CAS NELL - Quentin DUPONT
Transcription
CAS NELL - Quentin DUPONT
BTS Services Informatiques aux Organisations Session 2013 E5SR : PRODUCTION ET FOURNITURE DE SERVICES Coefficient : 5 Durée : 4 h CAS NELL . Éléments de corrigé et barème Barème : Dossier 1 : sécurisation de l’infrastructure /58 Mission 1.1 : 34 points Mission 1.2 : 14 points Mission 1.3 : 10 points Dossier 2 : installation d’une zone tampon /42 Mission 2.1 : 12 points Mission 2.2 : 20 points Mission 2.3 : 10 points CODE EPREUVE : SIE5SR EXAMEN : SPECIALITE : BREVET DE TECHNICIEN SERVICES INFORMATIQUES AUX ORGANISATIONS SUPERIEUR Parcours SISR Session 2013 CORRIGÉ EPREUVE : E5-PRODUCTION ET FOURNITURES DE SERVICES INFORMATIQUES Durée : 4 h Coefficient : 5 Code sujet : 13SI03 Page : 1/9 Première partie : sécurisation de l’infrastructure Mission 1.1 : analyser, identifier et qualifier un dysfonctionnement 1.1.1 En tenant compte des processus internes et de la présentation du dysfonctionnement, évaluer le risque pour le système d’information et justifier une priorité pour la résolution de cet incident. Le niveau de criticité d'un risque pour un SI s'estime en fonction de sa gravité facteur de sa fréquence d'apparition. Le tableau permet d'estimer la gravité engendrée par l'interruption ou le dysfonctionnement d'une application en rapport avec son impact sur l'activité de production du laboratoire. Niveau Hiérarchique H3 Secteur Manufacturing Exemples d’applications Suivi des stocks de produits finis Sensibilité Sensible Temps Protocole d’interruption maximum exprimés en 1 Jour TCP UDP (LAN) Port 26000 69, 6969 L'application liée aux processus de remontée des stocks de produits finis depuis l’atelier de conditionnement est classée de niveau H3 dans la hiérarchie des incidents et le temps d'interruption maximal toléré est d'un jour ouvrable. Les risques qu'encoure le système d'information de NELL par une interruption prolongée supérieure à une journée sont multiples, comme la non livraison d'une commande faute d'un stock suffisant de produits finis... Un défaut ou retard de livraison peut engendrer la perte d'une commande importante entraînant le mécontentement du client et les conséquences qui en découlent (pénalités de retard, départ du client vers la concurrence, etc.). Par conséquent la prise en compte de cet incident qualifié de sensible doit être classée à une priorité élevée. Il est au moins "urgent" de résoudre ce problème. BTS services informatiques aux organisations – Parcours SISR 2/9 1.1.2 Préciser et justifier les tests et les commandes à exécuter permettant d'éliminer l’hypothèse du routage comme étant la cause de ce problème. Le problème de synchronisation concerne les remontées via une application TFTP de l’état des stocks depuis un serveur du pool manufacturing vers un serveur du secteur administratif. Le routage est le processus qui consiste à acheminer au travers d'un réseau des paquets IP depuis une machine source jusqu'à une destination. La sélection du meilleur chemin se base sur la recherche de la meilleure route dans une table de routage à partir de l'adresse IP destination du paquet. Les tests à effectuer consistent à vérifier le routage dans les deux sens entre les 2 serveurs et leur accessibilité mutuelle. (tracert et/ou ping) Une première commande ping depuis le serveur administratif vers le serveur du pool manufacturing permet de vérifier que les paquets IP sont acheminés entre les deux équipements. La commande tracert permet de déterminer l’itinéraire choisi par les routeurs pour acheminer cette information. 1.1.3 Le routage étant exclu des causes, expliquer au responsable les causes du dysfonctionnement. Le routage est exclu comme source du dysfonctionnement. L'origine du blocage dans cet échange de flux nécessaires à la remontée des données d'activité entre les deux serveurs est à rechercher au niveau des protocoles de couches supérieures OSI des équipements intervenant dans cette communication. Des règles de filtrage sont configurées sur les deux commutateurs. Le candidat devra analyser le fonctionnement de l’application en fonction des règles de filtrage fournies dans le sujet. Étape 1 : demande de synchronisation du serveur administratif La règle n°3 affectée à l'interface de VLAN 4 de la table de filtrage de SC2 autorise bien la demande de synchronisation. Étape 2 : réponse à la demande de synchronisation La règle n°1 affectée à l’interface VLAN 32 de la table de filtrage de SC1 autorise la réponse à la demande de synchronisation. Étape n°3 : synchronisation des données et fermeture La règle n°1 de SC1 utilise comme port source le port 69. La règle n°4 interdit toute sorties utilisant le protocole UDP. Le commutateur SC1 bloque donc la synchronisation. Par ailleurs, aucune règle dans la table de filtrage de SC2 ne permet une communication depuis le port 6868 du serveur du pool manufacturing vers le port 69 du serveur administratif. BTS services informatiques aux organisations – Parcours SISR 3/9 1.1.4 Préconiser une démarche d'intervention en détaillant pour chaque étape envisagée les opérations à effectuer ainsi que les équipements concernés. Démarche d'intervention envisagée N° 1 Étape Prévenir les utilisateurs suffisamment longtemps avant l’intervention. 2 Se connecter sur SC1 Sauvegarder les configurations 3 4 Corriger l'erreur Se connecter sur SC2 Sauvegarder les configurations 5 6 Corriger l'erreur Valider par des tests 7 Sauvegarder les nouvelles règles Sauvegarder les configurations 8 Opérations Prévenir les utilisateurs d’une intervention qui entraîne le redémarrage des équipements et une interruption de service temporaire Accès SSH - Telnet Sauvegarder les configurations actuelles Supprimer et ajouter les règles Accès SSH, Telnet Sauvegarder les configurations actuelles Supprimer et ajouter les règles Test d'accessibilité ping Forcer une synchronisation Sauvegarde en local Sauvegarder les configurations dans un fichier qui sera stocké sur un répertoire du SI Redémarrer Documenter Équipements SC1 et SC2 SC1 SC1 SC1 SC2 SC2 SC2 Serveur pool manufacturing (38.65.160.4) SC1 et SC2 Serveur pool Administratif (38.65.132.2) SC1 et SC2 SC1 et SC2 SC1 et SC2 On n’attend pas du candidat qu’il précise les règles à insérer dans les tables de filtrage SC1 et SC2. Mission 1.2 : développer la sécurité de l’activité production 1.2.1 Expliquer les risques encourus par la partie manufacturing du système d’information en cas d’infection du serveur administratif participant à la synchronisation des données de stocks de produits finis. Suite au traitement du dysfonctionnement dans la mission précédente, on attend du candidat qu’il analyse un scénario de « crise ». BTS services informatiques aux organisations – Parcours SISR 4/9 En cas d’infection virale du serveur administratif, la synchronisation TFTP avec le serveur manufacturing peut entrainer une propagation de la menace à l’ensemble de la partie de l’infrastructure dédiée à la production. La synchronisation peut servir de « Cheval de Troie » et ouvre une brèche entre les deux parties de l’infrastructure. Éviter la propagation du virus et la contamination vers les autres applications, serveurs ou équipements de l’infrastructure ainsi qu'aux autres services et sites interconnectés est une priorité dans l'hypothèse d'une contamination de l'application du serveur administratif chargé du suivi des stocks de produits finis. 1.2.2 Dresser et justifier la liste des critères à prendre en compte pour qu’une application ait accès à l’infrastructure en cas de déclenchement de la procédure drawbridge. Les applications indispensables à la continuité de la production des produits finis à maintenir prioritairement en exploitation sont les suivantes: L’application doit être de niveau hiérarchique H0 à H2. On constate que les toutes les applications utiles à la production sont hébergées par le pool serveur manufacturing à l'exception de l'application de pilotage des tests biologiques : Smart Labs hébergée sur le pool administratif. 1.2.3 Lister les équipements sur lesquels des règles de filtrage spécifiques doivent être appliquées en cas de déclenchement de la procédure d’alerte. Les équipements de niveau 2 ne permettent pas la prise en compte de règles de filtrage. Les deux objectifs en cas de déclenchement sont : • Isoler le site de Lyon des autres sites ; o • Les deux routeurs WAN vont permettre d'isoler le site de Lyon et de protéger les sites de Chicago et de Glasgow en empêchant la propagation du virus. Cette manipulation est prévue dans la procédure par désactivation des interfaces FA 0/24. Cloisonner la production et garantir sa continuité o La mise en place de filtres sur SC1 et SC2 permet de dresser des barrières et de compartimenter les secteurs d'activité en périmètres (zones) étanches afin de limiter autant que possible la contamination aux autres serveurs et applications saines du site de Lyon. Cette protection doit garantir une poursuite de l'exploitation en mode "dégradé" tant que l'attaque n'est pas endiguée et le virus éradiqué. BTS services informatiques aux organisations – Parcours SISR 5/9 Mission 1.3 : mettre en œuvre de la PSSI 1.3.1 Proposer la modification du filtrage permettant de rendre étanche le secteur manufacturing, en justifiant la démarche suivie. On doit bloquer toutes les communications autres que celles nécessaires à la production. Les règles 3 et 4 permettant le routage inter-VLAN au sein du secteur manufacturing, il reste donc à interdire la sortie du secteur manufacturing vers l’extérieur. On utilise pour cela la règle suivante à la place de la règle 5 existante, qui bloque le trafic non autorisé de toutes les interfaces : N ° IP origine Masque origine IP dest. Masque dest. Protocole Port origine Port de dest. Interface Sens Action 5 0.0.0.0 /0 0.0.0.0 /0 TOUS TOUS TOUS TOUS SORTIE REFUSER On n’attend pas du candidat qu’il fournisse la table de filtrage, mais qu’il précise les contenus. 1.3.2 Indiquer où doit se trouver le technicien d’astreinte pour mettre en œuvre la procédure drawbridge et de quelle façon il doit procéder en justifiant la réponse. L’ensemble de ces opérations se fait en mode console sur le commutateur SC2. Le technicien doit se déplacer physiquement sur le commutateur. Le candidat peut envisager un placement sur le réseau manufacturing ou sur le VLAN d’administration du réseau. Les deux propositions ne conviennent pas exactement : la première autoriserait l’administration de composants réseau sur un VLAN utilisateurs, la seconde ne restreindrait pas l’accès au réseau de manière exclusive au secteur manufacturing. BTS services informatiques aux organisations – Parcours SISR 6/9 Deuxième partie : installation d’une buffer zone (zone tampon) Mission 2.1 : étudier la couverture du réseau sans-fil 2.1.1 Lister les caractéristiques techniques nécessaires pour comparer et sélectionner les futurs points d’accès, en tenant notamment compte des contraintes de sécurité du laboratoire NELL et de la disposition du bâtiment. Pour comparer plusieurs produits, il faudra s’appuyer sur les caractéristiques suivantes : • Portée pour couvrir les distances théoriques ; • Normes Wi-Fi couvertes (802.11a/b/g/n) ; • Interface d’administration ; • Mode d’authentification compatible RADIUS. 2.1.2 Indiquer comment devront être paramétrées les trois bornes pour permettre l’accès Wi-Fi sur l’ensemble du bâtiment. Les zones définies dans le document se recouvrent. Il est donc important de paramétrer les canaux sur des fréquences différentes. En outre, on activera les éléments de cryptage présentés comme une nécessité dans la définition des attentes. 2.1.3 Indiquer quels paramétrages seront à régler sur le poste de test de couverture pour valider le processus d’authentification. Pour pouvoir tester le bon fonctionnement de la buffer zone, il faut prendre en compte les différentes version des normes Wi-Fi supportées par les équipements des contrôleurs. Le test devra donc se faire avec chaque norme. En outre, on devra entrer la clé de cryptage. Mission 2.2 : raccorder la buffer zone au cœur de réseau 2.2.1. Rédiger les éléments de la note demandée par le chef de projet. a) nombre d’équipements, coût, nombre de ports Solution à base de commutateurs HP ; calcul du nombre de ports : Pour raccorder les 76 prises du système de câblage et les trois bornes, il faut envisager l’acquisition de 4 commutateurs (3 équipements ne permettant au maximum que 72 ports). Sur le commutateur de tête relié au cœur, deux ports (avec ports mini Gbic) seront utilisés BTS services informatiques aux organisations – Parcours SISR 7/9 pour relier le cœur, et un port reliera l’ensemble de commutateur. On consommera deux ports sur les commutateurs 2 et 3 de la pile et un port sur le dernier commutateur de la pile. Le nombre de ports disponible pour cette solution est de (4 x 24) – 3 – 2 – 2 – 1 = 88 ports. Liste des équipements à acquérir Il faut prévoir l’acquisition de 4 commutateurs, 2 modules mini-GBIC et 3 câbles droits ou croisés à connecteurs RJ-45. Coût total HT : (4 x 1 550) + (2 x 310) + (3 x 5) = 6 835 € Solution à base de commutateurs CISCO : calcul du nombre de ports : Pour raccorder les 76 prises du système de câblage, il faut envisager l’acquisition de 4 commutateurs. Sur le commutateur de tête relié au cœur de réseau, on prévoit l’utilisation de deux ports mini-GBIC avec un module fibre. Le brassage « fond de panier » permet, dans notre problème de numération de ne pas sacrifier de ports en façade. Le nombre de port disponibles est donc de 4 x 24 = 96 ports Liste des équipements à acquérir Il faut prévoir l’acquisition de 4 commutateurs et 2 modules SFP. Coût total HT : (4 x 1 750) + (2 x 450) = 7 900 € b) avantages et inconvénients: Configuration à base de HP Les commutateurs proposent une architecture à 20 ports 10/100/1000 et 4 ports spécifiques qui peuvent accueillir indifféremment des connexions de distribution ou des solutions de type mini-GBIC. Le débit de la matrice de commutation est de 48 Gbit/s. Inconvénients • Le brassage en façade par une cascade limite le débit entre les commutateurs à 1 Gbit/s théorique maximum ; • L’évolutivité de la solution à base de commutateurs HP est faible. Une liaison fibre supplémentaire consomme un des 9 ports disponibles et l’extension de la buffer zone au-delà de 80 ports est très fortement limitée ; • Existence d’un coût de déploiement. BTS services informatiques aux organisations – Parcours SISR 8/9 Configuration à base de CISCO La configuration proposée permet de disposer de 96 ports pour assurer la distribution sur la « buffer zone ». La possibilité d’utiliser une solution de brassage en fond panier permet de créer une pile de commutateurs avec un débit de 20 Gbit/s entre les commutateurs. Deux ports mini-GBIC sont disponibles par commutateur. Cette configuration est fortement évolutive. Le débit de la matrice de commutation est de 176 Gbit/s. Inconvénients : • Coût d’acquisition supérieur. Mission 2.3 : configurer la buffer zone 2.3.1 Indiquer quelles interventions seront nécessaires sur l’infrastructure et les services réseaux pour isoler les communications et garantir la traçabilité des connexions des contrôleurs. Il est nécessaire d’isoler le trafic de la buffer zone à l’aide d’un VLAN dédié, configuré sur l’équipement choisi par le candidat. On peut envisager de séparer le Wifi du filaire, le flux informatique du flux téléphonique mais ce n’est pas demandé. L’authentification des utilisateurs utilisera le serveur RADIUS présent sur l’infrastructure. Il faudra donc créer les comptes sur l’annuaire associé ou l’environnement de gestion des comptes. Un étudiant qui évoquera le routage inter-VLAN ne sera pas pénalisé. On ne peut parler de DHCP qui est proscrit dans le cadre du laboratoire. 2.3.2 Proposer la configuration VLAN et l’adressage réseau devant être utilisés dans la buffer zone, compatibles avec la politique d’adressage du laboratoire NELL. Il suffit de définir un nouveau VLAN BufferZone dans le plan d’adressage du réseau administratif. Le dernier VLAN utilisé est celui consacré à la VoIP (VLAN 20). L’adresse suivante disponible est 38.65.152.0. Pour pouvoir accueillir 70 postes, il faut disposer d’au moins 7 bits pour les hôtes. Le masque sera donc calculé sur 25 ou 24 bits (connexions Wifi). BTS services informatiques aux organisations – Parcours SISR 9/9