FÉDÉRATION EUROPÉENNE DES ÉCOLES

FEDERATION FOR EDUCATION IN EUROPE

OING dotée du statut participatif auprès du Conseil de l’Europe
INGO enjoying participatory status with the Council of Europe

UE D – EXPERTISE PROFESSIONNELLE

Mastère européen Expert IT - Cybersécurité et haute disponibilité

UC D41.2 - Réseaux, systèmes et sécurité - Fondamentaux

Corrigé

Type d’épreuve : Exercices pratiques

Durée : 2 heures

Session : Juin 2022

© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2022
UC D41.2 - Expert IT - Cybersécurité et haute disponibilité - Corrigé
  Dossier 1 - Réseau et sécurité

Question 1
Donnez l’adresse de réseau, le masque et l’adresse de broadcast de ce réseau.

5 points

Adresse de réseau : 172.31.0.0

Masque : 255.255.0.0
Adresse de broadcast : 172.31.255.255

Question 2
Le réseau wifi doit-il être dans le même sous réseau que le serveur de base de données ?
Expliquez pourquoi.

6 points

Non, il sera dans un vlan séparé. Car le wifi doit être séparé du réseau de production par sécurité.
Cependant nous créerons une ACL spécifique pour permettre la communication entre les tablettes et la
base de données sur un port précis.

Question 3
D’après le schéma en annexe 1, combien de sous-réseau y a-t-il à la Fabrique du Père Noël ?

4 points

Plusieurs réponses possibles, à minima 3 sous-réseaux (serveurs, wifi et dmz) :

© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2022 2/6
UC D41.2 - Expert IT - Cybersécurité et haute disponibilité - Corrigé
Question 4
Quelle est cette zone, et quel est son but ?

9 points

C’est la DMZ, elle permet de n’exposer à Internet uniquement les serveurs ayant besoin d’accès depuis
Internet, et pas toute l’infrastructure serveur.

Question 5
D’après l’annexe 1 et le contexte du sujet, le serveur web et le serveur de base de données
doivent-ils communiquer ensemble ?

6 points

Oui, pour que le stock en BDD soit à jours, à la suite des commandes en ligne.

Question 6
Donnez une ACL nommée 100 permettant uniquement la connexion sur le port TCP 1433 entre le
serveur web (172.30.255.1/16) et le serveur de base de données (172.31.0.2/16).

15 points

Access-list 100 Permit tcp host 172.30.255.1 host 172.31.0.2 eq 1433

Access-list 100 deny ip any any

Question 7
Quelles sont vos recommandations pour que la connexion wifi des tablettes soit très sécurisée,
et ne puisse pas être utilisée par un smartphone personnel ?

10 points

Plusieurs éléments de réponse possibles : Clé réseau wpa 2 ou entreprise, avec authentification (AD,
Radius), filtrage sur l’adresse MAC des tablettes, et masquage du SSID.

Question 8
Quelle(s) solution(s) pouvez-vous mettre en place pour que ce soit possible ?

5 points

Plusieurs solutions, mais il est attendu le vpn poste à site ssl ou ipsec. Solution cloud ou cloud hybrid
également accepté.

Question 9
Expliquez les règles de l’interface WAN du firewall en figure 1 de l’annexe 3.

5 points

La première règle autorise le port TCP 443 à entrer côté WAN.

La deuxième règle bloque toutes les autres connexions.

© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2022 3/6
UC D41.2 - Expert IT - Cybersécurité et haute disponibilité - Corrigé
Question 10
À quoi sert cette règle ? Y a-t-il un risque de sécurité ?

10 points

Cette règle redirige le port 3389 vers l’adresse 172.31.0.2. C’est-à-dire qu’elle autorise une connexion
bureau à distance vers le serveur depuis l’extérieur.
Il y a un risque de sécurité, car ouvrir directement sur le WAN le RDP peut permettre à des pirates de faire
des tentatives de recherches de mots de passe, pour tenter d’accéder au serveur. Il est préférable d’utiliser
une connexion VPN pour accéder au réseau interne, puis de se connecter en rdp au serveur.

 Dossier 2 - Système et virtualisation

Question 1
Combien de cartes réseaux physiques doit avoir le serveur pour connecter les vm au réseau
physique en annexe 1 ?

8 points

Il faut 2 cartes réseaux physiques (1 pour la vm AD et la vm BDD, et 1 autre pour le serveur web en DMZ).

Question 2
Proposez une solution pour que le système IT soit qualifié de « haute disponibilité ».

8 points

Plusieurs réponses possibles, mais à minima il faut ajouter un autre serveur physique pour faire un cluster,
avec un stockage centralisé. Cela permet de basculer les vm sur l’autre serveur si le premier est HS.

Question 3
À partir de l’annexe 4, expliquez la différence entre le thin provisioning et le thick provisioning.

8 points

La principale différence est que le thin provisioning alloue l’espace disque au fur et à mesure de son
utilisation (si vous avez un disque de 40 go et que seulement 10 go sont utilisés, votre stockage 10 go
d’allouer), en revanche le thick provisioning alloue directement le stockage demandé (si vous ajoutez un
disque virtuel de 40 go, alors 40 go seront alloués dans votre stockage).

Question 4
À partir de l’annexe 4, donnez le stockage maximal utilisable total des vm.

8 points

140 go (20go vm1 + 40go vm2 + 80go vm3)

Question 5
Quel est le nom de la stratégie de groupe qui gère l’accès à un contrôleur de domaine ?

8 points

La default domain controller policy.

© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2022 4/6
UC D41.2 - Expert IT - Cybersécurité et haute disponibilité - Corrigé
Question 6
Si la stratégie de groupe du domaine en termes de mots de passe impose 9 caractères et qu’une
stratégie sur l’OU de mon PC impose 10 caractères, quel sera le nombre de caractères minimal de
mon mot de passe ? Pourquoi ?

8 points

10 caractères, car c’est la dernière stratégie qui s’applique qui est prioritaire. Les GPO s’appliquent dans
l’ordre suivant Locale, Site, Domaine, OU.

Question 7
Expliquez à quoi sert le script powershell en annexe 5.

8 points

Il sert à lister les membres du groupe Domain Admins et exporte le résultat dans un fichier csv.

Question 8
Dans l’annexe 5, quel paramètre changez-vous pour interroger le groupe « utilisateurs du
domaine » ?

8 points

$nameofgroup= 'Domain users'

Question 9
Quelle commande Linux vous permet d’afficher le contenu du fichier/etc/clients-noel.txt sans
pouvoir en faire de modifications ?

5 points

Cat /etc/clients-noel.txt

Question 10
Donnez la commande Linux permettant d’extraire dans un fichier texte (nommé clients-noel.txt)
le contenu du répertoire /etc/clients/ et de ses sous-répertoires.

6 points

ls -R /etc/clients > clients-noel.txt

© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2022 5/6
UC D41.2 - Expert IT - Cybersécurité et haute disponibilité - Corrigé
 GRILLE DE NOTATION
UC D41.2 - Réseaux, systèmes et sécurité - Fondamentaux

NOM ET PRÉNOM DU CORRECTEUR_______________________________________________________

N° de candidat__________________

Dossier Note attribuée Observations obligatoires

Dossier 1 - Réseau et sécurité /75

Dossier 2 - Système et
/75
virtualisation

TOTAL /150

Appréciation générale :
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________

Fait à _______________________________________ le ____________

Signature :

© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2022 6/6
UC D41.2 - Expert IT - Cybersécurité et haute disponibilité - Corrigé