FEDERATION EUROPEENNE DES ECOLES

FEDERATION FOR EDUCATION IN EUROPE

OING dotée du statut participatif auprès du Conseil de l’Europe
INGO enjoying participatory status with the Council of Europe

UE D - TECHNIQUES PROFESSIONNELLES

Bachelor européen en informatique, réseaux et sécurité

(DEESIRS)

UC D31

L’utilisation de la calculatrice est autorisée

Type d’épreuve : Rédaction (Etude de cas)

Durée : 6 heures

Session : Juin 2017

© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2017
UC D31 DEESIRS - Sujet
 UC D31 - INFORMATIQUE, RESEAUX ET SECURITE

BAREME DE NOTATION

Dossier 1 - Architecture et sécurité réseaux 50 points

Dossier 2 - Sécurité des architectures WEB 25 points

Dossier 3 - Sécurité des bases de données - Oracle 17 points

Dossier 4 - Détection d’intrusions IDS 10 points

Dossier 5 - Droit informatique 8 points

Présentation et orthographe 10 points

Total 120 points

LISTE DES ANNEXES

Annexe 1 Les ports communs ............................................................................................... Page 9

Annexe 2 Netfilter IPTABLE.......................................................................................... Pages 10-12
Annexe 3 Commandes de bases sur un Switch et/ou un routeur Cisco............................. Page 13
Annexe 4 Commandes SQL ................................................................................................. Page 14
Annexe 5 Configuration d’un VPN ...................................................................................... Page 15

© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2017 2/15
UC D31 DEESIRS - Sujet
 PRESENTATION DE L’ENTREPRISE

Une entreprise de e-marketing est installée en France où se trouve la plateforme principale et en Italie où
se trouve une seconde plateforme.
Les locaux en France accueillent les 2 serveurs web de l’entreprise (http, https), un serveur de stockage de
fichiers et 2 serveurs de base de données Oracle ainsi que plusieurs pc fixes pouvant avoir éventuellement
un rôle de serveur.
Les locaux en Italie accueillent un serveur de base de données MySQL, un serveur de messagerie et
plusieurs postes fixes.
Ce dernier abrite le centre de développement et de télémaintenance via VPN pour administrer le système
informatique de la « plateforme principale ».
Le schéma réseau est celui-ci et vous êtes engagé pour le configurer et le sécuriser….

 Dossier 1 - Architecture et sécurité réseaux

Question 1
A partir du schéma réseau précédent, donnez un plan d’adressage de classe A privée, nécessaire
au bon fonctionnement de la plateforme principale (adresse IP et masque réseau pour chaque
matériel apparaissant dans le schéma).

Question 2
A partir de ce même schéma, donnez un plan d’adressage de classe B privée, nécessaire au bon
fonctionnement de la plateforme secondaire (adresse IP et masque réseau pour chaque matériel
apparaissant dans le schéma).

Question 3
Les serveurs web et bases de données seront dans une DMZ : quel en est l’intérêt ?

© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2017 3/15
UC D31 DEESIRS - Sujet
Question 4
Les firewalls créant la DMZ seront installés sur les serveurs eux-mêmes avec un « netfilter ».
Quelle autre solution software auriez-vous proposée ?

Question 5
Quelle solution hardware auriez-vous pu proposer à la place ?

Question 6
Le responsable de l’entreprise vous demande de lui expliquer les différentes typologies de
firewalls existants et leurs résistances aux attaques DOS ou aux failles applicatives.

Question 7
Il est décidé d’utiliser le pare feu applicatif « conntrack netfilter » qui fonctionne sous l’os linux.
Votre responsabilité est donc de configurer ce firewall, qui sera ultérieurement installé sur
chaque serveur (http, https, ftp), en écrivant un script « Bash » qui regroupera les commandes
qui vous paraissent nécessaires au bon fonctionnement et à la sécurité.
Commentez vos explications dans le script.

Question 8
Puisque vous utilisez un firewall applicatif, on vous demande maintenant d’améliorer votre
script pour lutter contre les attaques Ping Flood / déni de service.

Question 9
On désire aussi autoriser les connexions SSH et SSL sur le serveur, mais uniquement depuis les
postes de travail se trouvant dans la plateforme principale. Quelles lignes de commandes
« bash » faut-il ajouter à votre script précèdent ?

Question 10
On vous demande maintenant de proposer une configuration pour les tables de routage
statique des routeurs Cisco de la plateforme principale en expliquant vos choix.

Question 11
Les serveurs Web internes seront en fait « cachés » par un service, installé sur un des postes fixes de la
« Main Platform », qui se chargera de rediriger et de répartir les demandes http.

Le routeur devra donc être configuré pour écouter le trafic Web et rediriger sur la machine et sur un port
TCP autre que le port 80 (on choisira le port TCP 8080).
En précisant votre adressage IP, expliquez comment vous allez procéder.
Donnez les commandes nécessaires pour configurer le routeur Cisco à cette fin.

© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2017 4/15
UC D31 DEESIRS - Sujet
Question 12
Les 2 plateformes seront reliées par un VPN non overlay, mais il faudra aussi configurer des ACLs.

Quels sont les paramètres contrôlés dans des ACL étendues ?

Question 13
Quel serait l’intérêt d’utiliser VPN overlay entre les plateformes principale et secondaire ?

Question 14
Les connexions VPN ne sont pas nécessairement chiffrées. Cependant, si l'on ne chiffre pas, cela peut
permettre à des éléments intermédiaires d'accéder au trafic réseau du VPN…
Détaillez brièvement les différents protocoles de chiffrements, en donnant les niveaux OSI
concernés.

Question 15
Que représentent « isakmp » ou « Ike » ? A quels problèmes répondent-ils ?

Question 16
Donnez les 4 contraintes / fonctionnalités d’un VPN (sécurisé) afin d’être transparent, pour les
utilisateurs et pour les applications y ayant accès ?

© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2017 5/15
UC D31 DEESIRS - Sujet
Question 17
Vous devez maintenant réaliser un VPN ipsec entre les 2 plateformes grâce aux routeurs Cisco
(préalablement installés dans la plateforme principale et la seconde plateforme).

A partir des informations qui vous sont données et de l’annexe 4 configurez en expliquant ce
VPN non overlay avec des routeurs Cisco.
(On ne configurera que le routeur de la plateforme principale)
Informations à utiliser : VPN IPSEC
Entre les réseaux 192.168.2.0/24 et 192.168.3.0/24
Adresse publique 170.30.1.2 (coté main Platform)
Adresse publique 170.30.2.2 (coté second Platform)

Protocole utilisé : esp

Pour la confidentialité : AES 128 bits
Pour l’intégrité nous utiliserons le SHA-1
Pour l’authentification nous utiliserons la clé pré-partagée « FEDE »
Et nous utiliserons le group 2 pour Diffie-Helman
TSET : sera nom du « transform-set » situé sur RMP

RMP : Routeur Main Platform

RSP : Routeur Second Platform

Question 18
Une fois le VPN configuré, comment peut-on vérifier si le tunnel fonctionne bien ?

Question 19
On désire donc configurer ce réseau afin qu’il puisse répondre à des montées en charge,
expliquez la différence qui existe entre « clustering » et « load balancing ».

Question 20
Quels sont les avantages de « clustering » et du « load balancing » ?

Question 21
Linux Virtual Server (LVS) est une solution avancée de répartition de charge pour GNU/Linux fonctionnant
sur la couche 4 du modèle OSI. Comme dit précédemment, il sera installé sur un des PC faisant office de
serveur directeur.
Expliquez par un schéma le fonctionnement du « load balancing » utilisant l’algorithme Round-
robin.

Question 22
Linux Virtual Server (LVS) utilise principalement une commande, quelle est-elle ?
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2017 6/15
UC D31 DEESIRS - Sujet
  Dossier 2 - Sécurité des architectures WEB

Question 1
Le site web est installé sur la plateforme principale avec une architecture N-tiers.
Expliquez cette architecture au responsable de l’entreprise dans notre configuration de « haute
disponibilité ».

Question 2
L’attaque par injection SQL est l’une des plus risquées car la faille est facile à exploiter.
Sans connaitre le code qui s’exécute derrière une page web PHP, comment détecter la
possibilité d’une injection SQL ?

Question 3
Comment se protéger de ces injections SQL sur Oracle ?

Question 4
La faille XSS est un type de faille de sécurité des sites Web, quel en est le principe ?

Question 5
Il est possible de sécuriser les serveurs WEB APACHE grâce au fichier « .htaccess » qui se place dans un
répertoire considéré.
Donnez les lignes de commande afin de n’autoriser l’accès que depuis la machine d’adresse IP
176.168.1.10.

Question 6
Les sites Web de la plateforme nécessitent la mise en place d’une infrastructure PKI pour
protéger le trafic HTTPS, expliquez brièvement ce qu’est une PKI.

Question 7
Quel est l’intérêt d’une authentification SSL avec un certificat X509 ?

Question 8
Que permet de spécifier le contenu d’un certificat X509 ?

Question 9
Combien de classes de certificat X509 existe-t-il ?
Détaillez brièvement.

© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2017 7/15
UC D31 DEESIRS - Sujet
  Dossier 3 - Sécurité des bases de données - Oracle

Dans la plateforme principale sont installés 2 serveurs de base de données ORACLE qui seront configurés
ultérieurement en cluster…

Question 1
On vous demande de créer un utilisateur « Fede » avec un mot de passe « FedePwd » et le rôle
de DBA.

Question 2
Les sauvegardes de données étant vitales pour une entreprise, on vous demande décrire les
étapes pour réaliser un full export pour l’utilisateur DBA « Fede » sur le répertoire
« SauvegardeFede » dans le fichier export.dump.

Question 3
Sur oracle, par sécurité on peut multiplexer/mirrorer l'écriture dans plusieurs « redo log » en même temps
et sur des disques différents…
Expliquez ce que sont les « redo log » et comment ils fonctionnent.

Question 4
Comment peut-on faire un cluster oracle pour notre plateforme principale et que cela apporte-t-
il ?

 Dossier 4 - Détection d’intrusions IDS

Question 1
Un système de détection d'intrusion (ou IDS : Intrusion detection system) est un mécanisme destiné à
repérer des activités suspectes sur la cible analysée (un réseau ou un hôte). Il permet ainsi d'avoir une
connaissance sur les tentatives réussies comme échouées des intrusions.
Citez 3 actions possibles des IDS après cette prise de connaissance.

Question 2
Expliquez les différences entre les IDS réseaux et les IDS systèmes.

Question 3
Donnez un IDS de chaque type que vous connaissez.

 Dossier 5 - Droit informatique

Question 1
D’un point de vue légal, votre employeur peut-il vous interdire l’utilisation d’internet ?

Question 2
Si un attaquant réussit à prendre des informations sur nos serveurs de base de données, qui est
responsable au regard de la loi ?

© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2017 8/15
UC D31 DEESIRS - Sujet
 Annexe 1

Les ports communs

© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2017 9/15
UC D31 DEESIRS - Sujet
 Annexe 2

Netfilter IPTABLE

© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2017 10/15
UC D31 DEESIRS - Sujet
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2017 11/15
UC D31 DEESIRS - Sujet
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2017 12/15
UC D31 DEESIRS - Sujet
 Annexe 3

Commandes de bases sur un Switch et/ou un routeur Cisco

enable : on passe administrateur sur l’équipement (équivalent du “su” sous Linux)

configuration terminal : pouvant être abrégé “conf t” permet de passer en mode configuration global
• Ce mode permet de modifier la configuration de l’équipement
show interfaces : affiche les interfaces réseaux présentes sur l’équipement
show ip interfaces brief : affiche la configuration ip des interfaces sur l’équipement
show ip route : affiche la table de routage du routeur
show running-config : affiche la configuration global de l’équipement
interface fastEthernet 0/0 : on se place sur l’interface fastEthernet 0/0 pour la configurer
• ip address 192.168.1.1 255.255.255.0 : permet de configurer l’adresse IP de l’interface
• description Liason R1 vers switch1 : permet d’ajouter sur description à l’interface
• no shut / shut : permet d’activer ou désactiver une interface (up/down)
ip route : permet la configuration du routage
• ip route 0.0.0.0 0.0.0.0 10.0.0.2 : configuration d’une route par défaut avec pour next-hop
l’interface 10.0.0.2
• ip route 192.168.1.0 255.255.255.0 10.0.0.1 : configuration d’une route pour le réseau
192.168.1.0/24 avec pour next-hop l’interface 10.0.0.1
Pour la commande : SW1(config-if)#switchport mode <mode de fonctionnement>, il y a quatre modes :
• access : typiquement le mode d’un port prévu pour recevoir la connexion d’un PC, d’un serveur, …
• trunk : force le mode de fonctionnement en trunk
• dynamic auto : autorise la négociation
• dynamic desirable : autorise la négociation avec une préférence pour le passage en trunk si possible

© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2017 13/15
UC D31 DEESIRS - Sujet
 Annexe 4

Commandes SQL

Connect as SYSTEM.
CREATE USER username IDENTIFIED BY apassword;

GRANT CONNECT TO username;

GRANT EXECUTE on schema.procedure TO username;

You may also need to:
GRANT SELECT [, INSERT] [, UPDATE] [, DELETE] on schema.table TO username;

CONNECT <USER-NAME>/<PASSWORD>@<DATABASE NAME>;

--Create user query
CREATE USER <USER NAME> IDENTIFIED BY <PASSWORD>;
--Provide roles
GRANT CONNECT,RESOURCE,DBA TO <USER NAME>;
--Provide privileges
GRANT CREATE SESSION GRANT ANY PRIVILEGE TO <USER NAME>;
GRANT UNLIMITED TABLESPACE TO <USER NAME>;
--Provide access to tables
GRANT SELECT,UPDATE,INSERT ON <TABLE NAME> TO <USER NAME>;

CONNECT <<username>>/<<password>>@<<DatabaseName>>; -- connect db with username and

password, ignore if you already connected to database.
CREATE USER <<username>> IDENTIFIED BY <<password>>; -- create user with password
GRANT CONNECT,RESOURCE,DBA TO <<username>>; -- grant DBA,Connect and Resource
permission to this user(not sure this is necessary if you give admin option)
GRANT CREATE SESSION TO <<username>> WITH ADMIN OPTION; --Give admin option to user
GRANT UNLIMITED TABLESPACE TO <<username>>; -- give unlimited tablespace grant

© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2017 14/15
UC D31 DEESIRS - Sujet
 Annexe 5

Configuration d’un VPN

Etapes pour configurer un VPN Cisco

1. Création d’une ACL étendue permettant l’établissement d’un tunnel VPN IPSEC entre les deux
routeurs : protocoles (ahp, esp, udp)
2. Création de notre politique IKE pour la phase 1
crypto isakmp policy priority encryption [aes | aes-192 | aes-256 | des | 3des]
3. Création de clé pré-partagée
crypto isakmp key enc-type-digit {keystring} {address peer-address [mask] | ipv6 {ipv6-
address/ipv6-prefix} | hostname hostname} [no-xauth]
4. Création de notre politique IKE pour la phase 2
Définition du transform set
crypto ipsec set transform-set transform-set-name [transform-set-name2...transform-set-
name6]
5. Création de la crypto ACL qui est une ACL qui va identifier le trafic qui doit passer par le tunnel VPN
6. Création de la crypto MAP**
7. Application de notre crypto map et de l’ACL du (1) pour autoriser et établir le tunnel sur l’interface de
sortie du routeur

© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2017 15/15
UC D31 DEESIRS - Sujet