Sécurité des réseaux
TD 1
Application des concepts de cours
1
�1. Mécanismes de protection
1.1. Protocoles d’authentification
Exercice 1 : Remplissez le tableau suivant :
EAP-MD5 LEAP EAP-SIM EAP-TLS EAP-TTLS PEAP
Authent.
Serveur
Authent.
Client
Clé
session
délivrée
Risques
de
sécurité
1.2. Architecture AAA
Exercice 1 : Application mobile avec Diameter
Un téléphone mobile démarre dans le réseau visité et posséde déjà un agent mère (HA) ainsi qu’une
adresse dans son réseau mère. Le réseau représentant les différentes entités et équipements est
représenté sur la figure suivante :
2
� Domaine local Domaine mère
Serveur Diameter local Serveur Diameter Mère
Client
Diameter
Agent Mère
Mobile
Les messages qui sont émis sont les suivants :
- Message AS (Attendant Solicit) : Il est émis par le mobile et Permet de déterminer les
clients Diameter dans ce réseau.
- Message AR (Attendant Reply) : Ce message est émis par les clients Diameter pour indiquer
qu’ils existent.
- Message Areq (Attendant Request) : Ce message est émis par le mobile et contient les
informations d’authentification.
- Message Arep (Attendant Reply) : C’est un message protégé par l’association de sécurité
établi entre le client et le mobile. Si le mobile est correctement authentifié, le message
contient (informations concernant l’association de sécurité entre le mobile et l’agent mère,
un RPI (Replay Protection Indicator) pour éviter le rejeu du message, adresse IPv6 locale).
- Message AMR (AA-MN-Request) : ce message est émis par un client Diameter et contient
les informations d’authentification à destination d’un serveur Diameter.
- Message AMA (AA-MN-Answer) : il est émis par le serveur Diameter pour informer du
succès ou non de l’authentification et fournit aussi des informations permettant l’association
de sécurité entre le mobile et l’agent mère et entre le mobile et le client.
- Message AHR (AA-HA-Request) : il permet à un serveur Diameter d’envoyer les
informations à l’agent mère pour créer une association de sécurité avec son mobile.
- Message AHA (AA-HA-Answer) : Il est émis par l’agent mère pour envoyer au serveur
Diameter les informations permettant l’association de sécurité entre le mobile et l’agent
mère et entre le mobile et le client.
1. Indiquer pourquoi il peut être complexe d’utiliser une architecture AAA basé sur Radius
dans ce cas d’usage.
2. Représenter sur le schéma les messages entre acteurs pour que le mobile puisse
correctement être authentifié.
3
�Exercice 2 : Architecture AAA d’entreprise
Un réseau d’entreprise utilise une architecture AAA basée sur Diameter. L’ensemble des clients
Diameter se connectent à un agent de redirection. Le serveur Diameter est l’entité qui authentifie les
utilisateurs et donne les contrôles d’accès sur le réseau. L’ensemble des données de l’utilisateur
(identifiant, mot de passe…) sont stockés en base de données.
Agent Serveur
diameter de Diameter
redirection
Base de
données
PC1 PC2
1. Quels sont les différents éléments qui interviennent dans la communication AAA. Expliquer
leurs rôles.
2. Donner un schéma pour la procédure d’authentification d’un utilisateur sur le réseau.
3. Quels sont les éléments critiques du réseau. Expliquer leur importance.
4. Quels sont les risques encourus de ne pas protéger les échanges entre les acteurs de l’archi
AAA ? Quels mécanismes utiliserez-vous pour vous prémunir contre de tels risques.
5. Comment sécuriseriez-vous l’architecture précédente ?
6. Si la base de données est partagée par d’autres services, quelles mesures de sécurité doit-elle
déployer ?
1.3. Zone démilitarisée
Exercice 1 : Formation des zones
Le service sécurité du système d’information souhaite sécuriser son réseau. Pour cela, il souhaite
créer des zones afin d’isoler les services entre eux. Outre les services actuels qui ne seront pas décrit
ici, le réseau est composé de deux entités. La première entité regroupe l’ensemble des services
informatiques de l’entreprise. Elle est répartie sur deux sites. La deuxième entité est celle qui
compose les utilisateurs. Les deux entités utilisent des technologies hétérogènes comme des accès
filaires et sans fil.
Le réseau actuel est le suivant :
4
� Internet
Serveur
web
Base de
données
Serveur
AAA
Serveur
Ldap
Serveur
mail
1. En fonction d’un découpage géographique, quelles zones pouvez-vous créer ?
2. Quels sont les services qui sont accessibles depuis Internet ? En déduire un premier
découpage de zone.
3. En fonction des technologies réseaux utilisées, quelles zones pouvez-vous créer ?
4. En fonction de la criticité des éléments, quelles zones identifierez-vous et comment
réarrangeriez-vous les éléments entre eux ?
5. Donner les éléments de ségrégation entre les différentes zones.
6. On souhaite créer deux entités supplémentaires, celle des ordinateurs à gauche d’un switch
et celle des ordinateurs à leur droite. Quelles modifications réaliseriez-vous sur le réseau ?
2. Détection d’intrusion
Exercice 1 : Positionnement des sondes
Un administrateur souhaite positionner des sondes de détection d’intrusion. Soit le réseau de
l’entreprise suivant :
Internet
1. Est-il préférable de positionner une sonde de détection d’intrusion en amont du routeur de
bordure du réseau de l’entreprise ou en aval ? Expliquer votre choix.
2. Est-il intéressant de positionner un système de détection d’intrusion dans une DMZ ?
5
� 3. Un système de détection d’intrusion peut-il permettre de s’abstraire d’un pare-feu ?
Détailler.
4. Représenter sur le réseau la position des systèmes de détection d’intrusion.
Exercice 2 : Configuration de l’IDS/IPS
1. En quoi les règles de l’IDS impactent ses performances ? Comment devez-vous
sélectionner les règles à appliquer ?
2. Afin de limiter les attaques sur le système de détection d’intrusion, quels fichiers sont
critiques ? Quels droits doivent être appliqués à ces fichiers ?
3. Vous souhaitez que l’IDS réalise une réaction face à certaines attaques. De quel ordre peut
être cette réaction ? Comment devez vous configurer vos équipements afin de réaliser une
telle réaction ?
4. Quel peut-être le danger de réaliser des règles de réaction ?
