ESCEP

Niveau : ING3 TD 2 SECURITE DES APPLICATIONS Enseignant : ALMOU Bassirou

Enoncé : Un des ministères de la république du Niger lance un concours de recrutement de dix(10) administrateurs réseaux
informatique option sécurité.

Sujet 1(au choix)

Le réseau est segmenté en trois(3) sous réseaux et un réseau public interfacé par un pare-feu
- Le réseau [Link]/28 pour les clients du réseau local
- Le réseau [Link]/28 : la salle serveurs qui est interfacée par un pare-feu ‘PARE-FEU 2’
- Le réseau [Link]/28 réservé pour la zone DMZ
- Le réseau [Link]/28 pour la salle serveur pour la sauvegarde des bases de données issues des serveurs
[Link] et [Link]
[Link]/28

.50
.51 :FTP(21)
.52 .39
PARE-FEU 1
:Web(443)
eth2 .38
[Link]/8 .49
.37
eth0
.2
.1
.36
eth1
.17
.35

[Link]/28 .34

[Link]/28

.21

.66
eth1
.67
.33
.19
.22 .68
eth0
eth2
.18
.20 .65

PARE-FEU 2
[Link]/28
Travail demandé

1. Vider toutes les règles contenues dans les chaines des tables filter et nat du pare-feu 1
2. Définir la politique de sécurité par défaut qui bloque les trafics inconnus à l’entrée du pare-feu 1
3. Accepter le trafic du réseau public à l’entrée de l’interface eth0 du pare-feu 1 à destination du serveur [Link]
sur le port 443
4. Accepter le trafic tcp du réseau public à destination du [Link]/28 à condition que l’état de connexion soit
établi (ESTABLISHED) entre le réseau [Link]/28 et le réseau public et que l’état de connexion soit nouvel
(NEW) du réseau public vers le réseau [Link]./28
5. Accepter le trafic tcp de la machine [Link] à destination du serveur [Link] sur le port 22 du protocole SSH
6. Autoriser uniquement le trafic entre les réseaux [Link]/28 et [Link]/28
1/3
7. Accepter uniquement le trafic entre l’imprimante ayant l’adresse IP [Link] et le serveur d’impression
[Link]
8. Accepter uniquement 2 ping par seconde à l’entrée de l’interface eth0 du réseau et bloquer le surplus.
9. Masquer l’adresse IP de toute machine qui communique à destination du réseau public à la sortie de l’interface
eth0 du pare-feu 1
10. Rediriger le trafic de [Link] vers le serveur [Link] sur le port 22
11. Utiliser l’algorithme aes-256-cbc pour crypter la copie du fichier /root/[Link] vers le serveur de fichiers
[Link]
12. Ecrire un script qui alerte si l’espace disque est inférieure à 25% sur les serveurs [Link], [Link] et
[Link]
13. Ecrire un script qui alerte si l’espace RAM utilisé est supérieure à 90% sur chacun des serveurs [Link],
[Link] et [Link]
14. Ecrire un script qui retourne les cinq processus les plus gourmands en CPU sur chacun des serveurs [Link],
[Link] et [Link]
15. Ecrire un script qui empêche la suppression de tout fichier se trouvant dans les répertoires /etc, /var, /boot. Pour
cela, utiliser la commande chattr +i
16. Le Ministère a recruté 356 agents de saisie. Ecrire un script qui permet de créer leurs comptes tout en définissant la
date d’expiration de chaque compte. Le fichier contient deux colonnes dont une premiere pour le login et l’autre
est la date d’expiration. Voici un extrait de ce fichier :
maigari 2023-11-25
nagari 2023-12-31
sodangui 2024-02-18

Sujet 2 (au choix):

2/3
Travail demandé:

1) Sur le pare-feu, définir une politique par défaut qui bloque les trafics inconnus
2) Sur le pare-feu, accepter e trafic à destination des serveurs du réseau [Link]/20 uniquement sur les ports 8080,
25 et 443
3) Accepter le trafic des serveurs de la zone DMZ ([Link]/20) à l’entrée de l’interface eth2, à condition que
l’état de connexion soit ESTABLISHED
4) Utiliser la chaine PREROUTING de la table nat pour rediriger le trafic externe sur le port 65214 à destination du
serveur [Link] sur le port 8080
5) Configurer le pare-feu pour qu’il masque l’adresse IP de toute machine qui trafique vers l’exterieur via le port
l’interface eth0.
6) Accepter uniquement la machine [Link] de communiquer avec le serveur de base de données [Link] sur
le port 1521
7) Accepter les trafics vers le groupe de ports 443,21 et 53 des serveurs de la zone DMZ
8) Permettre a la machine [Link] d’accéder au serveur d’application via SSH (sur le port 22)
9) La Direction de service informatique constate que les employés passent du temps sur les sites Youtube, Twitter et
Facebook. Pour cela, elle vous demande de bloquer respectivement les adresses [Link], [Link] et
[Link].
10) Bloquer l’accès aux serveurs du réseau [Link]/20 les weekends
11) Empêcher la machine [Link] d’ouvrir plus de deux(2) sessions SSH sur le serveur [Link]
12) Empêcher la réception de plus de deux (2) ping par seconde sur pare-feu
13) Ecrire un script Python qui teste l’attaque brute-force (par utilisation d’un dictionnaire de mots de passe) sur le
pare-feu afin de trouver le mot de passe, sachant que le login est root
14) Ecrire un script Shell qui vérifie si les services mysql-server (serveur de base de données), nginx(serveur Web) et
squid(serveur proxy) sont inactifs. Si un service est inactif alors il est redémarré.
15) Ecrire un script qui permet de faire la sauvegarde différentielle du système de serveur [Link] sur le serveur
[Link]
16) Ecrire un script qui scanne les ports des serveurs de la DMZ en utilisant nmap

3/3