Devoir Surveillé de Sécurité des Réseaux

Transcription

1 Année scolaire IG2I L5GRM Devoir Surveillé de Sécurité des Réseaux Enseignant : Armand Toguyéni Durée : 2h Documents : Polycopiés de cours autorisés Note : Ce sujet comporte deux parties. La partie A est une étude de cas et la partie B un QCM. Pour le QCM vous répondrez directement sur la feuille en oubliant pas d indiquer votre nom et prénom. Partie A : Etude de cas L entreprise TANTAP est une TPE qui compte 11 salariés. Son objectif à moyen terme est de permettre l hébergement de sites web pour des entreprises clientes. Dans un premier temps, le patron Jean Favid a décidé de mettre en place un service réseau sécurisé permettant aux salariés de l entreprise d aller sur Internet ou se connecter depuis internet aux serveurs de l entreprise. L entreprise a fait l acquisition du bloc d adresses /30. Elle dispose d un routeur CISCO 2800 disposant de deux interfaces : une interface série reliée au réseau du fournisseur d accès internet et une interface Giga Ethernet. L adresse IP de l interface série est /24. Deux des serveurs de l entreprise doivent être accessibles de l internet : un serveur de nom (NS) et un serveur web (http). Les postes de travail sont peuvent aller sur internet et les utilisateurs doivent pouvoir utiliser des applications comme skype et netmeeting pour faire des vidéo conférences. 1. Définir un plan d adressage pour les serveurs de l entreprise accessibles d internet. 2. Proposer sous la forme d un schéma logique le plan d adressage des serveurs accessibles de l Internet et des postes de travail. 3. Quel mécanisme est-il nécessaire de mettre en œuvre pour que les postes de travail puissent accéder à Internet? 4. Expliquer comment mettre en œuvre le mécanisme précédent. Règle Direction Protocole Adresses source Port Source Adresses Destination Port Destination Statut connexion Ack Action 1 Entrant TCP 0/ /24 > 1023 ESTABLISHED Permission 2 Entrant TCP 0/ / Oui Refus Tableau 1. Exemple d écriture d ACL 5. Proposer les règles d ACL à mettre en œuvre pour sécuriser l accès au réseau en vous inspirant de l exemple donné par le Tableau 1. Utiliser selon vos besoins les paramètres «statut connexion» ou «Ack» pour filtrer les différents paquets. Le statut - 1/11 -

2 connexion peut prendre l une des valeurs suivantes (INVALID, ESTABLISHED, NEW, RELATED). 6. Ou placer la (ou les) ACL? On précisera les équipements, les interfaces et le sens. 7. Quelques mois plus tard, la croissance de l entreprise l amène à mettre en œuvre un deuxième serveur web (http) et un serveur de messagerie (SMTP). Proposer une configuration permettant à l entreprise de travailler avec le même bloc d adresses. 8. Expliquer de manière claire comment mettre en œuvre cette configuration. Remarque : Sur la page suivante commence une autre partie du DS - 2/11 -

3 Partie B : QCM à choix multiple Nom : Prénom : Notation : Entourez au stylo le numéro de la (ou les) réponse(s) correctes. Une réponse fausse enlève un point (-1), l absence de réponse est équivalente à zéro point (0), une bonne réponse à une réponse unique donne un point (1). Une question à réponses multiples donne un nombre de points équivalent au prorata entre les bonnes et les fausses réponses. 1. Comment contrôler qu un flux entrant dans une organisation est une réponse à une requête venant de l organisation a. En contrôlant l adresse de l émetteur, b. En contrôlant l adresse du destinataire, c. En contrôlant les flags de segment, d. En contrôlant le numéro de séquence du segment. 2. Quelle est la nature de la clef fournie avec un certificat? a. C est une clef privé, b. C est une clef publique, c. C est une clef caché, d. C est une clef symétrique, e. C est une clef asymétrique. 3. Un utilisateur a régulièrement besoin de modifier une liste de diffusion utilisée par sendmail pour envoyer des messages à l ensemble des utilisateurs de la liste. Il sait qu une telle liste se définit directement dans le fichier /etc/aliases d une machine Unix ou Linux. Il demande donc à l administrateur de la machine de lui donner le mot de passe du compte root afin qu il puisse faire les modifications nécessaires même en l absence de l administrateur. Celui refuse, et préfère mettre en œuvre une configuration permettant à l utilisateur d éditer un fichier gérer par un simple utilisateur. Quelle est la stratégie ainsi mise en œuvre par l administrateur? a. Stratégie du goulot d étranglement, b. Stratégie de défense en profondeur, c. Stratégie du moindre privilège, d. Stratégie de l utilisateur aux droits simples. 4. Quelles sont les chaines prédéfinies de iptables pour la table NAT? (3 bonnes réponses) a. INPUT b. OUTPUT c. FORWARD d. POSTROUTING e. PREROUTING - 3/11 -

4 5. Quelle est le nom de l état caractérisant une connexion dont le premier paquet initie une nouvelle connexion qui est associée à une connexion existante, comme un transfert de données FTP ou une erreur ICMP. a. INVALID b. ESTABLISHED c. NEW d. RELATED e. SNAT f. DNAT 6. Un particulier possède à son domicile une connexion ADSL. Il désire raccorder à Internet un serveur web et un serveur FTP. Quel mécanisme doit-il mettre en œuvre sur son routeur? a. Du PAT statique, b. Du PAT dynamique, c. Du NAT statique, d. Du NAT dynamique. 7. Quelle est le nom de l état caractérisant une connexion signifiant que le paquet est associé à une connexion qui a déjà vu passer des paquets dans les deux sens. a. INVALID b. ESTABLISHED c. NEW d. RELATED e. SNAT f. DNAT 8. Quel protocole intervient au niveau de la couche Internet de la suite de protocoles TCP/IP? a. FTP (File Transfer Protocol) b. TFTP (Trivial File Transfer Protocol) c. TCP (Transmission Control Protocol) d. IP (Internet Protocol) e. UDP (User Datagram Protocol) f. SMTP (Simple Mail Transport Protocol) 9. En cryptographie symétrique, la confidentialité repose sur : a. Le secret de l algorithme de cryptage, b. Le secret de l algorithme de décryptage, c. Le secret d une clef partagée, d. Le secret du moment de l échange. - 4/11 -

5 10. Quel type de segment et de données représente le schéma ci-dessous? a. Un segment UDP transportant le trafic du courrier électronique. b. Un segment TCP transportant le trafic FTP. c. Un segment IP transportant le trafic FTP. d. Un segment UDP transportant le trafic Web. e. Un segment TCP transportant le trafic Web. f. Un segment IP transportant le trafic du type courrier électronique. 11. Lesquels des protocoles suivants utilisent TCP? (Choisissez deux réponses.) a. FTP b. DHCP c. TFTP d. HTTP e. SYN 12. Laquelle des techniques suivantes permet à un commercial de se raccorder aux serveurs de son entreprise pour accéder de manière sécurisée au système d information de son entreprise indépendamment des systèmes d exploitation des machines hôtes. a. SSL b. SSH c. IPv6 d. VPN e. Telnet 13. Quels mécanismes sont mis en œuvre pour l échange du paquet suivant? (deux bonnes réponses) Nouvel Entête IP IP Entête ESP Entête IP IP Originel Entête AH AH Entête TCP/UDP Données Final ESP a. Appliquer AH en mode transport b. Appliquer AH en mode tunnel c. Appliquer ESP en mode transport d. Appliquer ESP en mode tunnel - 5/11 -

6 14. Sur une machine Unix, quels sont les types de services qu il n est pas conseillé d avoir sur sa machine pour des raisons de sécurité. a. Les services SSH b. Les services SSL c. Les services DNS d. Les services RPC e. Les services FTP 15. Quel est le protocole a utilisé lors des connexions web pour sécuriser les échanges dans le cadre de transactions effectués pour le commerce électronique? a. smtps b. https c. ssh d. ssl e. secure-telnet f. secure-hhtp 16. Parmi les affirmations suivantes sur les cryptosystèmes, laquelle est vraie? a. Les cryptosystèmes à clef privé sont plus performant en vitesse que les cryptosystèmes à clef publiques, b. Les cryptosystèmes à clef privé utilisent des clefs plus longues que les cryptosystèmes à clefs publiques, c. Les cryptosystèmes à clef privé sont basés sur l algorithme de Diffie-Helmann. 17. Parmi les actions suivantes, laquelle n est pas à réaliser dans le cadre de la mise en place d un système de signature numérique a. Calcul d une séquence de contrôle (hachage), b. Cryptage de cette séquence par la clé privée de l expéditeur, c. Décryptage de la signature avec la clé privée du destinataire et comparaison, d. Décryptage de la signature avec la clé publique du destinataire et comparaison, e. Le destinataire calcule la même séquence de hachage. 18. Lors d une connexion basée sur le protocole SSH, il apparaît sur le poste client l affichage suivant : user1@mon_poste ~/.ssh $ ssh user1@serveur The authenticity of host 'Serveur ( )' can't be established. RSA key fingerprint is 33:93:84:34:59:8f:2a:d6:4a:fb:51:27:12:36:53:ac. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added 'Serveur, ' (RSA) to the list of known hosts. Quelle est la fonction apportée par la génération de clef dans ce contexte? a. Garantir l authenticité de l utilisateur b. Garantir le non rejeu des transactions, - 6/11 -

7 c. Garantir la confidentialité, d. Garantir l authenticité et la confidentialité, e. Signer les messages 19. Dans quelle couche du modèle OSI fonctionne le mécanisme IPSEC? a. La couche réseau b. La couche transport c. La couche session d. La couche application 20. Lors d une connexion basée sur le protocole SSH, il apparaît sur le poste client l affichage suivant : user1@mon_poste ~/.ssh $ ssh user1@serveur The authenticity of host 'Serveur ( )' can't be established. RSA key fingerprint is 33:93:84:34:59:8f:2a:d6:4a:fb:51:27:12:36:53:ac. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added 'Serveur, ' (RSA) to the list of known hosts. Quelle est la fréquence d occurrence de cet affichage? a. A chaque connexion réseau entre le client et le poste serveur, b. A la première connexion, c. Lorsque le serveur en fait la requête au client, d. Lorsque le client en fait la requête au serveur. 21. Quel sont les flags permettant de détecter le sens d ouverture d une connexion TCP? (deux bonnes réponses) a. SYN b. ACK c. URG d. PSH e. RST f. FIN 22. Comment garantir l authenticité d un certificat? a. Le certificat doit être autosigné, b. Le certificat doit être signé par une autorité de certification, c. Le certificat doit être signé par un notaire. 23. A quoi sert la clef placée par l utilisateur dans le fichier ~/.ssh/authorized_keys de son compte? a. A signer les messages émis par l utilisateur, b. A garantir la confidentialité des connexions SSH, c. A garantir l authentification des connexions SSH, d. A décrypter les données reçues par l utilisateur. - 7/11 -

8 24. Quelle est la nature de la clef placée par l utilisateur dans le fichier ~/.ssh/authorized_keys de son compte? a. C est une clef privé, b. C est une clef publique, c. C est une clef caché, d. C est une clef symétrique, e. C est une clef asymétrique. 25. Quels sont les algorithmes cryptographiques utilisables par SSH? (deux bonnes réponses) a. DES b. AES c. 3DES d. RSA e. DSA 26. Qu est-ce qu une CRL? a. Un annuaire pour le stockage des certificats, b. Une liste de publication des certificats, c. Une liste de révocation des certificats. 27. Quelle est le nom du mécanisme d IPSEC utilisé par assurer la confidentialité des échanges? a. 3DES b. DES c. AES d. EPS e. AH 28. Lequel des mécanismes suivants n est pas utilisé pour l authentification sous IPSEC? a. RSA b. MD5 c. SHA 29. Lesquels des services suivants ne sont pas assurés par le mécanisme d authentification AH? (deux bonnes réponses) a. L intégrité, b. La confidentialité, c. L authentification de l origine des données, d. La détection d un rejoue, e. La création d une clef commune par l algorithme de Diffie-Helleman. - 8/11 -

9 30. Quel(s) mécanisme(s) est (sont) mis en œuvre pour l échange du paquet suivant? Entête IP IP Originel Entête AH AH En En tête ESP ESP En En tête TCP/UDP Données Final ESP a. ESP b. AH c. ESP suivi de AH d. AH suivi de ESP 31. Quelle est l information parmi les suivantes qu on ne trouve pas dans un certificat? a. L identité du propriétaire, b. La clé publique, c. La clef privée, d. L autorité signataire, e. Les dates de validité, f. La signature. 32. Dans le cadre de la mise en œuvre d un firewall avec DMZ, un poste client du réseau interne de l organisation souhaite établir une connexion vers Internet. Sachant que réseau interne est en adressage IP privé, sur quel équipement est-il préférable de mettre en œuvre le mécanisme de translation d adresse? a. Le poste client, b. Le routeur interne, c. Le routeur externe. 33. En cryptographie, les systèmes à clefs publiques possèdent a. Aucune clef secrète, b. Une clef secrète, c. Deux clefs secrètes. 34. Quel est l intérêt de la mise en œuvre d un serveur de logs dans une organisation? a. Mettre en place un serveur de gestion centralisée des autorisations de login des utilisateurs, b. Sauvegarder les messages générés par une station lorsqu un utilisateur effectue une tentative de connexion, c. Centraliser l archivage des logs de tous les serveurs de l organisation. - 9/11 -

10 35. Un particulier possède à son domicile une connexion ADSL. Il désire raccorder deux serveurs web à Internet afin de permettre des accès à des services différents. Quel mécanisme doit-il mettre en œuvre sur son routeur? a. Du PAT statique, b. Du PAT dynamique, c. Du NAT statique, d. Du NAT dynamique. 36. Qu est-ce qu un sniffer? a. Un équipement ou dispositif permettant la segmentation du réseau, b. Un équipement ou dispositif permettant la capture de trames, c. Un équipement ou dispositif pour contrôler sélectivement le flux de données depuis et vers un réseau. 37. Parmi les traitements ci-dessous quel est celui qui n est pas recommandé de réaliser sur un bastion? a. Installation minimale d un système d exploitation propre, b. Corriger tous les bogues connus du système, c. Créer les comptes utilisateurs, d. Protéger les traces système. 38. Quels sont les critères qui ne sont pas utilisés par les filtres de paquets pour analyser le trafic sur le réseau Internet? (trois bonnes réponses) a. L adresse MAC de destination, b. L adresse MAC source, c. L adresse IP de destination, d. L adresse IP source, e. Le protocole transporté, f. Le flag SYN, g. Le flag AcK. 39. Qu est-ce que ne permet pas d assurer la méthode de Diffie-Hellman? a. A assurer la confidentialité des communications, b. A échanger des clés entre client et serveur, c. A combiner une clé privée avec une clé publique distante, d. A créer une clé commune utilisable par une méthode symétrique. 40. Lors de la mise en œuvre d un firewall, quel est le type de client ftp qu il faut utiliser pour autoriser en sortie du routeur interne uniquement des connexions TCP sortantes? a. Client FTP passif, b. Client FTP actif, c. Client FTP semi-actif, d. Client FTP à connexions sortantes. - 10/11 -

11 - 11/11 -