CAS NELL - Quentin DUPONT

BTS Services Informatiques aux Organisations Session 2013
E5SR : PRODUCTION ET FOURNITURE DE
SERVICES
Coefficient : 5
Durée : 4 h
CAS NELL .
Éléments de corrigé et barème
Barème :
Dossier 1 : sécurisation de l’infrastructure
/58
Mission 1.1 : 34 points
Mission 1.2 : 14 points
Mission 1.3 : 10 points
Dossier 2 : installation d’une zone tampon
/42
Mission 2.1 : 12 points
Mission 2.2 : 20 points
Mission 2.3 : 10 points
CODE EPREUVE : SIE5SR
EXAMEN :
SPECIALITE :
BREVET DE TECHNICIEN
SERVICES INFORMATIQUES AUX ORGANISATIONS
SUPERIEUR
Parcours SISR
Session 2013 CORRIGÉ
EPREUVE : E5-PRODUCTION ET FOURNITURES DE SERVICES INFORMATIQUES
Durée : 4 h
Coefficient : 5
Code sujet : 13SI03
Page : 1/9
Première partie : sécurisation de l’infrastructure Mission 1.1 : analyser, identifier et qualifier un dysfonctionnement
1.1.1
En tenant compte des processus internes et de la présentation du
dysfonctionnement, évaluer le risque pour le système d’information et justifier une
priorité pour la résolution de cet incident.
Le niveau de criticité d'un risque pour un SI s'estime en fonction de sa gravité facteur de
sa fréquence d'apparition.
Le tableau permet d'estimer la gravité engendrée par l'interruption ou le
dysfonctionnement d'une application en rapport avec son impact sur l'activité de
production du laboratoire.
Niveau
Hiérarchique
H3
Secteur
Manufacturing Exemples
d’applications
Suivi des
stocks de
produits finis Sensibilité
Sensible Temps
Protocole
d’interruption
maximum
exprimés en
1 Jour TCP
UDP
(LAN)
Port
26000
69,
6969
L'application liée aux processus de remontée des stocks de produits finis depuis l’atelier
de conditionnement est classée de niveau H3 dans la hiérarchie des incidents et le
temps d'interruption maximal toléré est d'un jour ouvrable.
Les risques qu'encoure le système d'information de NELL par une interruption prolongée
supérieure à une journée sont multiples, comme la non livraison d'une commande faute
d'un stock suffisant de produits finis...
Un défaut ou retard de livraison peut engendrer la perte d'une commande importante
entraînant le mécontentement du client et les conséquences qui en découlent (pénalités
de retard, départ du client vers la concurrence, etc.).
Par conséquent la prise en compte de cet incident qualifié de sensible doit être classée à
une priorité élevée. Il est au moins "urgent" de résoudre ce problème.
BTS services informatiques aux organisations – Parcours SISR 2/9 1.1.2
Préciser et justifier les tests et les commandes à exécuter permettant d'éliminer
l’hypothèse du routage comme étant la cause de ce problème.
Le problème de synchronisation concerne les remontées via une application TFTP de l’état
des stocks depuis un serveur du pool manufacturing vers un serveur du secteur administratif.
Le routage est le processus qui consiste à acheminer au travers d'un réseau des paquets IP
depuis une machine source jusqu'à une destination. La sélection du meilleur chemin se base
sur la recherche de la meilleure route dans une table de routage à partir de l'adresse IP
destination du paquet.
Les tests à effectuer consistent à vérifier le routage dans les deux sens entre les 2
serveurs et leur accessibilité mutuelle. (tracert et/ou ping)
Une première commande ping depuis le serveur administratif vers le serveur du pool
manufacturing permet de vérifier que les paquets IP sont acheminés entre les deux
équipements.
La commande tracert permet de déterminer l’itinéraire choisi par les routeurs pour acheminer
cette information.
1.1.3 Le routage étant exclu des causes, expliquer au responsable les causes du
dysfonctionnement.
Le routage est exclu comme source du dysfonctionnement. L'origine du blocage dans cet
échange de flux nécessaires à la remontée des données d'activité entre les deux serveurs
est à rechercher au niveau des protocoles de couches supérieures OSI des équipements
intervenant dans cette communication.
Des règles de filtrage sont configurées sur les deux commutateurs. Le candidat devra
analyser le fonctionnement de l’application en fonction des règles de filtrage fournies dans le
sujet.
Étape 1 : demande de synchronisation du serveur administratif
La règle n°3 affectée à l'interface de VLAN 4 de la table de filtrage de SC2 autorise bien la
demande de synchronisation.
Étape 2 : réponse à la demande de synchronisation
La règle n°1 affectée à l’interface VLAN 32 de la table de filtrage de SC1 autorise la réponse
à la demande de synchronisation.
Étape n°3 : synchronisation des données et fermeture
La règle n°1 de SC1 utilise comme port source le port 69. La règle n°4 interdit toute sorties
utilisant le protocole UDP. Le commutateur SC1 bloque donc la synchronisation.
Par ailleurs, aucune règle dans la table de filtrage de SC2 ne permet une communication
depuis le port 6868 du serveur du pool manufacturing vers le port 69 du serveur
administratif.
BTS services informatiques aux organisations – Parcours SISR 3/9 1.1.4
Préconiser une démarche d'intervention en détaillant pour chaque étape envisagée
les opérations à effectuer ainsi que les équipements concernés.
Démarche d'intervention envisagée
N°
1
Étape
Prévenir les utilisateurs
suffisamment longtemps avant
l’intervention.
2
Se connecter sur SC1
Sauvegarder les configurations
3
4
Corriger l'erreur
Se connecter sur SC2
Sauvegarder les configurations
5
6
Corriger l'erreur
Valider par des tests
7
Sauvegarder les nouvelles
règles
Sauvegarder les configurations
8
Opérations
Prévenir les utilisateurs d’une
intervention qui entraîne le
redémarrage des équipements et
une interruption de service
temporaire
Accès SSH - Telnet
Sauvegarder les configurations
actuelles
Supprimer et ajouter les règles
Accès SSH, Telnet
Sauvegarder les configurations
actuelles
Supprimer et ajouter les règles
Test d'accessibilité ping
Forcer une synchronisation
Sauvegarde en local
Sauvegarder les configurations
dans un fichier qui sera stocké sur
un répertoire du SI
Redémarrer
Documenter
Équipements
SC1 et SC2
SC1
SC1
SC1
SC2
SC2
SC2
Serveur pool
manufacturing
(38.65.160.4)
SC1 et SC2
Serveur pool
Administratif
(38.65.132.2)
SC1 et SC2
SC1 et SC2
SC1 et SC2
On n’attend pas du candidat qu’il précise les règles à insérer dans les tables de filtrage SC1
et SC2.
Mission 1.2 : développer la sécurité de l’activité production
1.2.1
Expliquer les risques encourus par la partie manufacturing du système d’information
en cas d’infection du serveur administratif participant à la synchronisation des
données de stocks de produits finis.
Suite au traitement du dysfonctionnement dans la mission précédente, on attend du candidat
qu’il analyse un scénario de « crise ».
BTS services informatiques aux organisations – Parcours SISR 4/9 En cas d’infection virale du serveur administratif, la synchronisation TFTP avec le serveur
manufacturing peut entrainer une propagation de la menace à l’ensemble de la partie de
l’infrastructure dédiée à la production. La synchronisation peut servir de « Cheval de Troie »
et ouvre une brèche entre les deux parties de l’infrastructure.
Éviter la propagation du virus et la contamination vers les autres applications, serveurs ou
équipements de l’infrastructure ainsi qu'aux autres services et sites interconnectés est une
priorité dans l'hypothèse d'une contamination de l'application du serveur administratif chargé
du suivi des stocks de produits finis.
1.2.2
Dresser et justifier la liste des critères à prendre en compte pour qu’une application
ait accès à l’infrastructure en cas de déclenchement de la procédure drawbridge.
Les applications indispensables à la continuité de la production des produits finis à maintenir
prioritairement en exploitation sont les suivantes:
L’application doit être de niveau hiérarchique H0 à H2.
On constate que les toutes les applications utiles à la production sont hébergées par le pool
serveur manufacturing à l'exception de l'application de pilotage des tests biologiques : Smart
Labs hébergée sur le pool administratif.
1.2.3
Lister les équipements sur lesquels des règles de filtrage spécifiques doivent être
appliquées en cas de déclenchement de la procédure d’alerte.
Les équipements de niveau 2 ne permettent pas la prise en compte de règles de filtrage. Les
deux objectifs en cas de déclenchement sont :
•
Isoler le site de Lyon des autres sites ;
o
•
Les deux routeurs WAN vont permettre d'isoler le site de Lyon et de protéger
les sites de Chicago et de Glasgow en empêchant la propagation du virus.
Cette manipulation est prévue dans la procédure par désactivation des
interfaces FA 0/24.
Cloisonner la production et garantir sa continuité
o La mise en place de filtres sur SC1 et SC2 permet de dresser des barrières et
de compartimenter les secteurs d'activité en périmètres (zones) étanches afin
de limiter autant que possible la contamination aux autres serveurs et
applications saines du site de Lyon. Cette protection doit garantir une
poursuite de l'exploitation en mode "dégradé" tant que l'attaque n'est pas
endiguée et le virus éradiqué.
BTS services informatiques aux organisations – Parcours SISR 5/9 Mission 1.3 : mettre en œuvre de la PSSI
1.3.1
Proposer la modification du filtrage permettant de rendre étanche le secteur
manufacturing, en justifiant la démarche suivie.
On doit bloquer toutes les communications autres que celles nécessaires à la production.
Les règles 3 et 4 permettant le routage inter-VLAN au sein du secteur manufacturing, il reste
donc à interdire la sortie du secteur manufacturing vers l’extérieur.
On utilise pour cela la règle suivante à la place de la règle 5 existante, qui bloque le trafic
non autorisé de toutes les interfaces :
N
°
IP
origine
Masque
origine
IP
dest.
Masque
dest.
Protocole
Port
origine
Port de
dest.
Interface
Sens
Action
5
0.0.0.0
/0
0.0.0.0
/0
TOUS
TOUS
TOUS
TOUS
SORTIE
REFUSER
On n’attend pas du candidat qu’il fournisse la table de filtrage, mais qu’il précise les
contenus.
1.3.2
Indiquer où doit se trouver le technicien d’astreinte pour mettre en œuvre la
procédure drawbridge et de quelle façon il doit procéder en justifiant la réponse.
L’ensemble de ces opérations se fait en mode console sur le commutateur SC2. Le
technicien doit se déplacer physiquement sur le commutateur.
Le candidat peut envisager un placement sur le réseau manufacturing ou sur le VLAN
d’administration du réseau. Les deux propositions ne conviennent pas exactement : la
première autoriserait l’administration de composants réseau sur un VLAN utilisateurs, la
seconde ne restreindrait pas l’accès au réseau de manière exclusive au secteur
manufacturing.
BTS services informatiques aux organisations – Parcours SISR 6/9 Deuxième partie : installation d’une buffer zone (zone tampon)
Mission 2.1 : étudier la couverture du réseau sans-fil
2.1.1
Lister les caractéristiques techniques nécessaires pour comparer et sélectionner les
futurs points d’accès, en tenant notamment compte des contraintes de sécurité du
laboratoire NELL et de la disposition du bâtiment.
Pour comparer plusieurs produits, il faudra s’appuyer sur les caractéristiques suivantes :
•
Portée pour couvrir les distances théoriques ;
•
Normes Wi-Fi couvertes (802.11a/b/g/n) ;
•
Interface d’administration ;
•
Mode d’authentification compatible RADIUS.
2.1.2
Indiquer comment devront être paramétrées les trois bornes pour permettre l’accès
Wi-Fi sur l’ensemble du bâtiment.
Les zones définies dans le document se recouvrent. Il est donc important de paramétrer les
canaux sur des fréquences différentes.
En outre, on activera les éléments de cryptage présentés comme une nécessité dans la
définition des attentes.
2.1.3
Indiquer quels paramétrages seront à régler sur le poste de test de couverture pour
valider le processus d’authentification.
Pour pouvoir tester le bon fonctionnement de la buffer zone, il faut prendre en compte les
différentes version des normes Wi-Fi supportées par les équipements des contrôleurs. Le
test devra donc se faire avec chaque norme.
En outre, on devra entrer la clé de cryptage.
Mission 2.2 : raccorder la buffer zone au cœur de réseau
2.2.1. Rédiger les éléments de la note demandée par le chef de projet.
a) nombre d’équipements, coût, nombre de ports
Solution à base de commutateurs HP ; calcul du nombre de ports :
Pour raccorder les 76 prises du système de câblage et les trois bornes, il faut envisager
l’acquisition de 4 commutateurs (3 équipements ne permettant au maximum que 72 ports).
Sur le commutateur de tête relié au cœur, deux ports (avec ports mini Gbic) seront utilisés
BTS services informatiques aux organisations – Parcours SISR 7/9 pour relier le cœur, et un port reliera l’ensemble de commutateur. On consommera deux
ports sur les commutateurs 2 et 3 de la pile et un port sur le dernier commutateur de la pile.
Le nombre de ports disponible pour cette solution est de (4 x 24) – 3 – 2 – 2 – 1 = 88 ports.
Liste des équipements à acquérir
Il faut prévoir l’acquisition de 4 commutateurs, 2 modules mini-GBIC et 3 câbles droits ou
croisés à connecteurs RJ-45.
Coût total HT :
(4 x 1 550) + (2 x 310) + (3 x 5) = 6 835 €
Solution à base de commutateurs CISCO : calcul du nombre de ports :
Pour raccorder les 76 prises du système de câblage, il faut envisager l’acquisition de 4
commutateurs. Sur le commutateur de tête relié au cœur de réseau, on prévoit l’utilisation de
deux ports mini-GBIC avec un module fibre. Le brassage « fond de panier » permet, dans
notre problème de numération de ne pas sacrifier de ports en façade.
Le nombre de port disponibles est donc de 4 x 24 = 96 ports
Liste des équipements à acquérir
Il faut prévoir l’acquisition de 4 commutateurs et 2 modules SFP.
Coût total HT :
(4 x 1 750) + (2 x 450) = 7 900 €
b) avantages et inconvénients:
Configuration à base de HP
Les commutateurs proposent une architecture à 20 ports 10/100/1000 et 4 ports spécifiques
qui peuvent accueillir indifféremment des connexions de distribution ou des solutions de type
mini-GBIC.
Le débit de la matrice de commutation est de 48 Gbit/s.
Inconvénients
•
Le brassage en façade par une cascade limite le débit entre les commutateurs à
1 Gbit/s théorique maximum ;
•
L’évolutivité de la solution à base de commutateurs HP est faible. Une liaison fibre
supplémentaire consomme un des 9 ports disponibles et l’extension de la buffer zone
au-delà de 80 ports est très fortement limitée ;
•
Existence d’un coût de déploiement.
BTS services informatiques aux organisations – Parcours SISR 8/9 Configuration à base de CISCO
La configuration proposée permet de disposer de 96 ports pour assurer la distribution sur la
« buffer zone ». La possibilité d’utiliser une solution de brassage en fond panier permet de
créer une pile de commutateurs avec un débit de 20 Gbit/s entre les commutateurs. Deux
ports mini-GBIC sont disponibles par commutateur. Cette configuration est fortement
évolutive.
Le débit de la matrice de commutation est de 176 Gbit/s.
Inconvénients :
•
Coût d’acquisition supérieur.
Mission 2.3 : configurer la buffer zone
2.3.1
Indiquer quelles interventions seront nécessaires sur l’infrastructure et les services
réseaux pour isoler les communications et garantir la traçabilité des connexions des
contrôleurs.
Il est nécessaire d’isoler le trafic de la buffer zone à l’aide d’un VLAN dédié, configuré sur
l’équipement choisi par le candidat. On peut envisager de séparer le Wifi du filaire, le flux
informatique du flux téléphonique mais ce n’est pas demandé.
L’authentification des utilisateurs utilisera le serveur RADIUS présent sur l’infrastructure. Il
faudra donc créer les comptes sur l’annuaire associé ou l’environnement de gestion des
comptes.
Un étudiant qui évoquera le routage inter-VLAN ne sera pas pénalisé. On ne peut parler de
DHCP qui est proscrit dans le cadre du laboratoire.
2.3.2
Proposer la configuration VLAN et l’adressage réseau devant être utilisés dans la
buffer zone, compatibles avec la politique d’adressage du laboratoire NELL.
Il suffit de définir un nouveau VLAN BufferZone dans le plan d’adressage du réseau
administratif. Le dernier VLAN utilisé est celui consacré à la VoIP (VLAN 20). L’adresse
suivante disponible est 38.65.152.0. Pour pouvoir accueillir 70 postes, il faut disposer d’au
moins 7 bits pour les hôtes. Le masque sera donc calculé sur 25 ou 24 bits (connexions
Wifi).
BTS services informatiques aux organisations – Parcours SISR 9/9