Bonjour j'ai passé une examen et je voulais savoir ce que vous pensiez de mes réponses.

Il m'est demandé de schématiser l'infrastructure système et réseau d'une problématique aux questions 1 et 2 . Je l'ai déjà passé, que pensez vous de mes réponses bof bof ?? 

Voici l'énoncé :

Voici les questions :

Quant à mes réponses les voici :

réponse question 1 :

question 2 réponse :

question 3 et 5 réponse :

Bonjour,

Sans savoir quel type d'examen et pour quel niveau, c'est difficile de donner un avis pertinent sur la qualité de réponse.

Question 1:

On demande de proposer une «infrastructure réseaux» pour «interconnecter» les différents bureaux sur un «réseau privée» avec le SI étatique.

Pour moi, on demande de décrire l'architecture réseaud'unVPNsite-à-site.

Dans ta réponse, il y a beaucoup trop d'élément qui n'ont rien à faire là: VEEAM, EDR, AD, WAMP n'ont pas d'intérêt dans la construction d'un VPN.

Tu proposes Wireguard, pas bête comme choix, ça te démarque des autres qui auront sûrement plus répondu IPSec (je pense que c'est la réponse attendue), MPLS (un peu passé de mode) ou SD-WAN (ceux capables de décrire l'archi d'un SD-WAN n'ont pas besoin de passer d'examen ).

Cependant, tu ne détailles pas l'archi du VPN avec Wireguard. Tu parles de clé asymétrique RSA... et de Linux je ne sais pas trop pourquoi alors que tu nous bassines avec Windows Server et l'AD.

PfSense n'est pas un Firewall stateless, c'est du stateful bien-sûr. Le SAN, okay, je peux l'entendre et la supervision aussi, même si pour moi, tout ça fait probablement parti déjà du SI étatique et donc, on cherche juste la solution pour «interconnecter» ce SI avec les bureaux. Aller, un simple serveur Web (sans avoir besoin de préciser la stack de l'appli web) en DMZ pour la solution histoire de, je prends aussi.

Je trouve ta réponse un peu hors-sujet, peu pertinente. En plus, tu ne maîtrise pas du tout les techno et solutions dont tu parles, donc ça fait vraiment fouillis:

• Windows Server 2k12:
  • remplacer le 0 par un k est inutile.
  • Il existe d'autres versions plus récente que WS 2012, à savoir 2012 R2, 2016, 2019, 2022
  • WS 2012 est EOS en octobre 2023
• contrơlé en SSH par PowerShell: précision inutile
• RSA 2048 bits: aujourd'hui on recommande 4096 bits
• EDR: tu ne sais pas ce que c'est, n'en parle pas.
• WAMP avec BDD MySQL: WAMP veut dire Windows Apache MySQL PHP, tu viens juste de démontrer que tu ne sais pas vraiment ce qu'est WAMP.

Je pense qu'il aurait été souhaitable d'écrire un petit paragraphe expliquant avec abstraction l'architecture du VPN. Balancer des trucs comme ça sans vraiment expliquer leurs rôle au sein du VPN n'a pas d'intérêt. Ça t'aurait permit de justifier la présence de certains éléments dans l'archi. En fait, ça fait disparaître les informations pertinentes de la réponse.

Question 2:

On demande un «schéma» et un schéma c'est visuel. Là ta réponse est tout sauf visuel. J'ai rien compris, je prendrai pas le temps de comprendre. En plus il y a des erreurs qui démontre encore une fois que tu veux en faire trop sans vraiment comprendre. Exemple:

• VLAN: 192.168.1.1/24 machin A
• VLAN: 192.168.1.2/24 machin B
• VLAN: 192.168.1.3/24 machin C

Tu as défini trois fois le même réseau, et de manière général, le plan d'adressage est difficile à comprendre. La question demande juste: un schéma et un plan d'adressage (un tableau à coté tout simplement).

À mon avis, tu t'es trop pris la tête sur la question 1 et 2, qui ne regarde que l'aspect purement réseau.

Question 3:

C'est déjà un peu plus rédigé, je comprend pas trop pourquoi se focus sur la messagerie alors que rien ne fait état de emails dans le sujet. Cependant, je pense qu'on veut soit que tu mettent en place un VPN entre les deux SI, soit de justifier que les communications seront chiffrées avec TLS par exemple si l'interconnexion se fait par des serveurs web publiques (genre avec une API REST par exemple). Le plus simple est de parler de VPN type IPSec ou Wireguard.

Arrête avec la solution EDR! De toute façon, on sait que tu ne sais pas ce que c'est, vu que c'est la seule solution pour laquelle tu ne proposes pas un produit.

Question 5:

Okay, la première partie est très bien je trouve. Une bonne introduction à la suite.Cependant, dans la suite, tu ne détailles pas comment tu vas faire dans ce cas, tu essayes de montrer ce que tu connais du cloud de manière générique. Pour info c'est IaaS, PaaS, SaaS (le «aaS» veut dire as-a-Service).

Encore une fois, sans connaitre le contexte de l'examen, c'est difficile de donner un avis. N'essaye pas juste de montrer que tu connais des choses. Montre que tu sais appliquer tes connaissances à un contexte donné. Il vaut moins de contenu, mais de bonne qualité, que beaucoup de moyenne qualité.

Je trouve que c'est un sujet difficile pour des étudiants de formation initiales (sans expérience pro) à BAC+2/3. Au-delà, j'aurai espéré des réponses beaucoup plus claires, précises et pertinentes.

-
Edité par KoaTao 28 janvier 2023 à 14:51:55

Salut 

Merci encore pour ta réponse très bein explicite je reviendrai petit à petit sur les autres questions et remarques que tu m'as faite afin de bien comprendre même si je pense avoir compris :).

Tu as raison j'essaie den mettre le + possible.

Par rapport à la question 2 un moment tu dis : "Exemple:

• VLAN: 192.168.1.1/24 machin A
• VLAN: 192.168.1.2/24 machin B
• VLAN: 192.168.1.3/24 machin C

Tu as défini trois fois le même réseau, et de manière général, le plan d'adressage est difficile à comprendre"

Oui c'est vrai qu'en me relisant j'aurai changé de réseaux pour chaque VLAN mais paradoxalement en esseyant la manip sur une ancienne maquette packet tracer , bizarement les VLANS empechent les machines étant sur la même adresse réseau de communiquer avec des machines d'autres VLAN  :  https://www.veed.io/view/5b09cfc5-88fa-4299-8094-79e769b921ec?sharingWidget=true&panel=share   ?

-
Edité par DddDddds 29 janvier 2023 à 1:22:09

Alors il faut voir la config du switch et du routeur, mais de manière générale, lors de ce genre de TP, on essaie de créer une «ségrégation» des réseaux à l'aide de VLAN.

Le problème d'avoir des VLAN qui ont chacun une adresse réseau qui recouvre les autres est que tu ne pourras pas les faire communiquer ensemble avec du routage interVLAN. Dans un plan d'adressage, on essaie de faire en sorte que les réseaux ne se recouvrent jamais. Et vu le nombre de réseaux privées disponibles en IPv4, tu avais largement assez d'adresses pour faire quelque chose de propre.

C'est un exercice qui vise à apprécier ta capacité d'analyse et de conception en restituant tes connaissances dans un cas pratique concret. Les défauts de conception à cause d'utilisation de mauvaises pratique (peu importe si elles fonctionnent) sont, à mon humble avis, plus préjudiciables qu'un manque de connaissance.

-
Edité par KoaTao 29 janvier 2023 à 11:52:38

KoaTao a écrit:

Alors il faut voir la config du switch et du routeur, mais de manière générale, lors de ce genre de TP, on essaie de créer une «ségrégation» des réseaux à l'aide de VLAN.

Le problème d'avoir des VLAN qui ont chacun une adresse réseau qui recouvre les autres est que tu ne pourras pas les faire communiquer ensemble avec du routage interVLAN. Dans un plan d'adressage, on essaie de faire en sorte que les réseaux ne se recouvrent jamais. Et vu le nombre de réseaux privées disponibles en IPv4, tu avais largement assez d'adresses pour faire quelque chose de propre.

C'est un exercice qui vise à apprécier ta capacité d'analyse et de conception en restituant tes connaissances dans un cas pratique concret. Les défauts de conception à cause d'utilisation de mauvaises pratique (peu importe si elles fonctionnent) sont, à mon humble avis, plus préjudiciables qu'un manque de connaissance.

-
Edité par KoaTao il y a environ 8 heures

Ah ok je comprends. Oui tu as raison en + car justement dans ma maquette j'avais oublié que c'était le routage inter vlan qui me permettait de communiquer d'un vlan vers un vlan différent selon les autorisations(car il me semble que je peux autoriser la communication entre certains VLANS et pas d'autres) données sur le routeur.

Oui tu as raison, c'était une erreur d'innatention de ma part je pense.

Oui tu as raison c'est avec ces défauts de conceptions qu'on créait des failles de sécurité plus ou moins vulnérables malgrès la mise à jour software.

Re Koa Tao,  Je reviens un peu sur les autres sujet du problème.

Pour te répondre c'etait un concours pour un ministère afin de devenir admin sys reseau ou manager SI etc... avec un an d'école et 1an de stage. J'ai loupé l'oral pour lequel je n'avais pas bachoté le coté technique rahhh.

Mais oui c'est niveau licence mais ce sont généralement des masters informatique qui le passent. Moi avec mon niveau TSSR qui n'a pas d'exp pro et qui bosse par période je fais pale figure haha.

Mais j'avais passé l'écrit, je crois que le sujet que j'ai mis on m'a mis 10/20 enfin y avaient également d'autres questions de cours.

Je vais essayer de refaire l'infrastrcture que tu me conseilles sur packet tracer pour que ce soit + visible .

- En fait pour la question 1 en la relisant bien (j'étais très malade le jour de l'examen) : Tu as raison on me demande vraiment l'infrastructure d'interconnection mais ca ne compte pas uniquement le VPN ? bien que j'ai fais une focalisation sur le système qui est bon pour la question 2.

Donc en gros je devais faire uniquement une liste du genre ci dessous :

"L'architecture réseau d'un VPN site-à-site avec WireGuard pour interconnecter deux bureaux de douane peut comprendre les composants suivants :

1. Bureaux de douane (site entrée et site sortie) : Ce sont les deux emplacements physiques des bureaux de douane qui doivent être interconnectés.

2. Réseau privé : Il s'agit du réseau privé de l'organisation étatique qui relie les deux bureaux de douane. Ce réseau privé peut utiliser des adresses IP privées, distinctes de l'adresse IP publique utilisée sur Internet.

3. Routeurs : Chaque bureau de douane est équipé d'un routeur qui gère la connectivité du réseau local du bureau avec le réseau public, comme Internet. Les routeurs sont responsables de la transmission des paquets entre les deux sites.

4. Connexion Internet : Chaque bureau de douane doit disposer d'une connexion Internet pour établir le VPN site-à-site. Cela peut être une connexion à large bande, par exemple via un fournisseur d'accès Internet.

5. Serveur VPN : Un serveur VPN WireGuard est configuré dans chaque bureau de douane. Ce serveur est responsable de l'établissement et de la gestion du tunnel VPN sécurisé entre les deux sites. Il s'agit du point central pour l'authentification, le chiffrement et le routage des paquets.

6. Clients VPN : Chaque bureau de douane dispose d'un client VPN WireGuard qui se connecte au serveur VPN du site opposé. Ces clients permettent d'établir une connexion sécurisée et chiffrée entre les deux sites.

7. Clés et certificats : Des clés et des certificats sont utilisés pour authentifier les serveurs VPN et les clients VPN, garantissant ainsi une communication sécurisée entre les deux sites.

8. Infrastructure réseau : L'infrastructure réseau existante, telle que les commutateurs et les câbles Ethernet, est utilisée pour connecter les différents composants du réseau dans chaque bureau de douane.

En utilisant cette architecture, les deux bureaux de douane peuvent être interconnectés de manière sécurisée via un VPN site-à-site avec WireGuard, permettant ainsi le partage d'informations et la communication entre les deux sites de manière confidentielle et fiable."

- Chat GPT donne de bonnes indications mais pour le coup des serveurs sur chaque bureau, je trouve bof le fait de mettre des serveurs dans les LAN des bureaux. J'aime que les serveurs soient soit sur le LAN du SI(pour les sensibles) soit sur la DMZ(pour les non sensibles).
Bon meme si on garde l'idée d'un serveur VPN sur chaque bureau pour leur interconnection reciproque, il manque le serveur VPN sur le SI que chat GPT n'a proposé . Car la consigne dit bien interconnexion des deux bureau AVEC le SI.

Bon et chat GPT a vraiment pris au serieux le fait de definir tous les concepts

Merci à toi

-
Edité par DddDddds 6 juillet 2023 à 16:43:11

Bonjour,

Que ce soit la question 1 ou la question 2, on ne te demande pas vraiment de décrire comment tu vas configurer ton VPN. Je trouve la partie sur les clés de chiffrement par exemple totalement hors contexte.

Tu dis que tu vas construire un VPN site à site:

Chaque bureau dispose:

- D'une connection internet

- D'un routeur d'accès

- D'un pare-feu

Le SI étatique est composé:

- D'une connection internet

- D'un routeur d'accès

- De deux pare-feux (un interne et un externe)

Chaque site s'internconnecte avec le SI étatique par un tunnel VPN entre le firewall du bureau et le firewall externe du SI étatique.

Un LAN en DMZ est installé entre le firewall externe et interne du SI étatique. Cette DMZ héberge les serveurs auxquels les bureaux de douane doivent accéder (déclaration de douane, smartticket, etc.…).

Le firewall permet l'interconnexion avec filtrage par les firewalls entre les réseaux LANs « utilisateurs » des bureaux et des serveurs sur la DMZ douane.

La technologie VPN utilisée sera WireGuard. Il faudra donc des firewalls capables de monter des VPN avec le proto WireGuard.

On peut rajouter de la redondance sur les équipements (routeurs/firewall) pour assurer de la haute dispo notamment sur le SI étatique.

On peut aborder aussi les débits montants et descendants.

Personnellement, je n'irai pas plus loin. J'éviterai de monter un VPN entre deux serveurs, cela engendre des coûts inutiles. Il est préférable d'utiliser des équipements réseaux qui ont déjà la capacité de monter le VPN avec la techno que tu souhaites.

D'autres solutions auraient été de présenter un SD-WAN ou un VPN MPLS (bien que moins à la mode).

Un exemple d'un début de schéma:

DddDddds a écrit:

Pour te répondre c'etait un concours pour un ministère afin de devenir admin sys reseau ou manager SI etc... avec un an d'école et 1an de stage. J'ai loupé l'oral pour lequel je n'avais pas bachoté le coté technique rahhh.

Mais oui c'est niveau licence mais ce sont généralement des masters informatique qui le passent. Moi avec mon niveau TSSR qui n'a pas d'exp pro et qui bosse par période je fais pale figure haha.

Alors ok, cela explique un peu les questions assez ouvertes. Pour avoir lu les rapports émis par les jurys des concours pour la DGSE (ou DGSI je sais plus), ils mettent quand même l'accent sur le fait que le bachotage à outrance est négatif et que globalement, il y a un gros manque de maîtrise théorique sur de nombreux sujets, notamment en sécurité de la part des candidats. Donc après, il ne faut pas trop se formaliser sur le niveau d'étude de ceux qui le passent, c'est plutôt leur expérience pro qui font la différence je pense.

Au moins, maintenant tu sais à peu près ce que tu vaux dans l'IT et ce que tu dois améliorer pour viser des postes d'admin.

Le sujet est un peu confus, je pense que c'est en partie fait exprès. On te demande en fait un peu de répondre à un appel d'offre. Il est plus facile pour des personnes avec de l'expérience dans la gestion et la conception de SI de se démarquer. Et donc plus facile de les repérer pour le jury. Notamment, tout le sujet parle des processus métiers. Quelqu'un avec des bonnes bases en méthodologie de projet et en conception SI fera en premier lieu des diagrammes qui représenteront les processus métiers avant de les traduire par des architectures techniques.

-
Edité par KoaTao 18 juillet 2023 à 12:36:05