Analyse et proposition de corrigé Cas H – Epreuve E5 Réunion du 11 mai 2012 à l’ENC de Paris des professeurs des académies de Créteil, Paris et Versailles. Animateurs : Hocine Lammari (hocinne. lammari@free. fr) Valéry Perrin (valery. perrin@free. fr) Participants • 32 enseignants de SISR des académies de Paris, Créteil et Versailles Merci aux correcteur Louis Chacé p g ry Lechien et Jean- Proposition de corrigé et remarques propres à chaque question 1 Mission no 1 1. Argumentaire synthétique a) Non, on ne peut pas utiliser le SSID des personnels car il donne accès aux vlans où se trouvent toutes les ressources onfidentielles de l’hôpital. On ne peut pas non plus utiliser celui des malades, car, outre qu’il faudrait passer par une société extérieure, le flux serait dans un vlan sans lien avec la documentation, or les vlans permettent une séparation stricte des flux d’informations. b)Pas de serveur radius et pas d’annuaire Idap, pas d’implantation de certificats dans les machines clientes. )Chiffrement des données échangées, authentification mutuelle par certificats, authentification Idap, affectation de droits sur les forme rédactionnelle attendue. Comment une telle réponse serait ugée, dans la mesure où il s’agit de trois réponses séparées et non d’un « argumentaire global » ? De plus, le paragraphe précédant la question mentionne « un rappel de la notion de VLAN et de SSID et . » Ces éléments sont-ils attendus dans la réponse ? 1. 2 Accès libre redirigé vers un serveur dauthentification qui permet d’ouvrir (ou pas) l’accès vers internet ou les ressources.
Cette réponse est à compléter par une recopie, un résumé ou une paraphrase du document 2. 3 (page 10) Remarques : les schémas 3. 1 et 3. 2 semblent présenter la solution retenue or elle ne répond pas au problème posé qui st l’accès aux ressources de documentation de Ihôpital. Le dernier paragraphe du document 1. 1 lève cette ambigulté mais c’est un peu « tordu Il n’est pas acceptable d’avoir des suppositions ou des restrictions cachées que très peu d’étudiants (et d’enseignants nous le reconnaissons volontiers) vont découvrir à temps.
La question est un piège et il n’existe à priori aucune bonne réponse en raison des contradictions dans le sujet. Diagramme : Complément du diagramme 3. 2 avec les dix flux du document 3. 3. Schéma 3. 1 complété avec l’accès aux ressources de l’hôpital, le contrôleur wifi et l’adressage ip. Remarques : nous nous posons la question de l’intérêt de cette partie. Que veut-on évaluer en faisant, laborieusement, recopier au candidat le diagramme et le schéma présents dans les documents ? Sa 2 laborieusement, recopier au candidat le diagramme et le schéma présents dans les documents ?
Sa capacité à dessiner a main levée ? Le correcteur devra-t-il « jouer » aux « sept erreurs » ? 1. 3 L’authentification de l’utilisateur par le portail ainsi que la journalisation des accès par le proxy répond aux contraintes légales. Le vlan des visiteurs est différents des autres vlan et arantit la sécurité du SI de Ihôpital grâce à la séparation des flux entre les vlans. Remarques : Les questions 1 . la et 1. 3 comportent des redondances et/ou des liens qui pourraient embrouiller le candidat.
En ayant un questionnement si proche on aura des réponses quasi identiques aux deux questions. Le candidat pourrait être déstabilisé par le fait qu’on lui pose deux questions aboutissant à la même réponse. 1. 4 Une STA wifi de test, Des points (deux minimum – cf document 5. 1 ) d’accès wifi et un contrôleur compatible, (machine virtuelle et logiciel amigo), un serveur http (physique ou virtuel) simulant les essources internes, un accès internet avec routeur ou un accès au routeur internet de l’hôpital. 1. Cette question est hors champ d’évaluation de l’épreuve ES (page 93 du référentiel) nous ne l’avons pas traitée. 1. 6 Idem 1. 7 un second portail captif « patients Un serveur radius, un annuaire Idap, 3 faut-il tester le chevauchement des canaux wifi, la montée en charge, la multiplication des matériels en accès, la résistance aux pannes… 1. 8 Remarques : la question est ambiguë la réponse pourrait-être : « Utiliser une bibliothèque d’archivage automatique avec son logiciel de sauvegarde De plus on demande la « structure énérale » dune « solution détaillée » !!! ucun de nous ne sait ce que ça veut dire ! La question n’induit pas une réponse algorithmique, une simple ligne de commande « pipée » et déclenchée par un « cron » (scheduler) donnerait le bon résultat, mais il semble illusoire d’espérer qu’un candidat connaisse suffisamment la syntaxe d’un langage de scripting pour concevoir une telle ligne sans accès ni aux man ni à une plate-forme de test. Nous n’y sommes pas parvenus à 34 enseignants ! Dans le cas où un candidat donnerait une solution algorithmique qu’attend-t-on sur l’indication du langage de scripting ?
Qu’il cite ne liste de langages ? Que veux-t-on tester ? On constatera que la question est très mal posée et que le candidat ne sait pas si on lui demande un algorithme, un script, un ensemble de commandes automatisées par un cron… Cette incertitude, loin de laisser une liberté dans la solution, est très déstabilisante. Nous remarquons également que l’automatisation des tâches d’administration n’est pas normalement évaluée dans l’épreuve ES (page 94 du référentiel). une solution de principe pourrait être – Un script Shell 4 (page 94 du référentiel).
Une solution de principe pourrait être – Un script Shell d’une ligne ! bin/bash cat /var/log/radius/* /var/log/proxy/ grep date • I tar -zf xxxxx I scp – Plus l’ajout d’une entrée cron à 23h30 tous les Jours. 2 Mission n02 2. 1 Nous constatons que la configuration IP de la machine (adresse 192. 168. 0. 26), bien que donnée par un serveur dhcp (192. 1680. 254), n’est pas la configuration normalement fournie par le serveur dhcp du batiment B et est en dehors des plages et du réseau du vlan 4 et même de toutes les plages dhcp de l’hôpital.
On est donc très certainement en présence d’un serveur dhcp « illicite Remarques : page 12 le plan d’adressage est en 192. 168. 10. 0 et isque d’induire l’étudiant à lier le dysfonctionnement de la partie 2 à la mise en place du réseau visiteurs de la partie 1. Nous remarquons également que le « matériel nouveau » est non seulement générateur de bruit, mais risque de perturber le candidat qui peut penser qu’il y a un lien entre ce « nouveau » matériel et le dysfonctionnement. Pourquoi ce risque de l’envoyer sur une fausse piste ? . 2 Il est probable qu’un serveur dhcp « illicite » soit présent dans le vlan du batiment B. Le protocole dhc fonctionne en broadcast et le client accepte la premiè qu’il reçoit d’un serveur S domaine de diffusion. Remarque : Idem question 2. 1. 2. 3 Donner aux machines une configuration statique en dehors de la plage dhcp. 2. 4 Dans le domaine de diffusion où se trouve le serveur dhcp indésirable. (ici dans le vlan 4 bâtiment B). 2. 5 A partir du cache ARP suite à un ping vers 192. 168. 0. 54 depuis une machine défaillante, on relève l’adresse MAC du serveur dhcp non désiré puis on recherche dans la table mac/port de tous les commutateurs desservant le bâtiment B afin de localiser le port donc la prise concernée. Remarques : il est fait état d’un bâtiment BI dans le document 1. 1 page 15 ; On parle dans la mission du bâtiment B !! st-ce le même ? Le bâtiment BI n’est, de plus, visiblement pas rattaché au cœur du réseau ! Nous estimons que cette notion serait bien mieux évaluée lors de l’épreuve E4 ?
La formulation de la question est très discutable syntaxiquement et assez difficilement compréhensible. La solution nous semble hors de la portée d’étudiant moyen dans une épreuve théorique. Le tableau page 17 nous semble difficilement exploitable et d’une utilité très discutable. 2. 6 S snooping sur tous les commutateurs afin de se prémunir du starvation et du snooping. La réponse complète consiste à copier, résumer ou paraphraser le document 3. 1. Remarques : la mission se nomme « gérer LE problème » et parle « d’incident de MEME nature » ce qui laisse supposer un lien avec les questions précédentes.
Or la question porte sur le risque « starvation » et est sans rapport direct avec l’incident. Est-ce une réponse de contenu ou une réponse de forme qui est attendu dans la mesure où cette note s’adresse à sa propre hiérarchie. ? Attend-t-on les formules de politesse et de servilité. un sondage effectué auprès des 34 enseignants présents dans la réunion nous permet de mesurer que seulement 2 sur 34 connaissaient la notion de « starvation » et encore, depuis très eu de temps pour l’un des deux.
II est illusoire de penser que les étudiants se donneront la peine de chercher à répondre ? une question où la notion même de ce qui leur est demandé est totalement ignorée. Nous nous réjouissons toutefois de cette manière « élégante » et économique d’organiser la formation permanente des enseignants à travers l’étude de cas. Une partie d’entre nous déplore l’aspect « Cisco » de cette question surtout dans la mesure où la région a refusé catégoriquement d’équiper les établissements de ce type de matériel. Nous déplorons également l’emploi d’anglicismes.