ESCEP

Niveau : ING3 TD 2 SECURITE DES APPLICATIONS Enseignant : ALMOU Bassirou

Enoncé : Un des ministères de la république du Niger lance un concours de recrutement de dix(10) administrateurs réseaux
informatique option sécurité.

Sujet 1(au choix)

Le réseau est segmenté en trois(3) sous réseaux et un réseau public interfacé par un pare-feu
- Le réseau 192.168.1.16/28 pour les clients du réseau local
- Le réseau 192.168.1.32/28 : la salle serveurs qui est interfacée par un pare-feu ‘PARE-FEU 2’
- Le réseau 192.168.1.48/28 réservé pour la zone DMZ
- Le réseau 192.168.1.64/28 pour la salle serveur pour la sauvegarde des bases de données issues des serveurs
192.168.1.38 et 192.168.1.39
192.168.1.48/28

.50
.51 :FTP(21)
.52 .39
PARE-FEU 1
:Web(443)
eth2 .38
16.0.0.0/8 .49
.37
eth0
.2
.1
.36
eth1
.17
.35

192.168.1.16/28 .34

192.168.1.32/28

.21

.66
eth1
.67
.33
.19
.22 .68
eth0
eth2
.18
.20 .65

PARE-FEU 2
192.168.1.64/28
Travail demandé

1. Vider toutes les règles contenues dans les chaines des tables filter et nat du pare-feu 1
2. Définir la politique de sécurité par défaut qui bloque les trafics inconnus à l’entrée du pare-feu 1
3. Accepter le trafic du réseau public à l’entrée de l’interface eth0 du pare-feu 1 à destination du serveur 192.168.1.52
sur le port 443
4. Accepter le trafic tcp du réseau public à destination du 192.168.1.16/28 à condition que l’état de connexion soit
établi (ESTABLISHED) entre le réseau 192.168.1.16/28 et le réseau public et que l’état de connexion soit nouvel
(NEW) du réseau public vers le réseau 192.168.1.16./28
5. Accepter le trafic tcp de la machine 16.0.0.2 à destination du serveur 192.168.1.36 sur le port 22 du protocole SSH
6. Autoriser uniquement le trafic entre les réseaux 192.168.1.32/28 et 192.168.1.64/28
1/3
7. Accepter uniquement le trafic entre l’imprimante ayant l’adresse IP 192.168.1.22 et le serveur d’impression
192.168.1.34
8. Accepter uniquement 2 ping par seconde à l’entrée de l’interface eth0 du réseau et bloquer le surplus.
9. Masquer l’adresse IP de toute machine qui communique à destination du réseau public à la sortie de l’interface
eth0 du pare-feu 1
10. Rediriger le trafic de 16.0.0.2 vers le serveur 192.168.1.38 sur le port 22
11. Utiliser l’algorithme aes-256-cbc pour crypter la copie du fichier /root/strategie.txt vers le serveur de fichiers
192.168.1.37
12. Ecrire un script qui alerte si l’espace disque est inférieure à 25% sur les serveurs 192.168.1.66, 192.168.1.67 et
192.168.1.69
13. Ecrire un script qui alerte si l’espace RAM utilisé est supérieure à 90% sur chacun des serveurs 192.168.1.66,
192.168.1.67 et 192.168.1.69
14. Ecrire un script qui retourne les cinq processus les plus gourmands en CPU sur chacun des serveurs 192.168.1.66,
192.168.1.67 et 192.168.1.69
15. Ecrire un script qui empêche la suppression de tout fichier se trouvant dans les répertoires /etc, /var, /boot. Pour
cela, utiliser la commande chattr +i
16. Le Ministère a recruté 356 agents de saisie. Ecrire un script qui permet de créer leurs comptes tout en définissant la
date d’expiration de chaque compte. Le fichier contient deux colonnes dont une premiere pour le login et l’autre
est la date d’expiration. Voici un extrait de ce fichier :
maigari 2023-11-25
nagari 2023-12-31
sodangui 2024-02-18

Sujet 2 (au choix):

2/3
Travail demandé:

1) Sur le pare-feu, définir une politique par défaut qui bloque les trafics inconnus
2) Sur le pare-feu, accepter e trafic à destination des serveurs du réseau 172.16.32.0/20 uniquement sur les ports 8080,
25 et 443
3) Accepter le trafic des serveurs de la zone DMZ (172.16.32.0/20) à l’entrée de l’interface eth2, à condition que
l’état de connexion soit ESTABLISHED
4) Utiliser la chaine PREROUTING de la table nat pour rediriger le trafic externe sur le port 65214 à destination du
serveur 172.16.32.4 sur le port 8080
5) Configurer le pare-feu pour qu’il masque l’adresse IP de toute machine qui trafique vers l’exterieur via le port
l’interface eth0.
6) Accepter uniquement la machine 172.16.16.6 de communiquer avec le serveur de base de données 172.16.16.2 sur
le port 1521
7) Accepter les trafics vers le groupe de ports 443,21 et 53 des serveurs de la zone DMZ
8) Permettre a la machine 14.122.0.2 d’accéder au serveur d’application via SSH (sur le port 22)
9) La Direction de service informatique constate que les employés passent du temps sur les sites Youtube, Twitter et
Facebook. Pour cela, elle vous demande de bloquer respectivement les adresses 183.52.156.45, 224.251.21.17 et
142.65.18.64.
10) Bloquer l’accès aux serveurs du réseau 172.16.16.0/20 les weekends
11) Empêcher la machine 14.122.0.2 d’ouvrir plus de deux(2) sessions SSH sur le serveur 172.16.16.2
12) Empêcher la réception de plus de deux (2) ping par seconde sur pare-feu
13) Ecrire un script Python qui teste l’attaque brute-force (par utilisation d’un dictionnaire de mots de passe) sur le
pare-feu afin de trouver le mot de passe, sachant que le login est root
14) Ecrire un script Shell qui vérifie si les services mysql-server (serveur de base de données), nginx(serveur Web) et
squid(serveur proxy) sont inactifs. Si un service est inactif alors il est redémarré.
15) Ecrire un script qui permet de faire la sauvegarde différentielle du système de serveur 172.16.16.2 sur le serveur
172.16.16.3
16) Ecrire un script qui scanne les ports des serveurs de la DMZ en utilisant nmap

3/3