TD4 Securite Lohier [PDF]

Zitiervorschau

TD4– Sécurité des réseaux

1. Un réseau d’entreprise sécurisé est décrit par la figure :

SMTP POP3

FTP

172.20.0.3

Routeur Firewall NAT Adresse IP

172.20.0.2

web

publique

172.20.0.1

Internet

193.55.45.12

LAN privé 172.20.0.0/16

Nomade

a) Écrire dans le tableau suivant les règles du Firewall permettant de ne laisser passer que les transferts de messagerie vers le serveur interne (protocoles SMTP et POP3) et de navigation vers l’extérieur (protocole HTTP). Dans ce dernier cas, la connexion devra obligatoirement être initiée de l’intérieur. Règle

Direction

Adr. src.

Adr. dest. Prot.

Port src.

Port dest.

Ack=1

Ordre

A B C D E F G

b) Le système de translation d'adresse (NAT) intégré au firewall utilise une adresse publique pour offrir un accès Internet aux stations et aux serveurs (15 machines en tout). Quel est le nombre maximal de connexions TCP simultanées qui peuvent être supportées ? c) Expliquer en quoi la translation d’adresse participe à la sécurisation du LAN privé. d) D’après le schéma du réseau, quelle est l’adresse destination portée par un paquet entrant à destination du serveur SMTP ? Quelle information permet au routeur/NAT de savoir qu’il doit diriger ce paquet vers le serveur SMTP ? e) Compléter la table de translation du NAT ci-dessous dans le cas où deux machines externes établissent une connexion vers le serveur SMTP interne. Les numéros de port source sont-ils modifiés par le routeur/NAT ? Justifier.

Adr. Src.

Interne Port Adr. dst. src.

Port dst.

Adr. Src. 165.23.12.1 212.154.3.2

Externe Port Adr. dst. src. 1061 2305

Port dst.

2. On considère l’architecture décrite dans la figure ci-dessous. Le firewall FW1 possède l’adresse 129.12.3.5 côté public, 10.0.0.1 côté DMZ_web et 10.0.2.1 côté DMZ_proxy. Le firewall FW2 possède l’adresse 192.168.0.1 côté LAN et 10.0.3.1 côté DMZ_proxy L’adresse du serveur web est 10.0.1.80 et les proxys SMTP, HTTP et DNS possèdent respectivement les adresses 10.0.2.25/10.0.3.25, 10.0.2.80/10.0.3.80 et 10.0.2.53/10.0.3.53. Donnez les tables de filtrage de FW1 et FW2 permettant d’obtenir le plus haut niveau de sécurité possible.

DUT2 Info

TD4 Sécurité des réseaux

Lohier / badis

1/3

FW2

LAN privé

FW1 Internet

DMZ_web DMZ_Proxy

3. La figure suivante illustre une communication entre deux machines à travers un VPN. Le paquet IP issu du PC1 est transporté vers le serveur web distant. a) Complétez la figure en spécifiant les différents en-têtes et en écrivant les adresses IP privées et publiques sur le paquet à ses différents stades de transmission.

LAN 1

Routeur VPN

Internet

Routeur VPN/ Firewall

LAN 2 web : 10.2.0.2

PC1 : 10.1.0.1 148.12.1.1

84.50.0.254 IP

data

IP

data

IP

data

b) Comment sont masquées les adresses IP privées ? c) Pourquoi un double en-tête IP est-il nécessaire ? d) Quel est le rôle de l’en-tête VPN ? Par quel dispositif est-il géré ? e) Quelles sont les principales différences entre des tunnels VPN utilisant PPTP, IPSec et SSL ? 4. Vous utilisez un système de chiffrement asymétrique. Vous venez de perdre votre clé privée, mais vous avez encore la clé publique correspondante. a) Pouvez-vous encore envoyer des mails de manière confidentielle ? Lire les mails chiffrés que vous recevez ? b) Pouvez-vous encore signer les mails que vous envoyez ? Vérifier les signatures des mails que vous recevez ? c) Que devez-vous faire pour de nouveau être capable d'effectuer toutes les opérations citées ? 5. Signature Vous transmettez un document à votre collègue. Ce document n’est pas confidentiel, il n’a pas besoin d’être chiffré mais il est nécessaire que votre collègue soit sûr que le document provient bien de vous. Comment pouvez-vous procéder ? 6. Cryptage et authentification a) Combien de clés sont-elles nécessaires pour chacun des types de cryptage, symétrique et asymétrique, pour transmettre des données cryptées dans les deux sens ? Justifiez. b) Alice transmet un document à Bob. Ce document n’est pas confidentiel, il n’a pas besoin d’être chiffré mais il est nécessaire que Bob soit sûr que le document provient bien d’Alice. Complétez le schéma suivant en précisant le type de chacune des clés.

c) Pourquoi Bob peut-il être sûr que le document « Thèse » provient bien d’Alice ? d) Que faut-il transférer au préalable pour ce type d’authentification ? DUT2 Info

TD4 Sécurité des réseaux

Lohier / badis

2/3

e) Alice qui se méfie de l’homme du milieu décide d’utiliser un système de chiffrement symétrique pour l’authentification. Décrire le mécanisme utilisé. 7. Dans un paiement par carte bancaire sécurisé par le protocole https, a) Comment le client est-il averti que la transaction est sécurisée ? b) Comment le numéro de CB est-il caché ? c) Quelle clé de cryptage le client utilise-t il pour crypter les informations transmises ? d) Comment le client est-il sûr qu’il dialogue bien avec le serveur choisi ? e) Comment le serveur est-il sûr qu’il dialogue bien avec un client « légal » ? 8. Le message chiffré suivant est une substitution monoalphabétique d'un extrait du Tartuffe de Molière. Sauriez-vous le casser, sachant qu'il ne comporte que des lettres ? Luom dkdm oh muk dh kiutm ydkkidm, buh rtym. E'dmk but aot luom yd xtm, aot motm lukid cizhx'bdid. Dk j'zt nicxtk edhk rutm z buh rtym, lutid ndid, Aod luom nidhtdq kuok y'zti x'oh bdefzhk czihdbdhkavce Dk nd yot xuhhditdq jzbztm aoc xo kuoibdhk.

DUT2 Info

TD4 Sécurité des réseaux

Lohier / badis

3/3