D31 - BE Informatique, Réseaux Et Sécurité - Juin 2020 - Corrigé

FEDERATION EUROPEENNE DES ECOLES
FEDERATION FOR EDUCATION IN EUROPE

OING dotée du statut participatif auprès du Conseil de l’Europe
INGO enjoying participatory status with the Council of Europe
UE D – EXPERTISE PROFESSIONNELLE
Bachelor européen Informatique, réseaux et sécurité
UC D31 - Epreuve écrite - Informatique, réseaux, sécurité
Corrigé
Type d’épreuve : Etude de cas
Durée : 6 heures
Session : Juin 2020
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2020
UC D31 - Informatique, réseaux et sécurité - Corrigé
 Dossier 1 - Administration réseau
Question 1
Proposez un plan d’adressage IP privés de classe C pour les matériels du réseau local et celui de
la DMZ.
3 points (toutes propositions valables seront acceptées)
Les adresses privées de la classe C : 192.168.1.0 à 192.168.255.255

Par exemple :
Du coté réseau local
192.168.80.253 Pour le serveur local
192.168.80.252 Pour le serveur de sauvegarde
Des adresses IP privées pour les pc 192.168.80.100 à 192.168.80.120 distribué par un DHCP
L’adresse du routeur vers le réseau local sera 192.168.80.1
Masque CIDR /24
Du coté DMZ
192.168.200.1 Pour le serveur 1
192.168.200.2 Pour le serveur http2
L’adresse IP du routeur coté DMZ sera 192.168.200.10
Question 2
Proposez un type de serveur web pour la DMZ.
1 point
Par exemple : Apache serveurs http open source pour linux ou Windows, nginx, …
Question 3
Proposez un routeur de votre connaissance.
1 point
N’importe quel routeur Cisco, Netgear, linksys Ou en encore un serveur sur OS linux avec netfilter (IPtables
ou IProute) … ou encore un BSD Router Project (BSDRP). Néanmoins, il serait bien qu’il y ait du wifi pour les
portables.
Question 4
Proposez un switch de votre connaissance.
1 point (toutes propositions valables seront acceptées)
Par exemple : Switching Hub CISCO (SF95D-08-AS) 8 Port (6").
Question 5
Les serveurs HTTP et de bases de données sont dans une DMZ, expliquez en l’objectif en vous
aidant d’un schéma.
2 points
En informatique, une zone démilitarisée est un sous-réseau séparé du réseau local et isolé de celui-ci et
d'Internet (ou d'un autre réseau) par un pare-feu. Ce sous-réseau contient les machines étant susceptibles
d'être accédées depuis Internet comme les serveurs web.
Le pare-feu bloquera donc les accès au réseau local pour garantir sa sécurité. Et les services susceptibles
d'être accédés depuis Internet seront situés en DMZ.
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2020 2/19
En cas de compromission d'un des services dans la DMZ, le pirate n'aura accès qu'aux machines de la DMZ
et non au réseau local.
Schéma :
Question 6
Quelle solution software auriez-vous pu proposer pour installer cette DMZ ?
- Amon : distribution GNU/Linux se basant sur Ubuntu et proposant des outils d'administration.
- SmoothWall : distribution linux packageant Netfilter et d'autres outils de sécurité pour transformer
un PC en pare-feu dédié et complet.
- IPCop : distribution linux packageant Netfilter et d'autres outils de sécurité pour transformer un PC
en pare-feu dédié et complet.
- Ipfire : Dérivé de IPCop, mais avec des idées très nouvelles et de design.
- Endian Firewall, distribution linux packageant Netfilter et d'autres outils de sécurité pour
transformer un PC en pare-feu dédié et complet.
- Pfsense, distribution firewall open source très avancée basée sur FreeBSD et dérivée de m0n0wall
qui utilise entre autres OpenBSD packet Filter.
Question 7
Quelle solution hardware auriez-vous pu proposer pour installer cette DMZ ?
- Cisco Systems : Cisco PIX, Cisco ASA et Cisco FWSM, boîtier pare-feu.
- Nortel : Famille Nortel VPN Router, Famille Nortel Switched Firewall.
- SonicWALL : SonicWALL, pare-feu professionnel UTM (Filtrage Applicatif, Passerelle Antivirus, IPS,
Filtrage de Contenu, Antispams) avec Tunnel VPN IPSEC.
- WatchGuard : Firebox® X, gamme d'appliances de gestion unifiée des menaces (UTM ou Unified
Threat Management).
- ZyXEL : ZyWALL, pare-feu professionnel UTM (Antivirus, filtrage applicatif, IDP, filtrage de contenu,
antispam) avec Tunnel VPN IPSEC et SSL.
Question 8
Les serveurs Web utiliseront HTTPS, expliquez en détail ce protocole.
2 points
Pour éviter que quelqu’un puisse sniffer le réseau pour récupérer des données, on utilise des protocoles
« TLS » ou « SSL » pour le serveur web afin de crypter les trames…
Transport Layer Security (TLS), et son prédécesseur Secure Sockets Layer (SSL), sont des protocoles de
sécurisation des échanges sur Internet. Le protocole SSL a été développé à l'origine par Netscape.
➔ On parle parfois de SSL/TLS pour désigner indifféremment SSL ou TLS.
TLS (ou SSL) fonctionne suivant un mode client-serveur. Il permet de satisfaire aux objectifs de sécurité
suivants :
• L'authentification du serveur.
• La confidentialité des données échangées (ou session chiffrée).
• L'intégrité des données échangées.
• De manière optionnelle, l'authentification du client (mais dans la réalité celle-ci est souvent assurée
par le serveur).
Question 9
Expliquez ce qu’est une architecture C/S N-tiers.
2 points
Dans l'architecture à 3 niveaux (appelée architecture 3-tier), il existe un niveau intermédiaire entre le client
et le serveur, c'est-à-dire que l'on a une architecture partagée entre :
- Le client : le demandeur de ressources.
- Le serveur middleware chargé de fournir un service au client mais faisant appel à un autre serveur…
- Le serveur secondaire : (généralement un serveur de base de données), fournissant un service au
premier serveur qui devient en fait son client…
Dans l'architecture N-tiers, il existe plusieurs niveaux intermédiaires. Un serveur peut utiliser les services
d'un ou plusieurs autres serveurs afin de fournir son propre service.
Dans notre architecture « haute disponibilité » on aura 2 serveurs web (certainement en load balancing et
2 serveurs de base de données qui seront certainement en cluster… afin de résister à une montée en
charge.
Question 10
Définissez ce qu’est la haute disponibilité (ici : web + base de données). Aidez-vous d’un schéma.
3 points
La haute disponibilité (HA) anticipe les difficultés que pourrait rencontrer un internaute. Cela permettra de
mettre en place des actions et des paramètres techniques, pour qu’une infrastructure informatique soit
toujours en mesure de répondre à la requête d’un utilisateur. Cela est possible en appliquant certaines
règles, comme la sauvegarde, la répartition de la charge, la réplication des données, la redondance, etc.,
pour restreindre l’indisponibilité d’un système d’information.
Ici, il y a du « load balancing » (ou répartition de charge) permet de partager les flux entrants sur les
serveurs d’applications ce qui permet de mieux répondre à une forte demande... il faudrait un double SGBd
peut être vu soit comme du « mirroring » soit du « scaling ».
Le FailOver (ou tolérance aux pannes) consiste, quant à lui, à rediriger un internaute vers un serveur de
secours lorsque le serveur principal ne fonctionne pas.
Question 11
Que faudrait-il rajouter dans notre réseau pour être plus en adéquation avec de la haute
disponibilité sécurisée, proposez une architecture.
3 points (toute architecture valable sera acceptée)
Ici, il faudrait rajouter 2 ou 3 serveurs (hardwares) de base de données Oracle en Cluster et un serveur front
pour la distribution des trames… en round robin par exemple.
 Dossier 2 - Filtrage et haute-disponibilité
Question 1
Donnez les 3 différents types de filtrages existants, leurs principes et leurs limites.
3 points
Les 3 types de filtrage sont :

• Le filtrage simple de paquet (Stateless).
• Le filtrage de paquet avec état (Stateful).
• Le filtrage applicatif (ou pare-feu de type proxy ou proxying applicatif).
Le filtrage simple de paquet (Stateless)

Le principe
C’est la méthode de filtrage la plus simple, elle opère au niveau des couches réseau et transport du modèle
Osi. La plupart des routeurs d’aujourd’hui permettent d’effectuer du filtrage simple de paquet. Cela
consiste à accorder ou refuser le passage de paquet d’un réseau à un autre en se basant sur :
• L’adresse IP Source/Destination.
• Le numéro de port Source/Destination.
• Et bien sûr le protocole de niveau 3 ou 4.
Cela nécessite de configurer le Firewall ou le routeur par des règles de filtrages, généralement appelées des
ACL (Access Control Lists).
Les limites
Le premier problème vient du fait que l’administrateur réseau est rapidement contraint à autoriser un trop
grand nombre d’accès, pour que le Firewall offre une réelle protection. Par exemple, pour autoriser les
connexions à Internet à partir du réseau privé, l’administrateur devra accepter toutes les
connexions Tcp provenant de l’Internet avec un port supérieur à 1024. Ce qui laisse beaucoup de choix à un
éventuel pirate.
Il est à noter que de définir des ACL sur des routeurs haut de gamme – c’est à dire, supportant un débit
important – n’est pas sans répercussion sur le débit lui-même.
Enfin, ce type de filtrage ne résiste pas à certaines attaques de type IP Spoofing / IP Flooding, la mutilation
de paquet, ou encore certaines attaques de type DoS.
Ceci est vrai sauf dans le cadre des routeurs fonctionnant en mode distribué. Ceci permettant de gérer les
Acl directement sur les interfaces sans remonter à la carte de traitement central. Les performances
impactées par les Acl sont alors quasi nulles.
Le filtrage de paquet avec état (Stateful)

Le principe
L’amélioration par rapport au filtrage simple, est la conservation de la trace des sessions et des connexions
dans des tables d’états internes au Firewall.
Le Firewall prend alors ses décisions en fonction des états de connexions, et peut réagir dans le cas de
situations protocolaires anormales.
Ce filtrage permet aussi de se protéger face à certains types d’attaques DoS.
L'application des règles est possible sans lire les ACL à chaque fois, car l'ensemble des paquets appartenant
à une connexion active seront acceptés.
Les firewalls stateful étant capables de vérifier l'état des sessions, ils sont capables de détecter les
tentatives excessives de demande de connexion. Il est possible, en autre, ne pas accepter plus d'une
demande de connexion par seconde pour un client donné.
Les limites
Mais ce type de firewall ne protège pas contre l'exploitation des failles applicatives, qui représentent la part
la plus importante des risques en termes de sécurité.
Le filtrage applicatif (ou pare-feu de type proxy ou proxying applicatif)
Le principe
Le filtrage applicatif est, comme son nom l’indique, réalisé au niveau de la couche Application. Pour cela, il
faut bien sûr pouvoir extraire les données du protocole de niveau 7 pour les étudier. Les requêtes sont
traitées par des processus dédiés, par exemple une requête de type Http sera filtrée par un processus proxy
Http. Le pare-feu rejettera toutes les requêtes qui ne sont pas conformes aux spécifications du protocole.
Cela implique que le pare-feu proxy connaisse toutes les règles protocolaires des protocoles qu’il doit
filtrer.
Les limites
Le premier problème qui se pose est la finesse du filtrage réalisé par le proxy. Il est extrêmement difficile de
pouvoir réaliser un filtrage qui ne laisse rien passer, vu le nombre de protocoles de niveau 7. En outre le fait
de devoir connaître les règles protocolaires de chaque protocole filtré pose des problèmes d’adaptabilité à
de nouveaux protocoles ou des protocoles maisons.
Ce traitement est très gourmand en temps de calcul dès que le débit devient très important. Mais Il est
justifié par le fait que de plus en plus de protocoles réseaux utilisent un tunnel TCP afin de contourner le
filtrage par ports.
Une autre raison de l'inspection applicative est l'ouverture de ports dynamique. Certains protocoles comme
FTP, en mode passif, échangent entre le client et le serveur des adresses IP ou des ports TCP/UDP.
Ces protocoles sont dits « à contenu sale » ou « passant difficilement les pare-feu » car ils échangent au
niveau applicatif (FTP) des informations du niveau IP (échange d'adresses) ou du niveau TCP (échange de
ports). Ce qui transgresse le principe de la séparation des couches réseaux. Pour cette raison, les protocoles
« à contenu sale » passent difficilement voire pas du tout les règles de NAT ...dynamiques, à moins qu'une
inspection applicative ne soit faite sur ce protocole.
Question 2
Sur quelles couches OSI travaille le firewall « NETFILTER » ?
2 points
Netfilter est un cadriciel (framework) implémentant un pare-feu au sein du noyau Linux netfilter travaille
sur les couches 2, 3, 4 et applicatives (niveau socket).
Une des caractéristiques importantes construites sur le framework Netfilter est Connection Tracking. CT
permet au noyau de garder la trace de toutes les connexions réseau logiques ou de sessions, et, par
conséquent, porte tous les paquets qui composent cette connexion. NAT s'appuie sur cette information
pour traduire tous les paquets de la même manière, et iptables peut utiliser cette information pour agir
comme un pare-feu avec persistance.
Question 3
Pensez-vous que NETFILTER et PFSENSE puissent travailler ensemble ?
1 point
Oui. L’un est un routeur/firewall que vous pouvez voir comme un OS, et qui peux protéger votre LAN,
l’autre est un logiciel que vous pouvez configurer sur un serveur afin de le protéger.
Question 4
Donnez les commandes « IPtables » du firewall pour :
- Supprimer les règles déjà existantes.
1 point
iptables -F
iptables -X
- Définir la « policy » suivante : « On interdit tout ».
1 point
iptables -t filter -P INPUT DROP

iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP
- Autoriser le loop-back.
1 point
iptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPT
- Laisser passer 5 tentatives de Ping puis n'en laisser passer que 2 par minute.
2 points (Une solution équivalente sera acceptée avec hashlimit, …)
iptables -A INPUT -p icmp --icmp-type ping -m limit --limit 2/minute --limit-burst 5 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type ping -m limit --limit 2/minute --limit-burst 5 -j ACCEPT
- Quel est l’objectif de cette dernière règle ?
1 point
Pour lutter contre les attaques par ipflooding les attaques en Dos.
- Autoriser les connexions SSH depuis un poste de travail en 172.10.4.21.
1 point
# SSH In
iptables -t filter -A INPUT –s 172.10.4.21.-p tcp --dport 22-j ACCEPT
# SSH Out
iptables -t filter -A OUTPUT -s 172.10.4.21.-p tcp --dport 22 -j ACCEPT
Question 5
Expliquez les commandes suivantes d’un NETFILTER installé sur le « Front server » :
a) iptables -A PREROUTING -t nat -p tcp -d 172.10.4.25 --dport 443 -j DNAT
--to-destination 10.0.0.2:8085
1 point
La méthode DNAT modifie l'en-tête de destination des paquets IP et TCP. Les en-têtes IP et TCP doivent
être réécrits. L'IP de destination de notre paquet doit donc être réécrit en 10.0.0.2 donc renvoyé sur le
server 1 et le port de destination réécrit en 8085.
b) iptables -A POSTROUTING -t nat -p tcp -d 10.0.0.2 --dport 8085 -j SNAT

--to-source 10.0.0.1
1 point
La raison est que le serveur ne sait pas comment répondre à ce client car l'IP source définie sur 172.10.4.25
n'est pas sur son réseau.
La solution consiste également à modifier l'IP source et les en-têtes de port source sur le serveur frontal.
Cela se fait à l'aide de la méthode SNAT.
c) iptables -t filter -P FORWARD DROP

iptables -t filter -A FORWARD -d 10.0.0.2 --dport 8085 -j ACCEPT
iptables -t filter -A FORWARD -s 10.0.0.2 --sport 8085 -j ACCEPT
1 point
Autoriser le passage des trames avec le port 8085 vers et depuis le poste 10.0.0.2.
Question 6
Quel est l’objectif des règles suivantes ? Qu’en pensez-vous ?
2 points
Pour équilibrer la charge entre plusieurs hôtes, une solution consiste à modifier la règle DNAT afin qu'elle
ne redirige pas toujours les clients vers un seul nœud mais les répartisse sur plusieurs nœuds.
Problème : le moteur iptables est déterministe et c’est la première règle de correspondance qui sera
toujours utilisée. Dans cet exemple, le serveur 1 obtiendra toutes les connexions.
Question 7
De nouvelles règles sont maintenant appliquées, quel en est l’objectif ? Quel algorithme est
utilisé ? Expliquez-le succinctement.
2 points
C’est l’algorithme “Round Robin”.

Cet algorithme implémente un algorithme à tour de rôle.
Cet algorithme prend deux paramètres différents : chaque (n) et paquet (p).
La règle sera évaluée tous les n paquets à partir du paquet p.
Définition : Round-robin (RR) est un algorithme d'ordonnancement courant dans les systèmes
d'exploitation et est adapté aux systèmes travaillant en temps partagés.
Une petite unité de temps, appelé time quantum ou time slice, est définie. La file d'attente est gérée
comme une file circulaire. L'ordonnanceur parcourt cette file et alloue un temps processeur à chacun des
processus pour un intervalle de temps de l'ordre d'un quantum au maximum.
 Dossier 3 - Routages et VPN
Question 1
Expliquez les différences entre les routages : OSPF, RIP et BGP.
5 points
Rip est un algorithme hop count (comptage de sauts) ou distance vector pour déterminer la meilleure
route, chaque routeur diffuse à espace régulier sa table de routage à ses voisins, si le réseau est grand, ça
peut finir par faire une occupation de bande passante énorme.
Ospf est un algorithme link state (état des liens) chaque routeur calcule sa table de routage dans son coin (il
lui faut de la puissance de calcul et pas mal de mémoire) mais ne diffuse que les changements d'état sur ses
liens et sa présence, donc peu de bande passante utilisée.
OSPF gère ses propres fonctions de détection et de correction d’erreur.
Alors que le protocole RIP utilisant le nombre de sauts pour calculer la métrique, OSPF utilise l’algorithme
SPF (Shortest Path First) pour sélectionner le meilleur chemin. RIP utilise beaucoup de bande passante car il
envoie des mises à jour périodiques, mais OSPF n’annonce que les modifications dans un réseau.
RIP prend 30-60 secondes pour converger, mais OSPF converge immédiatement, même dans un plus grand
réseau.
RIP peut atteindre jusqu’à 15 routeurs, mais OSPF peut atteindre un nombre illimité de sauts. Par
conséquent, RIP peut être utilisé dans des réseaux plus petits et OSPF peut être utilisé dans des réseaux
plus grands.
OSPF est un protocole de routage de passerelle intérieure dans lequel l’opération de routage est effectuée
dans un système autonome (SA). Tandis que, le protocole BGP est un protocole de routage de passerelle
extérieur qui permet d’effectuer les opérations de routage entre deux systèmes autonomes (SA).
Le protocole BGP est utilisé sur les réseaux à grande échelle, comme Internet, tandis que le protocole OSPF
est utilisé sur les réseaux sous la même administration.
BGP est plus compliqué qu’OSPF, car il utilise divers attributs pour déterminer le meilleur chemin pour un
datagramme.
Le protocole OSPF est un protocole de routage de passerelle intérieure, tandis que BGP est un protocole de
routage de passerelle extérieure. Le protocole OSPF est basé sur le routage d’état des liens où chaque
routeur envoie l’état du routeur voisin à chaque routeur présent dans la zone. D’autre part, BGP est basé
sur un routage à vecteur de chemins où un routeur dispose d’une liste de réseaux pouvant être atteints
avec le chemin d’accès à chacun d’eux.
Question 2
Expliquez ce qu’est un VPN et donnez plusieurs types de protocoles utilisés.
4 points
Un VPN (Virtual Private Network) est un réseau virtuel s’appuyant sur un autre réseau comme Internet. Il
permet de faire transiter des informations, entre les différents membres de ce VPN, le tout de manière
sécurisée.
On peut considérer qu’une connexion VPN revient à se connecter en réseau local mais en utilisant Internet.
On peut ainsi communiquer avec les machines de ce réseau en prenant comme adresse de destination,
l’adresse IP local de la machine que l’on veut atteindre.
Il existe plusieurs types de VPN fonctionnant sur différentes couches réseau, voici les VPN que nous
pouvons mettre en place sur un serveur dédié ou à la maison :
- PPTP : Facile à mettre en place, mais beaucoup d’inconvénients liés à la lourdeur du protocole de
transport GRE, le matériel réseau (routeur ADSL, wifi, doit être compatible avec le PPTP).
- Ipsec : Plus efficace que le PPTP en termes de performance, mais aussi très contraignant au niveau
de la mise en place.
- OpenVPN : La Rolls des VPN, il suffit de se prendre un peu la tête sur la mise en place, mais son
utilisation est très souple.
Question 3
Quel est l’intérêt d’un VPN « overlay » ?
2 points
Un VPN permet d'accéder à des ordinateurs distants comme si l'on était connecté au réseau local.
On peut ainsi avoir un accès au réseau interne (réseau d'entreprise, par exemple).
Le VPN permet également de construire des réseaux overlay, en construisant un réseau logique sur un
réseau sous-jacent, faisant ainsi abstraction de la topologie de ce dernier. Donc même adresse réseau.
Question 4
Donnez les commandes Cisco pour configurer les 3 routeurs en routage RIP.
6 points
Pour R1:
Router#configure terminal
Router(config)#hostname R1
R1(config)#interface FastEthernet 0/1

R1(config-if)#ip address 192.168.1.254 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config-if)#exit
R1(config)#router rip
R1(config-router)#version 2
R1(config-router)#no auto-summary
R1(config-router)#network 192.168.1.0
R1(config-router)#exit
Pour R2

R2(config-if)#exit
R2(config-if)#exit
Pour R3

R3(config-if)#exit
R3(config-if)#exit
Question 5
« group 5 » identifie de la méthode « Diffie-Hellman », à quoi correspond-elle ?
2 points
Cette méthode est utilisée dans les échanges du protocole IKE pour générer un secret partagé entre les
deux extrémités de façon sécurisée. Avec cette méthode, un « observateur » ayant capturé les échanges
IKE ne peut pas remonter au secret partagé.
L’objectif de Diffie-Hellman est de permettre l’établissement d’une clé privée entre deux parties, via
l’échange de messages sur un canal non sécurisé. Lors de l’établissement d’une clé avec Diffie-Hellman, les
messages sont en effet envoyés en clair sur le réseau, et toute personne qui intercepte les messages
transmis ne doit pas pouvoir en déduire la clé générée.
Question 6
Le protocole IKE est composé de 2 phases : expliquez-les succinctement.
3 points
Ce secret partagé est utilisé pour calculer une valeur qui sert ensuite aux calculs des clés utilisées dans les
phases 1 et 2 du protocole IKE.
La phase 1 configure une authentification mutuelle des entités homologues, négocie des paramètres
cryptographiques et crée des clés de sessions.
La phase 2 d'IKE négocie un tunnel IPSec en créant des éléments de création de clé pour le tunnel IPSec à
utiliser (soit en utilisant les clés de la phase 1 d'IKE, soit en effectuant un nouvel échange de clés).
 Dossier 4 - Sécurité des SI
Question 1
Expliquez-les termes : vulnérabilités, attaques, contre-mesures et menaces.
2 points
- Les vulnérabilités : ce sont les failles de sécurité dans un ou plusieurs systèmes. Tout système vu
dans sa globalité présente des vulnérabilités, qui peuvent être exploitables ou non.
- Les attaques (exploits) : elles représentent les moyens d'exploiter une vulnérabilité. Il peut y avoir
plusieurs attaques pour une même vulnérabilité mais toutes les vulnérabilités ne sont pas
exploitables.
- Les contre-mesures : ce sont les procédures ou techniques permettant de résoudre une
vulnérabilité ou de contrer une attaque spécifique (auquel cas il peut exister d'autres attaques sur
la même vulnérabilité).
- Les menaces : ce sont des adversaires déterminés capables de monter une attaque exploitant une
vulnérabilité.
Question 2
Expliquez ce qu’est le social engineering.
1 point
Le social engineering, ou en français la manipulation sociale, consiste a pousser une personne à faire
certaines choses ou à révéler des informations sans les lui demander directement, d’où le terme de
manipulation...
L’être humain est la pièce fragile : il existe des tas de raisons pour divulguer des secrets, de la simple
inattention à l’obligation, il existe de nombreux moyens de "persuader" une personne de vous donner une
information, en insufflant la peur, la confiance, la sympathie, l’argent, il est possible de rebrancher un
ordinateur, de transmettre une fausse information, de vous indiquer un mot de passe.
Les médias utilisés : La grande majorité des tentatives se fait par téléphone : la simplicité et le quasi-
anonymat que confère le téléphone sont des atouts non négligeables pour l’attaquant.
Question 3
En quoi consiste l’« ip spoofing ».
1 point
L’IP spoofing consiste à modifier les paquets IP afin de faire croire au firewall qu’ils proviennent d’une
adresse IP considérée comme « de confiance ».
Par exemple, une IP présente dans le réseau local de l’entreprise. Cela laissera donc toute latitude au
hacker de passer outre les règles du firewall afin d’envoyer ses propres paquets dans le réseau de
l’entreprise.
Question 4
Donnez les 2 utilisations possibles d’une attaque par « IP Spoofing » ?
2 points
L'IP Spoofing : l’attaquant usurpe n’importe quelle source IP et ainsi espère ne pas être retracé.
Cette attaque peut être utilisée de deux manières différentes :
- La première utilité de l'IP Spoofing va être de falsifier la source d'une attaque. Par exemple, lors
d'une attaque de type déni de service, l'adresse IP source des paquets envoyés sera falsifiée pour
éviter de localiser la provenance de l'attaque.
- L'autre utilisation de l'IP Spoofing va permettre de profiter d'une relation de confiance entre deux
machines pour prendre la main sur l'une des deux.
Question 5
Les VPN offrent-il une protection contre les attaques par « IP Spoofing » ?
2 points
Oui, par exemple IPSec va chiffrer les entêtes des paquets, et ainsi rendre impossible leur modification par
un intrus, et surtout, l’intrus ne pourra générer de paquets comme provenant de ce réseau local, ce dernier
n’ayant pas la clé nécessaire au cryptage. Les algorithmes utilisés dans de tels protocoles sont de type RSA.
Question 6
Expliquez les attaques DOS et DDOS.
1 point
Le DOS, ou Denial Of Service attack, consiste à envoyer le plus de paquets possibles vers un serveur,
générant beaucoup de trafic inutile, et bloquant ainsi l’accès aux utilisateurs normaux. Le DDOS, pour
Distributed DOS, implique de venir de différentes machines simultanées, cette action étant le plus souvent
déclenchée par un virus : ce dernier va d’abord infecter nombre de machines, puis à une date donnée, va
envoyer depuis chaque ordinateur infecté des paquets inutiles vers une cible donnée.
On appelle aussi ce type d’attaque « flood ».
Question 7
Les firewalls offrent-il une protection contre ces attaques DOS et DDOS ?
2 points
Les firewalls n’ont que peu d’utilité. En effet, une attaque DOS ou DDOS utilise le plus souvent des adresses
sources différentes et souvent, il est impossible de distinguer ces paquets des autres… Certains firewalls
offrent une protection basique contre ce genre d’attaque, par exemple en droppant les paquets si une
source devient trop gourmande, mais généralement, ces protections sont inutiles.
Cette attaque brute reste un des gros problèmes actuels, car elle est très difficilement évitable.
Question 8
Qu’est-ce que le « drive-by download » ?
2 points
Les attaques par téléchargement furtif sont une méthode de propagation des logiciels malveillants. Le
pirate insère un virus sur une page d’un site non sécurisé et infecte les ordinateurs de ceux qui le visitent
qui ont des failles de sécurité comme par exemple, des mises à jour non installées.
Question 9
Définissez ce que sont les « ransomwares ».
1 point
C’est un type de logiciel malveillant qui crypte les données d’un ordinateur et exige de leur propriétaire
d'envoyer de l'argent en échange de la clé qui permettra de les déchiffrer.
Question 10
Expliquez ce qu’est le « Smurf ».
2 points
C'est un ping flooding un peu particulier. C'est une attaque axée réseaux, faisant partie de la grande famille
des Refus De Service (DOS : Denial Of Service).
Ce procédé est décomposé en deux étapes :
• La première est de récupérer l'adresse IP de la cible par spoofing.
• La seconde est d'envoyer un flux maximal de packets ICMP ECHO (ping) aux adresses de Broadcast.
Chaque ping comportant l'adresse spoofée de l'ordinateur cible.
Si le routeur permet cela, il va transmettre le broadcast à tous les ordinateurs du réseau, qui vont répondre
à l'ordinateur cible. La cible recevra donc un maximum de réponses au ping, saturant totalement sa bande
passante.
Question 11
Parmi les algorithmes suivants, lequel est le plus sécurisé : WEP, WPA ou WPA2 ? Expliquez.
2 points
Wired Equivalent Privacy (WEP) est l’algorithme le plus largement utilisé de la sécurité Wi-Fi dans le
monde.
Il ne faut pas utiliser le WEP car le fait que son IV (Vecteur d’Initialisation) n’ait une taille que de 24 bits
permet à des pirates de calculer toutes les possibilités de valeurs en quelques secondes.
Le WPA est une sorte de rustine en attendant le 802.11i.

WPA a été conçu pour être utilisé en collaboration avec un serveur d'identification 802.1X chargé de
distribuer les différentes clés à chaque utilisateur. Cependant, il peut aussi être utilisé dans un mode moins
sécurisé, appelé pre-shared key (PSK), dans lequel tous les utilisateurs partagent une même phrase secrète.
Le WPA2 est une solution de sécurisation poussée des réseaux WiFi. Il s’appuie sur l’algorithme de
chiffrement TKIP, comme le WPA, mais supporte également le chiffrement symétrique AES (Advanced
Encryption Standard), beaucoup plus robuste que TKIP
 Dossier 5 - Sécurité des bases de données
Dans la DMZ on vous demande d’installer 2 serveurs de base de données ORACLE en Cluster.
Question 1
Expliquez ce qu’est un cluster de base de données, et ses objectifs.
4 points
Un cluster est un groupe de deux ou plusieurs serveurs indépendants fonctionnant comme un système
unique.
Un cluster de serveurs de base de données peut permettre l’obtention d’une solution avec haute
disponibilité (garantissant ainsi une protection contre les pannes matérielles ou facilitant le mise en place
des arrêts planifiés de maintenance) ou encore augmenter la performance I/O de votre service de base de
données.
Question 2
Qu’est-ce qu’une instance Oracle ?
4 points
L'instance est en fait la composition de 2 sous-ensembles :

- Une zone mémoire : La SGA, elle va servir à stocker les données issues des fichiers de données sur
le disque dur. Afin de pouvoir les partager entre les différents processus.
- Des processus d'arrière-plan qui vont servir à gérer les transferts de données entre la mémoire et le
disque dur, plus d'autres actions nécessaires au bon fonctionnement de la base de données.
L'instance est indispensable au bon fonctionnement d'une base de données Oracle. Sans instance il ne vous
sera pas possible d'accéder à la base de données.
Il faut savoir qu'une instance ne pourra être assignée qu'à une seule base de données (sauf en
environnement RAC).
Question 3
On vous demande de créer un utilisateur « Icad » avec le mot de passe « passicad » en lui
octroyant le rôle DBA, donnez le code SQL correspondant.
2 points
CREATE USER icad IDENTIFIED BY passicad;

GRANT CONNECT TO icad;
GRANT DBA TO icad WITH ADMIN OPTION;
Question 4
Le "SQL Injection" est une méthode d'exploitation de faille de sécurité sur une base de données.
Expliquez ce que c’est, et comment s’en protéger dans Oracle.
3 points
Elle permet d'injecter des requête SQL non prévu par le système via des formulaires par exemple et
pouvant compromettre la sécurité de la base de données.
La seule protection possible est dans le code.
Dans le cas général il est possible d’utiliser des fonctions comme mysqli_real_escape_string qui protège
une commande SQL de la présence de caractères spéciaux. Il est aussi possible d’utiliser des requêtes
préparées ou encore des fonctions stockées.
Question 5
Donnez 4 conseils que vous pourriez utiliser pour la sécurité des bases de données.
2 points
- Changer le mot de passe par défaut et régulièrement.

- Refuser les connexions distantes par firewall.
- Supprimer les comptes inutiles.
- Supprimer les bases de données exemples ou inutiles.
- Activer les logs et les externaliser.
- Exécuter le service avec un compte de service.
- Restreindre les privilèges des utilisateurs.
- Chiffrer les données stockées.
 Dossier 6 - Publi key infrastructure (PKI)
Question 1
Expliquez ce qu’est une PKI et les services principaux attendus.
5 points
Une PKI (Public Key Infrastructure) ou une IGC (Infrastructure de Gestion des Clés) est un ensemble de
logiciels, machines et procédures permettant de gérer des certificats.
Techniquement une infrastructure à clé publique utilise des mécanismes de signature et certifie des clés
publiques qui permettent de chiffrer et de signer des messages ainsi que des flux de données, afin d'assurer
la confidentialité, l'authentification, l'intégrité et la non-répudiation.
Les services attendus d'une PKI sont les suivants :
• Création des certificats (enregistrement des utilisateurs ou des équipements informatiques,
vérification des données d'identification, cohérence de ces informations).
• Gestion des certificats (publication, renouvellement, révocation).
• Gestion et publication de la liste des certificats révoqués (listes de révocation).
• Identification et authentification des utilisateurs accédant à la PKI.
• Archivage, séquestre et recouvrement des certificats
Question 2
Techniquement une PKI utilise 2 types de chiffrement, lesquels ? Expliquez.
2 points
- Chiffrement à clé secrète (symétrique) : l’émetteur utilise une clé pour chiffrer le message et le
destinataire utilise la même clé (le même algorithme mais en sens inverse) pour déchiffrer le
message.
- Chiffrement à clé publique (asymétrique) : Un message chiffré avec une clé publique donnée ne
peut être déchiffré qu’avec la clé privée correspondante.
Par exemple si A souhaite envoyer un message chiffré à B, il le chiffrera en utilisant la clé publique de B (qui
peut être publié dans l'annuaire). La seule personne qui déchiffre le message est le détenteur de la clé
privée de B.
Question 3
Donnez un nom d’algorithme pour chacun des types de chiffrement.
3 points
Symétrique : DES;AES.
Asymétrique : RSA.
Question 4
Expliquez le fonctionnement d’un certificat X509.
5 points
Une autorité de certification attribue un certificat liant une clé publique à un nom distinctif (Distinguished
Name) dont le format est défini par la recommandation X.500, ou encore à un nom alternatif (Alternative
Name) tel qu'une adresse électronique ou un enregistrement DNS.
Ce certificat place la signature d'une autorité de certification dans le dernier champ. Concrètement cette
signature est réalisée par un condensat de tous les champs précédents du certificat et un chiffrement de ce
condensat par la clé privée de l'autorité de certification.
N'importe qui possédant la clé publique de cette autorité de certification peut déchiffrer le condensat et le
comparer au calcul de son propre condensat du certificat. Si les deux condensats sont identiques cela
garantit que le certificat est intègre, il n'a pas été modifié. Le certificat de l'autorité de certification qui
contient sa clé publique peut à son tour être signé par un autre certificat de plus haut niveau, formant ainsi
une chaîne. Tout en haut de la chaîne on trouve les certificats les plus importants : les certificats racine.
GRILLE DE NOTATION
UC D31 - Epreuve écrite - Informatique, réseaux, sécurité
NOM ET PRENOM DU CORRECTEUR_______________________________________________________
N° de candidat__________________
Dossier Note attribuée Observations obligatoires
Dossier 1 - Administration
/20
Réseau
Dossier 2 - Filtrage et haute-

/20
disponibilité
Dossier 3 - Routages et VPN /22
Dossier 4 - Sécurité des SI /18
Dossier 5 - Sécurité des bases de

/15
données
Dossier 6 - PKI /15
Présentation et orthographe /10
TOTAL /120
Appréciation générale :
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
Fait à _______________________________________ le ____________
Signature :

D31 - BE Informatique, Réseaux Et Sécurité - Juin 2020 - Corrigé

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

D31 - BE Informatique, Réseaux Et Sécurité - Juin 2020 - Corrigé

Transféré par

Droits d'auteur :

Formats disponibles

FEDERATION EUROPEENNE DES ECOLES

FEDERATION FOR EDUCATION IN EUROPE

Bachelor européen Informatique, réseaux et sécurité

UC D31 - Epreuve écrite - Informatique, réseaux, sécurité

Type d’épreuve : Etude de cas

Session : Juin 2020

3 points (toutes propositions valables seront acceptées)

Les adresses privées de la classe C : 192.168.1.0 à 192.168.255.255

1 point (toutes propositions valables seront acceptées)

Par exemple : Switching Hub CISCO (SF95D-08-AS) 8 Port (6").

1 point (toutes propositions valables seront acceptées)

1 point (toutes propositions valables seront acceptées)

3 points (toute architecture valable sera acceptée)

Les 3 types de filtrage sont :

Le filtrage simple de paquet (Stateless)

Le filtrage de paquet avec état (Stateful)

- Définir la « policy » suivante : « On interdit tout ».

iptables -t filter -P INPUT DROP

iptables -A INPUT -i lo -j ACCEPT

2 points (Une solution équivalente sera acceptée avec hashlimit, …)

- Quel est l’objectif de cette dernière règle ?

- Autoriser les connexions SSH depuis un poste de travail en 172.10.4.21.

b) iptables -A POSTROUTING -t nat -p tcp -d 10.0.0.2 --dport 8085 -j SNAT

c) iptables -t filter -P FORWARD DROP

C’est l’algorithme “Round Robin”.

R1(config)#interface FastEthernet 0/1

R2(config)#interface FastEthernet 0/1

R3(config)#interface FastEthernet 0/1

Le WPA est une sorte de rustine en attendant le 802.11i.

 Dossier 5 - Sécurité des bases de données

L'instance est en fait la composition de 2 sous-ensembles :

CREATE USER icad IDENTIFIED BY passicad;

- Changer le mot de passe par défaut et régulièrement.

NOM ET PRENOM DU CORRECTEUR_______________________________________________________

Dossier Note attribuée Observations obligatoires

Dossier 2 - Filtrage et haute-

Dossier 3 - Routages et VPN /22

Dossier 4 - Sécurité des SI /18

Dossier 5 - Sécurité des bases de

Dossier 6 - PKI /15

Présentation et orthographe /10

Fait à _______________________________________ le ____________

Vous aimerez peut-être aussi

Fait à ___________________________ le