared Key ou secret partagé) pour la génération de clefs de sessions ou à
l'aide de certificats/signatures RSA

Les deux protocoles de sécurisation IPsec : AH & ESP

En complément du protocole IKE qui établit un tunnel, IPsec s'appuie sur deux services qui
peuvent être utilisés seuls ou associés.

Authentication Header, AH, protocole n°51

Le protocole AH authentifie l'émetteur des données, contrôle l'intégrité du paquet IP (en-

tête et charge utile) et assure le service anti rejeu. Il couvre donc les lettres I et A de la
triade CIA.

Les traitements associés utilisent des algorithmes de «hachage» tels que Message Digest
5 (MD5) ou Secure Hash Algorithm (SHA-1, SHA-256, etc.). Un algorithme de hachage
est assocé à une clé issue de la méthode d'authentification choisie pour constituer un
Hash base Message Authentication Code (HMAC).

L'en-tête AH est inséré à la suite de l'en-tête IP pour garantir l'intégrité et l'authenticité

des données. On se protège ainsi contre toute altération du paquet lors de son transit.

Des représentations graphiques détaillées de l'encapsulation du protocole AH sont

fournies dans le document An Illustrated Guide to IPsec pour les deux modes de
fonctionnement transport et tunnel présentés ci-après.

Encapsulating Security Payload, ESP, protocole n°50

18
 Le protocole ESP se distingue du précédent par le chiffrement de la partie données avant
encapsulation dans le paquet IP. On intègre ainsi la partie confidentialité aux fonctions de
sécurisation. Ce protocole couvre donc les trois lettres de la triade CIA sur la partie
charge utile du paquet.

Les traitements associés, en plus des algorithmes de hachage cités précédemment, font
intervenir des algorithmes de chiffrement tels que Triple Data Encryption Standard
(3DES) ou Advanced Encryption Standard (AES).

Comme dans le cas du protocole AH, des représentations graphiques détaillées de

l'encapsulation sont fournies dans le document An Illustrated Guide to IPsec pour les
deux modes de fonctionnement transport et tunnel présentés ci-après.

Les deux modes de fonctionnement IPsec : Transport & Tunnel

host-to-host transport mode, mode transport

Dans ce mode, les échanges de paquets IP sont sécurisés entre deux extrémités. Seule la
charge utile ou payload est concernée par les traitements et l'en-tête du paquet IP est
préservé pour permettre au routage de fonctionner de façon transparente.

network-to-network tunnel mode, mode tunnel

Dans ce mode, les échanges de paquets IP sont sécurisés de réseau à réseau. La totalité du
paquet IP (en-tête + charge utile) est encapsulée et un nouvel en-tête de paquet IP est
créé.

Le choix entre ces deux modes de fonctionnement est un point essentiel dans la mise en œuvre
d'un VPN IPsec. L'argumentation tourne souvent autour de l'inclusion ou non de l'en-tête de
paquet IP dans les fonctions de sécurité de la triade CIA et du nombre de réseaux à faire transiter
via le VPN.

///////////////////

19
20
21
Attaque par rejeu

Les attaques par « rejeu » (en anglais « replay attaque ») sont des attaques de type « Man in the middle »
consistant à intercepter des paquets de données et à les rejouer, c'est-à-dire les retransmettre tels quel
(sans aucun déchiffrement) au serveur destinataire.

Ainsi, selon le contexte, le pirate peut bénéficier des droits de l'utilisateur. Imaginons un scénario dans
lequel un client transmet un nom d'utilisateur et un mot de passe chiffrés à un serveur afin de s'authentifier.
Si un pirate intercepte la communication (grâce à un logiciel d'écoute) et rejoue la séquence, il obtiendra
alors les mêmes droits que l'utilisateur. Si le système permet de modifier le mot de passe, il pourra même
en mettre un autre, privant ainsi l'utilisateur de son accès.

Attaques sur les réseaux locaux

Écoute du réseau. Capturer le contenu des paquets qui ne nous sont pas destinés.

F tcpdump

F sniff F . . .

Usurpation d’adresses (IP et MAC). Forger et envoyer des paquets avec une fausse
adresse IP. . .

F dsniff F . . .

Vol de session. Forger des paquets permettant la prise de contrôle d’une connexion déjà
établie.

F juggernaut F hunt F . . .

Usurpation d’adresses (spoofing)

Principe.

F Forger et envoyer des paquets IP avec une fausse adresse source.

Propriété.

F Impossibilité de trouver la véritable source.

Utilisation.

F Technique souvent utilisée dans le cas d’attaque de type DoS.

Rappel : Une attaque de type DoS vise

l’interruption d’un service en saturant la cible de requêtes.

Vol de session (Connection Hijacking)

Objectif.

F Prendre la main sur une connexion déjà établie.

Principe.

22
F Attendre l’établissement d’une connexion.

F Désynchroniser la connexion entre le client et le serveur (en forgeant un paquet avec un

numéro de séquence particulier).

Qu’est-ce qu’un réseau DMZ ?

Une zone démilitarisée (DMZ) est un réseau périphérique qui protège le réseau local (LAN)
interne d'une organisation contre le trafic non sécurisé. 

Une DMZ est communément définie comme un sous-réseau qui se situe entre l'internet public et
les réseaux privés. Il expose les services externes à des réseaux non fiables et ajoute une couche
de sécurité supplémentaire pour protéger les données sensibles stockées sur les réseaux internes,
grâce à des pare-feux pour filtrer le trafic.

L’objectif final d’une DMZ est de permettre à une entreprise d’accéder à des réseaux non
sécurisés, tels qu’Internet, tout en garantissant la sécurité de son réseau privé ou LAN. Les
entreprises stockent généralement dans la DMZ des services et des ressources externes, ainsi que
des serveurs pour le système de noms de domaine (DNS), le protocole de transfert de fichiers
(FTP), la messagerie, le proxy, la VoIP et les serveurs web.

Comment fonctionne un réseau DMZ ?

Les entreprises disposant d’un site web public que leurs clients utilisent doivent rendre leur
serveur web accessible sur Internet. Ce faisant, elles mettent en danger l'ensemble de leur réseau
interne. Pour éviter cela, une entreprise pourrait payer une société d’hébergement pour héberger

23
son site web ou ses serveurs publics sur un pare-feu, mais cela affecterait leurs performances.
Les serveurs publics seraient ainsi hébergés sur un réseau distinct et isolé.

Un réseau DMZ sert de tampon entre Internet et le réseau privé d’une entreprise. La DMZ est
isolée par une passerelle de sécurité, telle qu’un pare-feu, qui filtre le trafic entre la DMZ et un
réseau LAN. La DMZ est protégée par une autre passerelle de sécurité qui filtre le trafic
provenant de réseaux externes.

Elle est idéalement située entre deux pare-feux, et la configuration du pare-feu de la DMZ
garantit que les paquets réseau entrants sont contrôlés par un pare-feu, ou d’autres outils de
sécurité, avant qu’ils ne soient transmis aux serveurs hébergés dans la DMZ. Cela implique que
même si un assaillant complexe parvient à passer le premier pare-feu, il doit également accéder
aux services renforcés de la DMZ avant de pouvoir causer des dommages à l'entreprise.

Si un assaillant parvient à infiltrer le pare-feu externe et à compromettre un système dans la

DMZ, il doit également franchir un pare-feu interne avant d’accéder aux données sensibles de
l’entreprise. Un acteur malveillant complexe peut très bien être capable de s’infiltrer dans une
DMZ sécurisée, mais les ressources qui s'y trouvent doivent déclencher des alarmes qui
permettent d'avertir à temps qu'une violation est en cours.

Les entreprises qui doivent se conformer à des réglementations, telles que la loi HIPAA (loi
américaine sur la portabilité et la responsabilité des assurances maladie), installeront parfois un
serveur proxy dans la DMZ. Cela leur permet de simplifier la surveillance et l’enregistrement de
l’activité des utilisateurs, de centraliser le filtrage du contenu web et de s’assurer que les
employés utilisent le système pour accéder à Internet.

Conception et architecture DMZ

Une DMZ est un « réseau grand ouvert ». Toutefois, plusieurs approches de conception et
d'architecture permettent de la protéger. Une DMZ peut être conçue de plusieurs façons, d’une
approche à pare-feu unique à des pare-feux doubles et multiples. La majorité des architectures
DMZ modernes utilisent des pare-feux doubles qui peuvent être étendus afin de développer des
systèmes plus complexes.

1. Pare-feu unique : Une DMZ dotée d’une conception à pare-feu unique nécessite trois interfaces
réseau ou plus. Le premier est le réseau externe, qui relie la connexion Internet publique au
pare-feu. Le deuxième est le réseau interne, tandis que le troisième est connecté à la DMZ.
Diverses règles permettent de surveiller et contrôler le trafic autorisé à accéder à la DMZ et
limitent la connectivité au réseau interne.
2. Double pare-feu : le déploiement de deux pare-feux avec une DMZ entre eux reste
généralement une option plus sécurisée. Le premier pare-feu n'autorise que le trafic externe
vers la DMZ et le second n'autorise que le trafic qui relie la DMZ au réseau interne. Un assaillant
devrait compromettre les deux pare-feux pour accéder au réseau LAN de l'entreprise.

24
25
26
27