FEDERATION EUROPEENNE DES ECOLES

FEDERATION FOR EDUCATION IN EUROPE

OING dotée du statut participatif auprès du Conseil de l’Europe
INGO enjoying participatory status with the Council of Europe

UE D – EXPERTISE PROFESSIONNELLE

Bachelor européen Informatique, réseaux et sécurité

UC D31 - Epreuve écrite - Informatique, réseaux, sécurité

L’utilisation de la calculatrice est autorisée

Type d’épreuve : Etude de cas

Durée : 6 heures

Session : Juin 2020

© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2020
UC D31 - Informatique, réseaux et sécurité - Sujet
 UC D31 - EPREUVE ECRITE - INFORMATIQUE, RESEAUX, SECURITE

BAREME DE NOTATION

Dossier 1 - Administration réseau 20 points

Dossier 2 - Filtrage et haute-disponibilité 20 points

Dossier 3 - Routages et VPN 22 points

Dossier 4 -Sécurité des SI 18 points

Dossier 5 - Sécurité des bases de données 15 points

Dossier 6 - PKI 15 points

Présentation et orthographe 10 points

Total 120 points

LISTE DES ANNEXES

Annexe 1 Résumé WPA et WPA2 ...................................................................................................... Page 9

Annexe 2 Ports usuels ..................................................................................................................... Page 10
Annexe 3 Netfilter IPTABLE ...................................................................................................... Pages 11-13
Annexe 4 Commandes de bases sur un switch et/ou un routeur Cisco.......................................... Page 14
Annexe 5 Aide SQL ........................................................................................................................... Page 15

© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2020 2/15
UC D31 - Informatique, réseaux et sécurité - Sujet
  Dossier 1 - Administration réseau

Une Start-up de développement d’applications propose des web services à ses clients. Son système
informatique, relativement standard, est représenté ci-dessous. Il est composé de :
• 1 serveur du réseau local,
• 1 serveur de sauvegarde,
• 6 stations de travail fixes,
• des portables,
• 1 switch,
• 1 routeur firewall,
• d’une Zone DMZ dans laquelle se trouve 2 serveurs (Web + bases de données oracle).

Schéma réseau :

Question 1
Proposez un plan d’adressage IP privés de classe C pour les matériels du réseau local et celui de
la DMZ.

Question 2
Proposez un type de serveur web pour la DMZ.

Question 3
Proposez un routeur de votre connaissance.

Question 4
Proposez un switch de votre connaissance.

Question 5
Les serveurs HTTP et de bases de données sont dans une DMZ, expliquez en l’objectif en vous
aidant d’un schéma.

Les firewalls seront installés sur les serveurs linux, avec « netfilter ».

Question 6
Quelle solution software auriez-vous pu proposer pour installer cette DMZ ?

© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2020 3/15
UC D31 - Informatique, réseaux et sécurité - Sujet
Question 7
Quelle solution hardware auriez-vous pu proposer pour installer cette DMZ ?

Question 8
Les serveurs Web utiliseront HTTPS, expliquez en détail ce protocole.

Dans la DMZ, on désire créer une architecture C/S N-tiers « haute disponibilité ».

Question 9
Expliquez ce qu’est une architecture C/S N-tiers.

Question 10
Définissez ce qu’est la haute disponibilité (ici : web + base de données). Aidez-vous d’un schéma.

Question 11
Que faudrait-il rajouter dans notre réseau pour être plus en adéquation avec de la haute
disponibilité sécurisée, proposez une architecture.

 Dossier 2 - Filtrage et haute-disponibilité

Question 1
Donnez les 3 différents types de filtrages existants, leurs principes et leurs limites.

Question 2
Sur quelles couches OSI travaille le firewall « NETFILTER » ?

Question 3
Pensez-vous que NETFILTER et PFSENSE puissent travailler ensemble ?

Question 4
Donnez les commandes « IPtables » du firewall pour :
- Supprimer les règles déjà existantes.
- Définir la « policy » suivante : « On interdit tout ».
- Autoriser le loop-back.
- Laisser passer 5 tentatives de Ping puis n'en laisser passer que 2 par minute.
- Quel est l’objectif de cette dernière règle ?
- Autoriser les connexions SSH depuis un poste de travail en 172.10.4.21.

Si on simplifie le schéma de la DMZ en ce qui concerne le « load balancing » par le schéma suivant :

© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2020 4/15
UC D31 - Informatique, réseaux et sécurité - Sujet
Question 5
Expliquez les commandes suivantes d’un NETFILTER installé sur le « Front server ».
a) iptables -A PREROUTING -t nat -p tcp -d 172.10.4.25 --dport 443 -j DNAT
--to-destination 10.0.0.2:8085

b) iptables -A POSTROUTING -t nat -p tcp -d 10.0.0.2 --dport 8085 -j SNAT

--to-source 10.0.0.1

c) iptables -t filter -P FORWARD DROP

iptables -t filter -A FORWARD -d 10.0.0.2 --dport 8085 -j ACCEPT
iptables -t filter -A FORWARD -s 10.0.0.2 --sport 8085 -j ACCEPT

Question 6
Quel est l’objectif des règles suivantes ? Qu’en pensez-vous ?
iptables -A PREROUTING -t nat -p tcp -d 172.10.4.25 --dport 443
-j DNAT --to-destination 10.0.0.2:8080
iptables -A PREROUTING -t nat -p tcp -d 172.10.4.25 --dport 443
-j DNAT --to-destination 10.0.0.3:8080
iptables -A PREROUTING -t nat -p tcp -d 172.10.4.25 --dport 443
-j DNAT --to-destination 10.0.0.4:8080

Question 7
De nouvelles règles sont maintenant appliquées, quel en est l’objectif ? Quel algorithme est
utilisé ? Expliquez-le succinctement.
iptables -A PREROUTING -t nat -p tcp -d 172.10.4.25 --dport 443
-m statistic --mode nth --every 3 --packet 0
-j DNAT --to-destination 10.0.0.2:8080
iptables -A PREROUTING -t nat -p tcp -d 172.10.4.25 --dport 443
-m statistic --mode nth --every 2 --packet 0
-j DNAT --to-destination 10.0.0.3:8080
iptables -A PREROUTING -t nat -p tcp -d 172.10.4.25 --dport 443
-j DNAT --to-destination 10.0.0.4:8080

 Dossier 3 - Routages et VPN

Question 1
Expliquez les différences entre les routages : OSPF, RIP et BGP.

Question 2
Expliquez ce qu’est un VPN et donnez plusieurs types de protocoles utilisés.

Question 3
Quel est l’intérêt d’un VPN « overlay » ?

© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2020 5/15
UC D31 - Informatique, réseaux et sécurité - Sujet
Question 4
On désire réaliser le schéma réseau simplifié suivant.
Donnez les commandes Cisco pour configurer les 3 routeurs en routage RIP.

Pour mettre en place un VPN IPSEC entre les 2 sites grâce à des routeurs Cisco, une partie de script est
affichée ci-dessous.
R1(config)#crypto isakmp policy 10
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#encryption 3des
R1(config-isakmp)#hash md5
R1(config-isakmp)#group 5
R1(config-isakmp)#lifetime 3600
R1(config-isakmp)#exit

Question 5
« group 5 » identifie de la méthode « Diffie-Hellman », à quoi correspond-elle ?

Question 6
Le protocole IKE est composé de 2 phases : expliquez-les succinctement.

 Dossier 4 - Sécurité des SI

Question 1
Expliquez-les termes : vulnérabilités, attaques, contre-mesures et menaces.

Question 2
Expliquez ce qu’est le social engineering.

Question 3
En quoi consiste l’« ip spoofing ».

Question 4
Donnez les 2 utilisations possibles d’une attaque par « IP Spoofing » ?

© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2020 6/15
UC D31 - Informatique, réseaux et sécurité - Sujet
Question 5
Les VPN offrent-il une protection contre les attaques par « IP Spoofing » ?

Question 6
Expliquez les attaques DOS et DDOS.

Question 7
Les firewalls offrent-il une protection contre ces attaques DOS et DDOS ?

Question 8
Qu’est-ce que le « drive-by download » ?

Question 9
Définissez ce que sont les « ransomwares ».

Question 10
Expliquez ce qu’est le « Smurf ».

Question 11
Parmi les algorithmes suivants, lequel est le plus sécurisé : WEP, WPA ou WPA2 ? Expliquez.

 Dossier 5 - Sécurité des bases de données

Dans la DMZ, on vous demande d’installer 2 serveurs de base de données ORACLE en Cluster.

Question 1
Expliquez ce qu’est un cluster de base de données, et ses objectifs.

Question 2
Qu’est-ce qu’une instance Oracle ?

Question 3
On vous demande de créer un utilisateur « Icad » avec le mot de passe « passicad » en lui
octroyant le rôle DBA, donnez le code SQL correspondant.

Question 4
Le "SQL Injection" est une méthode d'exploitation de faille de sécurité sur une base de données.
Expliquez ce que c’est, et comment s’en protéger dans Oracle.

Question 5
Donnez 4 conseils que vous pourriez utiliser pour la sécurité des bases de données.

© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2020 7/15
UC D31 - Informatique, réseaux et sécurité - Sujet
  Dossier 6 - Publi key infrastructure (PKI)

Question 1
Expliquez ce qu’est une PKI et les services principaux attendus.

Question 2
Techniquement une PKI utilise 2 types de chiffrement, lesquels ? expliquez…

Questin 3
Donnez un nom d’algorithme pour chacun des types de chiffrement.

Question 4
Expliquez le fonctionnement d’un certificat X509.

© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2020 8/15
UC D31 - Informatique, réseaux et sécurité - Sujet
 Annexe 1

Résumé WPA et WPA2

© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2020 9/15
UC D31 - Informatique, réseaux et sécurité - Sujet
 Annexe 2

Ports usuels

© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2020 10/15
UC D31 - Informatique, réseaux et sécurité - Sujet
 Annexe 3

Netfilter IPTABLE

© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2020 11/15
UC D31 - Informatique, réseaux et sécurité - Sujet
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2020 12/15
UC D31 - Informatique, réseaux et sécurité - Sujet
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2020 13/15
UC D31 - Informatique, réseaux et sécurité - Sujet
 Annexe 4

Commandes de bases sur un Switch et/ou un routeur cisco

enable : On passe administrateur sur l’équipement (équivalent du “su” sous Linux).

configuration terminal : Pouvant être abrégé “conf t” permet de passer en mode configuration global.
Ce mode permet de modifier la configuration de l’équipement.

show interfaces : Affiche les interfaces réseaux présentes sur l’équipement.

show ip interfaces brief : Affiche la configuration ip des interfaces sur l’équipement.

show ip route : Affiche la table de routage du routeur.

show running-config : Affiche la configuration global de l’équipement.

interface fastEthernet 0/0 : On se place sur l’interface fastEthernet 0/0 pour la configurer.
• ip address 192.168.1.1 255.255.255.0 : Permet de configurer l’adresse IP de l’interface.
• description Liason R1 vers switch1 : Permet d’ajouter sur description à l’interface.
• no shut / shut : Permet d’activer ou désactiver une interface (up/down).

ip route : Permet la configuration du routage.

• ip route 0.0.0.0 0.0.0.0 10.0.0.2 : Configuration d’une route par defaut avec pour next-hop
l’interface 10.0.0.2
• ip route 192.168.1.0 255.255.255.0 10.0.0.1 : Configuration d’une route pour le réseau
192.168.1.0/24 avec pour next-hop l’interface 10.0.0.1

Pour la commande
SW1(config-if)#switchport mode <mode de fonctionnement>

Il y a quatre modes :
• access : typiquement le mode d’un port prévu pour recevoir la connexion d’un PC, d’un serveur, …
• trunk : force le mode de fonctionnement en trunk.
• dynamic auto : autorise la négociation.
• dynamic desirable : autorise la négociation avec une préférence pour le passage en trunk si
possible.

© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2020 14/15
UC D31 - Informatique, réseaux et sécurité - Sujet
 Annexe 5
Aide SQL

Connect as SYSTEM
CREATE USER username IDENTIFIED BY apassword;

GRANT CONNECT TO username;

GRANT EXECUTE on schema.procedure TO username;

You may also need to:
GRANT SELECT [, INSERT] [, UPDATE] [, DELETE] on schema.table TO username;

CONNECT <USER-NAME>/<PASSWORD>@<DATABASE NAME>;

--Create user query
CREATE USER <USER NAME> IDENTIFIED BY <PASSWORD>;
--Provide roles
GRANT CONNECT,RESOURCE,DBA TO <USER NAME>;
--Provide privileges
GRANT CREATE SESSION GRANT ANY PRIVILEGE TO <USER NAME>;
GRANT UNLIMITED TABLESPACE TO <USER NAME>;
--Provide access to tables.
GRANT SELECT,UPDATE,INSERT ON <TABLE NAME> TO <USER NAME>;

CONNECT <<username>>/<<password>>@<<DatabaseName>>; -- connect db with username and

password, ignore if you already connected to database.
CREATE USER <<username>> IDENTIFIED BY <<password>>; -- create user with password
GRANT CONNECT,RESOURCE,DBA TO <<username>>; -- grant DBA,Connect and Resource permission to this
user(not sure this is necessary if you give admin option)
GRANT CREATE SESSION TO <<username>> WITH ADMIN OPTION; --Give admin option to user
GRANT UNLIMITED TABLESPACE TO <<username>>; -- give unlimited tablespace grant

© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2020 15/15
UC D31 - Informatique, réseaux et sécurité - Sujet