INF4420

INF4420
INF4420 – Sécurité informatique
Examen final - SOLUTIONS
10 décembre 2005
Professeur : José M. Fernandez
Directives :
1.
- La durée de l’examen est de deux heures et demi
- *Aucune* documentation permise (quantité raisonnable)
- Calculatrice non programmable permise (mais ne sert à rien)
- 6 questions (23 sous-questions) à répondre pour un total possible de 40 points
(les points sont entre crochets)
Questions de « réchauffement » [5 sous questions ; 5 points]
Répondez de façon succincte (1 ou 2 phrases devraient suffire).
a) [1 point] Donnez deux types d'attaque qui peuvent être faites contre la sécurité des couches 1, 2 et 3 du modèle
OSI.
Écoute sur les réseaux sans fils (« war driving »), interception par falsification d’adresse MAC sur réseau
filaire (« MAC spoofing »), ou falsification d’adresse IP sur réseau filaire « ARP cache poisoning ».
b) [1 point] Pourquoi est-il désirable que le(s) responsable(s) de la sécurité informatique et le(s) responsable(s) de
systèmes d'information ne soit pas la même personne ?
Pour éviter le conflit d'intérêt, car une des tâches du responsable de la sécurité informatique et de s'assurer que
la configuration des systèmes est le plus sécuritaire possible.
c) [1 point] Que fait un « red team » ?
Découvrir des vulnérabilités dans les systèmes en réalisant des tests de pénétration « clandestins », en
connivence avec les responsables de la sécurité informatique mais sans que les responsables des systèmes le
sachent ou collaborent avec eux.
d) [1 point] Que fait un « blue team » ? Quelle est la différence avec un red team ?
Découvrir des vulnérabilités dans les systèmes en réalisant des tests de pénétration « annoncés », en
connaissance des responsables des systèmes informatiques, qui peuvent collaborer de façon plus ou moins
active dans ces tests.
e) [1 point] Qu'est-ce qu'un HIPS ? (et non, ce n'est pas ce qui arrive quand on a trop bu...)
Host-based Intrusion Prevention System. C'est un mécanisme de protection installé sur une machine, qui
cherche de possibles intrusions en analysant le trafic réseau sur cette machine et prend des actions pour les
prévenir, tel que filtrer des paquets, bloquer des ports, maintenir une liste noire d'adresse IP de sources, etc.
2.
Analyse de risque [3 sous questions ; 5 points]
f) [1 point] Quels sont les trois facteurs qui influencent le calcul de la probabilité d'une occurrence de menace
délibérée.
Capacité, motivation et opportunité.
g) [2 point] La Caisse Populaire Desmarais offre des services bancaires par Internet à ses clients. Auparavant, ce
service permettait seulement de consulter les transactions du compte et de payer des factures de services publics.
À la demande de ses clients, la Caisse a ajouté la possibilité d’effectuer des transferts interbancaires sur des
comptes de particulier via leur interface Internet. Si on considère la menace que des malfaiteurs puissent frauder
la Caisse en se servant du service Internet, quel facteur de l'analyse de risque est modifié par ce changement de
situation? Justifier votre réponse.
SOLUTIONS EXAMEN FINAL INF4420 – AUTOMNE 2005
1 de 4
L’opportunité, car avant il n’était tout simplement pas possible de frauder la banque avec le service Internet
(tout au plus les malfaiteurs aurait pu payer des factures pour les clients…). Le nouveau service donne accès,
donc l’opportunité, aux malfaiteurs d’essayer de faire des transferts vers leurs comptes.
h) [2 point] La Caisse Populaire Desmarais décide plus tard d'augmenter le montant de transfert permis entre ses
les abonnés de 1000 à 10 000$. Quel facteur de l'analyse de risque est modifié par ce changement de situation ?
Justifier votre réponse.
Deux réponses sont possibles :
• La motivation, car maintenant les malfaiteurs peuvent tirer plus de profit de l’exécution avec succès de cette
menace.
• L’impact, car la banque aura a débourse une somme plus élevé pour compenser les sommes perdues par ses
clients.
Ceci constitue un exemple où un changement de la situation a un impact double sur le risque, car la motivation
et l’impact sont souvent reliés.
3.
Configuration sécuritaire des réseaux I – DMZ [5 sous questions ; 10 points]
a) [2 point] Qu'est-ce qu'une zone démilitarisée (DMZ) et à quoi sert-elle ?
Zone intermédiaire du réseau, protégée mais accessible de l’Internet, où on trouve seulement les services qui
doivent absolument être accessibles de l’extérieur ou ceux qui doivent y avoir accès direct.
b) [4 points] Vous devez établir l'architecture du réseau d'une petite entreprise. Le réseau sera divisé en trois
parties : réseau interne, DMZ et réseau externe. Les équipements suivants doivent être installés sur le réseau :
1. Stations de travail des employés
2. Serveur IMAP/POP3
3. Serveur passerelle SMTP (entrant et sortant)
4. Serveur de base de données corporative
5. Serveur Web
6. Serveur DNS
7. Passerelle VPN
8. Serveur mandataire Web (« proxy »Web)
9. Console de travail de l’administrateur du serveur Web
• Réseau interne : stations de travail, serveur de courriel entrant (IMAP/POP), serveur de BD, console
d'administrateur et serveur de base de données.
• DMZ : Serveur Web, Serveur DNS, Serveur SMTP, Passerelle VPN
• Réseau externe : rien
c) [1 points] Justifier votre choix pour le serveur DNS.
Les noms de machine correspondants à des services externes fournis sur l'Internet doivent être associés à des
adresses IP via DNS. Les entrées du domaine correspondant à l'organisation (p.ex. www.xyz.com) doivent donc
être accessibles par les autres machines sur Internet (clients ou autres serveurs DNS). Ces entrées résidant, en
général, sur un serveur DNS corporatif, celui-ci doit donc être accessible de l'Internet. Il doit cependant être
protégé (pour éviter le "DNS spoofing") et en conséquence ne peut pas être placé à l'extérieur. Il doit donc être
dans la DMZ.
d) [1 points] Justifier votre choix pour le serveur de bases de données corporative.
En général, il devrait être placé sur le réseau interne de l'entreprise, surtout s’il contient des informations
sensibles (no. de comptes, données d’authentification, etc.). S’il ne contient aucune information sensible (ce qui
est rare) et qu’il est utilisé pour alimenter le serveur de pages Web, alors il pourrait être placé dans la DMZ.
e) [2 points] Justifier votre choix pour les serveurs courriel (IMAP/POP3 et SMTP).
SOLUTIONS EXAMEN FINAL INF4420 – AUTOMNE 2005
2 de 4
Le serveur passerelle SMTP sert à recevoir et envoyer des courriels de et vers l'Internet. Il doit donc être
accessible et avoir accès à l'Internet. Pour éviter qu'il soit compromis et utilisé pour envoyer du SPAM (par
exemple), il n'est pas placé à l'extérieur mais plutôt dans la DMZ. Le serveur IMAP ou POP3 contient les boites
de courriels, auxquelles les employés accèdent à partir de leurs stations de travail. Il n'est pas nécessaire que
ce serveur ait accès direct à l'Internet car il peut acheminer les courriels sortants et recevoir les courriels
entrant via le serveur passerelle SMTP. Il est donc dans le réseau interne.
4.
Configuration sécuritaire des réseaux II – Principes de base [ 4 sous questions ; 8 points]
a) [2 points] En quoi consiste le principe de segmentation dans la sécurité de réseaux informatiques ?
La séparation des ressources réseaux en différents sous réseaux, plus ou moins indépendants, de façon à ce
l'impact d'une compromission d'un de ces sous réseaux par une attaque délibérée soit minimisé.
b) [2 points] Ce principe est-il applicable dans l'application de mesures de protection de type cryptographique ?
Justifiez votre réponse.
Oui. En cryptographie, on utilisera différentes clés pour sécuriser le trafic sur différents sous réseaux ou
différents liens. Ainsi, par exemple, les liens de tunnelage entre les différents sous réseau reliés par un VPN
utiliseront des clés cryptographiques différentes pour chacun de ces liens.
c) [2 points] En quoi consiste le principe de défense en profondeur, dans la sécurité des réseaux informatiques ?
C'est un principe de design de réseaux consistant à disposer les mécanismes de protection des réseaux (tel que
les coupe-feu et les IDS) à différents endroits du réseau correspondants à différent niveau de sécurité.
d) [2 points] Donnez un exemple d'application de ce principe dans l'élaboration d'un réseau informatique. Dites
pourquoi ce principe est avantageux dans ce contexte.
L'utilisation combiné d'un Network-based IDS localisé à l'entrée de la DMZ avec des Host-based IDS sur
chacune des serveurs de la DMZ ou du réseau interne. Un des avantages principaux est que la configuration
des règles de détection peut être plus finement ajuster à la réalité locale de chacun de ces IDS (p.ex. les
applications qui roulent vraiment et normalement sur ces machines). L'autre est qu'on gagne en sécurité, car il
n'y a plus de point unique de défaillance ("single point of failure") en termes de sécurité.
5.
Questions « Vrai ou Faux » [ 5 sous questions; 10 points ]
Pour chaque question, indiquer vrai ou faux et justifier succinctement votre réponse.
a) [2 points] L’installation d’un VPN nécessite de l’installation d’un filage dédié et indépendant entre les sous
réseaux et/ou ordinateurs qu’il relie.
FAUX. L’utilisation du tunnelage et de la cryptographie permet de protéger la confidentialité et l’intégrité des
données transmises de l’un à l’autre des machines reliées, même à travers un lien non sécurisé tel que l’Internet
ou un lien sans fil.
b) [2 points] On peut saturer de requêtes un serveur même s'il est protégé par un coupe-feu.
VRAI. En général les requêtes générées dans une attaque de déni de service ne peuvent pas être distingués de
requêtes légitimes et donc un coupe-feu ne peut pas les arrêter. Note : Certains électros de réseaux ("network
appliances") peuvent parer certaines attaques de déni de service par saturation, mais ce ne sont pas des
fonctions de coupe-feu comme tel.
c) [2 points] L’Ordre des ingénieurs du Québec (OIQ) s’assure que tous les professionnels oeuvrant dans le
domaine de la sécurité informatique soient compétents dans la matière.
FAUX. L’OIQ n’a juridiction que sur leurs membres. Quoiqu’il serait possible pour l’Ordre de radier un
ingénieur informatique ou logiciel inscrit au tableau de l’ordre ayant fait preuve d’incompétence crasse en
matière de sécurité informatique, étant donné que l’exercice de fonction dans ce domaine n’est pas un acte
protégé par la loi (le Code des professions) elle ne pourrait pas sanctionner ou poursuivre un professionnel
ayant fait preuve d’incompétence si ce n’est pas un de ses membres.
SOLUTIONS EXAMEN FINAL INF4420 – AUTOMNE 2005
3 de 4
d) [2 points] Il est préférable de ne pas modifier la configuration par défaut d’un système d’exploitation afin de ne
pas rendre par mégarde l’ordinateur en question plus vulnérable.
FAUX. La configuration par défaut de la plupart des systèmes d’exploitation comporte très souvent des options
inutiles (p.ex. des services réseaux) pour la plupart des utilisations et qui augmente les chances que l’ordinateur
soit vulnérable.
e) [2 points] Il possible d'utiliser un coupe-feu peut être utilisé pour sécuriser une seule station de travail.
VRAI. Il existe des logiciels coupe-feu spécialisés qui permettent de sécuriser les entrées/sorties réseau de la
machine sur laquelle ils sont installés. Selon le principe de défense en profondeur, ceci est désirable car ça
permet que le modèle de sécurité et les règles de configuration du logiciel coupe-feu soit finement ajustés à la
réalité concrète de la machine sur laquelle il est installé.
6.
Question finale [1 question ; 2 points]
À votre avis, quelle est la chose la plus importante que vous avez appris pendant ce cours ?
SOLUTIONS EXAMEN FINAL INF4420 – AUTOMNE 2005
4 de 4