TD Cryptographie et ACL

Documents pareils
2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

Devoir Surveillé de Sécurité des Réseaux

Packet Tracer : configuration des listes de contrôle d'accès étendues, scénario 1

Les ACL Cisco. F. Nolot Master 2 Professionnel STIC-Informatique 1

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

Introduction. Adresses

Oléane VPN : Les nouvelles fonctions de gestion de réseaux. Orange Business Services

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Sécurité des réseaux Firewalls

But de cette présentation. Proxy filtrant avec Squid et SquidGuard. Serveur proxy. Serveur proxy. Hainaut P

Administration réseau Firewall

SECURITE. Figure 1. Incident réseau, source CERT. Nombre. Sécurité

PACK SKeeper Multi = 1 SKeeper et des SKubes

PROGRAMME DETAILLE. Parcours en première année en apprentissage. Travail personnel CC + ET réseaux

Le protocole SSH (Secure Shell)

DHCP et NAT. Cyril Rabat Master 2 ASR - Info Architecture des réseaux d entreprise

CONFIGURATION FIREWALL

TP réseaux Translation d adresse, firewalls, zonage

Formation Iptables : Correction TP

Sécurité et Firewall

Protocole industriels de sécurité. S. Natkin Décembre 2000

Introduction aux Technologies de l Internet

Documentation : Réseau

Figure 1a. Réseau intranet avec pare feu et NAT.

Table des matières Nouveau Plan d adressage... 3

Administration de Réseaux d Entreprises

Couche Transport TCP et UDP

Sécurité d IPv6. Sécurité d IPv6. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr

Services Réseaux - Couche Application. TODARO Cédric

TP réseau Les réseaux virtuels (VLAN) Le but de se TP est de segmenter le réseau d'une petite entreprise dont le câblage est figé à l'aide de VLAN.

Filtrage IP MacOS X, Windows NT/2000/XP et Unix

Présentation et portée du cours : CCNA Exploration v4.0

Rappels réseaux TCP/IP

2. DIFFÉRENTS TYPES DE RÉSEAUX

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

18 TCP Les protocoles de domaines d applications

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Ici se présente un petit récapitulatif de ce qu il se passe sur le réseau : les connexions bloquées, le matériel du boitier, les mises à jour, etc.

Computer Networking: A Top Down Approach Featuring the Internet, 2 nd edition. Jim Kurose, Keith Ross Addison-Wesley, July ENPC.

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

Sécurisation du réseau

Présentation du modèle OSI(Open Systems Interconnection)

acpro SEN TR firewall IPTABLES

Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage:

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

RESEAUX TCP/IP: NOTIONS AVANCEES. Preparé par Alberto EscuderoPascual

Cisco Certified Network Associate

Algorithmique et langages du Web

Spécialiste Systèmes et Réseaux

Programme formation pfsense Mars 2011 Cript Bretagne

LINUX REDHAT, SERVICES RÉSEAUX/INTERNET

Travaux pratiques : configuration et vérification des listes de contrôle d'accès IPv6 Topologie

Le protocole TCP. Services de TCP

Routeur Chiffrant Navista Version Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

Installation d un serveur virtuel : DSL_G624M

avec Netfilter et GNU/Linux

Tunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud

Les Réseaux Informatiques

U.E. ARES - TD+TME n 1

SUJET DES FINALES NATIONALES Sujet jour 1 version 1

UDP/TCP - Protocoles transport

FILTRAGE de PAQUETS NetFilter

Internets. Informatique de l Internet: le(s) Internet(s) Composantes de l internet R3LR RENATER

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203

Réseaux Locaux. Objectif du module. Plan du Cours #3. Réseaux Informatiques. Acquérir un... Réseaux Informatiques. Savoir.

CAS IT-Interceptor. Formation «Certificate of Advanced Studies»

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Cryptographie RSA. Introduction Opérations Attaques. Cryptographie RSA NGUYEN Tuong Lan - LIU Yi 1

Culture informatique. Cours n 9 : Les réseaux informatiques (suite)

Les réseaux des EPLEFPA. Guide «PfSense»

Réseaux et protocoles Damien Nouvel

Le filtrage de niveau IP

FORMATION CN01a CITRIX NETSCALER

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall

TCP/IP, NAT/PAT et Firewall

21 mars Simulations et Méthodes de Monte Carlo. DADI Charles-Abner. Objectifs et intérêt de ce T.E.R. Générer l'aléatoire.

SSL/TLS: Secure Socket Layer/Transport Layer Secure Quelques éléments d analyse. GRES 2006 Bordeaux 12 Mai Ahmed Serhrouchni ENST-PARIS CNRS

Téléphone IP SPA942 à quatre lignes avec commutateur deux ports de Cisco. Téléphones IP de Cisco pour petites entreprises

Cryptographie. Cours 3/8 - Chiffrement asymétrique

Les systèmes pare-feu (firewall)

laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007

Les réseaux /24 et x0.0/29 sont considérés comme publics

Algorithmique des Systèmes Répartis Protocoles de Communications

Ch2 La modélisation théorique du réseau : OSI Dernière maj : jeudi 12 juillet 2007

Guide d utilisation Business Livebox

Skype (v2.5) Protocol Data Structures (French) Author : Ouanilo MEDEGAN

COTISATIONS VSNET 2015

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

escan Entreprise Edititon Specialist Computer Distribution

Cours CCNA 1. Exercices

VPN TLS avec OpenVPN. Matthieu Herrb. 14 Mars 2005

Compromettre son réseau en l auditant?

Druais Cédric École Polytechnique de Montréal. Résumé

Téléphone IP. Téléphone IP aux nombreuses fonctions avancées pour une utilisation professionnelle et au prix abordable FICHE PRODUIT

Sécurisation des routeurs Cisco

Transcription:

Université Tunis El Manar A.U. : 2013/2014 ISI TD Cryptographie et ACL Exercice 1 cryptographie symétrique Soit M un message divisé en blocs {x 1,x 2,x 3, x p }chacun de taille n bits et soit K une clé de même taille que les blocs (n bits). Soit {c 1,c 2,c 3, c p }les cryptogrammes des blocs obtenus en appliquant la clé K aux blocs. Le chiffrement des blocs se fait selon le schéma suivant: C 0 = IV (valeur initiale) ; pour i de 1 à p, c j =E K (C j-1 x j ) 1) La fonction E K est inversible et son inverse est D K. Montrer que l opération de déchiffrement est x j =C j-1 D K (C j ) (rappel : A A=0 ; A 0=A, A B= B A) 2) Peut-on chiffrer un bloc quelconque du message M sans chiffrer les blocs qui le précèdent? Expliquer? 3) Peut-on déchiffrer un bloc quelconque c i sans déchiffrer les blocs qui le précèdent? Expliquer? 4) Peut-on déchiffrer un bloc c j en l absence des autres blocs chiffrés? Expliquer? 5) Prenons le cas où E K (x)=d K (x) =K x. Supposons qu un attaquant a pu récupérer deux blocs consécutifs (x j-1,x j ) ainsi que leurs cryptogrammes correspondants (c j-1,c j ). Montrer que cet attaquant peut en déduire la clé de chiffrement K. 6) Soient A et B deux entités utilisant le procédé de chiffrement décrit dans cet exercice. La clé K doit être échangée d une façon sécurisé et authentifié. Pour cela A et B font appel au chiffrement asymétrique. A calcule la clé K, la chiffre pour obtenir KC et l envoi à B. a. Avec quelle clé A doit chiffrer K? b. Avec quelle clé B déchiffre KC? c. Expliquer pourquoi cette méthode n est pas authentifiée et proposer une solution? Exercice 2 : chiffrement RSA Question 1 : Effectuer le chiffrement et le déchiffrement en utilisant l algorithme RSA pour les valeurs suivantes: Les deux nombres premiers p = 3 et q = 11 e = 7 Le message M = 5 Question 2 : Soit un système à clé publique utilisant le RSA, vous interceptez le texte chiffré C=10 envoyé par un utilisateur dont la clé publique est e = 5 et n = 35. Que vaut M? Quelle est la clé privée de cet utilisateur? Exercice 4 : ACL étendue Router(config-if)# access-group 101 in Router(config)# interface ethernet 0 Router(config)# access-list 101 deny tcp 192.168.10.0 0.0.0.255 any neg 80 (Ca veut dire interdire tout segment TCP, sauf celui qui est à destination du port 80) Router(config)# access-list 101 deny tcp 192.168.10.0 0.0.0.255 any neg 21 Router(config)# access-list 101 permit ip any any 1. Quel est l effet de cette ACL? Page 1 sur 5Page 1 sur 5

2. En devinant l intention de l administrateur, proposez une ACL correcte Exercice 3 : Filtrage Soit l architecture du réseau suivant : 1) Considérons les politiques de sécurité suivantes : P1 : Permettre aux utilisateurs externes d accéder aux serveurs HTTP et SMTP du LAN1. P2 : Permettre aux utilisateurs du LAN2 d accéder aux serveurs du LAN3 P3 : Permettre aux utilisateurs du LAN1 d accéder à Internet Ecrire les règles à implémenter pour chaque politique. Il faut préciser les routeurs dans lesquels on doit implémenter chaque politique? Règle Source destination Protocole source 2) Préciser les numéros de ports utilisés (port source et port destination) permettant à l administrateur d envoyer un trafic ICMP sur les machines internes (LAN1, LAN2 et LAN3)? Expliquer? 3) Doit-on considérer l état du bit ACK lors de l implémentation de règles de filtrage du service TFTP (Trivial File Transfer Protocol) qui fonctionne au dessus d UDP? 4) Soient les deux politiques suivantes et les règles de filtrage correspondantes : - Politiques : o o Permettre au LAN3 d accéder aux serveurs du LAN1 fonctionnant au dessus de TCP Interdire l accès du LAN3 au serveur Telnet du LAN1 - Règles de filtrages dest Action règl Routeur @IP @IP port dest protocole ACK=1 Action e source dest source 1 Routeur3 LAN3 LAN1 >1023 tous TCP * Autoriser 2 Routeur3 LAN1 LAN3 tous >1023 TCP oui Autoriser 3 Routeur3 LAN3.33.6 >1023 23 TCP * Bloquer a. Est-ce que ces règles permettent à un utilisateur du LAN3 d accéder au serveur Telnet du LAN1? Expliquer b. En déduire les règles permettant de répondre aux deux politiques spécifiées? (les écrire) Page 2 sur 5Page 2 sur 5

Exercice 1: Soit M un message divisé en blocs {x 1,x 2,x 3, x p }chacun de taille n bits et soit K une clé de même taille que les blocs (n bits). Soit {c 1,c 2,c 3, c p }les cryptogrammes des blocs obtenus en appliquant la clé K aux blocs. Le chiffrement des blocs se fait selon le schéma suivant: C 0 = IV (valeur initiale) ; pour i de 1 à p, c j =E K (C j-1 x j ) 1) La fonction E K est inversible et son inverse est D K. Montrer que l opération de déchiffrement est x j =C j-1 D K (C j ) (rappel : A A=0 ; A 0=A, A B= B A) c j =E K (C j-1 x j ) D K (c j )= D K (E K (C j-1 x j )) D K (c j )= C j-1 x j C j-1 D K (c j )= C j-1 C j-1 x j C j-1 D K (c j )= x j 2) Peut-on chiffrer un bloc quelconque du message M sans chiffrer les blocs qui le précèdent? Expliquer? Non, selon la formule x j =C j-1 D K (C j ), le chiffrement de x j nécessite C j-1 3) Peut-on déchiffrer un bloc quelconque c i sans déchiffrer les blocs qui le précèdent? Expliquer? Oui, x j ne dépend pas de x j-1 4) Peut-on déchiffrer un bloc c j en l absence des autres blocs chiffrés? Expliquer? Non, selon la formule x j =C j-1 D K (C j ), le déchiffrement de c j nécessite C j-1 5) Prenons le cas où E K (x)=d K (x) =K x. Supposons qu un attaquant a pu récupérer deux blocs consécutifs (x j-1,x j ) ainsi que leurs cryptogrammes correspondants (c j-1,c j ). Montrer que cet attaquant peut en déduire la clé de chiffrement K. Dans ce cas : c j =K C j-1 x j K= c j C j-1 x j 6) Soient A et B deux entités utilisant le procédé de chiffrement décrit dans cet exercice. La clé K doit être échangée d une façon sécurisé et authentifié. Pour cela A et B font appel au chiffrement asymétrique. A calcule la clé K, la chiffre pour obtenir KC et l envoi à B. a. Avec quelle clé A doit chiffrer K? avec la clé publique de B b. Avec quelle clé B déchiffre KC? avec sa clé privée c. Expliquer pourquoi cette méthode n est pas authentifiée et proposer une solution? Rien ne garantit l appartenance de la clé publique de B à B. Solution : certification de la clé publique de B. Exercice 2 : chiffrement RSA Question 1 : Effectuer le chiffrement et le déchiffrement en utilisant l algorithme RSA pour les valeurs suivantes: Les deux nombres premiers p = 3 et q = 11 e = 7 Le message M = 5 N=pq=3*11=33 et φ=(p-1)(q-1)=2*10=20 e.d=1 mod φ 7*d=1mod 20 d=3 Chiffrement : C=M e mod N=5 7 mod 33 = 14 Déchiffrement : M= C d mod N M=C 3 mod 33=14 3 mod 33 =5 Question 2 : Soit un système à clé publique utilisant le RSA, vous interceptez le texte chiffré C=10 envoyé par un utilisateur dont la clé publique est e = 5 et n = 35. Que vaut M? Quelle est la clé privée de cet utilisateur? N=35 p*q=35 p=5 et q= 7 ou p=7 et q=5 φ=(p-1)(q-1)=6*4=24 e.d=1 mod φ 5*d=1mod 24 d=5 M= C d mod N M= 10 5 mod 35 =5 Page 3 sur 5Page 3 sur 5

Exercice 3 : ACL étendue Router(config-if)# access-group 101 in Router(config)# interface ethernet 0 Router(config)# access-list 101 deny tcp 192.168.10.0 0.0.0.255 any neg 80 (Ca veut dire interdire tout segment TCP, sauf celui qui est à destination du port 80) Router(config)# access-list 101 deny tcp 192.168.10.0 0.0.0.255 any neg 21 Router(config)# access-list 101 permit ip any any 1. Quel est l effet de cette ACL? Cette ACL permet d interdire tout segment TCP (y compris ceux à destination du port 21), sauf celui à destination du port 80. Le reste du trafic est autorisé. 2. En devinant l intention de l administrateur, proposez une ACL correcte L administrateur veut autoriser l accès http (TCP/80) et FTP (TCP/21) ainsi que tout autre trafic différent de TCP (tout autre trafic TCP sera interdit) Exercice 4 : Filtrage Soit l architecture du réseau suivant : 1) Considérons les politiques de sécurité suivantes : P1 : Permettre aux utilisateurs externes d accéder aux serveurs HTTP et SMTP du LAN1. routeur1 P2 : Permettre aux utilisateurs du LAN2 d accéder aux serveurs du LAN3 routeur2 et routeur 3 P3 : Permettre aux utilisateurs du LAN1 d accéder à Internet Ecrire les règles à implémenter pour chaque politique. Il faut préciser les routeurs dans lesquels on doit implémenter chaque politique? Règle Protocole Source destination source dest Action 1 * 193.95.33.7 TCP >1023 25 accepter 2 193.95.33.7 * TCP 25 >1023 accepter 3 * 193.95.33.5 TCP >1023 80 accepter 4 193.95.33.5 * TCP 80 >1023 accepter 5 LAN2 LAN3 * >1023 * accepter 6 LAN3 LAN2 * * >1023 accepter 7 LAN1 * * >1023 * accepter 8 * LAN1 * * >1023 accepter 2) Préciser les numéros de ports utilisés (port source et port destination) permettant à l administrateur d envoyer un trafic ICMP sur les machines internes (LAN1, LAN2 et LAN3)? Expliquer? Page 4 sur 5Page 4 sur 5

Pas de numéro de port car ICMP est un protocole de niveau 3 encapsulé dans IP. 3) Doit-on considérer l état du bit ACK lors de l implémentation de règles de filtrage du service TFTP (Trivial File Transfer Protocol) qui fonctionne au dessus d UDP? Non, le bit ACK est spécifique à TCP (il n y a pas de bit ACK dans UDP) 4) Soient les deux politiques suivantes et les règles de filtrage correspondantes : - Politiques : o Permettre au LAN3 d accéder aux serveurs du LAN1 fonctionnant au dessus de TCP o Interdire l accès du LAN3 au serveur Telnet du LAN1 - Règles de filtrages règl Routeur @IP @IP port dest protocole ACK=1 Action e source dest source 1 Routeur3 LAN3 LAN1 >1023 tous TCP * Autoriser 2 Routeur3 LAN1 LAN3 tous >1023 TCP oui Autoriser 3 Routeur3 LAN3.33.6 >1023 23 TCP * Bloquer a. Est-ce que ces règles permettent à un utilisateur du LAN3 d accéder au serveur Telnet du LAN1? Expliquer? Oui, la machine.33.6 fait partie du LAN1et les deux première règles permettent aux utilisateurs du LAN3 d accéder aux serveurs du LAN1 peu importe le numéro de port (tous les ports destination sont permis) b. En déduire les règles permettant de répondre aux deux politiques spécifiées? (les écrire) Garder les mêmes règles et mettre à jour seulement le port destination dans la première règle pour avoir «tous sauf 23» Une deuxième réponse pourrait être le ré-ordonnancement des règles en mettant la règle 3 en premier puis la règle 1 puis la règle 2. Page 5 sur 5Page 5 sur 5

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back