DEESIRS - Juin 2016 - Sujet

FEDERATION EUROPEENNE DES ECOLES
FEDERATION FOR EDUCATION IN EUROPE

OING dotée du statut participatif auprès du Conseil de l’Europe
INGO enjoying participatory status with the Council of Europe
UE D - TECHNIQUES PROFESSIONNELLES
UC D31 - DEESIRS
Informatique, Réseaux et Sécurité
L’utilisation de la calculatrice est autorisée
Type d’épreuve : Rédaction (Etude de cas)
Durée : 6 heures
Session : Juin 2016
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2016
UC D31 DEESIRS - Sujet
UC D31 DEESIRS - INFORMATIQUE, RESEAUX ET SECURITE
BAREME DE NOTATION
Dossier 1 - Architecture réseaux 30 points
Dossier 2 - Sécurité des SI 30 points
Dossier 3 - Sécurité des architectures 3 tiers 25 points
Dossier 4 - Sécurité WIFI 13 points
Dossier 5 - Droit informatique 12 points
Présentation et orthographe 10 points
Total 120 points
LISTE DES ANNEXES
Annexe 1 Résumé WPA et WPA2 ......................................................................................... Page 9

Annexe 2 Ports usuels ......................................................................................................... Page 10
Annexe 3 Netfilter IPTABLE.......................................................................................... Pages 11-14
Annexe 4 Commandes de bases sur un switch et/ou un routeur CISCO ........................... Page 15
Annexe 5 Switch CISCO ................................................................................................ Pages 16-18
Annexe 6 Commandes SQL ................................................................................................. Page 19
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2016 2/19
PRESENTATION DE L’ENTREPRISE
E-CAMPUS est une école privée préparant aux diplômes bac+2 à bac+5. Les cours sont proposés en
présentiel mais aussi en e-learning.
Les locaux accueillent 8 salles de cours (il y aura des connections filaires et « wifi ») pour la partie
formation, des bureaux pour la partie administration, et 1 salle « serveur » équipée de 2 machines
puissantes.
Le réseau pour la formation est connecté au reste du réseau local via un routeur, il y a un matériel de
commutation (switch) de chaque côté du réseau.
Il y a 2 modems routeurs LAN / WAN, les serveurs devront être accessibles depuis les salles de formation.
La partie administration ne devra pas être accessible depuis les salles de formation.
Pour administrer le système informatique, l’école fait appel à vous en tant que responsable réseau et
sécurité.
Le schéma réseau est celui-ci :
 Dossier 1 - Architecture réseaux
Question 1
A partir du schéma réseau précédent, donnez les informations nécessaires au bon
fonctionnement du réseau :
- adresses de passerelles, masque réseau (le plus logique),
- adresse du serveur DHCP, adresse des serveurs DNS primaire et secondaire.
Question 2
Les serveurs seront dans une DMZ.
Expliquez la présence potentielle de 2 serveurs et comment installeriez-vous cette DMZ.
Question 3
Expliquez l’intérêt d’avoir 2 connections internet.
Question 4
Afin de sécuriser et d’optimiser les performances du réseau « formation » 192.168.0.0/16 on souhaite
segmenter ce réseau en 8 sous-réseaux, 1 pour chaque salle de cours.
Expliquez le but et les différents types de segmentation.
Question 5
Donnez le masque réseau qui permet la création de ces huit sous-réseaux, puis l’adresse réseau
de chacun des huit sous-réseaux ainsi définis, la plage des adresses utilisables et l'adresse de
diffusion du sous-réseau numéro 4.
Quel est l’intérêt et l’inconvénient de ce « subnetting » ?
Question 6
On optera plutôt pour une solution avec des Vlans.
Expliquez pourquoi c’est une solution plus sure et plus performante que le subnetting.
Question 7
Après avoir rappelé les différentes topologies de vlan, expliquez pourquoi les « vlan » de niveau
2 sont les plus appropriés pour séparer les réseaux des salles de cours entre eux et des réseaux
de l’administration et des serveurs.
Question 8
Sachant que l’on sera amené à faire de la voix sur IP ; parmi les différents « switch CISCO » en
annexe lequel choisiriez-vous pour les réseaux de l’école ?
Justifiez votre réponse.
Question 9
Donnez les lignes de commandes pour configurer un « vlan » de niveau 2 sur le switch.
Question 10
On vous demande d’installer « un trunk ».
Expliquez en détail ce que c’est et comment il faut l’installer.
Question 11
Donnez les lignes de commandes pour réaliser ce trunk.
Question 12
Est-il nécessaire de réaliser un trunk entre le routeur et les switch server ?
Question 13
Donnez les commandes pour configurer le routeur.
 Dossier 2 - Sécurité des SI
Question 1
L’usage de l’Internet est très largement développé dans les pratiques éducatives. En conséquence, des
mesures adaptées doivent être appliquées au sein de l’école.
Quels sont les différents types de situations problématiques qui peuvent se présenter lors de la
navigation sur Internet par les étudiants ?
Question 2
La norme ISO 7498-2 définit les objectifs et les champs d’application de la sécurité informatique.
Donnez les 3 principaux objectifs et 3 champs d’applications importants « à vos yeux ».
Question 3
Cette même norme ISO 7498-2 définit pas moins de 59 termes de la sécurité informatique.
Donnez les 4 termes les plus couramment utilisés ainsi que leur définition.
Question 4
La sauvegarde s'inscrit dans une démarche globale qui consiste à assurer la continuité d'activité d'un SI ou,
en cas de panne, son redémarrage le plus rapidement possible. Cette démarche est souvent inscrite dans
un document de Plan de reprise d'activité (PRA).
Citez 4 actions préventives ou curatives que vous conseilleriez pour l’école.
Question 5
Le diagramme ci-dessous représente le top 10 des différents types d’attaques.
Définissez les 2 plus importantes.
Question 6
Expliquez pourquoi si vous installez un firewall du type « stateless packet filtering » sur les
serveurs de l’établissement, il ne sera pas utile contre les attaques « ddos ».
Question 7
Vous choisissez donc d’installer le pare feu applicatif « conntrack netfilter » qui fonctionne sous l’os linux,
déjà installé sur les serveurs.
Expliquez ce qu’est un pare feu applicatif et donnez un autre logiciel de pare-feu applicatif que
l’on aurait pu choisir ?
Question 8
Vous devez donc configurer ce firewall NETFILTER avec des commandes IP tables sur le serveur
de l’école qui héberge :
- le serveur web (http + https) Apache,
- le serveur de messagerie (SMTP, POP3, POP3 over SS, IMAP) qui sera interdit au réseau
formation,
- le serveur FTP,
- le serveur DNS.
De plus, vous devez configurer un accès SSH depuis votre poste IP : 192.168.1.45.
Le port de connexion SSH 22 a été changé pour éviter des attaques par brute force, sur le port
2222.
Donnez les commandes qui vous paraissent nécessaires, en les expliquant.
Question 9
Que représente le fichier : « /etc/sysconfig/iptables » ?
Question 10
Par mesure de sécurité, on vous demande de modifier la règle concernant la connexion au serveur en SSH
afin d’obtenir le journal des tentatives de connexion.
Donnez ces nouvelles lignes de commande et expliquez-les.
Question 11
Puisque vous utilisez un firewall applicatif, on vous demande donc maintenant d’améliorer votre script pour
lutter contre les attaques Ping Flood ou déni de service.
Donnez ces nouvelles lignes de commande, expliquez-les et conseillez un utilitaire que l’on
aurait pu utiliser.
Question 12
Le serveur est maintenant un peu mieux protégé mais un attaquant pourrait essayer de scanner les ports
pour en prendre l’accès.
Que conseilleriez-vous alors ?
 Dossier 3 - Sécurité des architectures 3 tiers
Question 1
Pour réaliser des cours en e-learning par l’intermédiaire d’un MOOC « Massive Open Online Course », le
responsable pédagogique vous demande d’installer une architecture client-serveur 3 tiers.
Expliquez cette architecture et les serveurs que vous préconiseriez d’installer.
Question 2
L’attaque par injection est évaluée par l’OWASP comme étant une des plus risquées, car la faille est assez
répandue, facile à exploiter et l’impact peut être très important.
Le développeur WEB de l’école vous montre un extrait d’une page Test_sqli.PHP
<? php
mysqli_connect ("localhost","root","",”test”);
$user_id = $_GET ['id'];
$reqsql= “SELECT username, mail FROM users WHERE user_id = $user_id";
$sql = mysqli_query $reqsql or die (mysqli_error ());
if (mysqli_num_rows($sql) > 0)
{ $data = mysqli_fetch_object($sql);
echo " <p>Nom d'utilisateur : ".$data->username."</p>
<p>Adresse email : ".$data->email."</p> “ } ?>
Sans connaitre le code qui s’exécute derrière une page web, un attaquant peut détecter la présence d’une
injection SQL.
Donnez cette méthode qui permet de connaitre en plus le nombre de champs retournés.
Question 3
En supposant que la requête « select » renvoie 2 champs, comment un attaquant pourrait-il
récupérer des données sur l’utilisateur courant ?
Question 4
Comment se protéger dans ce cas précis, et de manière générale, des injections SQL ?
Question 5
La faille XSS est un type de faille de sécurité des sites Web, que l’on trouve dans les applications Web mal
sécurisé.
Quel en est le principe ?
Question 6
Il est possible de sécuriser les serveurs WEB APACHE des architectures 3 tiers grâce au fichier « .htaccess »
qui se place dans le répertoire considéré.
Donnez et décrivez les quelques lignes qui permettraient uniquement à l’utilisateur
« alainthierry » d’avoir accès à ce répertoire.
On vous donne le contenu du fichier « .htpasswd » : alainthierry : L5Y7BR4cHj0sX309Jj0
Question 7
Complétez le fichier .htaccess afin de ne permettre l’accès au répertoire que depuis la machine
d’adresse IP 192.168.1.10.
Question 8
Dans le réseau « partie serveurs » vous avez installé sur le second serveur une base de données ORACLE 11
G.
Vous devez créer un utilisateur « alainthierry » avec pour mot de passe « alth » et avec le rôle
DBA, donnez les lignes de commandes SQL pour cela.
 Dossier 4 - Sécurité Wifi
Il est en projet d’installer un réseau wifi dans l’école. Pour le sécuriser, une solution possible serait de
définir au sein des bornes Wifi une liste “blanche” d’adresses MAC autorisées.
Question 1
Quels sont les inconvénients de cette liste blanche ?
Question 2
Le responsable de l’école vous demande pourquoi il ne faut pas utiliser une clé WEP pour le réseau wifi de
son établissement.
Que lui répondez-vous ?
Question 3
Il vous demande donc la différence entre WPA et WPA2 ?
Question 4
Expliquez-lui la différence entre le mode personnel et le mode entreprise s’il désire installer un
réseau wifi au standard wifi 802.11i.
Quelle architecture lui conseillez-vous ?
 Dossier 5 - Droit informatique
Question 1
Internet est devenu un outil de travail courant dans de nombreuses entreprises et organisations.
Que pouvez-vous dire juridiquement sur son interdiction pure et simple par l'employeur ?
Question 2
Pensez-vous que la loi française interdise l’utilisation de la messagerie à des fins personnelles au
travail ?
Question 3
Pensez-vous qu’il existe une loi ou décret appelant à l’interdiction de l’usage des téléphones
mobiles durant des activités d’enseignement ?
Annexe 1
Résumé WPA et WPA2
Annexe 2
Ports usuels
Annexe 3
Netfilter IPTABLE
Netfilter se présente comme une série de 5 “hooks” (points d'accrochage), sur lesquels des modules de
traitement des paquets vont se greffer. Ces points sont :
La branche gauche représente le trajet des paquets qui entrent et qui sortent vers et depuis un processus
local (SMB, FTP, HTTP etc.). La branche de droite représente le trajet des paquets qui traversent notre
passerelle dans sa fonction de routeur.
A travers ces cinq points d'insertion, Netfilter va être capable :

- d'effectuer des filtrages de paquets,
- d'effectuer des opérations de NAT,
- d'effectuer des opérations de marquage des paquets.
Il existe trois tables qui vont servir à contenir des règles de filtrage :
La table « Filter »
Cette table va contenir toutes les règles qui permettront de filtrer les paquets. Cette table contient trois
chaînes :
- la chaîne INPUT :
Cette chaîne décidera du sort des paquets entrant localement sur l'hôte.
- la chaîne OUTPUT :
Ici, ce ne sont que les paquets émis par l'hôte local qui seront filtrés.
- la chaîne FORWARD :
Enfin, les paquets qui traversent l'hôte, suivant les routes implantées, seront filtrés ici.
La table NAT
Cette table permet d'effectuer toutes les translations d'adresses nécessaires.
- La chaîne PREROUTING :
Permet de faire de la translation d'adresse de destination. Cette méthode est intéressante si l'on
veut faire croire au monde extérieur, par exemple, qu'il y a un serveur WEB sur le port 80 de la
passerelle, alors que celui-ci est hébergé par un hôte du réseau privé, sur le port 8080.
- La chaîne POSTROUTING :
Elle permet de faire de la translation d'adresse de la source, comme du masquage d'adresse, la
méthode classique pour connecter un réseau privé comme client de l'Internet, avec une seule
adresse IP publique.
- La chaîne OUTPUT :
Celle-ci va permettre de modifier la destination de paquets générés localement (par la passerelle
elle-même).
La table MANGLE
Cette table permet le marquage des paquets entrants (PREROUTING) et générés localement (OUTPUT).
Les chaînes
Les chaînes sont des ensembles de règles que nous allons écrire dans chaque table. Ces chaînes vont
permettre d'identifier des paquets qui correspondent à certains critères.
Les cibles
Les cibles sont des sortes d'aiguillage qui dirigeront les paquets satisfaisant aux critères. Les cibles
préconstruites sont :
- ACCEPT :
Les paquets qui satisfont aux critères sont acceptés, ils continuent leur chemin dans la pile.
- DROP :
Les paquets qui satisfont aux critères sont rejetés, on les oublie, on n'envoie même pas de message
ICMP.
- LOG :
C'est une cible particulière qui permet de tracer au moyen de syslog les paquets qui satisfont aux
critères.
Suivant les contextes, d'autres cibles deviennent accessibles, comme REJECT (similaire à DROP, mais avec
envoi d'un message d'erreur ICMP à la source du paquet rejeté), RETURN, REDIRECT, SNAT, DNAT,
MASQUERADE…
Annexe 4
Commandes de bases sur un switch et/ou un routeur CISCO
enable : On passe administrateur sur l’équipement (équivalent du “su” sous Linux).

configuration terminal : Pouvant être abrégé “conf t” permet de passer en mode configuration global.
- Ce mode permet de modifier la configuration de l’équipement.
show interfaces : Affiche les interfaces réseaux présentes sur l’équipement.
show ip interfaces brief : Affiche la configuration ip des interfaces sur l’équipement.

show ip route : Affiche la table de routage du routeur.
show running-config : Affiche la configuration global de l’équipement.
interface fastEthernet 0/0 : On se place sur l’interface fastEthernet 0/0 pour la configurer.
- ip address 192.168.1.1 255.255.255.0 : Permet de configurer l’adresse IP de l’interface.
- description Liason R1 vers switch1 : Permet d’ajouter sur description à l’interface.
- no shut / shut : Permet d’activer ou désactiver une interface (up/down).
ip route : Permet la configuration du routage.
- ip route 0.0.0.0 0.0.0.0 10.0.0.2 : Configuration d’une route par défaut avec pour next-hop
l’interface 10.0.0.2.
- ip route 192.168.1.0 255.255.255.0 10.0.0.1 : Configuration d’une route pour le réseau
192.168.1.0/24 avec pour next-hop l’interface 10.0.0.1.
Pour la commande
SW1(config-if)#switchport mode <mode de fonctionnement>
Il y a quatres modes :
- access : typiquement le mode d’un port prévu pour recevoir la connexion d’un PC, d’un serveur,
- trunk : force le mode de fonctionnement en trunk,
- dynamic auto : autorise la négociation,
- dynamic desirable : autorise la négociation avec une préférence pour le passage en trunk si
possible.
Annexe 5
Switch CISCO
Cisco 2960
. Cisco Catalyst 2960 Series Fast Ethernet and Gigabit Ethernet connectivity with enhanced LAN services for
midmarket and branch office networks.
. Layer 2 switching with intelligent Layer 2-4 services.
. Up to 48 10/100 ports or 10/100/1000 ports.
. Cisco Catalyst Express 500 Series Simplifies management of advanced network services and IP
communications for 20 to 250 employees.
. Standalone fixed-configuration Layer 2 switching.
. Fast Ethernet and Gigabit Ethernet connectivity.
. Up to 24 10/100 ports with optional PoE or 12 10/100/1000 ports.
Take diagram of Cisco 2960-24TT-L switch for example.
Cisco 3560
. Cisco Catalyst 3560 Series Gigabit Ethernet connectivity and PoE for small enterprise LAN access and
branch office deployments.
. Layer 2-4 switching and intelligent services with dynamic IP routing and IPv6.
. Fast Ethernet and Gigabit Ethernet connectivity.
. Up to 48 10/100/1000 ports plus 4 SFP ports.
. Integrated PoE.
Take diagram of Cisco 3560X-24T-L switch for example.
Cisco 3750
. Cisco Catalyst 3750 Series Stackable switches with multilayer switching and Cisco StackWise for enterprise
branch offices and midsize organizations.
. 32 Gbps interconnect for a unified, resilient system of up to nine switches.
. Layer 2-4 switching and intelligent services with dynamic IP routing and IPv6.
. Fast Ethernet, Gigabit Ethernet, and 10 Gigabit Ethernet (10 GbE) connectivity.
. Up to 48 10/100/1000 ports plus 4 SFP ports per switch.
. Integrated PoE.
Annexe 6
Commandes SQL
Connect as SYSTEM.
CREATE USER username IDENTIFIED BY apassword;
GRANT CONNECT TO username;
GRANT EXECUTE on schema.procedure TO username;

You may also need to:
GRANT SELECT [, INSERT] [, UPDATE] [, DELETE] on schema.table TO username;
CONNECT <USER-NAME>/<PASSWORD>@<DATABASE NAME>;

--Create user query
CREATE USER <USER NAME> IDENTIFIED BY <PASSWORD>;
--Provide roles
GRANT CONNECT,RESOURCE,DBA TO <USER NAME>;
--Provide privileges
GRANT CREATE SESSION GRANT ANY PRIVILEGE TO <USER NAME>;
GRANT UNLIMITED TABLESPACE TO <USER NAME>;
--Provide access to tables.
GRANT SELECT,UPDATE,INSERT ON <TABLE NAME> TO <USER NAME>;
CONNECT <<username>>/<<password>>@<<DatabaseName>>; -- connect db with username and

password, ignore if you already connected to database.
CREATE USER <<username>> IDENTIFIED BY <<password>>; -- create user with password
GRANT CONNECT,RESOURCE,DBA TO <<username>>; -- grant DBA,Connect and Resource permission to this
user(not sure this is necessary if you give admin option)
GRANT CREATE SESSION TO <<username>> WITH ADMIN OPTION; --Give admin option to user
GRANT UNLIMITED TABLESPACE TO <<username>>; -- give unlimited tablespace grant

DEESIRS - Juin 2016 - Sujet

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

DEESIRS - Juin 2016 - Sujet

Transféré par

Droits d'auteur :

Formats disponibles

FEDERATION EUROPEENNE DES ECOLES

FEDERATION FOR EDUCATION IN EUROPE

L’utilisation de la calculatrice est autorisée

Type d’épreuve : Rédaction (Etude de cas)

Session : Juin 2016

Dossier 1 - Architecture réseaux 30 points

Dossier 2 - Sécurité des SI 30 points

Dossier 3 - Sécurité des architectures 3 tiers 25 points

Dossier 4 - Sécurité WIFI 13 points

Dossier 5 - Droit informatique 12 points

Présentation et orthographe 10 points

Total 120 points

LISTE DES ANNEXES

Annexe 1 Résumé WPA et WPA2 ......................................................................................... Page 9

Le schéma réseau est celui-ci :

 Dossier 2 - Sécurité des SI

 Dossier 5 - Droit informatique

Résumé WPA et WPA2

A travers ces cinq points d'insertion, Netfilter va être capable :

Commandes de bases sur un switch et/ou un routeur CISCO

enable : On passe administrateur sur l’équipement (équivalent du “su” sous Linux).

show ip interfaces brief : Affiche la configuration ip des interfaces sur l’équipement.

GRANT CONNECT TO username;

GRANT EXECUTE on schema.procedure TO username;

CONNECT <USER-NAME>/<PASSWORD>@<DATABASE NAME>;

CONNECT <<username>>/<<password>>@<<DatabaseName>>; -- connect db with username and

Vous aimerez peut-être aussi