Les Forums

Les forums sont fermés. Ils restent présent pour consultation et archivage.
Vous pouvez désormais poser vos questions directement dans les commentaires en bas de chaque page du site.
Alors n'hésitez pas à participer

IPSEC

Bonjour à tous
J'ai une question par apport à IPSEC.
IPSEC utilise ou plutôt sécurise UDP/TCP pour transporter ses datagrammes ou paquets mais peut-il utiliser FTP ou tout simplement utilise il FTP ? A mon avis d'après ce que j'ai lu dans divers articles non, mais j'aimerais avoir votre avis la dessus.
Merçi à tous

Il n'y a pas vraiment de rapport entre ipsec et ftp dans ton cas de figure.

Tu peux monter tunnel IPsec et transporter des flux FTP au travers du tunnel, mais FTP n'a pas de relation directe les différentes phases qui te permettent d'initier un tunnel IPSEC.

De plus IPsec est une techno de couche 3

Pour plus d'infos je te conseil de lire l'article sur le sujet :

[url]http://www.frameip.com/ipsec/[/url]

@+
Merçi pour ta réponse.
Cela veut dire si je comprends bien que FTP va utiliser TCP pour transporter ses fichiers, mais IPSEC n'a pas besoin d'utiliser FTP pour transporter ses datagrammes ou paquets sécurisés.
Merçi de confirmer ou pas.
A +

Salut,

Oui en gros c'est ça,
FTP est un protocole de niveau applicatif (niveau 7 sur la pile OSI).
IPsec est une technologie (niveau 3 sur la pile OSI) qui te permet de réaliser un tunnel sécurisé entre deux entité.

voilà @+
Merçi pour ta réponse préçise sur le sujet, mais encore une chose; comme tout est encapsulé, IPSEC contient UDP/TCP et UDP/TCP contient FTP cela veut dire que IPSEC peut contenir du FTP et sécuriser du FTP ? NON ?
A +

Salut,

Tu peux utiliser IPsec pour sécuriser le transport de tes flux FTP.
Cependant au cas ou tu ne serais pas au courant, il existe une version sécur de FTP.
La version en question est le protocole FTPS qui est basé sur le protocole SSL, mais également une autre déclinaison est possible à partir du protocole TLS.
En gros pas besoin d'ipsec pour chiffrer tes données, celui-ci peut être en complément si tu veux faire du VPN dit site à site pour sécuriser l'interconnexion de deux entités par exemple.

Voilà

@+ 😉
OK je comprends bien : IPSEC pour "tunneliser" site à site et FTPS pour sécuriser FTP.

En fait je t'ai posé cette question suite à
une annale d'examen que je travaille actuellement qui à partir d'un projet de
sécurisation d'un VPN qui va utiliser IPSEC et AH pour avoir l'intégrité et
l'authenticité en créant un message signé. Jusque là pas de problème pour
moi mais à la question [i:157a3f1761]" le message signé est ensuite transmis sous forme de
fichier par le protocole FTP . Expliquez pourquoi l'utilisation de FTP remet
en cause le choix que vous avez fait à la question 1(c'est à dire
IPSEC/AH), me pertube un peu car cette question voudrait dire que si
j'utilise IPSEC/AH l'utilisation de FTP remettrait en cause le choix de
IPSEC/AH alors que comme tu l'expliques tout est encapsulé : IPSEC
contient UDP/TCP qui contient FTP donc logiquement IPEC contient aussi FTP .
Merçi de me dire tes idées par apport à ceçi.
Encore MErçi A +

Salut,

Tu peux poster les questions de ton examen ? Ca aiderait à voir le cheminement.

A+

Salut,

Tu peux poster les questions de ton examen ? Ca aiderait à voir le cheminement.

A+
[i:4575d95100]OK te voiçi le texte de l'annale, je t'ai mis en gras les questions par apport à mon problème IPSEC/FTP.
Si tu veux on pourra discuter sur d'autres points de cette annale
Merçi A+

L'entreprise «GT» est chargée de la gestion de l'information routière sur le territoire
français.
Une de ses missions consiste à collecter les informations routières (accidents. bouchons. axes coupés.
présence d'objets sur la chaussée. véhicule en panne...). à les centraliser et à les rediffuser vers les
média (radio. télévision. système embarqué dans les véhicules) et sur un site WEB (www.gt.fr) qu'elle
héberge dans son centre-serveur.
GT dispose d'une flotte d'une centaine de patrouilleurs par département. Ces derniers effectuent la
collecte des informations sur le terrain et communiquent l'information par téléphone au centre de
traitement national qui doit la saisir.
Afin d'améliorer l'efficacité du processus et de diminuer la durée séparant la détection du problème de sa
transmission vers le public. il a été décidé de permettre la saisie de l'événement à la source (dans le
véhicule du patrouilleur).
Ce devoir est basé sur la mise en place d'une nouvelle application dans le système d'information de GT
qui doit permettre l'automatisation de la remontée des informations.
Description de l'application
L'application sera installée sur des tablettes PC(portable sans clavier adapté aux saisies sur le terrain)
fonctionnant sous Unix. Chaque véhicule patrouilleur en sera doté. Cestablettes PCseront raccordées à
Internet par l'intermédiaire d'une carte UMTS/EDGE/GPRSet grâce à un abonnement chez un opérateur.
Les agents effectueront directement les saisies sur la tablette PC,la localisation sera automatiquement
insérée dans les messages grâce à un système GPS.
L'opérateur ne fournit aucun service de sécurité. Au moment de la connexion, les tablettes PCreçoivent
dynamiquement une adresse officielle routée sur Internet et sont donc potentiellement accessibles
depuis n'importe quelle autre machine connectée à internet et par n'importe quel protocole de type
TCP/IP.
Le centre national dispose d'une liaison Internet 10 Mbit/s qu'il utilise, entre autre, pour permettre aux
internautes d'accéder aux informations routières sur le site www.gt.fr. Ce même lien sera utilisé pour
recueillir les messagesémis depuis les véhicules.
La société GT décide de sous-traiter le volet sécurité de cette évolution. Le cahier des charges
du projet est composé de quatre parties:
• Sécurisation des échanges réseau entre la tablette PCet le centre national d'hébergement
• Sécurisation des messagesapplicatifs
• Impact sur l'architecture réseau du centre national
• Sécurisation de la tablette PC
Sécurisation des échanges entre la tablette PC et le centre national
d'hébergement
Le choix s'est porté sur le protocole IPSEC pour sécuriser le trafic entre les nomades (tablette PC des
patrouilleurs) et Jecentre d'hébergement.
Les informations étant destinées à être diffusées au public. ne sont pas confidentielles. Seuls l'intégrité
et l'origine des données doivent être garantis.
1) IPSECoffre la possibilité d'utiliser deux protocoles AH et ESP.Quel protocole est-il judicieux de mettre
en oeuvre ici ? Expliquez votre choix après une brève description de ces deux protocoles.2) Pour offrir le service de confidentialité. IPSEC utilise le chiffrement de type symétrique. Expliquez ce
choix dans la conception du protocole.
3) Le chiffrement symétrique nécessite de partager une clé secrète entre les deux participants aux
échanges. Ces clés secrètes peuvent être mise en place manuellement ou de manière automatique grâce
au protocole IKE. Lister les inconvénients de la méthode manuelle.
4) Expliquez la notion d'association de sécurité. Décrire le contenu d'une association de sécurité IPSEC.
5) IKE utilise le protocole de Diffie Hellman pour créer des secrets partagés. On dit que ce protocole est
vulnérable à l'attaque de l'homme du milieu. Qu'est-il nécessaire d'effectuer pour éliminer ce problème?
6) Diffie Hellman permet de fournir dans certaines conditions la propriété dite de « PFS» (Perfect Forward
Secrecy). Définissez la propriété de PFS. Rappelez brièvement l'objectif des deux phases du protocole
IKE. Expliquez la différence de comportement du protocole IKE dans les cas où PFS est activé ou pas.
7) Le cahier des charges précise qu'il sera nécessaire de protéger en confidentialité les identités dans les
échanges IKE. Expliquer l'impact de ce choix sur le paramétrage du service mettant en oeuvre IKE.
8) Un espion placé chez l'opérateur enregistre tous les paquets provenant des nomades et à destination
du centre national. Que se passe-t-i1 si cet espion tente de rejouer les paquets enregistrés? Expliquez
comment IPSECse prémunit de ce genre d'attaque?
Sécurisation des messages applicatifs
L'application est constituée d'un formulaire principal très simple composé de quatre champs:
• La date: renseignée automatiquement avec l'heure du système
• Le type d'événement: renseigné par l'agent (accidents, bouchons, axes coupés, présence d'objets
sur la chaussé, véhicule en panne ...)
• La localisation géographique: renseignée automatiquement par le système GPS
• La description: commentaire ajouté par l'agent
La validation de ce formulaire génère donc le message suivant
Date T-.vpe
Localisation
Géographique Description
Afin de garantir l'authenticité du message, on décide d'utiliser la signature électronique. le choix se
porte sur l'algorithme RSA.
9) Quel intérêt a-t-on à utiliser un algorithme connu de tout le monde tel que RSA par rapport à une
solution qui utiliserait un algorithme propriétaire gardé secret?
10) Expliquez le mécanisme de la signature électronique.
• Listez les étapes permettant de fabriquer le message signé
• Listez les étapes permettant de vérifier le message signé
• Représentez le message après la signature
11) Quels sont les éléments à mettre en place préalablement pour pouvoir utiliser la signature
électronique?
12) Nous utilisons ici la signature électronique pour garantir l'authenticité des données. Dans la partie
précédente, IPSEC utilisait une autre méthode pour garantir l'authenticité des paquets IP. Décrivez cette
méthode.
[b]13) le message signé est ensuite transmis sous forme de fichier par le protocole FTP au centre national.
Expliquez pourquoi l'utilisation du protocole FTP remet en cause le choix que vous avez effectué à la
question n°l
Impact sur l'architecture réseau du centre national ,t de Gr.
Voici le schémade l'architectureréseaudu centrenationald'hé~erg:n:~
Précisions sur le schéma :
FI est le routeur géré par l'opérateur
qui peut être utilisé comme filtre de
type statique
F2 est un filtre dynamique géré par les
informaticiens de GT. Il reste 4
interfaces non utilisées sur la machine.
RES-INT est la DMZ Internet, elle
contient les éléments suivants:
RPun Reverse Proxy
Le DNS externe héberge le domaine
« gt.fr ».
La politique de sécurité de GT indique
que les flux en provenance d'Internet
doivent nécessairement transiter par la
DMZ.
RES-APPest le réseau d'hébergement des applications WEB de type 3 tiers.
WEB est un serveur apache
APP est le serveur contenant les objets métiers
BD est la base de données
AV est un miroir des signatures de l'antivirus utilisé par GT.
RES-BURest le réseau bureautique de la société « GT »
14) Décrivez la liste des flux en provenance d'Internet et à destination de RES-INT
15) Décrivez la liste des flux en provenance de RES-INT et à destination de RES-APP
Il s'agit maintenant de traiter les impacts de la mise en place de la nouvelle application sur cette
architecture.
16) Le fonctionnement de l'application nécessite:
• l'installation d'une passerelle IPSECpour terminer les tunnels établis avec les tablettes PCdes
patrouilleurs.
• l'installation d'un serveur FTPpour recevoir les messages signés envoyés depuis les tablettes Pc.
Effectuez le schéma de la nouvelle architecture en intégrant la passerelle IPSECet le serveur FTP.
Expliquez vos choix de positionnement. Les contraintes sont les suivantes:
• Vous possédez le budget nécessaire pour dédier une machine pour chacun des rôles (passerelle
IPSECet serveur FTP)
• Vous ne possédez pas le budget nécessaire pour investir dans un pare-feu supplémentaire.
• Vous pouvez utiliser les interfaces libres du pare-feu F2
17) Écrire les règles sur le filtre F2 permettant le transfert des fichiers en FTPentre les tablettes PCet le
serveur FTP.Présentez le résultat sous forme de tableau possédant les champs suivants:
• Adresse source
• Adresse destination
• Numéro de protocole
• Port (UDP ou TCP)
• Action (DROP ou ACCEPT)
• Commentaire
Rappel sur les numéros de protocoles (TCP= 6, UDP = 17, ESP= 50, AH = 51)
IKE utilise le port UDP 500.
Sécurisation de la tablette PC
L'analyse de risque effectuée à l'occasion de cette modification du système d'information a mis en
évidence que la tablette PCreprésentait un maillon faible du système.
18) Quels sont, selon vous, les arguments qui ont permis d'aboutir à cette conclusion?
Les besoins fonctionnels sur la tablette PCsont les suivants
• Transmettre des messages « informations routières» en FTPvia le tunnellPSEC.
• Accéder à une dizaine de sites WEB bien définis (URL connu) situés sur Internet et sur Intranet
(réseau de GT).
• Mettre à jour les signatures de l'antivirus (protocole HTTP)
19) Proposez une liste de mesures de sécurité (techniques et organisationnelles) à mettre en place sur la
tablette PC.
Ces mesures de sécurité devront permettre de respecter les besoins fonctionnels et d'interdire toute
autre action. Commentez et détaillez vos choix.

Salut,

A mon avis la réponse serait que IPsec/AH ne chiffre pas les données, donc les données apparaissent en clair.
Il n'y a pas d'algorithme de signature qui te permet de garantir la confidentialité des données.

Cependant normalement un mise en œuvre de IPsec AH qui respecte la RFC 2402 doit permettre le support de MD5 et SHA 1.
Si tu utilise IPsec/ESP tu réglera le problème de confidentialité en intégrant l'authentification et le chiffrement.

En espérant que cela répond à la question.

voilà @+

Merçi pour ta réponse mais comme tu peux le voir maintenant avec le texte de l'annale :
[i:1f5ad26e15]"Les informations étant destinées à être diffusées au public. ne sont pas confidentielles. Seuls l'intégrité
et l'origine des données doivent être garantis." : AH suffit donc, par contre en effet pour l'intégrité en effet la RFC parle de MD5 ou SHA1 ou du MAC avec DES ation?
Salut et MERCI
A +

Salut,

Une connexion point à point est une connexion te permettant de relier deux sites par exemple, c'est une connexion unidirectionnel bien que l'acheminement des flux soit dans les deux sens (exemple le VPN site à site).

Ensuite tu as les connexions point multipoint qui te permettent de réaliser la connexion entre la siège d'une société et ses filiales par exemple, tu as les technologies de type Frame-relay, ATM, MPLS ou du DMVPN qui te permettent de réaliser ce type d'interconnexion. On l'assimile en terme d'architecture à la topologie Hub and spoke.

Enfin tu as les connexions Full Mesh et Partial-Mesh qui te permettent de raccorder des sites entre eux de manière maillé totalement ou partiellement. L'intêret de ce type de topologie est de permettre à titre d'exemple une tolérance de panne en cas d'anomalie, le meilleur exemple est le réseau internet (totalement maillé).

Si tu as des questions n'hésite pas.

Pour en revenir à la question sur FTP.

13) le message signé est ensuite transmis sous forme de fichier par le protocole FTP au centre national.
Expliquez pourquoi l'utilisation du protocole FTP remet en cause le choix que vous avez effectué à la
question n°l

C'est parce-que l'authentification est effectuée au niveau du fichier, qui est ensuite transmis en FTP. Donc, plus besoin d'authentifier au niveau IP.

Où est-ce que tu as trouvé cette annale ? Il y a la correction avec ?

Merçi pour ton aide .Donc d'après ce que tu dis dans ce cas là,c'est FTP qui sécurise et plus IPSEC ?
C'est une annale du CNAM,hélas impossible de trouver les corrections de leurs annales !!!
J'en ai d'autres dont une avec mes réponses si tu veux me dire ce que tu en penses ça m'aiderait si tu as le temps bien-sûr je ne voudrais pas abuser non plus...
A +

Pas tout à fait. FTP ne gère absolument pas la sécurité sauf avec FTPS, mais qui pose d'autres problèmes. Dans le cas de l'examen, il s'agirait plutôt d'un fichier protégé (ex : archive avec mot de passe, même si ce n'est pas tout à fait vrai) qu'on transmettrait ensuite par FTP. Comme le fichier est considéré comme sécurisé, plus besoin d'en ajouter.

Ah le CNAM... Ca me rappelle des souvenirs ! Peux-tu me donner l'URL ? Ca m'intéresse.

Pas de souci. Je dois dire que l'été, il n'y a pas toujours quelque chose à faire au boulot ! Et puis, j'aime bien aider les gens motivés. Au pire, si tu n'as pas de réponse, c'est que je suis pris par autre chose. 😉

Merçi pour ta réponse ok j'ai compris maintenant pour le ficchier sécuriser avec mot de passe MErçi
Pour l'URL j'ai pas, comme tu es d'accord pour me dire ce que tu penses de celle çi te la voiçi avec mes réponses :(j'ai pas pu mettre certains caractères donc pas tout) mais je pense que tu en auras déjà pas mal ! 🙂
En gras mes réponses.
Merçi A +
Risque n° 1 : Un pirate expérimenté et bien outillé, profitant d'une vulnérabilité dans le logiciel sendmail, parvient à installer un root kit sur le serveur smtp et contrôle entièrement le serveur. Il peut ainsi lire tous les courriers reçus et envoyés par les employés de RSX. Ceci porte gravement atteinte à la confidentialité des informations transitant par mail, ce qui peut potentiellement générer un impact financier important et un impact judiciaire conduisant au
pénal.
Risque n02 : Une entreprise concurrente RSY parvient à corrompre un employé de RSX qui va utiliser la technologie du tunnel DNS pour faire sortir des informations confidentielles
Risque 3 : Un pirate très motivé et disposant de moyens importants (financiers et matériels) pour réaliser ses attaques, parvient, grâce à une faille sur la passerelle VPN basée sur la technologie SSLfTLS, à déchiffrer le dialogue entre les postes nomades et le siège de l'entreprise RSX. Des informations confidentielles circulant sur ce réseau, ceci peut générer la perte d'un avantage concurrentiel important et des pertes financières importantes.
Risque n04 : Un pirate motivé, profite d'une négligence (de la part des informaticiens de RSX) dans l'application des correctifs de sécurité Apache sur le Reverse proxy, pour prendre la main sur le serveur et récupérer la clé privée du serveur HTTPS.

• Question 1 : Un bien est soit une entité soit un élément essentiel ;classez chaque bien çi dessous :
• Serveur de messagerie Sendmail, :
• Rapport de recherche : • Poste Nomade Entité
• Rapport de décision du comité de direction
• Passerelle VPN basée sur SSL/TLS : Openvpn
• Employé de RSX
Question 2 : les 7 composantes d'un risque : Pour les risques 1 et 2 lister les composantes : risque 1 :
- menace:un pirate installe un root kit sur le serveur smtp et parvient à controler entirèrement le
serveur - élt menaçant:
- oppotunité : mail
risque 2 : - menace :
- entité :
- opportunité :
- vulnérabilité :
- elt essentiel est organisme(sous réserve) : Question 3 : Expliquez ce qu'est une échelle de sécurité et comment on la bâtit?

Question 5 : La maîtrise d'ouvrage décide pour les quatre risques décrits ici d'essayer de les réduire. Sur quelles composantes parmi les sept est-il possible d'agir?
Question 6 : Sur ces 3 solutions positionner les dans le modèle TCP/IP :
ssmtp :applicatif
Imaps : applicatif
Smime : applicatif
Question 7 : Redonnez une définition de l'authenticité. :
A l'aide d'un schéma représentant le parcours complet d'un message, (poste envoyeur, serveur smtp de l'envoyeur, serveur smtp du destinataire, poste destinataire) veuillez indiquer pour chacune des trois technologies:
• Les apports au niveau authenticité (quels éléments sont authentifiés ?)
• Les apports au niveau confidentialité (confidentialité entre quels éléments ?)
SSMTP : Authenticité :serveur SMTP(envoyeur,dest)
Confidentialité : entre serveur SMTP et serveur DNS
Entre serveur SMTP envoyeur et dest
Entre serveur SMTP et serveur POP ou IMAP
IMPAPS : Authenticité : Serveur POP ou IMAP
Confidentialité : entre serveur POP ou IMAP et Agent Utilisateur
Entre serveur SMTP et serveur POP ou IMAP
SMIME : Authenticité des parties, non répudiation (Agent utilisateur envoyeur et Agent utilisateur dest)
Confidentialité : chiffrement symétrique(RSA) entre Agent utilisateur envoyeur et Agent utilisateur dest)
Question n08
Pour traiter le risque nOl, quelle(s) solution(s) parmi les trois citées décidez-vous d'implémenter? Risque n° 1 : Un pirate expérimenté et bien outillé, profitant d'une vulnérabilité dans le logiciel sendmail, parvient à installer un root kit sur le serveur smtp et contrôle entièrement le serveur. Il peut ainsi lire tous les courriers reçus et envoyés par les employés de RSX. Ceci porte gravement atteinte à la confidentialité des informations transitant par mail, ce qui peut potentiellement générer un impact financier important et un impact judiciaire conduisant au
pénal.

Argumentez votre choix.

Question n09
Qu'est-il nécessaire de déployer dans l'entreprise avant de pouvoir utiliser« smime» ?

Question nOlO
Citez une autre solution apportant des services équivalents à smine mais ne nécessitant pas ce déploiement.

Question n011 Décrivez le principe de fonctionnement de la signature électronique (processus de signature et de vérification) puis commentez les différentes parties et en-têtes du message « smime » signé suivant:
MIME-Version: 1.0
Content-Type: mu ltipart/signed; protoco!=" application/x- pkcs7 -signature"; micalg=sha 1; boundary=" ----ODAE2708E02554B 128D6D48E713 1 CA ] 3"
This is an S/MIME signed message
-nmODAE2708E02554B 128D6D48E7131 CA 1 3
Bon courage à vous tous!
5

------ODAE2708E02554B 128D6D48E7l31 CAl3
Content-Type: applicationlx-pkcs7 -signature; name="smime.p7s" Content- Transfer-Encoding: base64
Content-Disposition: attachment; filename="smime.p7s"
MIIFJA YJKoZlhvcNAQcCoIIFFTCCBRECAQExCzAJBgUrDgMCGgUAMAsGCSqGSlb3 DQEHAaCCA2QwggNgMIICSKADAgECAgEHMAOGCSqGSlb3DQEBBQUAMCkxCzAJBgNV BA YTAkZSMQwwCgYDVQQKEwNyc3gxDDAKBgNVBAMT A3JzeDAeFwOwODA1 MjYxMTQ4 MjNaFwOwOT AIMjYxMTQ4MjNaMEkxCzAJBgNVBA YT AkZSMQwwCgYDVQQKEwNyc3gx EjAQBgNVBAMUCWY zQHJzeC5mcjEYMBYGCSqGSlb3DQEJARYJZjNAcnN4LmZy MIGf MAOGCSqGSlb3DQEBAQUAA4GNADCBiQKBgQC6hlkLOV d+Nvxo5mCHebfW 4JOV e2FV T9qqLiIOCZAj/etOr+ebn7GRoINzzISdlfGaDOXrAbSeITOklmfmHszwI3WmEvOL
4c+ 3bJFXLrUOAGGDs V7pHd9USjhQYTu/afJQP98MQE7LIFCz2Amp8WhzJe4ZJjDq tm2jnf/tBYBD/wIDAQAB04H2MIHzMAkGAIUdEwQCMAAwEQYJYIZIA Yb4QgEBBAQD AgSw MCsGCWCGSAGG+ErnDQQeFhxUa W55QOEgR2VuZXJhdGVkIENlcnRpZmljYXRl MBOGAI UdDgQWBBSh3DfmK248R2mcc2LQnywtyl3ZYTBZBgNVHSMEUjBQgBT6vE2g JOBzNO/pETiv II9K6yvHP6EtpCsw KTELMAkGA 1 UEBhMCRlIxDDAKBgNVBAoT A3Jz eDEMMAoGAI UEAxMDcnN4ggkApE8GJD2i+WlwCQYDVROSBAlw ADAUBgNVHREEDT AL gQlmMOByc3guZnlwCwYDVROPBAQDAgW gMAOGCSqGSlb3DQEBBQUAA4rnAQBkTXoK kftl OBwMmCMOPwBqHClbOl7bbfut2DqfJU93SF2GvcXaBvxne59Hpw7yE9M2UjnG Lbyorwmilyc8zPldGD IzGRxbfWN8NBNX/fd3njwdb2sVWiR5xs+v3vJ490TOA 7VS dpRhudna4TSIIZV8TFMm2wOSNXaNITBIYm2CfZcGnK2hQIL WMVncZGX + Tyir3yhI LCX6FrgNpw+OthrUuT +QTLFtgqO 1 ChDKQiukAx9+G90PBKo64adf/wFa5xh3qTSr aGK4QrDNnCDm YCHHgkRxvsm31z WZx W +NJV IjmmJV vdunC8V +ok+GKh5fbE0t7ddL QfsQJUBPTQZEcGlvMYIBiDCCA YQCAQEwLjApMQswCQYDVQQGEwJGUjEMMAoGAl UE ChMDcnN4MQwwCgYDVQQDEwNyc3gCAQcwCQYFKw4DAhoFAKCBsT A YBgkqhkiG9wOB CQMxCwYJKoZlhvcNAQcBMBwGCSqGSlb3DQEJBTEPFwOwODA2MTUxNjQIMjBaMCMG CSqGSlb3DQEJBDEWBBQwOiKBah6RlkuSsMQWIMjt3pscDjBSBgkqhkiG9wOBCQ8x RTBDMAoGCCqGSlb3DQMHMA4GCCqGSlb3DQMCAgIAgDANBggqhkiG9wODAgIBQDAH
B g UrDgMCBzANB ggqhkiG9wODAgIBKDANBgkqhkiG9wOBAQEF AASBgIl6HtCdE5jz
DIVI 1 VR + HYSQGFThHG+fOatXdHl93dEWIDfpzABCQQ+ y ny KkiKVyRv VtF3H3njYW
v JSF4q YU 1 zsQyWIqavrp8d2e VDOeTSMOENTNwIW ow KyeoiIY xpclDvcOYJLLAKH +sJhwtwpvvsm4dOrtBN7UfeOEZKoXTRz
------ODAE2708E02554B 128D6D48E7131 CA 13—

Principe de fonctionnement de la signature électronique :

- génération d’1 clé de session
- chiffrement du msg avec clé de session
- chiffrement de la clé de session avec la clé pub du dest
- Signature avec la clé privée de l’exp

Description du mge smime :
En tête : type de hashage SHA1
Algo base64
Après je sais pas

Question n012 '3
Expliquez le mode de fonctionnement d'un tunnel DNS. Rappelez la différence entre une zone et un domaine DNS. Rappelez la définition d'une vue DNS.

Zone : responsabilité nomée faisant les m à j : organisation logique des domaines, les domaines eux ne sont pas sous une responsabilité
Vue DNS ; je sais pas
Question n013 Quelles modifications dans votre architecture sont nécessaires pour empêcher les employés de RSX de faire des tunnels DNS? Faite un schéma réseau.

019
Proposez une action permettant de réduire le risque n04 : Risque n04 : Un pirate motivé, profite d'une négligence (de la part des informaticiens de RSX) dans l'application des correctifs de sécurité Apache sur le Reverse proxy, pour prendre la main sur le serveur et récupérer la clé privée du serveur HTTPS.

Je vais répondre à ce que je peux...

q1-6 : je pense que c'est bon dans l'ensemble. Je ne suis pas très fort sur ces aspects.

q7 : il me semble que le "s" correspond à "sécurisé par SSL/TLS". Le problème est que tu ne contrôles que tes propres serveurs. Donc, pas forcément le MTA destinataire, qui ne parlera pas forcément SSMTP.

q11 :
- hashage du message : intégrité
- chiffrement du hash avec la clé privée de l'expéditeur : authenticité du hash
- chiffrement du hash avec la clé publique du destinataire : il est le seul à pourvoir lire le hash authentifié

La clé de session ne sert qu'à la confidentialité (chiffrement symétrique).

http://christian.caleca.free.fr/crypt/les_cles.htm

q12 : une vue DNS permet au serveur de répondre selon des IP sources, par exemple.

q13 : mettre en place une architecture à plusieurs niveaux de DNS.

q19 : intégrer une étape de validation dans la politique de mise à jours pour éviter les négligences, lé oublis, etc..

Ya moyen d'avoir les annales ? C'est de quelle formation, quelle UE ? Tu les as récupérées où ? Yen a aussi pour d'autres UE ?

Je veux bien les docs que tu as. Ca m'aidera à revoir certaines choses et je pense que je vais donner des cours cette année. Tu trouveras mon adresse mail dans mon profile car je n'arrive pas à t'envoyer un mp.

Merci et à plus.

FRAMEIP.COM

Partage des connaissances du monde TCP/IP

Les Forums

IPSEC