DEESIRS - Juin 2016 - Corrigé

FEDERATION EUROPEENNE DES ECOLES
FEDERATION FOR EDUCATION IN EUROPE

OING dotée du statut participatif auprès du Conseil de l’Europe
INGO enjoying participatory status with the Council of Europe
UE D - TECHNIQUES PROFESSIONNELLES
UC D31 - DEESIRS
Informatique, Réseaux et Sécurité
Corrigé
Type d’épreuve : Rédaction (Etude de cas)
Durée : 6 heures
Session : Juin 2016
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2016
UC D31 DEESIRS - Corrigé
 Dossier 1 - Architecture Réseaux
Question 1
A partir du schéma réseau précédent, donnez les informations nécessaires au bon
fonctionnement du réseau :
- adresses de passerelles, masque réseau (le plus logique),
- adresse du serveur DHCP, adresse des serveurs DNS primaire et secondaire.
4 points
Toute proposition justifiée sera acceptée
Question 2
Expliquez la présence potentielle de 2 serveurs et comment installeriez-vous cette DMZ.
2 points
L’installation de 2 serveurs permettra le recoupement des services de l’école, par exemple le serveur web et
sa base de données sur une machine et les DHCP DNS sur l’autre.
Les 2 firewalls formant la DMZ pourront être sur les serveurs eux même par exemple avec netfilter.
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2016 2/17
Question 3
Expliquez l’intérêt d’avoir 2 connections internet.
2 points
L’installation de 2 connections internet permettra par exemple la séparation des services administratifs de
l’école des accès internet des étudiants avec des sécurités différentes.
Question 4
Expliquez le but et les différents types de segmentation.
3 points
Le but de la segmentation sur un LAN est d’obtenir une réduction de la taille des domaines de collision
afin d’économiser la bande passante disponible, ou de la taille des domaines de diffusion afin d'améliorer la
sécurité et de diminuer la taille des réseaux (voir notion de sous-réseaux).
Il est possible de recourir à trois types de segmentation des domaines de collisions :
 Segmentation par pont :
Segmentation du domaine de collision en 2 grâce au pont, dispositif de couche 2 permettant un
filtrage des trames en fonction des adresses MAC des hôtes.
 Segmentation par routeurs :
Segmentation du domaine de broadcast en fonction des adresses réseau de couche 3.
 Segmentation par commutateur :
Segmentation du domaine de collision par la mise en place de chemins commutés entre l‘hôte et
le destinataire (micro segmentation).
Un environnement commuté présente les avantages suivants :
- réduction du nombre de collisions,
- plusieurs communications simultanées,
- liaisons montantes haut débit,
- amélioration de la réponse du réseau,
- hausse de la productivité de l’utilisateur.
Question 5
Donnez le masque réseau qui permet la création de ces huit sous-réseaux, puis l’adresse réseau
de chacun des huit sous-réseaux ainsi définis, la plage des adresses utilisables et l'adresse de
diffusion du sous-réseau numéro 4.
Quel est l’intérêt et l’inconvénient de ce « subnetting » ?
3 points
Pour découper l'adresse réseau de départ en huit, 3 bits supplémentaires sont nécessaires (2^3 = 8). Le
nouveau masque réseau est 255.255.224.0 ou /19.
Liste des huit adresses de sous-réseaux :
subnet 0 : 192.168.0.0
subnet 1 : 192.168.32.0
subnet 2 : 192.168.64.0
subnet 3 : 192.168.96.0
subnet 4 : 192.1681.128.0
subnet 5 : 192.168.160.0
subnet 6 : 192.168.192.0
subnet 7 : 192.168.224.0
Plage des adresses utilisables et l'adresse de diffusion du subnet 4 :
Network: 192.168.128.0/19
HostMin: 192.168.128.1
HostMax: 192.168.159.254
Broadcast: 192.168.159.255
Le subnetting permet de diviser un grand réseau en plusieurs réseaux plus petits. Il permet de décentraliser
l'administration, et d’apporter de la sécurité grâce à la séparation des réseaux. Il permet aussi la réduction
du trafic.
L’inconvénient est de ne pas avoir de connexion « niveau 2 » avec le routeur 192.168.2.253.
Question 6
Expliquez pourquoi c’est une solution plus sure et plus performante que le subnetting.
2 points
Pour la sécurité : les broadcast (ARP par exemple) des sous réseaux sont reçus par toutes les machines s’il
n'y a pas de vlans, on peut donc connaitre les adresses IP et les adresses mac des machines de l'autre réseau.
Pour les performances : s’il n’y a pas de vlan, chaque machine reçoit les broadcast de l'autre réseau et tout le
trafic non IP de chaque port est donc surchargé.
Question 7
Après avoir rappelé les différentes topologies de vlan, expliquez pourquoi les « vlan » de niveau 2
sont les plus appropriés pour séparer les réseaux des salles de cours entre eux et des réseaux de
l’administration et des serveurs.
3 points
Un VLAN de niveau 1 (aussi appelé VLAN par port, en anglais Port-Based VLAN) définit un réseau virtuel en
fonction des ports de raccordement sur le commutateur.
Un VLAN de niveau 2 (également appelé VLAN MAC, VLAN par adresse IEEE ou en anglais MAC Address-
Based VLAN) consiste à définir un réseau virtuel en fonction des adresses MAC des stations. Ce type de VLAN
est beaucoup plus souple que le VLAN par port car le réseau est indépendant de la localisation de la station.
Un VLAN de niveau 3 : on distingue plusieurs types de VLAN de niveau 3 :
- Le VLAN par sous-réseau (en anglais Network Address-Based VLAN) associe des sous-réseaux
selon l'adresse IP source des datagrammes.
- Le VLAN par protocole (en anglais Protocol-Based VLAN) permet de créer un réseau virtuel
par type de protocole (par exemple TCP/IP, IPX,...).
Des vlans de type 2 apparaissent donc les plus appropriés car les ordinateurs des étudiants peuvent changer
de place et donc de connection sur les ports de switchs, la configuration par adresses mac est contraignante
mais est aussi très sécurisante…
Question 8
Sachant que l’on sera amené à faire de la voix sur IP ; parmi les différents « switch CISCO » en
annexe lequel choisiriez-vous pour les réseaux de l’école ?
2 points
Le switch Cisco Catalyst 2960 Séries Fast Ethernet and Gigabit Ethernet est suffisant sachant qu’il permettra
la différenciation http/ Voip (Layer 2 switching with intelligent Layer 2-4 services).
Question 9
Donnez les lignes de commandes pour configurer un « vlan » de niveau 2 sur le switch.
2 points
Par exemple : creation d’un vlan

SwitchX# configure terminal
SwitchX(config)# vlan1
SwitchX(config-vlan)# name Groupe _1
SwitchX(config-vlan)#end
SwitchX# configure terminal
SwitchX(config)# interface fastethernet 0/1
SwitchX(config-if)# switchport access vlan1
SwitchX(config-if)# end
Puis on y associe une adresse mac d’un des postes étudiants

SwitchX # conf t
SwitchX (config)# interface vlan 1
SwitchX config-if) # mac-address 22ab.47dd.ff89 ( les addresses mac des pc étudiants )
SwitchX (config-if) # end
Question 10
Expliquez en détail ce que c’est et comment il faut l’installer.
2 points
Afin de ne pas redéfinir tous les VLANs existant sur chaque commutateur, Cisco a développé un protocole
permettant un héritage de VLANs entre commutateur.
C'est le protocole VTP : basé sur la norme 802.1q et qui exploite une architecture client-serveur avec la
possibilité d'instancier plusieurs serveurs.
Un switch doit alors être déclaré en serveur, on lui attribue également un nom de domaine VTP. C'est sur ce
commutateur que chaque nouveau VLAN devra être défini, modifié ou supprimé. Ainsi, chaque
commutateur client présent dans le domaine héritera automatiquement des nouveaux VLANs crées sur le
commutateur serveur.
Question 11
Donnez les lignes de commandes pour réaliser ce trunk.
2 points
Configuration du serveur :
Switch1# vlan database
Switch1 (vlan)# vtp domain monDomaindeFormation
Switch1 (vlan)# vtp passwd monMotDePasse
Switch1 (vlan)# vtp server
Switch1 (vlan)# exit
Configuration d’un switch client :
Switch2# vlan database
Switch2 (vlan)# vtp domain m monDomaindeFormation
Switch2 (vlan)# vtp passwd monMotDePasse
Switch2 (vlan)# vtp client
Switch2 (vlan)# exit
Question 12
Est-il nécessaire de réaliser un trunk entre le routeur et les switch server ?
1 point
Non, mais cela aurait pu être nécessaire dans le cas de vlan de niveau 1.
Question 13
Donnez les commandes pour configurer le routeur.
2 points
Routeur1>en
Routeur1#conf t
Routeur1 (config)#interface FastEthernet0/0
Routeur1 (config-if)#ip address 192.168.1.1 255.255.255.0
Routeur1 (config-if)# no sh
Routeur1(config-if)#exit
Routeur1 (config)#interface FastEthernet1/0
Routeur1 (config-if)#ip address 192.168.2.1 255.255.255.0
Routeur1(config-if)#no sh
Routeur1(config-if)#end
Puis pour la configuration du routage static en considérant n’envoyer que vers les 2 serveurs
(192.168.1.252 et 192.168.1.253) les demandes des salles de formation.
Routeur1(config-if)#IP route 192.168.1.253 255.255.255.0 192.168.1.1

Routeur1(config-if)#IP route 192.168.1.252 255.255.255.0 192.168.1.1
 Dossier 2 - Sécurité des SI
Question 1
Quels sont les différents types de situations problématiques qui peuvent se présenter lors de la
navigation sur Internet par les étudiants ?
2 points
- l’accès à des contenus inappropriés, que ce soient des contenus répréhensibles vis à vis de la loi ou
des contenus qui n’ont pas directement leur place dans le cadre éducatif.
- les menaces visant l’intégrité du réseau, se manifestant principalement par des attaques virales ainsi
que du code malveillant présent dans des pages visitées et dont l’objectif final est souvent le vol des
données.
Question 2
Donnez les 3 principaux objectifs et 3 champs d’applications importants « à vos yeux ».
3 points
Les principaux objectifs :

- empêcher la divulgation non-autorisée de données,
- empêcher la modification non-autorisée de données,
- empêcher l'utilisation non-autorisée de ressources réseau ou informatiques de façon
générale.
Ces champs d’applications sont :

- la sécurité physique et la sécurité personnelle,
- la sécurité procédurale (audit de sécurité, procédures informatiques...),
- la sécurité des émissions physiques (écrans, câbles, courbes de consommation de courant...),
- la sécurité des systèmes d'exploitation,
- la sécurité des communications.
Question 3
Donnez les 4 termes les plus couramment utilisés ainsi que leur définition.
2 points
Les vulnérabilités : ce sont les failles de sécurité dans un ou plusieurs systèmes. Tout système vu dans sa
globalité présente des vulnérabilités, qui peuvent être exploitables ou non.
Les attaques (exploits) : elles représentent les moyens d'exploiter une vulnérabilité.
Les contre-mesures : ce sont les procédures ou techniques permettant de résoudre une vulnérabilité ou de
contrer une attaque spécifique.
Les menaces : ce sont des adversaires déterminés capables de monter une attaque exploitant une
vulnérabilité.
Question 4
Citez 4 actions préventives ou curatives que vous conseilleriez pour l’école.
2 points
- sensibiliser les utilisateurs de la partie administration.

- sécuriser l'accès réseau.
- sauvegarder les données automatiquement régulièrement.
- redondance des matériels : en doublant, on réduit le risque.
- dispersion des sites : un accident (incendie, tempête, tremblement de terre, attentat) a très peu de
chance de se produire simultanément en plusieurs endroits distants.
- supervision : elle permet de déceler en amont les anomalies.
Question 5
Définissez les 2 plus importantes.
2 points
Une attaque DDoS vise à rendre un serveur, un service ou une infrastructure indisponibles en surchargeant
la bande passante du serveur, ou en accaparant ses ressources jusqu'à épuisement.
La faille SQLi, abréviation de "SQL Injection" est une méthode d'exploitation de faille de sécurité d'une
application interagissant avec une base de données. Elle permet d'injecter dans la requête SQL en cours un
morceau de requête non prévu par le système et pouvant en compromettre la sécurité.
Question 6
Expliquez pourquoi si vous installez un firewall du type « stateless packet filtering » sur les
serveurs de l’établissement, il ne sera pas utile contre les attaques « ddos ».
1 point
Filtrage simple de paquets sans état (« stateless packet filtering ») :

C’est le filtrage le plus simple. Le firewall autorise ou bloque le passage de paquets en fonction des adresses
IP, et des ports (source et destination) et type de paquet. Il ne conserve pas en mémoire les informations
donc aucun moyen de savoir si c’est une tentative de flood.
Question 7
Expliquez ce qu’est un pare feu applicatif et donnez un autre logiciel de pare-feu applicatif que
l’on aurait pu choisir ?
1 point
C’est la dernière génération de pare-feu, ils vérifient la complète conformité du paquet à un protocole
attendu. Par exemple, il permet de vérifier que seul le protocole HTTP passe par le port TCP 80.
Il est justifié par le fait que de plus en plus de protocoles réseaux utilisent un tunnel TCP afin de contourner
le filtrage par ports…
Exemples d’autres firewalls applicatifs :
- CBAC sur Cisco IOS,
- ApplicationLayerGateway sur Proventia M,
- Deep Packet Inspection sur Qosmos,
- Web Application Firewall sur BinarySEC.
Question 8
Vous devez donc configurer ce firewall NETFILTER avec des commandes IP tables sur le serveur de
l’école qui héberge :
- le serveur web (http + https) Apache,
- le serveur de messagerie (SMTP, POP3, POP3 over SS, IMAP) qui sera interdit au réseau
formation,
- le serveur FTP,
- le serveur DNS.
De plus, vous devez configurer un accès SSH depuis votre poste IP : 192.168.1.45.
Donnez les commandes qui vous paraissent nécessaires, en les expliquant.
13 points (1 point par bloc de règles)
1. supprimer les règles précédentes :

iptables –t filter F
iptables -t filter -X
2. On définit la « policy » restrictive : On bloque par défaut tout le trafic :

iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP
3. Le loopback est autorisé :

iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT
4. On ne ferme pas les connexions déjà établies :

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
5. On ne ferme pas les connexions déjà établies ICMP (Ping) :

iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT
6. Ouverture pour les connexions DNS :

iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT
7. Ouverture pour les connexions HTTP et HTTPS :

iptables -A INPUT -m tcp -p tcp --dport 443 -j ACCEPT
iptables -A OUTPUT -m tcp -p tcp --dport 443 -j ACCEPT
8. Ouverture pour les connexions FTP :

iptables -t filter -A OUTPUT -p tcp --dport 20:21 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 20:21 -j ACCEPT
9. Ouverture pour les connexions MAIL SMTP :
iptables -t filter -A INPUT –s 192.168.2.0/24 -p tcp --dport 25 -j Drop
iptables -t filter -A OUTPUT –s 192.168.2.0/24 -p tcp --dport 25 -j Drop
10. Ouverture pour les connexions MAIL POP3 :


11. Ouverture pour les connexions MAIL IMAP :

12. Ouverture pour les connexions MAIL POP3S :

13. Ouverture pour les connexions SSH depuis le poste 192.168.1.45 :

iptables -I INPUT -p tcp --dport 2222 -s 192.168.1.45 -j ACCEPT
iptables -I output -p tcp --dport 2222 -d 192.168.1.45 -j ACCEPT
Question 9
Que représente le fichier : « /etc/sysconfig/iptables » ?
1 point
Le fichier /etc/sysconfig/iptables contient l’ensemble des règles actives (c’est ce fichier que la commande
iptables -L affiche).
La commande : service iptables save permet de sauvegarder la configuration courante dans ce fichier
/etc/sysconfig/iptables.
Lors du redémarrage du service iptables via la commande service iptables restart, les règles contenues dans
ce fichier sont lues et chargées dans iptables.
Question 10
Donnez ces nouvelles lignes de commande et expliquez-les.
1 point
//on crée une chaine utilisateur nommée "ssh"

iptables -N ssh
//on place la chaine dans la table FILTER (input)
iptables -A INPUT -j ssh
//on autorise uniquement la machine 192.168.1.45 à se connecter sur notre machine via le port
2222
iptables -A ssh -p tcp --dport 2222 -s 192.168.1.45 -j ACCEPT
//on log l'accès refusé puis on drop, mais pas l'inverse !! Les logs sont stockés dans le fichier
"/var/log/message"
iptables -A ssh -j LOG --log-prefix 'acces SSH bloque'
//on interdit tout le reste
iptables -A ssh -j DROP
Question 11
Donnez ces nouvelles lignes de commande, expliquez-les et conseillez un utilitaire que l’on aurait
pu utiliser.
1 point
Dans cette solution, nous fixons la valeur à 1 paquet maximum par seconde.
iptables -A FORWARD -p tcp --syn -m limit --limit 1/second -j ACCEPT
iptables -A FORWARD -p udp -m limit --limit 1/second -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/second -j ACCEPT
On pourrait aussi utiliser Fail2ban qui est un petit utilitaire qui se base sur les logs de la machine pour
chercher des actions suspectes répétées (par exemple, des erreurs de mots de passe) dans un laps de temps
donné. S’il en trouve, il bannira l’IP de l’attaquant via iptables. Cela permet d'éviter nombre d'attaques
bruteforce et/ou par dictionnaire.
Question 12
Que conseilleriez-vous alors ?
1 point
On peut limiter le scan de ports avec une règle du type :

iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
Mais cette règle basique n’est pas très efficace, c’est une protection de base, Il faudrait utiliser des utilitaires
comme Portsentry qui permet de bloquer en temps réel la plupart des scans de port connus.
 Dossier 3 - Sécurité des architectures 3 tiers
Question 1
Expliquez cette architecture et les serveurs que vous préconiseriez d’installer.
5 points
Dans cette architecture 3 tiers, on a une architecture partagée entre :

- le client : le demandeur de ressources (le navigateur),
- le serveur d'application ou middleware : le serveur chargé de fournir un service au client mais
faisant appel à un autre serveur (le serveur web http),
- le serveur secondaire : (généralement un serveur de base de données), fournissant un service au
premier serveur qui devient en fait son client.
C’est l’architecture la plus courante dans le monde du WEB (Navigateur – Apache – Mysql).
Le serveur Apache est le plus utilisé et la base de données MYSQL est la plus courante.
Question 2
Donnez cette méthode qui permet de connaitre en plus le nombre de champs retournés.
3 points
Sans connaitre le code qui s’exécute derrière un attaquant peut détecter la présence d’une injection SQL en
essayant d’interrompre la requête en accédant à la page : Test_sqli.php?id=1′,
o Un message d’erreur MYSQL qui s’affiche indique la possibilité d’injection SQL.
Ensuite, la technique la plus courante est l’utilisation de la clause « ORDER BY », en incrémentant l’indice
petit à petit jusqu’à ce que la page affiche une erreur
 Test_sqli.php?id=101 order by 1 [OK]
 Test_sqli..php?id=101 order by 2 [OK]
 Test_sqli..php?id=101 order by 3 [ERREUR]
A ce stade-là, l’attaquant peut savoir que la requête contient 2 champs dans le SELECT
Question 3
En supposant que la requête « select » renvoie 2 champs, comment un attaquant pourrait-il
récupérer des données sur l’utilisateur courant ?
2 points
Il est possible d’utiliser la clause UNION.

Test_sqli.php? id=-2 UNION SELECT user(), password, null FROM users
Question 4
Comment se protéger dans ce cas précis, et de manière générale, des injections SQL ?
3 points
Dans notre cas il est possible de ne conserver que la partie entière de sa valeur d’id ou de vérifier que c’est
un entier.
Dans le cas général, il est possible d’utiliser mysqli_real_escape_string qui protège une commande SQL de la
présence de caractères spéciaux.
Question 5
Quel en est le principe ?
3 points
Le principe de cette faille est d’injecter un code malveillant en langage de script dans un site web vulnérable,
par exemple en déposant un message dans un forum qui redirige l’internaute vers un faux site (phishing) ou
qui vole des informations (cookies).
La faille XSS permet d’exécuter des scripts du côté client. Ceci signifie que vous ne pouvez exécuter que du
JAVASCRIPT, HTML et d’autres langages qui ne vont s’exécuter que chez celui qui lance le script et pas sur le
serveur directement.
Question 6
Donnez et décrivez les quelques lignes qui permettraient uniquement à l’utilisateur « alainthierry »
d’avoir accès à ce répertoire.
3 points
AuthType Basic
AuthName "Accès Admin"
AuthUserFile "/homepages/…. /.htpasswd"
Require user alainthierry
La première ligne « AuthType Basic » indique le type d’authentification utilisée, ici il s’agira de
l’authentification classique login/mdp.
La seconde ligne indique le nom donné à cette authentification. Ce nom apparaitra dans la fenêtre de login
proposée à l’utilisateur lors d’une tentative d’accès à un contenu protégé.
La troisième ligne indique le chemin d’accès au fichier de mot de passe.
La quatrième ligne indique que seul l’utilisateur alainthierry pourra se connecter après authentification.
Pour permettre l’accès à n’importe quel utilisateur valide, on remplacerait par : « require validuser »
Question 7
Complétez le fichier .htaccess afin de ne permettre l’accès au répertoire que depuis la machine
d’adresse IP 192.168.1.10.
3 points
Order deny, allow

deny from all
allow from 192.168.1.10
Question 8
Vous devez créer un utilisateur « alainthierry » avec pour mot de passe « alth » et avec le rôle
DBA, donnez les lignes de commandes SQL pour cela.
3 points
CREATE USER alainthierry IDENTIFIED BY alth ;

GRANT CONNECT TO alainthierry ;
GRANT DBA TO alainthierry WITH ADMIN OPTION;
 Dossier 4 - Sécurité Wifi
Question 1
Quels sont les inconvénients de cette liste blanche ?
2 points
Il faut identifier toutes les adresses MAC qui seront autorisées.

Sans communiquer directement avec la borne d’accès, un pirate peut écouter le trafic Wifi qui transite dans
les airs et peut récupérer assez facilement les adresses MAC qui discutent avec la borne d’accès. Il pourra
ensuite usurper cette adresse MAC en la configurant sur sa propre carte Wifi.
Question 2
Que lui répondez-vous ?
2 points
Il ne faut pas utiliser le WEP car le fait que son IV (Vecteur d’Initialisation) n’ait une taille que de 24 bits
permet à des pirates de calculer toutes les possibilités de valeurs en quelques secondes.
Question 3
Il vous demande donc la différence entre WPA et WPA2 ?
4 points
Le WPA est une sorte de rustine en attendant le 802.11i.

L’algorithme de chiffrement TKIP (Temporary Key Integrity Protocol), plus robuste que l’algorithme RC4 du
WEP.
Le WPA2 est une solution de sécurisation poussée des réseaux WiFi. Il s’appuie sur l’algorithme de
chiffrement TKIP, comme le WPA, mais supporte également le chiffrement symétrique AES (Advanced
Encryption Standard), beaucoup plus robuste que TKIP.
Question 4
Expliquez-lui la différence entre le mode personnel et le mode entreprise s’il désire installer un
réseau wifi au standard wifi 802.11i.
Quelle architecture lui conseillez-vous ?
5 points
L’utilisation du standard wifi 802.1x impose normalement la mise en place d’un serveur Radius, ce qui
impacte l’investissement financier. On a donc 2 modes de fonctionnement du WPA (comme du WPA2) :
- mode personnel : dans ce mode, on définit un mot de passe partagé entre le client et la
borne d’accès, ce mot de passe s’appelle PSK pour Pre-Shared Key. C’est quasiment
le même principe que la clé WEP mais avec un algorithme plus puissant. Pas besoin d’un serveur
Radius.
- mode entreprise : dans ce mode, on utilise le standard 802.1x donc la mise en place d’un serveur
Radius est nécessaire.
L’architecture standard wifi 802.1x avec un serveur radius serait beaucoup plus sécurisée pour un tel
établissement.
 Dossier 5 - Droit informatique
Question 1
Que pouvez-vous dire juridiquement sur son interdiction pure et simple par l'employeur ?
4 points
La CNIL admet ainsi qu'« une interdiction générale et absolue de toute utilisation d'Internet à des fins autres
que professionnelles ne paraît pas réaliste dans une société de l'information et de la communication, et
semble disproportionnée au regard des textes applicables et de leur interprétation par la jurisprudence ».
Or, la nature même d'Internet rend possible son utilisation à des fins personnelles et non professionnelles.
Cependant le 9 juillet 2008, la Cour de cassation a rendu une solution selon laquelle toutes les connexions
internet effectuées par un salarié depuis son poste et durant ses horaires de travail sont présumées avoir un
caractère professionnel.
L'employeur peut fixer dans une charte les conditions et les limites d'une telle utilisation d'Internet. Il peut
par exemple filtrer certains sites à condition d'avertir les employés et de consulter le comité d'entreprise. S'il
met en place un dispositif permettant de collecter des données de connexion pour chaque poste, il doit
déclarer ce traitement auprès de la CNIL, sauf si un correspondant informatique et libertés a été désigné.
Question 2
Pensez-vous que la loi française interdise l’utilisation de la messagerie à des fins personnelles au
travail ?
4 points
Selon la CNIL, « l'utilisation de la messagerie électronique pour envoyer ou recevoir, dans des proportions
raisonnables, un message à caractère personnel correspond à un usage généralement et socialement
admis ».
La distinction entre message privé et message professionnel est importante, car l'employeur a la possibilité
de prendre connaissance d'un message professionnel reçu par un employé, alors qu'il se rend coupable de
violation du secret des correspondances s'il prend connaissance du contenu d'un message privé. Afin de
faciliter la détection du caractère privé ou professionnel du message, on considère en général qu'il revêt un
caractère professionnel, « sauf indication manifeste dans l'objet du message ou dans le nom du répertoire
où il pourrait avoir été archivé par son destinataire ».
Question 3
Pensez-vous qu’il existe une loi ou décret appelant à l’interdiction de l’usage des téléphones
mobiles durant des activités d’enseignement ?
4 points
L’article L. 511- 5 du code de l’éducation pose l’interdiction de l’usage des téléphones mobiles par les élèves,
notamment « durant toute activité d’enseignement », à l’école et au collège, ce qui entraîne de facto
l’interdiction d’accéder au réseau Wi-Fi de l’établissement depuis un smartphone pendant les cours. En
outre, l’article 7 de la loi du 9 février 2015 prévoit aussi la désactivation, dans les classes des écoles
primaires, des matériels Wi-Fi lorsqu’ils ne sont pas utilisés pour les activités numériques pédagogiques ainsi
que l’information du conseil d’école avant toute nouvelle installation d’un réseau radioélectrique.
GRILLE DE NOTATION
- DEESIRS -
Nom et prénom du correcteur : ............................................................................................................................
N° de candidat : ......................................................
Dossier Note attribuée Observations obligatoires
Dossier 1 - Architecture réseaux /30
Dossier 2 - Sécurité des SI /30
Dossier 3 - Sécurité des

/25
architectures 3 tiers
Dossier 4 - Sécurité WIFI /13
Dossier 5 - Droit informatique /12
Présentation et orthographe /10

TOTAL /120
Appréciation générale :
................................................................................................................................................................................
................................................................................................................................................................................
................................................................................................................................................................................
Fait à .................................................................. , le ............................................................
Signature du correcteur

DEESIRS - Juin 2016 - Corrigé

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

DEESIRS - Juin 2016 - Corrigé

Transféré par

Droits d'auteur :

Formats disponibles

FEDERATION EUROPEENNE DES ECOLES

FEDERATION FOR EDUCATION IN EUROPE

Type d’épreuve : Rédaction (Etude de cas)

Session : Juin 2016

Par exemple : creation d’un vlan

Puis on y associe une adresse mac d’un des postes étudiants

Routeur1(config-if)#IP route 192.168.1.253 255.255.255.0 192.168.1.1

 Dossier 2 - Sécurité des SI

Les principaux objectifs :

Ces champs d’applications sont :

- sensibiliser les utilisateurs de la partie administration.

Filtrage simple de paquets sans état (« stateless packet filtering ») :

13 points (1 point par bloc de règles)

1. supprimer les règles précédentes :

2. On définit la « policy » restrictive : On bloque par défaut tout le trafic :

3. Le loopback est autorisé :

4. On ne ferme pas les connexions déjà établies :

5. On ne ferme pas les connexions déjà établies ICMP (Ping) :

6. Ouverture pour les connexions DNS :

7. Ouverture pour les connexions HTTP et HTTPS :

8. Ouverture pour les connexions FTP :

10. Ouverture pour les connexions MAIL POP3 :

iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT

11. Ouverture pour les connexions MAIL IMAP :

12. Ouverture pour les connexions MAIL POP3S :

13. Ouverture pour les connexions SSH depuis le poste 192.168.1.45 :

//on crée une chaine utilisateur nommée "ssh"

iptables -A FORWARD -p tcp --syn -m limit --limit 1/second -j ACCEPT

iptables -A FORWARD -p udp -m limit --limit 1/second -j ACCEPT

iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/second -j ACCEPT

On peut limiter le scan de ports avec une règle du type :

Dans cette architecture 3 tiers, on a une architecture partagée entre :

Il est possible d’utiliser la clause UNION.

La troisième ligne indique le chemin d’accès au fichier de mot de passe.

Order deny, allow

CREATE USER alainthierry IDENTIFIED BY alth ;

 Dossier 4 - Sécurité Wifi

Il faut identifier toutes les adresses MAC qui seront autorisées.

Le WPA est une sorte de rustine en attendant le 802.11i.

 Dossier 5 - Droit informatique

Nom et prénom du correcteur : ............................................................................................................................

Dossier Note attribuée Observations obligatoires

Dossier 1 - Architecture réseaux /30

Dossier 2 - Sécurité des SI /30

Dossier 3 - Sécurité des

Dossier 4 - Sécurité WIFI /13

Dossier 5 - Droit informatique /12

Présentation et orthographe /10

Fait à .................................................................. , le ............................................................

Vous aimerez peut-être aussi