Vous êtes sur la page 1sur 16

FEDERATION EUROPEENNE DES ECOLES EUROPEAN FEDERATION OF SCHOOLS

Organisation non gouvernementale dote du statut participatif auprs du Conseil de lEurope NGO enjoying participatory status with the Council of Europe

UE D - TECHNIQUES PROFESSIONNELLES

UC D31 - DEESIRS
Informatique, Rseaux et Scurit

Aucun support papier ni matriel nest autoris pendant lpreuve Lannexe 4 est rendre avec la copie

Type dpreuve : Etude de cas Dure : 6 heures Session : Juin 2011

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2011 UC D31 DEESIRS - Sujet

UC D31 DEESIRS - INFORMATIQUE, RESEAUX ET SECURITE

BAREME DE NOTATION

Partie 1 - Gestion du rseau de la socit Grafik Partie 2 - Interconnexion des collaborateurs Partie 3 - Scurit des bases de donnes Total

50 points 50 points 20 points 120 points

LISTE DES ANNEXES Annexe 1 Annexe 2 Annexe 3 Annexe 4 Annexe 5 Rseau Ethernet de la socit Grafik .................................................................. Page 10 Rappel sur les VLAN ......................................................................................... Page 11 Configuration des commutateurs et des rseaux locaux virtuels ........................ Page 12 Tableaux remplir ....................................................................................... Pages 13-15 Le rseau VPN .................................................................................................... Page 16

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2011 UC D31 DEESIRS - Sujet

2/16

PRESENTATION DU CONTEXTE
La socit Grafik est spcialise dans la production et la distribution de logiciels vnementiels destins des entreprises et des collectivits locales. Les logiciels distribus sont toujours accompagns d'une brochure prsentant l'organisation cliente. Par ailleurs, la socit dispose d'un service rdaction pour l'laboration d'encarts publicitaires et de magazines promotionnels. L'impression des brochures et autres fascicules promotionnels est ralise par un imprimeur situ 160 km environ. Vingt personnes de la socit Grafik sont impliques dans le dveloppement des logiciels, dont quatre en tltravail ( partir de leur domicile) et trois autres chez l'imprimeur pour la mise en forme des imprims. La socit Grafik dispose dj dun rseau informatique reliant les collaborateurs domicile (essentiellement des dveloppeurs) et limprimeur. Vous tes charg de participer lvolution de ce rseau afin d'optimiser les changes internes dans la socit et d'amliorer linterconnexion des diffrents partenaires qui collaborent la ralisation des logiciels et des imprims.

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2011 UC D31 DEESIRS - Sujet

3/16

Partie 1 - Gestion du rseau de la socit Grafik


Annexes 1 4 Le plan du rseau de la socit Grafik est prsent dans l'annexe 1. Le rseau de la socit Grafik dessert le rez-de-chausse et le premier tage de deux btiments distant d'une trentaine de mtres. La socit a mis en place un rseau bas sur une architecture Ethernet 100 Mbit/s commute bidirectionnelle avec des liaisons fibres optiques entre les commutateurs ayant un dbit de 1 Gbit/s. Les serveurs principaux sont placs au premier tage du btiment A dans un local technique. Les personnels sont rpartis sur les deux btiments et sont rattachs trois services : Dveloppement (les stations de travail Dev1 Dev5, l'imprimante Dimp), Administratif / Rdactionnel (les stations de travail Ad1 Ad6, l'imprimante Adimp), Comptabilit (les stations de travail Ac1 Ac6, l'imprimante Acimp). Ces trois services manipulent des donnes plus ou moins sensibles, en consquence la scurit est une proccupation. Pour la configuration des commutateurs, l'administrateur a choisi une solution base sur des VLAN (Virtual Local Area Network) de niveau 1 (annexe 2).

Question 1 Quel intrt y a-t-il utiliser des VLAN ? Prsentez les critres qui plaident en faveur de lutilisation de rseaux locaux virtuels.
La configuration actuelle des commutateurs est spcifie dans le tableau 2. Le plan d'adressage IP des rseaux locaux virtuels est dterminer dans le rseau 192.168.10.0/24.

Question 2 Dterminez le nombre de VLAN dfinir (remplir le tableau 1 de lannexe 4 dans lequel seul le VLAN par dfaut a t spcifi). Question 3 Par dfaut, tous les ports appartiennent au VLAN 1. Dterminez les VLAN auxquels rattacher les ports des commutateurs (remplir le tableau 2 de lannexe 4 en vous rfrant l'annexe 3.) Question 4 Dterminez les sous-rseaux et le plan d'adressage IP (remplir le tableau 3 de lannexe 4). Question 5 Donnez le nombre de domaines de diffusion (broadcast) mis en place par la configuration des commutateurs C2, C3, C4 et C5.
La communication entre les VLAN est assure par la fonction de routage active sur C2, commutateur de niveau 3. Pour constituer la table de routage de C2, une adresse IP est affecte chaque VLAN sur le commutateur C2.

Question 6 Indiquez les paramtres IP configurer sur les serveurs et interface du tableau 4 de lannexe 4.

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2011 UC D31 DEESIRS - Sujet

4/16

Question 7 A titre d'exemple de configuration, donnez la liste des paramtres IP configurer sur les stations Dev1, Ac1 et Ad1 et indiquer leur valeur (tableaux 5 7 de lannexe 4).
Suite une rorganisation des quipes de projet, il est ncessaire de dplacer le poste de travail dun dveloppeur, identifi Dev5, pour l'installer au rez-de-chausse du btiment B. Ce poste est reli par l'intermdiaire d'une prise murale, au port c4e7 du commutateur C4.

Question 8 Expliquer le problme que ce dplacement est susceptible de gnrer. Proposez une solution pour que le poste Dev5 puisse se connecter avec son serveur d'applications partir de son nouvel emplacement.
Tous les postes du rseau peuvent communiquer entre eux grce la fonction de routage active sur C2 qui est un commutateur de niveau 3. Cependant, l'administrateur n'a pas encore ajout dans la table de routage de C2, la route par dfaut pour accder Internet. La syntaxe de la commande pour ajouter une route dans la table de routage de C2 est dcrite dans l'annexe 3.

Question 9 crivez l'instruction qui ajoute une route dans la table de routage de C2 pour autoriser tous les postes du rseau accder Internet.
L'tude des flux sur les rseaux montre qu'aprs le redmarrage de l'ensemble des commutateurs une multitude de trames de diffusion ARP parviennent au portable de l'administrateur. Celui-ci entreprend des recherches sur Internet et obtient des rponses lui expliquant un problme de "tempte de broadcast".

Question 10 Qu'est-ce qu'une "tempte de broadcast" ? Qu'est-ce qui a provoqu ce problme ? Indiquez la fonctionnalit ou le protocole activer sur les commutateurs pour rsoudre ce problme. Question 11 Indiquez les mesures que vous prconisez pour complter la configuration des commutateurs.

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2011 UC D31 DEESIRS - Sujet

5/16

Partie 2 - Interconnexion des collaborateurs


Annexes 1 5 Les pages des imprims sont stockes dans une base de donnes. Elles sont composes de textes et d'images numrises et dattributs de mise en forme. Les flux de communication avec limprimeur sont de simples transferts de donnes composant le magazine : texte, images et attributs de mise en page. La solution utilise actuellement pour relier lentreprise la socit Grafik repose sur une liaison distance Numris 64 Kbit/s point point. L'impression quotidienne des imprims tant en constante augmentation, l'adaptation de la ligne de communication reliant la socit Grafik l'imprimeur devient une priorit. Le responsable du rseau estime en effet que le transfert des pages d'un magazine est trop long. Ainsi, pour le transfert dune page de 300 Ko laquelle sajoutent 15 % de donnes de gestion (des diffrents protocoles mis en uvre lors du transfert), il faut prs de 44 secondes.

Question 1 Dterminez la bande passante minimum ncessaire, exprime en Kbit/s, que doit supporter la liaison pour ramener le temps de transfert d'une page environ 10 secondes (justifier la rponse, prendre 1 Ko = 1 000 octets).
L'administrateur constate que pour obtenir des temps de transfert de pages et un cot acceptables, il va falloir augmenter considrablement les dbits de transfert. Lors d'une runion, la direction de la socit a donn son accord pour augmenter les dbits via Internet. Pour amliorer les capacits d'accs, l'administrateur propose la mise en place d'une technologie ADSL pour les dveloppeurs domicile et dune technologie SDSL pour l'imprimeur. La connexion devra se faire de manire crypte, virtuelle, point point, avec une passerelle VPN ( Virtual Private Network), situe sur le routeur Rte_Grafik de la socit. Elle offrira ainsi aux dveloppeurs et l'imprimeur une extension du rseau priv. Les dveloppeurs domicile pourront se connecter Internet, puis tablir une connexion VPN vers le rseau de la socit. Pour la mise en place de ce tunnel VPN, le routeur Rte_Grafik doit possder une adresse IP publique fixe, utiliser un pare-feu effectuant de la translation d'adresses et tre capable de rediriger une demande vers une adresse IP prive (annexes 1 et 5).

Question 2 Expliquez la dmarche que doit suivre l'administrateur du rseau pour obtenir une adresse IP publique fixe.
Aprs ces dmarches, ladresse IP attribue linterface publique est 66.101.21.12. En plus des accs Internet, les donnes circulant sur le routeur Rte_Grafik proviennent des changes entre l'imprimeur et le serveur de base de donnes Ssgbd ainsi que des changes entre les dveloppeurs domicile et le serveur Intranet Sweb.

Question 3 crivez la table de routage du routeur Rte_Grafik, partir des informations de l'annexe 1.

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2011 UC D31 DEESIRS - Sujet

6/16

Les fonctions de filtrage du routeur Rte_Grafik sont dj actives sur linterface publique 66.101.21.12 et sur l'interface prive 172.16.120.253. Les tableaux ci-dessous donnent un extrait des tables de filtrage correspondant chacune de ces interfaces : Table de filtrage de l'interface publique (66.101.21.12) du routeur Rte_Grafik Port Port Adresse source Adresse destination Protocole source destination Toutes Tous 66.101.21.12/32 tous GRE 66.101.21.12/32 1723 Toutes tous TCP (tabli) Toutes Tous 66.101.21.12/32 1723 TCP Toutes Tous 66.101.21.12/32 500 UDP Toutes Tous 66.101.21.12/32 1701 UDP Toutes Tous 66.101.21.12/32 4500 UDP Toutes Tous Toutes Tous Tous

N de rgle 1 2 3 4 6 7 D

Action Accepter Accepter Accepter Accepter Accepter Accepter Bloquer

N de rgle

Table de filtrage de l'interface 172.16.120.253 du routeur Rte_A'click : Port Adresse Port Protocole Adresse source source destination destination transport

Action

Dfaut

Tous

Toutes

Tous

Tous

Accepter

Question 4 Expliquez les rgles de filtrage 2 et 3 appliques sur l'interface publique.


Lors de la mise en place du tunnel la connexion, le serveur VPN doit attribuer aux dveloppeurs domicile une adresse IP, prise sur une tendue statique allant de 172.16.120.8 172.16.120.15. L'imprimeur, quant lui, doit toujours recevoir l'adresse IP 172.16.120.100. Les dveloppeurs domicile ont accs au serveur de base de donnes Ssgbd et au serveur Intranet Sweb, mais en aucun cas l'imprimeur ne pourra accder au serveur Intranet Sweb. Ni les dveloppeurs domicile, ni l'imprimeur ne doivent avoir accs au rseau interne de la socit.

Question 5 Ajoutez la (les) rgle(s) de filtrage mettre en place sur l'interface 172.16.120.253 du routeur Rte_Grafik, afin de respecter les accs prciss ci-dessus, sachant que laction de la rgle par dfaut est Accepter .

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2011 UC D31 DEESIRS - Sujet

7/16

Partie 3 - Scurit des bases de donnes


Exercice 1

Question 1 Indiquez et expliquez les modes de dmarrage d'une base de donnes oracle. Question 2 Listez, en n'utilisant qu'un seul ordre SQL, le nom complet (y compris le chemin) des fichiers de donnes, des fichiers de journalisation et des fichiers de contrles de la base courante dans un environnement mono session et mono base. Question 3 Comment afficher la taille de chacun des composants de la SGA ainsi que la taille de l'espace libre au niveau de celle-ci ? Question 4 Donnez les mesures prendre en compte pour ajouter un membre un groupe de fichiers de journalisation. Donnez la ou les requte(s) SQL correspondante(s).
Exercice 2

Question 1 Crez un tablespace permanent TBS_PHASE, avec une taille de base de 250M. Il doit pouvoir s'tendre sans intervention manuelle, mais ne doit en aucun cas dpasser les 2 Go. Question 2 Sans utiliser les fonctions de groupage tel, "group by", "sum", .., donnez pour chacun des tablespaces, les informations suivantes : 1. l'espace libre total, 2. l'espace libre minimum, 3. l'espace libre maximum.

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2011 UC D31 DEESIRS - Sujet

8/16

Exercice 3

Question 1 Crez l'utilisateur "COURS", affect au tablespace USERS et limiter son quota 2 Go sur ce tablespace et 250 Mo sur le tablespace TBS_PHASE, cr prcdemment. Question 2 Aprs avoir list les privilges du rle CONNECT, crez les rles RDVLP et RGUEST. Question 3 Le rle RDVLP permet la cration des tables, des index, des squences, des vues, des synonymes et des profils dans n'importe quel schma. RDVLP permet galement la cration de types dans le schma, l'insertion des donnes dans les tables du schma. Question 4 Le rle RGUEST est un rle particulier utilis pour obtenir certains sur une BDD "Test", compose des tables suivantes : Employe(idemp, nom, prenom, salaire, iddept); Departement(iddept, deptnom); RGUEST renfermerait les droits de slection sur les 2 tables prcdentes sauf sur la colonne salaire de la table Employe. La mise jour et l'insertion sur les 2 tables prcdentes sauf sur la colonne salaire. Donnez les requtes ncessaires permettant l'attribution des privilges adquats aux rles RDEV et RGUEST. Comment vrifier l'attribution de ces privilges ? Donnez les requtes correspondantes.

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2011 UC D31 DEESIRS - Sujet

9/16

Annexe 1 Rseau Ethernet de la socit Grafik

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2011 UC D31 DEESIRS - Sujet

10/16

Annexe 2 Rappel sur les VLAN

Les rseaux locaux virtuels (VLAN) permettent de crer des domaines de diffusion, grs par des commutateurs. Une trame ne peut tre associe qu un VLAN et cette trame ne peut tre diffuse que sur les ports du commutateur associs ce VLAN. Une trame ou un port peuvent tre associs un VLAN de manire statique ou dynamique : Statique : chaque port du commutateur est affect un VLAN par ladministrateur, une trame en entre sur ce port sera associe au VLAN du port. On parle de VLAN de niveau 1 ou VLAN par port. Dynamique : chaque port du commutateur se voit affect dynamiquement un VLAN partir dune information contenue dans la trame en entre sur ce port. Cette affectation peut tre dfinie en fonction de ladresse MAC mettrice, de ladresse IP mettrice, dun protocole, etc. contenues dans la trame. On parle de VLAN de niveau 2 (VLAN dadresse MAC) de niveau 3 (VLAN dadresse IP) ou de niveau applicatif (VLAN bas sur les protocoles d'application). On considre quun port de commutateur ne sera associ qu un seul VLAN lexception des ports dinterconnexion 802.1q. Un port 802.1q (dit tagged port) transporte des trames tiquetes avec un en-tte 802.1q qui permet d'associer la trame un VLAN. Ce port est gnralement rserv la communication entre commutateurs. Une trame ne peut tre associe qu un seul VLAN. Chaque VLAN peut tre gr par un commutateur ou par plusieurs et un commutateur peut grer un ou plusieurs VLAN. Lorsqu'un commutateur reoit une trame de diffusion (broadcast), il la transmet dune part l'ensemble des ports sur lesquels sont relis les postes appartenant au mme VLAN que lmetteur, dautre part aux ports 802.1q affects ce VLAN.

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2011 UC D31 DEESIRS - Sujet

11/16

Annexe 3 Configuration des commutateurs et des rseaux locaux virtuels Chaque commutateur dispose dau moins une adresse IP et est administrable sur un seul VLAN. Seul C2 est un commutateur de niveau 3 qui possde une fonction de routage. Il est configur pour assurer la communication entre les rseaux locaux virtuels. La commande pour ajouter une route dans la table de routage de C2 est la suivante : ADD IP ROUTE=ipadd1 INTERFACE=vlan NEXTHOP=ipadd2 [MASK=ipadd3] Paramtres : ROUTE : ipadd1 : dfinit l'adresse IP du rseau destinataire (0.0.0.0 pour la route par dfaut). INTERFACE : vlan : dfinit le VLAN sur lequel est associe la route ajouter (par exemple : INTERFACE=vlan1). NEXTHOP : ipadd2 : dfinit l'adresse IP du prochain saut (routeur) pour cette route. MASK : ipadd3 : dfinit le masque associ cette route (rseau destinataire). Ce paramtre est facultatif. Sil n'est pas dfini, c'est le masque de la classe de l'adresse IP du rseau destinataire qui est utilis (0.0.0.0 pour la route par dfaut).

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2011 UC D31 DEESIRS - Sujet

12/16

Annexe 4 Tableaux remplir (A rendre avec la copie) N Candidat :

Tableau 1 : VLAN configurer N du VLAN 1 Nom du VLAN Default VLAN par dfaut Commentaire

Tableau 2 : Tables grs par les commutateurs Commutateur C 2 Protocole 802.1q activ, ports : c2f1, c2f2 Routage activ Port c2e1 c2e3 c2e5 c2e7 c2e9 c2eb Commutateur C 3 Protocole 802.1q activ, ports : c3f1, c3f2 Routage activ Port c3e1 c3e3 c3e5 c3e7 c3e9 c3eb Poste Sappi Dev2 Dev5 N VLAN c3e2 c3e4 c3e6 c3e8 c3ea c3ec Port Dev1 Dev3 Dimp Poste N VLAN Poste Adimp Sdns Simp N VLAN c2e2 c2e4 c2e6 c2e8 c2ea c2ec Port Sfic Poste Rte_Int N VLAN

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2011 UC D31 DEESIRS - Sujet

13/16

Commutateur C 4 Protocole 802.1q activ, ports : c4f1, c4f2 Routage activ Port c4e1 c4e3 c4e5 c4e7 c4e9 c4eb Commutateur C 5 Protocole 802.1q activ, ports : c5f1, c5f2 Routage activ Port c5e1 c5e3 c5e5 c5e7 c5e9 c5eb Poste Ad6 Ac2 Ac4 Acim N VLAN c5e2 c5e4 c5e6 c5e8 c5ea c5ec Port Ac1 Ac3 Ac5 Scomp Poste N VLAN Poste Ad1 Ad3 Ad5 N VLAN c4e2 c4e4 c4e6 c4e8 c4ea c4ec Port Ad2 Ad4 Dev4 Poste N VLAN

Tableau 3 : VLAN et Adressage IP des VLAN N VLAN Nom du VLAN Sous-rseau IP Masque Passerelle / Adresse d'administration

Tableau 4 : Paramtres IP des serveurs et de l'interface fa 0/0du routeur Rte_Int Hte Simp Sdns Sfic Sappi Fa 0/0 (Rte_Int) Scomp Adresse IP Masque

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2011 UC D31 DEESIRS - Sujet

14/16

Tableau 5 : Paramtres IP de Dev1 Paramtre IP Adresse IP Masque Valeur

Tableau 6 : Paramtres IP de Ac1 Paramtre IP Adresse IP Masque Valeur

Tableau 7 : Paramtres IP de Ad1 Paramtre IP Adresse IP Masque Valeur

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2011 UC D31 DEESIRS - Sujet

15/16

Annexe 5 Le rseau VPN (Virtual Private Network)

Ce rseau VPN utilise soit le protocole PPTP (Point to Point Tunneling Protocol), soit le protocole L2TP (Layer Two Tunneling Protocol) pour tablir une connexion. Le serveur VPN : Le serveur VPN doit possder une adresse IP publique fixe afin que les clients VPN puissent utiliser cette adresse ou un nom DNS correspondant pour tablir leur connexion VPN. Lors de la demande de connexion du client VPN, le serveur VPN attribue aux clients VPN une adresse IP prive prise sur une tendue statique prdfinie. Les paquets VPN entrent sur linterface publique du serveur VPN. Aprs vrification des filtres en entre, celui-ci les dsencapsule du tunnel crypt (dchiffrement des donnes) et envoie le datagramme IP priv en sortie sur linterface prive qui applique les filtres avant de transmettre le paquet vers le rseau priv. Le filtrage du serveur VPN : Le pare-feu doit laisser entrer sur linterface publique les paquets VPN suivants : Pour un tunnel PPTP (Point to Point Tunneling Protocol) : Adresse IP source : adresse IP publique du client VPN source Adresse IP destination : adresse IP publique du serveur VPN destination Port de destination : TCP/1723 (pour ltablissement et la maintenance du tunnel) ID de protocole : GRE/47 (protocole spcifique pour les donnes encapsules dans le tunnel) Pour un tunnel L2TP/IPSec (Layer Two Tunneling Protocol / Internet Protocol Security) : Adresse IP source : adresse IP publique du client VPN source Adresse IP destination : adresse IP publique du serveur VPN destination Port de destination : UDP/500 (pour la gestion des cls dauthentification utilises pour scuriser les informations) Port de destination : UDP/1701 (trafic L2TP) Port de destination : UDP/4500 (IPSec NAT-Transversal)

Fdration Europenne Des Ecoles - European Federation of Schools - Juin 2011 UC D31 DEESIRS - Sujet

16/16