Académique Documents
Professionnel Documents
Culture Documents
UE D - TECHNIQUES PROFESSIONNELLES
UC D31
Corrigé
Durée : 6 heures
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2017
UC D31 DEESIRS - Corrigé
Dossier 1 - Architecture et sécurité réseaux
Question 1
A partir du schéma réseau précédent, donnez un plan d’adressage de classe A privée, nécessaire
au bon fonctionnement de la plateforme principale (adresse IP et masque réseau pour chaque
matériel apparaissant dans le schéma).
1 point
Toute proposition justifiée sera acceptée
Question 2
A partir de ce même schéma, donnez un plan d’adressage de classe B privée, nécessaire au bon
fonctionnement de la plateforme secondaire (adresse IP et masque réseau pour chaque matériel
apparaissant dans le schéma).
1 point
Toute proposition justifiée sera acceptée
Question 3
Les serveurs web et bases de données seront dans une DMZ : quel en est l’intérêt ?
1 point
Lorsque certaines machines du réseau interne ont besoin d'être accessibles de l'extérieur (serveur web, un
serveur de messagerie, un serveur FTP public, etc.), il est souvent nécessaire de créer une nouvelle interface
vers un réseau à part, accessible aussi bien du réseau interne que de l'extérieur, sans pour autant risquer de
compromettre la sécurité de l'entreprise. On parle ainsi de « zone démilitarisée » (notée DMZ pour
DeMilitarized Zone) pour désigner cette zone isolée hébergeant des applications mises à disposition du
public. La DMZ fait ainsi office de « zone tampon » entre le réseau à protéger et le réseau hostile.
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2017 2/19
UC D31 DEESIRS - Corrigé
Question 4
Quelle autre solution software auriez-vous proposée ?
1 point
Toute proposition justifiée sera acceptée
Amon : distribution GNU/Linux se basant sur Ubuntu et proposant des outils d'administration.
SmoothWall : distribution linux packageant Netfilter et d'autres outils de sécurité pour transformer un PC en
pare-feu dédié et complet.
IPCop : distribution linux packageant Netfilter et d'autres outils de sécurité pour transformer un PC en pare-
feu dédié et complet.
Ipfire : dérivé de IPCop, mais avec des idées très nouvelles et design.
Endian Firewall : distribution linux packageant Netfilter et d'autres outils de sécurité pour transformer un PC
en pare-feu dédié et complet.
Pfsense : distribution firewall open source très avancée basée sur FreeBSD et dérivée de m0n0wall qui utilise
entre autres OpenBSD packet Filter.
Zeroshell.
Question 5
Quelle solution hardware auriez-vous pu proposer à la place ?
1 point
Toute proposition justifiée sera acceptée
Cisco Systems :
- Cisco PIX, Cisco ASA et Cisco FWSM, boîtier pare-feu,
- Cisco VPN3000, boîtier pare-feu orienté RPV.
Nortel :
- Famille Nortel VPN Router,
- Famille Nortel Switched Firewall.
SonicWALL : SonicWALL, pare-feu professionnel UTM (filtrage applicatif, passerelle antivirus, IPS, filtrage de
contenu, antispam) avec Tunnel VPN IPSEC.
WatchGuard : Firebox® X, gamme d'appliances de gestion unifiée des menaces (UTM ou Unified Threat
Management).
ZyXEL : ZyWALL, pare-feu professionnel UTM (antivirus, filtrage applicatif, IDP, filtrage de contenu, antispam)
avec Tunnel VPN IPSEC et SSL.
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2017 3/19
UC D31 DEESIRS - Corrigé
Question 6
Le responsable de l’entreprise vous demande de lui expliquer les différentes typologies de
firewalls existants et leurs résistances aux attaques DOS ou aux failles applicatives.
3 points
C’est le filtrage le plus simple. Le firewall autorise ou bloque le passage de paquets en fonction des adresses
IP et des ports (source et destination) et types de paquet en se basant sur les règles prédéfinies par
l'administrateur (généralement appelées ACL, Access Control Lists).
Il ne conserve pas en mémoire les informations donc aucun moyen de savoir si c’est une tentative de flood…
ou une attaque de type ip-spoofing (couchse 2 ou 3 OSI).
• Firewall à états (stateful)
Les firewalls à états prennent en compte la validité des paquets qui transitent par rapport aux paquets
précédemment reçus. Ils gardent alors en mémoire les différentes informations de connexion. De ce fait, ils
seront capables de traiter les paquets non plus uniquement suivant les règles définies par l'administrateur,
mais également par rapport à l'état de la session :
L'application des règles est alors possible sans lire les ACL à chaque fois, car l'ensemble des paquets
appartenant à une connexion active seront acceptés.
Ce type de firewall protège des attaques DoS comme par exemple le Syn Flood. Les firewalls stateful étant
capables de vérifier l'état des sessions, ils sont capables de détecter les tentatives excessives de demande de
connexion. Il est possible, en autre, de ne pas accepter plus d'une demande de connexion par seconde pour
un client donné.
Mais ce type de firewall ne protège pas contre l'exploitation des failles applicatives qui représentent la part
la plus importante des risques en termes de sécurité.
• Firewall applicatif
Le firewall applicatif (aussi nommé pare-feu de type proxy ou passerelle applicative) fonctionne sur la
couche 7 du modèle OSI. Cela suppose que le firewall connaisse l'ensemble des protocoles utilisés par
chaque application. Chaque protocole dispose d'un module spécifique à celui-ci. C'est à dire que, par
exemple, le protocole HTTP sera filtré par un processus proxy HTTP.
Ce type de firewall est capable de vérifier, par exemple, que seul le protocole HTTP transite à travers le port
80. Il est également possible d'interdire l'utilisation de tunnels TCP permettant de contourner le filtrage par
ports. De ce fait, il est possible d'interdire, par exemple, aux utilisateurs d'utiliser certains services, même
s'ils changent le numéro de port d'utilisation du service (comme par exemple les protocoles de peer to peer).
Les limites :
La première limitation de ces firewalls réside sur le fait qu'ils doivent impérativement connaître toutes les
règles des protocoles qu'ils doivent filtrer.
Ensuite, ce type de firewall est très gourmand en ressource.
Les firewalls authentifiant permettent de mettre en place des règles de filtrage suivant les utilisateurs et non
plus uniquement suivant des machines à travers le filtre IP. Il est alors possible de suivre l'activité réseau par
utilisateur.
Pour que le filtrage puisse être possible, il y a une association entre l'utilisateur connecté et l'adresse IP de la
machine qu'il utilise. Il existe plusieurs méthodes d'association. Par exemple authpf, qui utilise SSH, ou
encore NuFW qui effectue l'authentification par connexion.
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2017 4/19
UC D31 DEESIRS - Corrigé
Question 7
Votre responsabilité est donc de configurer ce firewall, qui sera ultérieurement installé sur
chaque serveur (http, https, ftp), en écrivant un script « Bash » qui regroupera les commandes
qui vous paraissent nécessaires au bon fonctionnement et à la sécurité.
Commenter vos explications dans le script.
5 points
Toute proposition justifiée sera acceptée
vi /etc/init.d/firewall
#!/bin/sh
# Autoriser loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT
# ICMP (Ping)
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT
# DNS In/Out
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT
# FTP
iptables -A INPUT -p tcp --sport 1024:65535 --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 21 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 20 --dport 1024:65535 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --sport 1024:65535 --dport 20 -m state --state ESTABLISHED -j ACCEPT
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2017 5/19
UC D31 DEESIRS - Corrigé
Question 8
Puisque vous utilisez un firewall applicatif, on vous demande maintenant d’améliorer votre script
pour lutter contre les attaques Ping Flood / déni de service.
1 point
Toute proposition justifiée sera acceptée
// Dans cette solution nous fixons la valeur à 1 paquet maximum par seconde.
Question 9
On désire aussi autoriser les connexions SSH et SSL sur le serveur, mais uniquement depuis les
postes de travail se trouvant dans la plateforme principale. Quelles lignes de commandes
« bash » faut-il ajouter à votre script précèdent ?
1 point
En considérant IPmachine comme adr ip des postes de la « main Platform »
# SSH In
iptables -t filter -A INPUT –s IPmachine -p tcp --dport 2222 -j ACCEPT
# SSH Out
iptables -t filter -A OUTPUT s IPmachine -p tcp --dport 2222 -j ACCEPT
# SSL In
iptables -t filter -A INPUT –s IPmachine 25 -p tcp --dport 443 -j ACCEPT
# SSL Out
iptables -t filter -A OUTPUT s IPmachine -p tcp --dport 443 -j ACCEPT
Question 10
On vous demande maintenant de proposer une configuration pour les tables de routage statique
des routeurs Cisco de la plateforme principale en expliquant vos choix.
2 points
Toute proposition justifiée sera acceptée
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2017 6/19
UC D31 DEESIRS - Corrigé
Question 11
En précisant votre adressage IP, expliquez comment vous allez procéder.
Donnez les commandes nécessaires pour configurer le routeur Cisco à cette fin.
3 points
Toute proposition justifiée sera acceptée
Il faut rediriger le trafic TCP vers un autre port et vers une adresse TCP : Il faut donc utiliser le « port
forwarding » pour rediriger le trafic destiné au port TCP 80 au port TCP 8080.
interface ethernet 0
ip address 172.16.10.1 255.255.255.0
ip nat inside
interface serial 0
ip address 200.200.200.5 255.255.255.252
ip nat outside
Question 12
Quels sont les paramètres contrôlés dans des ACL étendues ?
1 point
Toute proposition justifiée sera acceptée
Les ACL permettent de filtrer les accès entre les différents réseaux ou de filtrer les accès au routeur lui-
même. Les paramètres contrôlés sont :
- adresse source,
- adresse destination,
- protocole utilisé,
- numéro de port.
Question 13
Quel serait l’intérêt d’utiliser VPN overlay entre les plateformes principale et secondaire ?
1 point
Toute proposition justifiée sera acceptée
Un VPN permet d'accéder à des ordinateurs distants comme si l'on était connecté au réseau local. On peut
ainsi avoir un accès au réseau interne (réseau d'entreprise, par exemple).
Le VPN permet également de construire des réseaux overlay, en construisant un réseau logique sur un
réseau sous-jacent, faisant ainsi abstraction de la topologie de ce dernier (donc même adresse réseau).
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2017 7/19
UC D31 DEESIRS - Corrigé
Question 14
Détaillez brièvement les différents protocoles de chiffrements, en donnant les niveaux OSI
concernés.
2 points
Toute proposition justifiée sera acceptée
Les principaux protocoles permettant de créer des VPN sont de 2 types suivant le niveau de la couche OSI :
- les protocoles de niveau 2 comme PPTP ou L2TP,
- les protocoles de niveau 3 comme IPsec ou MPLS.
PPTP (Point-to-Point tunneling Protocol) est un protocole de niveau 2 développé par Microsoft, 3Com,
Ascend, US Robotics et ECI Telematics.
L2TP (Layer Two Tunneling Protocol) est l'aboutissement des travaux de l'IETF (RFC 3931) pour faire
converger les fonctionnalités de PPTP et L2F. Il s'agit ainsi d'un protocole de niveau 2 s'appuyant sur PPP.
IPsec est un protocole de niveau 3, issu des travaux de l'IETF, permettant de transporter des données
chiffrées pour les réseaux IP.
SSL/TLS offre une très bonne solution de tunnelisation. L'avantage de cette solution est de permettre
l'utilisation d'un navigateur Web comme client VPN. (niveau 4 OSI).
SSH permet, entre autres, d'envoyer des paquets depuis un ordinateur auquel on est connecté.
Question 15
Que représentent « isakmp » ou « Ike » ? A quels problèmes répondent-ils ?
2 points
Question 16
Donnez les 4 contraintes / fonctionnalités d’un VPN (sécurisé) afin d’être transparent, pour les
utilisateurs et pour les applications y ayant accès ?
2 points
Authentification d’utilisateur : seuls les utilisateurs autorisés doivent avoir accès au canal VPN.
Cryptage des données : lors de leur transport sur le réseau public, les données doivent être protégées par un
cryptage efficace.
Gestion de clés : les clés de cryptage pour le client et le serveur doivent pouvoir être générées et régénérées.
Prise en charge multi protocole : la solution VPN doit supporter les protocoles les plus utilisés sur les réseaux
publics en particuliers IP.
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2017 8/19
UC D31 DEESIRS - Corrigé
Question 17
Vous devez maintenant réaliser un VPN ipsec entre les 2 plateformes grâce aux routeurs Cisco
(préalablement installés dans la plateforme principale et la seconde plateforme).
A partir des informations qui vous sont données et de l’annexe 4 configurez en expliquant ce VPN
non overlay avec des routeurs Cisco.
10 points
Toute proposition justifiée sera acceptée
Création d’une ACL étendue permettant l’établissement d’un tunnel VPN IPSEC entre les deux routeurs :
protocoles (ahp, esp, udp)
RMP(config)#ip access-list extended IPSECACL
RMP(config-ext-nacl)#permit ahp host 170.30.1.2 host 172.30.2.2
MP (config-ext-nacl)#permit esp host 170.30.1.2 host 172.30.2.2
RMP (config-ext-nacl)#permit udp host 170.30.1.2 host 172.30.2.2 eq isakmp
RMP (config-ext-nacl)#exit
Création de clé pré-partagée FEDE ainsi que l’adresse IP du routeur distant avec lequel on communique
RMP (config)#crypto isakmp key FEDE address 170.30.2.2
Création de la crypto ACL qui va identifier qui doit passer par le tunnel VPN
RMP (config)#ip access-list extended CRYPTOACL
RMP (config-ext-nacl)#permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255
RMP (config-ext-nacl)#exit
Création de la crypto MAP qui définit le chemin qu’emprunte notre tunnel avec : la politique IPSec, la crypto
ACL, le transform-set pour la politique IPSec et l’adresse IP du routeur distant avec lequel on veut
communiquer.
RMP (config)#crypto map IPSECMAP 100 ipsec-isakmp
RMP (config-crypto-map)#set peer 170.30.2.2
RMP (config-crypto-map)#set transform-set TSET
RMP (config-crypto-map)#match address CRYPTOACL
RMP (config-crypto-map)#exit
Application de notre crypto map IPSECMAP et de l’ACL IPSECACL pour autoriser et établir le tunnel sur
l’interface de sortie s0/0/0
RMP (config)#interface s0/0/0
RMP (config-if)#crypto map IPSECMAP
RMP (config-if)# ip access-group IPSECACL out
RMP (config-if)#exit
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2017 9/19
UC D31 DEESIRS - Corrigé
Question 18
Une fois le VPN configuré, comment peut-on vérifier si le tunnel fonctionne bien ?
1 point
Une fois le tunnel configuré, deux commandes permettent de vérifier si le tunnel fonctionne :
- # show crypto isakmp sa,
- # show crypto ipsec sa.
Toutefois, on pourrait aussi vérifier le fonctionnement à l’aide d’un « Ping » étendu.
Question 19
On désire donc configurer ce réseau afin qu’il puisse répondre à des montées en charge,
expliquez la différence qui existe entre « clustering » et « load balancing ».
2 points
La différence entre « clustering » et « load balancing » est très mince et les deux notions sont souvent liées.
• Le clustering est la division d’une entité informatique en cluster. Une grappe de serveur travaillant
ensemble vers un objectif commun a donc subi du clustering. Une des principales caractéristiques dans le
clustering est que tous les clusters communiquent entre eux et ont un objectif commun. Leur charge est
souvent équilibrée par des techniques de load balancing.
• Le load balancing est l’équilibrage de la charge d’un réseau sur des ressources informatiques. Le load
balancing peut répartir des requêtes sur une ferme de serveurs ou des clusters mais ces derniers ne sont pas
nécessairement reliés entre eux et n’envoient des informations qu’au load balanceur ou au client.
Ces deux notions ne répondent pas au même besoin et travaillent souvent ensemble dans les réseaux
informatiques modernes.
Question 20
Quels sont les avantages de « clustering » et du « load balancing » ?
2 points
Avantages du clustering
Le clustering est une solution pour créer une architecture de réseau informatique. Elle permet une gestion
des ressources évolutive (il suffit de rajouter un cluster pour augmenter les performances) et les clusters
communiquant entre eux, il n’y a pas de point névralgique. En cas de maintenance ou d’incident sur un
cluster, les autres peuvent toujours répondre aux requêtes et ainsi permettre une haute disponibilité du
service.
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2017 10/19
UC D31 DEESIRS - Corrigé
Question 21
Expliquez par un schéma le fonctionnement du « load balancing » utilisant l’algorithme Round-
robin.
5 points
Question 22
Linux Virtual Server (LVS) utilise principalement une commande, quelle est-elle ?
2 points
C’est la commande ipvsadm (ipvsadm est à ipvs ce que iptables est à netfilter).
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2017 11/19
UC D31 DEESIRS - Corrigé
Dossier 2 - Sécurité des architectures WEB
Question 1
Expliquez cette architecture au responsable de l’entreprise dans notre configuration de « haute
disponibilité ».
2 points
Dans l'architecture à 3 niveaux (appelée architecture 3-tier), il existe un niveau intermédiaire entre le client
et le serveur, c'est-à-dire que l'on a une architecture partagée entre :
• le client : le demandeur de ressources,
• le serveur middleware chargé de fournir un service au client mais faisant appel à un autre serveur…,
• le serveur secondaire : (généralement un serveur de base de données), fournissant un service au
premier serveur qui devient en fait son client…
Dans l'architecture à N niveaux (appelée architecture N-tiers), il existe plusieurs niveaux intermédiaires :
Un serveur peut utiliser les services d'un ou plusieurs autres serveurs afin de fournir son propre service.
Dans notre architecture « haute disponibilité » c’est un 6 tiers dans le sens ou on aura 2 serveurs web réels
avec un serveur web virtuel de répartition de charge et les 2 serveurs de base de données Oracle qui seront
certainement en cluster…
Question 2
Sans connaitre le code qui s’exécute derrière une page web PHP, comment détecter la possibilité
d’une injection SQL ?
2 points
Sans connaitre le code qui s’exécute derrière un attaquant peut détecter la présence d’une injection SQL en
essayant d’interrompre la requête et en provoquant un message d’erreur qui s’affiche et indique la
possibilité d’injection SQL…
Exemple : Comme saisir un nom tel que « toto" OR 1=1 OR nom ="titi »
Question 3
Comment se protéger de ces injections SQL sur Oracle ?
2 points
Dans le cas général, il est possible d’utiliser des fonctions comme « PDO::quote » qui protège une
commande SQL de la présence de caractères spéciaux… ainsi que l’utilisation de requêtes préparées.
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2017 12/19
UC D31 DEESIRS - Corrigé
Question 4
La faille XSS est un type de faille de sécurité des sites Web, quel en est le principe ?
2 points
Le principe de cette faille est d’injecter un code malveillant en langage de script dans un site web vulnérable,
par exemple en déposant un message dans un forum qui redirige l’internaute vers un faux site (phishing) ou
qui vole des informations (cookies).
La faille XSS permet d’exécuter des scripts du côté client. Ceci signifie que vous ne pouvez exécuter que du
JAVASCRIPT, HTML et d’autres langages qui ne vont s’exécuter que chez celui qui lance le script et pas sur le
serveur directement.
Question 5
Donnez les lignes de commande afin de n’autoriser l’accès que depuis la machine d’adresse IP
176.168.1.10.
4 points
Question 6
Les sites Web de la plateforme nécessitent la mise en place d’une infrastructure PKI pour
protéger le trafic HTTPS, expliquez brièvement ce qu’est une PKI.
2 points
Une PKI (Public Key Infrastructure) ou une IGC (Infrastructure de Gestion des Clés) est un ensemble de
logiciels, machines et procédures permettant de gérer des certificats.
Question 7
Quel est l’intérêt d’une authentification SSL avec un certificat X509 ?
3 points
Lors d'une négociation SSL, il faut s'assurer de l'identité de la personne avec qui on communique (risque
d’une attaque de type « Man In the Middle »).
Comment être sûr que le serveur auquel vous parlez est bien celui qu'il prétend être ?
C'est là qu'interviennent les certificats. Ils contiennent la clé publique de l'entité et des informations
associées à cette entité.
Ils sont là pour permettre l’identification des accès aux systèmes d’information de l’entreprise, aux sites
internet, intranet. Parade au phishing, sécurisant les accès et les opérations sensibles pour les populations
nomades, le certificat permet d’éviter les usurpations d’identité.
Cette technique permet d’avoir un canal de communication sécurisé (chiffré) entre deux machines (un client
et un serveur) après une étape d'authentification.
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2017 13/19
UC D31 DEESIRS - Corrigé
Question 8
Que permet de spécifier le contenu d’un certificat X509 ?
4 points
Question 9
Combien de classes de certificat X509 existe-t-il ?
Détaillez brièvement.
4 points
Il existe quatre classes de certificat fonction du niveau de sécurité du processus utilisé lors de la génération
du certificat.
Classe 1 : L'adresse mail du demandeur suffit pour créer ce type de certificat.
Classe 2 : Preuve d'identité requise (carte d'identité, extrait de Kbis pour les entreprises, etc.).
Classe 3 : C'est un certificat de classe 2 mais la présence physique du demandeur est requise.
Classe 4 : C'est un certificat de classe 3 qui est implanté directement sur une carte à puce.
Question 1
On vous demande de créer un utilisateur « Fede » avec un mot de passe « FedePwd » et le rôle
de DBA.
2 points
Question 2
Les sauvegardes de données étant vitales pour une entreprise, on vous demande décrire les
étapes pour réaliser un full export pour l’utilisateur DBA « Fede » sur le répertoire
« SauvegardeFede » dans le fichier export.dump .
5 points
Création du répertoire dans lequel Oracle va stocker non seulement le fichier DMP mais également les
différents fichiers (notamment le fichier de log).
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2017 14/19
UC D31 DEESIRS - Corrigé
Ce répertoire doit non seulement être créé physiquement par une commande système mais également
logiquement sous Oracle :
$ mkdir SauvegardeFede ou md D:\ SauvegardeFede
Puis donner les droits à l'utilisateur afin que celui puisse lire et écrire sur le répertoire.
Question 3
Expliquez ce que sont les « redo log » et comment ils fonctionnent.
5 points
Les fichiers de journalisation (redo log) servent à mémoriser toutes les modifications (validées ou non) faites
sur la base, à des fins de reprise de l’instance après un arrêt ….
Cette journalisation est assurée par le process LGWR de manière permanente afin d’assurer la sécurité des
données.
Les fichiers sont organisés en groupes (au minimum 2) et écrits de manière circulaire ; les informations
sauvegardées sont donc périodiquement écrasées.
Lorsqu’on boucle un cycle, on perd les premières journalisations qui ont été faites et l'on ne saura pas
toujours restaurer la totalité des données en cas de problème. Pour cela, on pourra "archiver" tout
l'historique des redo logs, avec l'archivage optionnel.
Question 4
Comment peut-on faire un cluster oracle pour notre plateforme principale et que cela apporte-t-
il ?
5 points
On parle de grappe de serveurs ou cluster pour désigner des techniques consistant à regrouper plusieurs
ordinateurs indépendants appelés nœuds (node en anglais), afin de permettre une gestion globale et de
dépasser les limitations pour :
- augmenter la disponibilité,
- faciliter la montée en charge,
- permettre une répartition de la charge,
- faciliter la gestion des ressources (processeur, ram, disques dur, bande passante).
Oracle Real Application Clusters (Oracle RAC) permet une haute disponibilité grâce à la redondance dans
notre environnement - en particulier, les instances Oracle redondants. Un exemple dans un multi-sous-
système peut être retiré pour OS, matériel et maintenance de logiciels Oracle sans perturber l'application.
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2017 15/19
UC D31 DEESIRS - Corrigé
Dossier 4 - Détection d’intrusions IDS
Question 1
Citez 3 actions possibles des IDS après cette prise de connaissance.
3 points
Reconfiguration d’équipement tiers (firewall, ACL sur routeurs) : ordre envoyé par le N-IDS à un équipement
tierce (filtreur de paquets, pare-feu) pour une reconfiguration immédiate dans le but de bloquer un intrus,
source d’intrusions.
Envoi d’une trap SNMP à un hyperviseur tierce : envoi de l’alerte (et le détail des informations la constituant)
sous format d’un datagramme SNMP à une console tierce comme HP OpenView, Tivoli, Cabletron Spectrum,
etc.
Envoi d’un e-mail à un ou plusieurs utilisateurs : envoi d’un e-mail à une ou plusieurs boîtes aux lettres pour
notifier d’une intrusion sérieuse.
Journalisation (log) de l’attaque : sauvegarde des détails de l’alerte dans une base de données centrale
comme par exemple les informations suivantes : timestamp, @IP de l’intrus, @IP de la cible, protocole
utilisé, payload).
Sauvegarde des paquets suspicieux : sauvegarde de l’ensemble des paquets réseaux (raw packets) capturés
et/ou seul(s) les paquets qui ont déclenchés une alerte.
Démarrage d’une application : lancement d'un programme extérieur pour exécuter une action spécifique
(envoi d’un message sms, émission d’une alerte auditive…).
Envoi d’un "ResetKill" : construction d'un paquet TCP FIN pour forcer la fin d’une connexion (uniquement
valable sur des techniques d’intrusions utilisant le protocole de transport TCP).
Question 2
Expliquez les différences entre les IDS réseaux et les IDS systèmes.
5 points
Les IDS peuvent également se classer selon deux catégories selon qu'ils s'attachent à surveiller le trafic
réseau ou l'activité des machines.
IDS réseau (NIDS : Network IDS)
Ces outils analysent le trafic réseau ; ils comportent généralement une
sonde qui " écoute " sur le segment de réseau à surveiller et un moteur qui
réalise l'analyse du trafic afin de détecter les signatures d'attaques ou les
divergences face au modèle de référence.
La plupart des NIDS sont aussi dits IDS inline car ils analysent le flux en
temps réel. Pour cette raison, la question des performances est très
importante car de tels IDS doivent être de plus en plus performants afin
d'analyser les volumes de plus en plus importants pouvant transiter sur les
réseaux.
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2017 16/19
UC D31 DEESIRS - Corrigé
IDS système (Host based IDS)
Par nature, ces IDS sont limités et ne peuvent détecter les attaques
provenant des couches réseaux telles que les attaques de type DOS ou SYN
FLOOD.
Ils sont dépendants du système sur lequel ils sont installés.
Question 3
Donnez un IDS de chaque type que vous connaissez.
2 points
IDS système (HIDS) : AIDE, Chkrootkit, DarkSpy, FCheck, IceSword (fr), Integrit,Nabou, OSSEC.
Question 1
D’un point de vue légal, votre employeur peut-il vous interdire l’utilisation d’internet ?
4 points
La CNIL admet ainsi qu'« une interdiction générale et absolue de toute utilisation d'internet à des fins autres
que professionnelles ne paraît pas réaliste dans une société de l'information et de la communication, et
semble disproportionnée au regard des textes applicables et de leur interprétation par la jurisprudence ».
Or, la nature même d'internet rend possible son utilisation à des fins personnelles et non professionnelles.
Cependant, le 9 juillet 2008, la Cour de cassation a rendu une solution selon laquelle toutes les connexions
internet effectuées par un salarié depuis son poste et durant ses horaires de travail sont présumées avoir un
caractère professionnel.
L'employeur peut fixer dans une charte les conditions et les limites d'une telle utilisation d'internet. Il peut
par exemple filtrer certains sites à condition d'avertir les employés et de consulter le comité d'entreprise. S'il
met en place un dispositif permettant de collecter des données de connexion pour chaque poste, il doit
déclarer ce traitement auprès de la CNIL, sauf si un correspondant informatique et libertés a été désigné.
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2017 17/19
UC D31 DEESIRS - Corrigé
Question 2
Si un attaquant réussit à prendre des informations sur nos serveurs de base de données, qui est
responsable au regard de la loi ?
4 points
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2017 18/19
UC D31 DEESIRS - Corrigé
GRILLE DE NOTATION
- DEESIRS -
N° de candidat_____________________
Dossier 1 - Architecture et
/50
sécurité réseaux
Dossier 4 - Détection
/10
d’intrusions IDS
Appréciation générale :
________________________________________________________________________________________
________________________________________________________________________________________
________________________________________________________________________________________
________________________________________________________________________________________
________________________________________________________________________________________
Signature :
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2017 19/19
UC D31 DEESIRS - Corrigé