DEESIRS - Juin 2017 - Corrigé

FEDERATION EUROPEENNE DES ECOLES
FEDERATION FOR EDUCATION IN EUROPE

OING dotée du statut participatif auprès du Conseil de l’Europe
INGO enjoying participatory status with the Council of Europe
UE D - TECHNIQUES PROFESSIONNELLES
Bachelor européen en informatique, réseaux et sécurité

(DEESIRS)
UC D31
Corrigé
Type d’épreuve : Rédaction (Etude de cas)
Durée : 6 heures
Session : Juin 2017
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2017
UC D31 DEESIRS - Corrigé
 Dossier 1 - Architecture et sécurité réseaux
Question 1
A partir du schéma réseau précédent, donnez un plan d’adressage de classe A privée, nécessaire
au bon fonctionnement de la plateforme principale (adresse IP et masque réseau pour chaque
matériel apparaissant dans le schéma).
1 point
Toute proposition justifiée sera acceptée
Adresses de passerelles, 10.0.0.254 Masque réseau (le plus logique) /8

Adresse du serveur DHCP 10.0.0.254 Adresse du serveur DNS 10.0.0.251
Adresses des serveurs web 10.0.0.249 et 10.0.0.248
Adresses des serveurs SGBD 10.0.0.245 et 10.0.0.246
Adresse du serveur fichier 10.0.0.243 Adresses des machines 10.0.0.15 a 18 /8
Adresse des routeurs 10.0.0.123 et 10.0.0.124
Question 2
A partir de ce même schéma, donnez un plan d’adressage de classe B privée, nécessaire au bon
fonctionnement de la plateforme secondaire (adresse IP et masque réseau pour chaque matériel
apparaissant dans le schéma).
1 point
Adresses de passerelles, 172.16.0.254 Masque réseau (le plus logique) /16

Adresse du serveur DHCP 172.16.0.254 Adresse du serveur DNS 172.16.0.251
Adresses du serveur web 172.16.0.249 et 172.16.0.248
Adresses des serveurs SGBD 172.16.0.245
Adresse du serveur fichier 172.16.0.243
Adresses des machines 172.16.0.15 a 18 /16
Adresse du routeur 172.16.0.123
Question 3
Les serveurs web et bases de données seront dans une DMZ : quel en est l’intérêt ?
1 point
Lorsque certaines machines du réseau interne ont besoin d'être accessibles de l'extérieur (serveur web, un
serveur de messagerie, un serveur FTP public, etc.), il est souvent nécessaire de créer une nouvelle interface
vers un réseau à part, accessible aussi bien du réseau interne que de l'extérieur, sans pour autant risquer de
compromettre la sécurité de l'entreprise. On parle ainsi de « zone démilitarisée » (notée DMZ pour
DeMilitarized Zone) pour désigner cette zone isolée hébergeant des applications mises à disposition du
public. La DMZ fait ainsi office de « zone tampon » entre le réseau à protéger et le réseau hostile.
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2017 2/19
Question 4
Quelle autre solution software auriez-vous proposée ?
1 point
Amon : distribution GNU/Linux se basant sur Ubuntu et proposant des outils d'administration.
SmoothWall : distribution linux packageant Netfilter et d'autres outils de sécurité pour transformer un PC en
pare-feu dédié et complet.
IPCop : distribution linux packageant Netfilter et d'autres outils de sécurité pour transformer un PC en pare-
feu dédié et complet.
Ipfire : dérivé de IPCop, mais avec des idées très nouvelles et design.
Endian Firewall : distribution linux packageant Netfilter et d'autres outils de sécurité pour transformer un PC
en pare-feu dédié et complet.
Pfsense : distribution firewall open source très avancée basée sur FreeBSD et dérivée de m0n0wall qui utilise
entre autres OpenBSD packet Filter.
Zeroshell.
Question 5
Quelle solution hardware auriez-vous pu proposer à la place ?
1 point
Cisco Systems :
- Cisco PIX, Cisco ASA et Cisco FWSM, boîtier pare-feu,
- Cisco VPN3000, boîtier pare-feu orienté RPV.
Nortel :
- Famille Nortel VPN Router,
- Famille Nortel Switched Firewall.
SonicWALL : SonicWALL, pare-feu professionnel UTM (filtrage applicatif, passerelle antivirus, IPS, filtrage de
contenu, antispam) avec Tunnel VPN IPSEC.
WatchGuard : Firebox® X, gamme d'appliances de gestion unifiée des menaces (UTM ou Unified Threat
Management).
ZyXEL : ZyWALL, pare-feu professionnel UTM (antivirus, filtrage applicatif, IDP, filtrage de contenu, antispam)
avec Tunnel VPN IPSEC et SSL.
Question 6
Le responsable de l’entreprise vous demande de lui expliquer les différentes typologies de
firewalls existants et leurs résistances aux attaques DOS ou aux failles applicatives.
3 points
C’est le filtrage le plus simple. Le firewall autorise ou bloque le passage de paquets en fonction des adresses
IP et des ports (source et destination) et types de paquet en se basant sur les règles prédéfinies par
l'administrateur (généralement appelées ACL, Access Control Lists).
Il ne conserve pas en mémoire les informations donc aucun moyen de savoir si c’est une tentative de flood…
ou une attaque de type ip-spoofing (couchse 2 ou 3 OSI).
• Firewall à états (stateful)
Les firewalls à états prennent en compte la validité des paquets qui transitent par rapport aux paquets
précédemment reçus. Ils gardent alors en mémoire les différentes informations de connexion. De ce fait, ils
seront capables de traiter les paquets non plus uniquement suivant les règles définies par l'administrateur,
mais également par rapport à l'état de la session :
L'application des règles est alors possible sans lire les ACL à chaque fois, car l'ensemble des paquets
appartenant à une connexion active seront acceptés.
Ce type de firewall protège des attaques DoS comme par exemple le Syn Flood. Les firewalls stateful étant
capables de vérifier l'état des sessions, ils sont capables de détecter les tentatives excessives de demande de
connexion. Il est possible, en autre, de ne pas accepter plus d'une demande de connexion par seconde pour
un client donné.
Mais ce type de firewall ne protège pas contre l'exploitation des failles applicatives qui représentent la part
la plus importante des risques en termes de sécurité.
• Firewall applicatif
Le firewall applicatif (aussi nommé pare-feu de type proxy ou passerelle applicative) fonctionne sur la
couche 7 du modèle OSI. Cela suppose que le firewall connaisse l'ensemble des protocoles utilisés par
chaque application. Chaque protocole dispose d'un module spécifique à celui-ci. C'est à dire que, par
exemple, le protocole HTTP sera filtré par un processus proxy HTTP.
Ce type de firewall est capable de vérifier, par exemple, que seul le protocole HTTP transite à travers le port
80. Il est également possible d'interdire l'utilisation de tunnels TCP permettant de contourner le filtrage par
ports. De ce fait, il est possible d'interdire, par exemple, aux utilisateurs d'utiliser certains services, même
s'ils changent le numéro de port d'utilisation du service (comme par exemple les protocoles de peer to peer).
Les limites :
La première limitation de ces firewalls réside sur le fait qu'ils doivent impérativement connaître toutes les
règles des protocoles qu'ils doivent filtrer.
Ensuite, ce type de firewall est très gourmand en ressource.
Les firewalls authentifiant permettent de mettre en place des règles de filtrage suivant les utilisateurs et non
plus uniquement suivant des machines à travers le filtre IP. Il est alors possible de suivre l'activité réseau par
utilisateur.
Pour que le filtrage puisse être possible, il y a une association entre l'utilisateur connecté et l'adresse IP de la
machine qu'il utilise. Il existe plusieurs méthodes d'association. Par exemple authpf, qui utilise SSH, ou
encore NuFW qui effectue l'authentification par connexion.
Question 7
Votre responsabilité est donc de configurer ce firewall, qui sera ultérieurement installé sur
chaque serveur (http, https, ftp), en écrivant un script « Bash » qui regroupera les commandes
qui vous paraissent nécessaires au bon fonctionnement et à la sécurité.
Commenter vos explications dans le script.
5 points
vi /etc/init.d/firewall
#!/bin/sh
# Vider les tables actuelles

iptables -t filter -F
# Vider les règles personnelles

iptables -t filter -X
# Interdire toute connexion entrante et sortante

iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP
# Ne pas casser les connexions établies

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# Autoriser loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT
# ICMP (Ping)
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT
# DNS In/Out
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT
# HTTP (resp HTTPS sur 443)

ptables -A OUTPUT -p tcp --sport 1024:65535 --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --sport 80 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT
# FTP
iptables -A INPUT -p tcp --sport 1024:65535 --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 21 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 20 --dport 1024:65535 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --sport 1024:65535 --dport 20 -m state --state ESTABLISHED -j ACCEPT
Question 8
Puisque vous utilisez un firewall applicatif, on vous demande maintenant d’améliorer votre script
pour lutter contre les attaques Ping Flood / déni de service.
1 point
// Dans cette solution nous fixons la valeur à 1 paquet maximum par seconde.
iptables -A INPUT -p tcp --syn -m limit --limit 1/second -j ACCEPT

iptables -A INPUT -p udp -m limit --limit 1/second -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/second -j ACCEPT
Question 9
On désire aussi autoriser les connexions SSH et SSL sur le serveur, mais uniquement depuis les
postes de travail se trouvant dans la plateforme principale. Quelles lignes de commandes
« bash » faut-il ajouter à votre script précèdent ?
1 point
En considérant IPmachine comme adr ip des postes de la « main Platform »
# SSH In
iptables -t filter -A INPUT –s IPmachine -p tcp --dport 2222 -j ACCEPT
# SSH Out
iptables -t filter -A OUTPUT s IPmachine -p tcp --dport 2222 -j ACCEPT
# SSL In
iptables -t filter -A INPUT –s IPmachine 25 -p tcp --dport 443 -j ACCEPT
# SSL Out
iptables -t filter -A OUTPUT s IPmachine -p tcp --dport 443 -j ACCEPT
Question 10
On vous demande maintenant de proposer une configuration pour les tables de routage statique
des routeurs Cisco de la plateforme principale en expliquant vos choix.
2 points
Routeur1>en // exemple de configuration des adresses IP des routeurs

Routeur1#conf t
Routeur1 (config)#interface FastEthernet0/0
Routeur1 (config-if)#ip address 192.168.1.1 255.255.255.0
Routeur1 (config-if)# no sh
Routeur1(config-if)#exit
// Exemple de configuration du routage statique
Routeur1(config-if)# ip route 0.0.0.0 0.0.0.0 192.168.3.1 // sortie passerelle

Routeur1(config-if)# ip route « adr reseau dest » « masque » « adr port »
Question 11
En précisant votre adressage IP, expliquez comment vous allez procéder.
Donnez les commandes nécessaires pour configurer le routeur Cisco à cette fin.
3 points
Il faut rediriger le trafic TCP vers un autre port et vers une adresse TCP : Il faut donc utiliser le « port
forwarding » pour rediriger le trafic destiné au port TCP 80 au port TCP 8080.
(En considérant une redirection vers la machine 12.16.10.8 sur le 8080)
interface ethernet 0
ip address 172.16.10.1 255.255.255.0
ip nat inside
interface serial 0
ip address 200.200.200.5 255.255.255.252
ip nat outside
ip nat inside source static tcp 200.200.200.5 80 172.16.10.8 8080
Question 12
Quels sont les paramètres contrôlés dans des ACL étendues ?
1 point
Les ACL permettent de filtrer les accès entre les différents réseaux ou de filtrer les accès au routeur lui-
même. Les paramètres contrôlés sont :
- adresse source,
- adresse destination,
- protocole utilisé,
- numéro de port.
Question 13
Quel serait l’intérêt d’utiliser VPN overlay entre les plateformes principale et secondaire ?
1 point
Un VPN permet d'accéder à des ordinateurs distants comme si l'on était connecté au réseau local. On peut
ainsi avoir un accès au réseau interne (réseau d'entreprise, par exemple).
Le VPN permet également de construire des réseaux overlay, en construisant un réseau logique sur un
réseau sous-jacent, faisant ainsi abstraction de la topologie de ce dernier (donc même adresse réseau).
Question 14
Détaillez brièvement les différents protocoles de chiffrements, en donnant les niveaux OSI
concernés.
2 points
Les principaux protocoles permettant de créer des VPN sont de 2 types suivant le niveau de la couche OSI :
- les protocoles de niveau 2 comme PPTP ou L2TP,
- les protocoles de niveau 3 comme IPsec ou MPLS.
PPTP (Point-to-Point tunneling Protocol) est un protocole de niveau 2 développé par Microsoft, 3Com,
Ascend, US Robotics et ECI Telematics.
L2TP (Layer Two Tunneling Protocol) est l'aboutissement des travaux de l'IETF (RFC 3931) pour faire
converger les fonctionnalités de PPTP et L2F. Il s'agit ainsi d'un protocole de niveau 2 s'appuyant sur PPP.
IPsec est un protocole de niveau 3, issu des travaux de l'IETF, permettant de transporter des données
chiffrées pour les réseaux IP.
SSL/TLS offre une très bonne solution de tunnelisation. L'avantage de cette solution est de permettre
l'utilisation d'un navigateur Web comme client VPN. (niveau 4 OSI).
SSH permet, entre autres, d'envoyer des paquets depuis un ordinateur auquel on est connecté.
Question 15
Que représentent « isakmp » ou « Ike » ? A quels problèmes répondent-ils ?
2 points
Ce sont des mécanismes de cryptage.

Les protocoles sécurisés ont recours à des algorithmes de cryptage et ont donc besoin de clefs. Un des
problèmes principaux est la gestion de ces clefs. Par gestion, on entend la génération, la distribution, le
stockage et la suppression de ces clefs. Ces différentes tâches sont dévolues à des protocoles spécifiques de
gestion de ces clefs, à savoir :
- Isakmp (Internet Security Association and Key Management Protocol),
- Ike (Internet Key Exchange).
Question 16
Donnez les 4 contraintes / fonctionnalités d’un VPN (sécurisé) afin d’être transparent, pour les
utilisateurs et pour les applications y ayant accès ?
2 points
Authentification d’utilisateur : seuls les utilisateurs autorisés doivent avoir accès au canal VPN.
Cryptage des données : lors de leur transport sur le réseau public, les données doivent être protégées par un
cryptage efficace.
Gestion de clés : les clés de cryptage pour le client et le serveur doivent pouvoir être générées et régénérées.
Prise en charge multi protocole : la solution VPN doit supporter les protocoles les plus utilisés sur les réseaux
publics en particuliers IP.
Question 17
Vous devez maintenant réaliser un VPN ipsec entre les 2 plateformes grâce aux routeurs Cisco
(préalablement installés dans la plateforme principale et la seconde plateforme).
A partir des informations qui vous sont données et de l’annexe 4 configurez en expliquant ce VPN
non overlay avec des routeurs Cisco.
10 points
Création d’une ACL étendue permettant l’établissement d’un tunnel VPN IPSEC entre les deux routeurs :
protocoles (ahp, esp, udp)
RMP(config)#ip access-list extended IPSECACL
RMP(config-ext-nacl)#permit ahp host 170.30.1.2 host 172.30.2.2
MP (config-ext-nacl)#permit esp host 170.30.1.2 host 172.30.2.2
RMP (config-ext-nacl)#permit udp host 170.30.1.2 host 172.30.2.2 eq isakmp
RMP (config-ext-nacl)#exit
Création de notre politique IKE pour la phase 1

RMP (config)#crypto isakmp policy 100
RMP (config-isakmp)#encryption aes 128
RMP (config-isakmp)#group 2
RMP (config-isakmp)#hash sha
RMP (config-isakmp)#lifetime 86400
RMP (config-isakmp)#exit
Création de clé pré-partagée FEDE ainsi que l’adresse IP du routeur distant avec lequel on communique
RMP (config)#crypto isakmp key FEDE address 170.30.2.2
Création de notre politique IPSec pour la phase 2

Nous définissons notre transform-set pour l’établissement d’une liaison IPSec SA
RMP (config)#crypto ipsec transform-set TSET esp-aes 128 esp-sha-hmac
Création de la crypto ACL qui va identifier qui doit passer par le tunnel VPN
RMP (config)#ip access-list extended CRYPTOACL
RMP (config-ext-nacl)#permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255
RMP (config-ext-nacl)#exit
Création de la crypto MAP qui définit le chemin qu’emprunte notre tunnel avec : la politique IPSec, la crypto
ACL, le transform-set pour la politique IPSec et l’adresse IP du routeur distant avec lequel on veut
communiquer.
RMP (config)#crypto map IPSECMAP 100 ipsec-isakmp
RMP (config-crypto-map)#set peer 170.30.2.2
RMP (config-crypto-map)#set transform-set TSET
RMP (config-crypto-map)#match address CRYPTOACL
RMP (config-crypto-map)#exit
Application de notre crypto map IPSECMAP et de l’ACL IPSECACL pour autoriser et établir le tunnel sur
l’interface de sortie s0/0/0
RMP (config)#interface s0/0/0
RMP (config-if)#crypto map IPSECMAP
RMP (config-if)# ip access-group IPSECACL out
RMP (config-if)#exit
Question 18
Une fois le VPN configuré, comment peut-on vérifier si le tunnel fonctionne bien ?
1 point
Une fois le tunnel configuré, deux commandes permettent de vérifier si le tunnel fonctionne :
- # show crypto isakmp sa,
- # show crypto ipsec sa.
Toutefois, on pourrait aussi vérifier le fonctionnement à l’aide d’un « Ping » étendu.
Question 19
On désire donc configurer ce réseau afin qu’il puisse répondre à des montées en charge,
expliquez la différence qui existe entre « clustering » et « load balancing ».
2 points
La différence entre « clustering » et « load balancing » est très mince et les deux notions sont souvent liées.
• Le clustering est la division d’une entité informatique en cluster. Une grappe de serveur travaillant
ensemble vers un objectif commun a donc subi du clustering. Une des principales caractéristiques dans le
clustering est que tous les clusters communiquent entre eux et ont un objectif commun. Leur charge est
souvent équilibrée par des techniques de load balancing.
• Le load balancing est l’équilibrage de la charge d’un réseau sur des ressources informatiques. Le load
balancing peut répartir des requêtes sur une ferme de serveurs ou des clusters mais ces derniers ne sont pas
nécessairement reliés entre eux et n’envoient des informations qu’au load balanceur ou au client.
Ces deux notions ne répondent pas au même besoin et travaillent souvent ensemble dans les réseaux
informatiques modernes.
Question 20
Quels sont les avantages de « clustering » et du « load balancing » ?
2 points
Avantages du clustering
Le clustering est une solution pour créer une architecture de réseau informatique. Elle permet une gestion
des ressources évolutive (il suffit de rajouter un cluster pour augmenter les performances) et les clusters
communiquant entre eux, il n’y a pas de point névralgique. En cas de maintenance ou d’incident sur un
cluster, les autres peuvent toujours répondre aux requêtes et ainsi permettre une haute disponibilité du
service.
Avantages du load balancing

Le load balancing permet d’améliorer les performances d’un réseau sans forcément augmenter ses
capacités. En gérant mieux la charge de requêtes arrivant sur les ressources à disposition le load balancing
augmente la satisfaction des requêtes et la consommation des ressources informatiques (il n’est plus
nécessaire d’investir dans des ressources supplémentaires qui ne seront utilisés que 10 % du temps).
Question 21
Expliquez par un schéma le fonctionnement du « load balancing » utilisant l’algorithme Round-
robin.
5 points
L’équilibrage de charge sous Linux avec LVS (Linux Virtual Server) :

Notre machine LVS est donc une sorte de répartiteur qui va capter tous les flux entrants pour les répartir sur
un ensemble de serveurs, invisible au reste du monde, et ainsi répartir la charge permettant ainsi de
proposer plus de services, avec plus de capacités et plus de débits, plus de tolérance de panne.
Le directeur possède au moins deux adresses IP :

1. une adresse IP virtuelle (la VIP) qui sera publique, et donc exposée à Internet,
2. une seconde adresse, privée cette fois, destinée aux échanges avec les serveurs réels.
Un round-robin est une répartition de charge (load balancing) équitable entre serveurs. Chaque serveur
traite le même nombre de requêtes. Cela nécessite donc une ferme de serveurs homogènes en capacité de
traitement.
Question 22
Linux Virtual Server (LVS) utilise principalement une commande, quelle est-elle ?
2 points
C’est la commande ipvsadm (ipvsadm est à ipvs ce que iptables est à netfilter).
 Dossier 2 - Sécurité des architectures WEB
Question 1
Expliquez cette architecture au responsable de l’entreprise dans notre configuration de « haute
disponibilité ».
2 points
Dans l'architecture à 3 niveaux (appelée architecture 3-tier), il existe un niveau intermédiaire entre le client
et le serveur, c'est-à-dire que l'on a une architecture partagée entre :
• le client : le demandeur de ressources,
• le serveur middleware chargé de fournir un service au client mais faisant appel à un autre serveur…,
• le serveur secondaire : (généralement un serveur de base de données), fournissant un service au
premier serveur qui devient en fait son client…
Dans l'architecture à N niveaux (appelée architecture N-tiers), il existe plusieurs niveaux intermédiaires :
Un serveur peut utiliser les services d'un ou plusieurs autres serveurs afin de fournir son propre service.
Dans notre architecture « haute disponibilité » c’est un 6 tiers dans le sens ou on aura 2 serveurs web réels
avec un serveur web virtuel de répartition de charge et les 2 serveurs de base de données Oracle qui seront
certainement en cluster…
Question 2
Sans connaitre le code qui s’exécute derrière une page web PHP, comment détecter la possibilité
d’une injection SQL ?
2 points
Sans connaitre le code qui s’exécute derrière un attaquant peut détecter la présence d’une injection SQL en
essayant d’interrompre la requête et en provoquant un message d’erreur qui s’affiche et indique la
possibilité d’injection SQL…
Exemple : Comme saisir un nom tel que « toto" OR 1=1 OR nom ="titi »
Question 3
Comment se protéger de ces injections SQL sur Oracle ?
2 points
Dans le cas général, il est possible d’utiliser des fonctions comme « PDO::quote » qui protège une
commande SQL de la présence de caractères spéciaux… ainsi que l’utilisation de requêtes préparées.
Question 4
La faille XSS est un type de faille de sécurité des sites Web, quel en est le principe ?
2 points
Le principe de cette faille est d’injecter un code malveillant en langage de script dans un site web vulnérable,
par exemple en déposant un message dans un forum qui redirige l’internaute vers un faux site (phishing) ou
qui vole des informations (cookies).
La faille XSS permet d’exécuter des scripts du côté client. Ceci signifie que vous ne pouvez exécuter que du
JAVASCRIPT, HTML et d’autres langages qui ne vont s’exécuter que chez celui qui lance le script et pas sur le
serveur directement.
Question 5
Donnez les lignes de commande afin de n’autoriser l’accès que depuis la machine d’adresse IP
176.168.1.10.
4 points
Order deny, allow

deny from all
allow from 176.168.1.10
Question 6
Les sites Web de la plateforme nécessitent la mise en place d’une infrastructure PKI pour
protéger le trafic HTTPS, expliquez brièvement ce qu’est une PKI.
2 points
Une PKI (Public Key Infrastructure) ou une IGC (Infrastructure de Gestion des Clés) est un ensemble de
logiciels, machines et procédures permettant de gérer des certificats.
Question 7
Quel est l’intérêt d’une authentification SSL avec un certificat X509 ?
3 points
Lors d'une négociation SSL, il faut s'assurer de l'identité de la personne avec qui on communique (risque
d’une attaque de type « Man In the Middle »).
Comment être sûr que le serveur auquel vous parlez est bien celui qu'il prétend être ?
C'est là qu'interviennent les certificats. Ils contiennent la clé publique de l'entité et des informations
associées à cette entité.
Ils sont là pour permettre l’identification des accès aux systèmes d’information de l’entreprise, aux sites
internet, intranet. Parade au phishing, sécurisant les accès et les opérations sensibles pour les populations
nomades, le certificat permet d’éviter les usurpations d’identité.
Cette technique permet d’avoir un canal de communication sécurisé (chiffré) entre deux machines (un client
et un serveur) après une étape d'authentification.
Les échanges définis par le protocole SSL se déroulent en deux phases :

- authentification du serveur,
- authentification (optionnelle) du client.
Question 8
Que permet de spécifier le contenu d’un certificat X509 ?
4 points
Un numéro de série est unique pour une autorité de certification donnée.

Le nom de l'autorité de certification.
La période de validité de ce certificat. Hors de cette période, un certificat est invalide.
L'identification du possesseur de la clé publique.
L'identification de l'algorithme de la clé publique ainsi que la clé publique de la personne.
Des informations complémentaires optionnelles.
L'identification de l'algorithme et la valeur de la signature du certificat.
Question 9
Combien de classes de certificat X509 existe-t-il ?
Détaillez brièvement.
4 points
Il existe quatre classes de certificat fonction du niveau de sécurité du processus utilisé lors de la génération
du certificat.
Classe 1 : L'adresse mail du demandeur suffit pour créer ce type de certificat.
Classe 2 : Preuve d'identité requise (carte d'identité, extrait de Kbis pour les entreprises, etc.).
Classe 3 : C'est un certificat de classe 2 mais la présence physique du demandeur est requise.
Classe 4 : C'est un certificat de classe 3 qui est implanté directement sur une carte à puce.
 Dossier 3 - Sécurité des bases de données - ORACLE
Question 1
On vous demande de créer un utilisateur « Fede » avec un mot de passe « FedePwd » et le rôle
de DBA.
2 points
CREATE USER Fede IDENTIFIED BY FedePwd;

GRANT CONNECT, RESSOURCE TO Fede;
GRANT DBA TO FedePwd WITH ADMIN OPTION;
Question 2
Les sauvegardes de données étant vitales pour une entreprise, on vous demande décrire les
étapes pour réaliser un full export pour l’utilisateur DBA « Fede » sur le répertoire
« SauvegardeFede » dans le fichier export.dump .
5 points
Donner les droits à l’utilisateur Fede : GRANT exp_full_database to Fede;
Création du répertoire dans lequel Oracle va stocker non seulement le fichier DMP mais également les
différents fichiers (notamment le fichier de log).
Ce répertoire doit non seulement être créé physiquement par une commande système mais également
logiquement sous Oracle :
$ mkdir SauvegardeFede ou md D:\ SauvegardeFede
Puis pour Oracle :
SQL> create directory SauvegardeFede as '/ora/admin/dba/ SauvegardeFede '
Puis donner les droits à l'utilisateur afin que celui puisse lire et écrire sur le répertoire.
SQL> grant read, write on directory SauvegardeFede to Fede
Enfin, lancer la commande d’export :
expdp Fede / FedePwd dumpfile=export.dump directory= SauvegardeFede logfile=export.log full=y
Question 3
Expliquez ce que sont les « redo log » et comment ils fonctionnent.
5 points
Les fichiers de journalisation (redo log) servent à mémoriser toutes les modifications (validées ou non) faites
sur la base, à des fins de reprise de l’instance après un arrêt ….
Cette journalisation est assurée par le process LGWR de manière permanente afin d’assurer la sécurité des
données.
Les fichiers sont organisés en groupes (au minimum 2) et écrits de manière circulaire ; les informations
sauvegardées sont donc périodiquement écrasées.
Lorsqu’on boucle un cycle, on perd les premières journalisations qui ont été faites et l'on ne saura pas
toujours restaurer la totalité des données en cas de problème. Pour cela, on pourra "archiver" tout
l'historique des redo logs, avec l'archivage optionnel.
Question 4
Comment peut-on faire un cluster oracle pour notre plateforme principale et que cela apporte-t-
il ?
5 points
On parle de grappe de serveurs ou cluster pour désigner des techniques consistant à regrouper plusieurs
ordinateurs indépendants appelés nœuds (node en anglais), afin de permettre une gestion globale et de
dépasser les limitations pour :
- augmenter la disponibilité,
- faciliter la montée en charge,
- permettre une répartition de la charge,
- faciliter la gestion des ressources (processeur, ram, disques dur, bande passante).
Oracle Real Application Clusters (Oracle RAC) permet une haute disponibilité grâce à la redondance dans
notre environnement - en particulier, les instances Oracle redondants. Un exemple dans un multi-sous-
système peut être retiré pour OS, matériel et maintenance de logiciels Oracle sans perturber l'application.
 Dossier 4 - Détection d’intrusions IDS
Question 1
Citez 3 actions possibles des IDS après cette prise de connaissance.
3 points
Reconfiguration d’équipement tiers (firewall, ACL sur routeurs) : ordre envoyé par le N-IDS à un équipement
tierce (filtreur de paquets, pare-feu) pour une reconfiguration immédiate dans le but de bloquer un intrus,
source d’intrusions.
Envoi d’une trap SNMP à un hyperviseur tierce : envoi de l’alerte (et le détail des informations la constituant)
sous format d’un datagramme SNMP à une console tierce comme HP OpenView, Tivoli, Cabletron Spectrum,
etc.
Envoi d’un e-mail à un ou plusieurs utilisateurs : envoi d’un e-mail à une ou plusieurs boîtes aux lettres pour
notifier d’une intrusion sérieuse.
Journalisation (log) de l’attaque : sauvegarde des détails de l’alerte dans une base de données centrale
comme par exemple les informations suivantes : timestamp, @IP de l’intrus, @IP de la cible, protocole
utilisé, payload).
Sauvegarde des paquets suspicieux : sauvegarde de l’ensemble des paquets réseaux (raw packets) capturés
et/ou seul(s) les paquets qui ont déclenchés une alerte.
Démarrage d’une application : lancement d'un programme extérieur pour exécuter une action spécifique
(envoi d’un message sms, émission d’une alerte auditive…).
Envoi d’un "ResetKill" : construction d'un paquet TCP FIN pour forcer la fin d’une connexion (uniquement
valable sur des techniques d’intrusions utilisant le protocole de transport TCP).
Question 2
Expliquez les différences entre les IDS réseaux et les IDS systèmes.
5 points
Les IDS peuvent également se classer selon deux catégories selon qu'ils s'attachent à surveiller le trafic
réseau ou l'activité des machines.
IDS réseau (NIDS : Network IDS)
Ces outils analysent le trafic réseau ; ils comportent généralement une
sonde qui " écoute " sur le segment de réseau à surveiller et un moteur qui
réalise l'analyse du trafic afin de détecter les signatures d'attaques ou les
divergences face au modèle de référence.
La plupart des NIDS sont aussi dits IDS inline car ils analysent le flux en
temps réel. Pour cette raison, la question des performances est très
importante car de tels IDS doivent être de plus en plus performants afin
d'analyser les volumes de plus en plus importants pouvant transiter sur les
réseaux.
IDS système (Host based IDS)
Les IDS systèmes analysent quant à eux le fonctionnement ou l'état des

machines sur lesquelles ils sont installés afin de détecter les attaques.
Ces IDS peuvent s'appuyer sur des fonctionnalités d'audit propres au système
d'exploitation ou non pour vérifier l'intégrité du système et générer des
alertes.
Les IDS systèmes (Host IDS) détectent les attaques en se basant sur des
démons (tels que syslogd par exemple). L'intégrité des systèmes est alors
vérifiée périodiquement et des alertes peuvent être levées.
Par nature, ces IDS sont limités et ne peuvent détecter les attaques
provenant des couches réseaux telles que les attaques de type DOS ou SYN
FLOOD.
Ils sont dépendants du système sur lequel ils sont installés.
Question 3
Donnez un IDS de chaque type que vous connaissez.
2 points
IDS réseau (NIDS) :

- Snort, Bro, Enterasys, Check Point,Tipping point,
- AIDA (Adaptive Intrusion Detection).
IDS système (HIDS) : AIDE, Chkrootkit, DarkSpy, FCheck, IceSword (fr), Integrit,Nabou, OSSEC.
 Dossier 5 - Droit informatique
Question 1
D’un point de vue légal, votre employeur peut-il vous interdire l’utilisation d’internet ?
4 points
La CNIL admet ainsi qu'« une interdiction générale et absolue de toute utilisation d'internet à des fins autres
que professionnelles ne paraît pas réaliste dans une société de l'information et de la communication, et
semble disproportionnée au regard des textes applicables et de leur interprétation par la jurisprudence ».
Or, la nature même d'internet rend possible son utilisation à des fins personnelles et non professionnelles.
Cependant, le 9 juillet 2008, la Cour de cassation a rendu une solution selon laquelle toutes les connexions
internet effectuées par un salarié depuis son poste et durant ses horaires de travail sont présumées avoir un
caractère professionnel.
L'employeur peut fixer dans une charte les conditions et les limites d'une telle utilisation d'internet. Il peut
par exemple filtrer certains sites à condition d'avertir les employés et de consulter le comité d'entreprise. S'il
met en place un dispositif permettant de collecter des données de connexion pour chaque poste, il doit
déclarer ce traitement auprès de la CNIL, sauf si un correspondant informatique et libertés a été désigné.
Question 2
Si un attaquant réussit à prendre des informations sur nos serveurs de base de données, qui est
responsable au regard de la loi ?
4 points
La responsabilité du chef d'entreprise, une réalité juridique

" Même pour des fautes pénales commises par des salariés indélicats et imputables à eux seuls, l'entreprise
générique pourrait être poursuivie pour dédommager la victime par application de l'article 1384 alinéa 5 du
Code civil, dès l'instant où le salarié a agi dans l'exercice de ses fonctions, c'est à dire selon les dernières
jurisprudences que le délit a pris place durant le temps de présence en entreprise et avec les moyens mis à
sa disposition par son employeur ".
La responsabilité civile de l'employeur

L'absence d'une grande partie des moyens de sécurisation du serveur de l’entreprise est susceptible de
constituer une faute civile donnant lieu à responsabilité.
L'article 1383 du code civil énonce que "chacun est responsable du dommage qu'il a causé non seulement
par son fait, mais encore par sa négligence ou par son imprudence". L'entreprise qui n'aura pas pris des
mesures de sécurité raisonnables pour protéger son serveur contre une infection informatique virale sera de
toute évidence négligente au sens de cette disposition.
GRILLE DE NOTATION
- DEESIRS -
NOM ET PRENOM DU CORRECTEUR______________________________________________________
N° de candidat_____________________
Dossier Note attribuée Observations obligatoires
Dossier 1 - Architecture et
/50
sécurité réseaux
Dossier 2 - Sécurité des

/25
architectures WEB
Dossier 3 - Sécurité des bases

/17
de données - Oracle
Dossier 4 - Détection
/10
d’intrusions IDS
Dossier 5 - Droit informatique /8
Présentation et orthographe /10

TOTAL /120
Appréciation générale :
________________________________________________________________________________________
________________________________________________________________________________________
________________________________________________________________________________________
________________________________________________________________________________________
________________________________________________________________________________________
Fait à _______________________________________ le ____________
Signature :

DEESIRS - Juin 2017 - Corrigé

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

DEESIRS - Juin 2017 - Corrigé

Transféré par

Droits d'auteur :

Formats disponibles

FEDERATION EUROPEENNE DES ECOLES

FEDERATION FOR EDUCATION IN EUROPE

Bachelor européen en informatique, réseaux et sécurité

Type d’épreuve : Rédaction (Etude de cas)

Session : Juin 2017

Adresses de passerelles, 10.0.0.254 Masque réseau (le plus logique) /8

Adresses de passerelles, 172.16.0.254 Masque réseau (le plus logique) /16

# Vider les tables actuelles

# Vider les règles personnelles

# Interdire toute connexion entrante et sortante

# Ne pas casser les connexions établies

# HTTP (resp HTTPS sur 443)

iptables -A INPUT -p tcp --syn -m limit --limit 1/second -j ACCEPT

Routeur1>en // exemple de configuration des adresses IP des routeurs

// Exemple de configuration du routage statique

Routeur1(config-if)# ip route 0.0.0.0 0.0.0.0 192.168.3.1 // sortie passerelle

(En considérant une redirection vers la machine 12.16.10.8 sur le 8080)

ip nat inside source static tcp 200.200.200.5 80 172.16.10.8 8080

Ce sont des mécanismes de cryptage.

Création de notre politique IKE pour la phase 1

Création de notre politique IPSec pour la phase 2

Avantages du load balancing

L’équilibrage de charge sous Linux avec LVS (Linux Virtual Server) :

Le directeur possède au moins deux adresses IP :

Order deny, allow

Les échanges définis par le protocole SSL se déroulent en deux phases :

Un numéro de série est unique pour une autorité de certification donnée.

 Dossier 3 - Sécurité des bases de données - ORACLE

CREATE USER Fede IDENTIFIED BY FedePwd;

Donner les droits à l’utilisateur Fede : GRANT exp_full_database to Fede;

Puis pour Oracle :

SQL> create directory SauvegardeFede as '/ora/admin/dba/ SauvegardeFede '

SQL> grant read, write on directory SauvegardeFede to Fede

Enfin, lancer la commande d’export :

expdp Fede / FedePwd dumpfile=export.dump directory= SauvegardeFede logfile=export.log full=y

Les IDS systèmes analysent quant à eux le fonctionnement ou l'état des

IDS réseau (NIDS) :

 Dossier 5 - Droit informatique

La responsabilité du chef d'entreprise, une réalité juridique

La responsabilité civile de l'employeur

NOM ET PRENOM DU CORRECTEUR______________________________________________________

Dossier Note attribuée Observations obligatoires

Dossier 2 - Sécurité des

Dossier 3 - Sécurité des bases

Dossier 5 - Droit informatique /8

Présentation et orthographe /10

Fait à _______________________________________ le ____________

Vous aimerez peut-être aussi

Fait à ___________________________ le