La Sécurité Des Réseaux Avec Cisco PDF

Cisco
La scurit des rseaux
VincentREMAZEILLES
Rsum
Ce livre sur la scurit des rseaux avec CISCO sadresse aux administrateurs rseaux dsireux damliorer la scurit de leur domaine et
aussi aux tudiants dj familiers de la gamme du constructeur.
Des clbres Access-lists aux dernires innovations en matire danalyse protocolaire et de VPN SSL, en passant par la scurit des rseaux
sans fil, ce livre propose un tour dhorizon de ce quil est possible dentreprendre pour protger efficacement son rseau en exploitant au mieux
les possibilits offertes par les quipements couramment utiliss par les entreprises.
Le thme de la scurit est dans un premier temps abord en oprant une correspondance avec les couches du modle OSI avant dtre
examin dans le dtail avec les configurations propres aux points daccs Wi-Fi, aux routeurs, aux commutateurs Ethernet et aux pare-feux.
Les problmatiques de scurit autour de la tlphonie sur IP font quant elles lobjet dun chapitre dans lequel sont galement dveloppes les
mesures permettant de prserver la confidentialit des communications grce la cryptographie.
Le livre se veut didactique et prsente les rflexions pralables la construction dune infrastructure scurise ainsi que les configurations des
quipements, illustres avec les innombrables possibilits de la ligne de commande Cisco.
L'auteur
Vincent Remazeilles est Ingnieur Rseau et Scurit, titulaire d'un DESS Scurit des SI. Il effectue diffrentes missions en tant que
consultant Senior dans le domaine de la scurit auprs de grands comptes industriels. A travers ce livre, le lecteur bnficie de toute son
expertise et exprience dans le domaine de la scurit et des quipements Cisco
Ce livre numrique a t conu et est diffus dans le respect des droits dauteur. Toutes les marques cites ont t dposes par leur diteur respectif. La loi du 11 Mars
1957 nautorisant aux termes des alinas 2 et 3 de larticle 41, dune part, que les copies ou reproductions strictement rserves lusage priv du copiste et non destines
une utilisation collective, et, dautre part, que les analyses et les courtes citations dans un but dexemple et dillustration, toute reprsentation ou reproduction intgrale,
ou partielle, faite sans le consentement de lauteur ou de ses ayants droit ou ayant cause, est illicite (alina 1er de larticle 40). Cette reprsentation ou reproduction, par
quelque procd que ce soit, constituerait donc une contrefaon sanctionne par les articles 425 et suivants du Code Pnal. Copyright Editions ENI
ENI Editions - All rigths reserved - Moha Anisa - 1-

Introduction
CelivreestdestinunpublicquipossdequelquesnotionssurlaconfigurationdesquipementsdelagammeCisco
enlignedecommandeainsiquenrseauxIP.Lobjectifdecelivreestdedonneraulecteurunevuesurlespossibilits
offertesparCiscosurlesrouteurs,lescommutateursEthernetetlesparefeulespluscommunmentrencontrsdans
lesentreprises.Ilestquestionicidetirerlemeilleurpartidecesquipementsdansledomainedelascuritavecdes
manipulationsaismentcomprhensibles.
NousaborderonslascuritdesrseauxdedonnesennousrfrantauxcouchesdumodleOSI.Cetteapprochea
lavantagedefaciliterlacomprhensiondesdiversestechniquesmisesen uvreetaidegrandementlorsquilsagitde
sepencherauchevetdunrseauenpanne.
Lesextraitsdeconfigurationetlesexemplesquiillustrentleschapitresdecelivresontengrandepartieissusdela
ligne de commande (CLI (Command Line Interface)), ce choix est motiv par une grande rgularit de celleci
contrairementauxinterfacesgraphiquesquisontenperptuellevolution.
Audel des couches du modle OSI, nous avons fait le choix de mettre en avant les parefeu et la scurit de la
tlphoniesurIPenleurconsacrantdeuxchapitres.

Structuredulivre
Lechapitre"Lascuritdescouchesuneetdeux"estconsacrauxdeuxpremirescouchesdumodleOSI.Cesdeux
couches basses trs proches du mdia physique sont la porte dentre dans le systme dexploitation des
quipementsoudeshtesdunrseau.Nousaborderonsdanscechapitrelaprotectiondelacouchephysiquecontre
les tentatives daccs. Quant la couche 2, elle est la cible de nombreuses attaques visant sintroduire
frauduleusementsurlesrseauxenusurpantlidentitdunhtequisytrouvedj.Nousaborderonsgalementle
sujetdelauthentificationpralabletouteconnexionsurlerseau.
Lechapitre"Lascuritdelacoucherseau"estddiauxcouchesrseauettransportdumodleOSI.Cestlunivers
duprotocoleTCP/IPquiestlemodedecommunicationdurseauInternetetdesrseauxdentreprise.Lesrseaux,si
aucune mesure nest prise, communiquent naturellement entre eux et les mesures de protection abordes dans ce
chapitre introduisent les listes de filtrage daccs destines limiter les communications lorsque le besoin sen fait
sentir.LescommunicationsquiutilisentTCP/IPncessitentparfoisuneprotectioncontrelescoutesafindeprserver
unniveaulevdeconfidentialit.Nousprsenteronsdanscechapitreunemaniredescuriserlescommunications
intersitesavecIPSec.
Le chapitre "La scurit des rseaux sans fil" aborde les problmatiques lies au rseaux sans fil communment
dsignsparlenomdeWiFi. Ces rseaux utilisent les ondes radio pour interconnecter les clients au rseau filaire.
ToutcommepourTCP/IP,siriennestentrepris,lespointsdaccssansfilspeuventtoutfaitoffrirleursservicesau
premiervenucequinestpassouhaitable.Nousaborderonslesmthodesdaccsscurisesetlesmesuressimples
quipermettentdelimiterlaportedesondesradiotoutenoffrantunservicedequalit.
Lechapitre"Notionsdarchitecturerseauscurise"traitedesnotionsdarchitecturerseautoujourssousleprisme
delascurit.Ciscorecommandeunmodlerseaudcoupenzonesquifavoriselapplicationderglesdescurit
enfonctiondelaprotectionncessiteparlazone.Cedcoupagecorrespondaussiceluideszonesfonctionnellesde
lentreprisecommenousleverrons.Nousaborderonslesrelationsentrecesdiverseszonesetlesensparticulierdes
fluxentreelles.Larchitecturerevtdeparlestudesquellegnreunegrandeimportancepourlaconsistancedun
rseau.
Le chapitre "La protection des quipements" introduit labsolue ncessit de porter une grande attention la
protection des quipements qui constituent lossature du rseau. Sans une protection adquate des quipements
ceuxci sont exposs aux attaques mais aussi aux erreurs de manipulation. La protection des journaux est aussi
voque.
Lechapitre"ScuritdelatlphoniesurIP"estconsacrlascuritdelatlphoniesurIPquifaitpartiedenotre
quotidienprofessionneletpersonnel.Nousconstateronsquecettetechnologieentantquapplicationenrseauhrite
des problmes de scurit de toutes les couches du modle OSI. La tlphonie sur IP pour la protection des
conversationsetdelasignalisationfaitlargementappellacryptographie.Lesfonctionsdefiltragesurlasignalisation
permettentdentraverlestentativesdefraudes.
Le chapitre "Firewalls" est entirement consacr aux parefeu et tout particulirement au modle phare de Cisco, le
modleASA.CechapitrecomportedesdescriptionsdesfonctionstellesqueleslistesdescuritsouACL,lacration
deszonesdmilitarises(ouDMZ)etlaTraductiondAdressesRseau.UnepartieestconsacrelatlphoniesurIP
ainsiquauxVPNSSLquiconstituentunmoyendaccsscurispourlesutilisateursnomades.

Lapolitiquedescuritrseau
Cestuneexpression,unconceptparfoisunpeufloudontonentendparlerlorsquildevientncessairedesorganiser.
Questcequunepolitiquedescurit?Enavonsnousbesoin?Larponseestoui.
Une politique de scurit est un document dans lequel se trouvent (sil est bien labor) toutes les rponses aux
questions quun ingnieur en charge dune tude se pose lorsquil aborde le volet scurit dun projet informatique
dontlarussitedpendentreautresdelapriseencomptedsledbutdescontraintesdescurit.(Nousparlons
aussi dexigences). Une politique de scurit est donc un document confidentiel (largement diffus toutefois) qui en
faisantabstractiondescontingencesmatriellesettechniquesfournitunecollectiondedirectivesdescuritclasses
parthmes.Lamiseenpratiquedelapolitiquedescuritestlapplicationdesdirectivesauxthmescouvertsparle
projet.
Lathmatiquerseaudanslapolitiquedescuritenglobelesrecommandationspourlexploitationdesliensrseaux
etdesquipements.Lesdomainesabordsvoluentaveclesintrtsconomiquesdelentrepriseetconcernententre
autres:
lagestiondesaccsaurseauetauxressources(enrelationaveclagestiondesidentitsetdesdroits)
lacryptographie
lascuritdesquipementsetdesconfigurations
lascuritdessystmesterminaux.
Cependant,ilseraitillusoireetcoteuxdevouloirtoutprixprotgerlentiretduneinfrastructureinformatiquela
manire dun Fort Knox. Cest pourquoi, la politique de scurit sapplique des degrs divers aux rseaux et aux
quipementsenfonctionduniveaudeconfidentialitentrelespopulationsetlesressources.
La conception de la politique de scurit dbute donc avec une classification du niveau de confidentialit des
ressourcesetdhabilitationdespopulations.Enfonctiondecetteclassification,desrglessontmisesetcritesdans
ledocument.Cetravailestfastidieuxmaisnerevtpasuncaractreobligatoire.Ilestenvisageabledetoutclassifier
unniveauuniqueetainsidesimplifierlapolitiquedescurit.
Leschmasuivantillustrecettenotion.
Considronsunexemplesimple :
Une population reoit une habilitation de niveau confidentiel. Un ensemble de documents est galement class
confidentiel.
Lapolitiquedescuritindique :

laccsdesdocumentsclasssconfidentielnestautorisquauxpersonnelsdisposantdunehabilitationce
niveauouunniveausuprieur
laduredutilisationdesdocumentsclasssdetypeconfidentielestenregistre
lesdocumentsclasssconfidentielsontuniquementaccessiblesenlectureseule
lesdocumentsclasssconfidentielsontconsultablesdistanceuniquementautraversduncanalchiffrsurles
rseauxdetypeLANouWAN.
Cet exemple illustre la relation entre une population, une ressource, un niveau de confidentialit et la politique de
scurit. Cette approche est primordiale dans la mesure o les rseaux dentreprise ne sont plus limits leurs
frontirestraditionnellesmaisstendent vers les rseaux de leurs partenaires tout en recevant les connexions des
employsendplacementetcourammentdsignscomme"nomades".
Ces rgles sont audessus de toute contingence technique. Une obligation de chiffrer les communications sur une
liaisonnindiquepasobligatoirementqueltypedechiffrementserautilisdanslamesureolestechniquesvoluent
en permanence. Malgr tout, il est envisageable de le prciser condition de veiller la mise jour priodique du
document.
Compltonslexempleprcdent:
...autraversduncanalchiffrsurlesrseauxdetypeLANouWAN.ChiffrementenAES256surlesquipementsdu
rseauavecauthentificationparcertificats.Ilestgalementpossible,encomplmentdecetteprcision,quelamiseen
uvre du chiffrement relve dune autre documentation dfinissant les standards en vigueur pour le dploiement.
Enfin,ladocumentationtechniqueprciselamaniredontleprotocoleestconfigursurlesquipementsdurseau.
La rdaction dune politique de scurit est un travail sur mesure dont le document final est applicable toutes les
ressourcesettouteslespopulationsdelentreprise.Cedocumentestobligatoirementvalidauplushautniveaude
lahirarchie.Ilestimportantdefairevoluerlapolitiquedescuritenfonctiondesliensquinemanquentpasdese
tisser avec les partenaires et les clients. Une politique qui nvolue pas perd tout son sens et devient peu peu
inapplicable.LalittratureanglosaxonnereprendlinfinileconceptdudocteurDEMING Plan,Do,Check,Act cequi
dansnotrelanguesetraduitparplanifier,faire,vrifier,corriger.Cecisappliquetoutfaitlapolitiquedescuritet
constitueunvritablecycledvolutionpermanente.
La rdaction de la politique de scurit nen est pas pour autant une affaire de spcialistes extrieurs. Dans
lentreprise,ilestrecommanddecrerungroupedetravailautourdelardactiondecedocument.
- 2- ENI Editions - All rigths reserved - Moha Anisa

Terminologie
Nous allons brivement voquer les quelques motscls qui sont largement repris dans la littrature informatique
lorsquelascuritestaborde.
Une vulnrabilit est une faiblesse le plus souvent cache touchant une infrastructure informatique. Ce terme est
frquemmentassociauxlogicielsmaisilregroupeplusgnralementtoutefaiblessequellequensoitlanature.Une
erreurdeconfigurationdunquipementrseauconstitueunevulnrabilittoutcommeunmotdepassevideoutrivial.
Lexpressionfailledescuritestgalementemploye.Lesmoyensetlesmthodesvisantliminerlesvulnrabilits
sontfacilesmettreenpratiqueetrequirent :
deseteniraucourantdesvulnrabilitsauprsduconstructeur
dopreruneveilletechnologiquepartirdesitesInternetddislascuritinformatique
detestersurunenvironnementdevalidationlescorrectifspublis
detesteruneprocdurederetourenarrire
dinstallerlecorrectif
dobserverlecomportementdelinfrastructuredeproduction.
Un risque est la probabilit quun problme survienne lorsquune vulnrabilit est expose une population
malveillantequitenteradelexploiter.Ilexistedautresdfinitionsselonlanormelaquelleonserfre.Lobjectifde
lascuritinformatiqueestdediminuerlepluspossiblelerisquepartouslesmoyensdisponibles.
Exploiter une vulnrabilit revient utiliser cette faiblesse pour mettre mal le dispositif vis par lattaque.
Concrtement,unexploitestunpetitprogrammequiestlancendirectiondeladresserseaudusystmevis.Les
quipements et les architectures informatiques comportent parfois de multiples vulnrabilits qui ne sont jamais
rvles publiquement et ne sont donc jamais corriges, en revanche les individus qui les ont dcouvertes les
exploitentleurguisepourleurproprecompte.
Mettre jour un systme ou un quipement rseau consiste appliquer les correctifs publis par le constructeur et
faisantsuitelarvlationdunevulnrabilit.Enlamatire,laprudencesimpose et avec elle toutes les sries de
tests ncessaires afin de vrifier le bon fonctionnement de lensemble concern une fois que les correctifs ont t
appliqus. Quoi quil en soit, un suivi rgulier des publications, des correctifs et des retours dexprience sont
fortementrecommands.
Lapolitiquedescuritestlaboreenfonctiondunevariableconnuesouslenomdenvironnement.Lenvironnement
dansledomainedelascuritinformatiqueestladfinitiondeluniversdanslequelvolueunsystmedinformation.
Lenvironnement,dansledomainedelascurittablitunecartedesmenacespotentiellesquiplanentsurunsystme
dinformation. Il sagit au final de dterminer la porte de la politique de scurit en fonction des menaces dont
lentreprisesouhaiteseprmunir.Parexemple,uneentreprisedcidedinstaurerdesmesuresdeprotectioncontreles
menaceslespluscourantes(etdyconsacreruncertainbudget)maisdcidedenepastraiterlesmenacesmanant
dagences gouvernementales. La variable denvironnement est donc utilise pour rgler le degr de protection de la
politiquedescuritfaceunecatgoriedemenaces.

Cycledelapolitiquedescurit
Commenouslavonsvoqu,lapolitiquedescuritsuituncycleconnulenomdecycledeDEMING.Parcouronsenles
phases.
1.Laplanification(Plan...)
La planification commence avec la dcision dorganiser formellement la scurit. Elle consiste en un inventaire
exhaustifdesressourcesprotgeretlardactiondedirectivespourchaquedomaineconcern.lafindecette
phasedeplanification,lapolitiquedescuritserardigeparlegroupedetravailaveclassistanceventuelledun
consultantayantunevueextrieuresurlentrepriseetsonprojet.Unefoiscriteetrelue,elledoitabsolumenttre
valide par la plus haute autorit afin quaucune contestation ne soit possible quant son cadre dapplication.
Ltape suivante est sa publication sous la forme dun document confidentiel mais facilement accessible. Sa
publication va de pair avec une large diffusion auprs des quipes en charge des projets et de lexploitation de
linfrastructure informatique. Il est primordial dinclure les contraintes de scurit ds les premires phases qui
jalonnentledroulementdunprojetafindenepasrisquerdelinterrompresilvenaitprendreunevoiecontraire
lapolitiquedescuritenvigueur.
Lapolitiquedescuritestdclineendomainesfonctionnelsquireprsententlemodledusystmedinformation
delentreprise.Sonorganisationprendlaformedechapitresauseindesquelsfigurentlespointsrespecter.Citons
parexemple,lechapitresurlascuritdessystmesdexploitation,lascuritdesbasesdedonnesetlascurit
des communications qui nous intresse au premier chef. Les divers intervenants lors de la phase de planification
devronttoujoursavoirlespritqueleurtexteserviradebaseauxtravauxdescurisationquinemanquerontpasde
sesuccder.Ainsilaclartetlaprcisiondespropossontdemiselorsdellaborationdelapolitiquedescurit.
2.Lamiseenuvre(Do...)
La mise en uvre de la politique de scurit correspond point pour point ce que nous venons de dcrire
prcdemment.Ladhsiondetousaurespectdesrglesdcritesestlefondementdunebonnepriseencomptede
lascurit.
Lapolitiquedescuritestprincipalementmiseen uvrelorsdespremiresphasesdeprogressiondunprojetquel
quilsoit.Celivresecantonnelascuritdesrseaux,maislechampdapplicationdelapolitiquedescuritest
vaste. La politique de scurit est une rfrence qui doit tre introduite dans chaque activit en relation avec le
systmedinformation. titre dexemple, un projet partant dune feuille blanche ou visant modifier une partie de
larchitecturedoitimprativementserfrerlapolitiquedescurit.Ainsi,lesspcificationstechniquesreprennent
touteslesrfrencesutilesdelapolitiquedescuritafindelesintgrernaturellement.Lexpriencemontrequela
scuritsiellenestpaspriseencomptedslesprmicesdunprojetpeineparlasuitesyintgrer.Cestlaraison
pourlaquelleladiffusiondelapolitiquedescuritdoitviserunlargepublicetilestbonquechaqueresponsablede
secteur(basededonnes,dveloppement,rseaux)matriselapartiequileconcerne.
3.Lesuivi(Check...)
Le suivi de la politique de scurit consiste sassurer que les contraintes imposes par le texte sont prises en
compte par les quipes en charge des projets et celles en charge de lexploitation. Cela implique une prsence
systmatique dun reprsentant ou responsable de la scurit aux runions de suivi et un contrle des processus
dexploitation en vigueur. Les menaces et les techniques voluent perptuellement et une politique de scurit en
aucun cas ne saurait rester fige. Le risque tant quelle ne soit tout simplement plus applique. Cette approche
concernedonclesuividelapplicationdelapolitiquedescurit
Lvolution de la politique est donc prise en compte ds sa dfinition par llaboration dune mthode de rvision
accompagnedunfacteurtemps.Silentreprisesurveillelvolutiondesmatrielsetdestechnologiesquellemeten
uvre, le suivi du processus de mise jour de la politique de scurit en sera grandement facilit. Toutefois, les
menacesetlestechniquesdeprotectionenperptuellevolutioncommandentdetempsautreunevolutiondela
politiquedescuritavantladatedervisionplanifie.Cecidoitmalgrtoutresterexceptionnelcarlapolitiquede
scuritdeparsonmodedlaborationbalayeunlargepaneldemesures.
4.Agir(Act...)
Lorsquelebesoinsenfaitsentiroulorsqueladateplanifiedervisionapproche,ilsagitaprsanalyseetreflexion
demodifierlapolitiquedescuritdanslebutdeladapterauxmenacesquipsentsurlesservicesquellecouvreou
surdenouveauxservices.

Prenons par exemple le cas des VPN SSL que nous aborderons lors du chapitre consacr aux parefeu. Cette
techniquepartentiremritedesevoirconsacrerunchapitredelapolitiquedescuritcarellemeten uvredes
fonctionnalits rparties sur de trop nombreux chapitres pour tre exploitable en ltat. Sur ce point, il semble
raisonnabledanticiperlvolutiondelapolitiquedescuritpournepasavoirgrerenmmetempslesquestions
inhrentesunprojetencoursaveccellesquinemanquentpasdeseposerlorsdunerefontedunteldocument.
Lquipeenchargedusuividelapolitiquedescuritpassedonclamaincelleenchargedesonvolutionetdesa
rvision.Unefoisceprocessustermin,lapolitiquedescuritrviseestremiseenservicepuisdiffuse.

Miseenapplication
Nous allons dans ce livre mettre en pratique la phase de planification du cycle de vie dune politique de scurit au
travers de chapitres qui au dpart suivront les couches qualifies de basses du modle OSI. En la matire, le
raisonnementencoucheestparfaitementadaptcarilpermetundcoupageetunenchanementlogiquedestches
qui conduisent un modle de scurit acceptable et applicable. Audessus de la couche rseau et de la couche
transport nous pntrons dans luniversdesapplicationspourlesquellesnousdisposonsgalementdefonctionsde
scuritavances.
Pourchacunedecestapesnousposerons,pralablementtoutdveloppement,unelistedexigencesdescuritau
regarddelaquellenoustrouveronslessolutionscorrespondantes.Cetteapproche,dslesprmicesdunprojetapour
avantagedefaciliterlexpressionordonnedesbesoinsoulardactiondunappeldoffrecohrent.Enrglegnrale,
lesexigencessontclassespargrandsthmesgnriquesquisontdclinsparlasuiteenexigencesunitaireselles
mmesaccompagnesdunebrvedescriptionetparfoisderfrencesdautresexigences.Cetteclassificationestun
fondementdelapolitiquedescurit.Leschmareprsenteunevueclatedunextraitdesexigencesdescurit
rseau.Chaqueflchedveloppeunsousdomainejusqudvoilerlexigencequistipulelutilisationdunprotocolede
chiffrement.Ilestnoterquaucunproduit(aucunemarque)nesticicit.
Les exigences de scurit ont pour objectif dans les chapitres qui suivent lintroduction des solutions techniques qui
sontproposesparCisco.cetitre,ellesrestentpositionnesunniveaulevquelonpourraitqualifierdegnral,
chacuntantlibreparlasuitedelesdclinerenfonctiondesesproprescontraintes.

Conclusion
Lapolitiquedescuritestunlmentindispensableetpralabletouteentreprise(danslesensdumotprojet).Elle
slaborepartirdunerflexionportantsurlaprotectiondesressourcesetleniveaudaccsdesutilisateursquiest
luimme fonction dun niveau de confiance et de responsabilit. Ce document est le fruit dun travail itratif et doit
suivre,voiretreenavance,surlvolutiondelarchitecture.
La politique de scurit est mise disposition des entits qui travaillent notamment la planification ainsi qu la
ralisationdeprojets.Cesderniresdoiventimprativementsaisirlancessitdelintgrerdslespremiresphases
en drivant ses prconisations sous la forme dexigences destines faciliter la rdaction dappels doffre ou
llaborationdelarchitecturechoisie.

Introduction
Ce chapitre aborde des notions gnrales et fondamentales sur la protection des rseaux de donnes et sur les
couchesditesbassesdumodleOSI.Lescouchessontinterdpendanteslogiquementparleursinterfacescommunes
respectives.
Lacompromissiondunecoucheentraneunrisquelevdecompromissiondescouchessuprieures
Lesnotionsquenousallonsaborderconcernentlacouchephysiqueetsontapplicablesquelquesoitlefabricantdu
matriel utilis. Lobjectif de ce chapitre est de dcrire et de classifier les menaces les plus courantes pour sen
protgergrceauxpossibilitsoffertesparlesquipementsdurseau.

Scuritetcouchephysique
La couche physique permet la transmission du signal lectrique ou optique mis par les interfaces rseau. Cette
transmissionseffectue sur un cble paires torsades, sur fibre optique ou par radio. Les mthodes de codage de
linformationetlescaractristiquestechniquesdechaquemdiasontchoisiesenfonctiondelarchitecturedsire.
Dslespremiresbauchesdunenouvellearchitecturerseauouaucoursdunemigration,lascuritautourdela
couchephysiquedoittreconsidreavecattentioncar,toutcommelaqualitdetransmissiondelinformationrsulte
delaqualitdelacouchephysique,lascuritdelinformationdcouleaussiduniveaudeprotectiondecettecouche.
Lesexemples,hlas,secomptentpardizaines.Lescoutes,lesinterceptions,hormislevoldirectdelinformationla
source,sonttropsouventlaconsquencedunemauvaiseprotectiondelacouchephysique.
Toutefois,lesmesuresdeprotection,toujoursindpendantesduchoixdunconstructeur,sontrelativementsimples
mettre en uvre. Nous citerons entre autres la protection des locaux dans lesquels rsident les quipements
dinterconnexionetlaslectiondemdiasappropris.Enfinuneattentiontouteparticulireseraportesurlaccsau
rseau.

Laprotectiondesaccsaurseau
Lestypesdaccsaurseausontparnaturedpendantdumdiautilis.Quelquesoitcedernier(fibre,cble,radio)il
estprimordialdenlimiterstrictementlaccsauxpersonnelsdmentautoriss.Enlamatire,lesauditsetautrestests
de pntration (et bien entendu les personnes mal intentionnes) dbutent en rgle gnrale leur travail (ou leurs
agissements) en sefforant de connecter leurs quipements sur le rseau cibl par tous les moyens soffrant eux
sans effraction notable. Citons, sans rechercher une quelconque exhaustivit, les petits concentrateurs utiliss pour
prolongerlerseaudanscertainsbureaux,lespointsdaccssansfildployssansenrfrerauxresponsablesde
linfrastructureouencore,lesconnecteursmurauxderrirelesquelsonpeutesprertrouverunsignal.
1.Lecasduconnecteurmural
Ilsagitdelaccslepluslargementdisponible.Ilfutintroduitaveclavnementdesordinateursindividuelsconnects
enrseauaudbutdesannes90.
LaccsaurseauparconnecteurmuraldetypeRJ45(Ethernet)esttoujourslargementrpandu.Lacarterseaude
lordinateurestrelieparuncordonuneprisemurale.Decetteprisepart(danslesol,lefauxplafond,oulemur)un
cble en cuivre paires torsades qui aboutit sur un panneau de raccordement. Ce panneau (baie de brassage)
regroupelesarrivesquicorrespondentauxbureauxdunouplusieurstages.Enfin,lesconnecteursdecepanneau
sontrelisnombrepournombreauxportsdelquipementrseaudontlaconfigurationnousintresse.
2.Lecasdupointdaccssansfil(AccessPointWiFi)
Les accs aux rseaux sans fil se sont considrablement dmocratiss depuis les annes 2000. Lintrt principal
rside dans la possibilit pour un utilisateur de se dplacer librement tout en restant connect au rseau. Ainsi
depuis quelques annes, les accs sans fil soffrent tout un chacun dans divers lieux publics afin daccder au
rseauInternet.
Au sein des rseaux dentreprise, la technologie WiFi offre la possibilit avec une infrastructure unique de se
connecter tout le rseau local pour les personnels autoriss ou uniquement Internet pour les personnes
extrieures.
Linfrastructuresansfilsecomposeprincipalementdepointsdaccsalliantlatechnologieradiocelleplusclassique
delEthernetsurcble.Cettedernireconnexionrelielepointdaccsaurseautraditionnel.Dslintroductiondela
technologie WiFi, les points daccs au rseau ont embarqu des fonctions de scurit visant protger les
informationsetlesaccs.Lacryptographieestlargementutilisepouryparvenir.
3.Lespremiresmesuresdeprotection
Sans pour linstant aborder la configuration proprement dite dun quipement (mais nous y viendrons) quelques
mesuressimposentdellesmmespourcontribuerlamliorationdelascuritdurseau.
Nousavonsbrivementdcritlesmoyensprincipauxquidonnentaccsaurseau.Certainesprcautionsempchent
physiquementlesconnexionsetparmicellesci,laplussimplemettreen uvreconsisteintroduireunecoupure
sur le lien. Dans le cas dun rseau cbl, il suffit simplement de ne pas connecter la prise murale lquipement
rseau. Cette mthode fort simple nest que rarement utilise et nombreux sont les rseaux accessibles partir
dune prise murale partir des endroits les plus anodins. Une autre mthode consiste sur lquipement rseau
fermeradministrativement lesportsquinesontpasrelisunordinateur.Toutcecirequiertunebonneorganisation.
Dansuncascommedanslautre,lesoprateursdurseaucblentouretirentlecblagelademandeenfonction
des mouvements internes des employs. De mme, ils procdent lactivation ou la dsactivation des ports sur
lquipementderaccordement.
Lesaccssansfilsontparnatureplusdifficilesprotgercontrelestentativesphysiquesdeconnexionparlerseau
radio.Ilssontvulnrablesdesattaquessurlesportscblsquisont,rappelonsle,quasidirectementconnectsau
reste du rseau. Les ondes radios quant elles ne connaissent pas les frontires. Une approche de protection
consistepositionnerlespointsdaccssansfilauplusloindeszonespubliques.LeportEthernettantpoursapart
habillement protg afin dinterdire tout accs physique. Cette protection sapparente celle dun distributeur de
billetsdebanqueolcranestvisibleductaccessibleaupublic(lesantennesdanslecasdupointdaccs)alors
quelarservedebillets(leportEthernet)esthorsdatteinte.
Chaqueentreprisedanssonplandescuritestencourageisolerleszonespubliquesdeszonesprivesfaisant
partiedurseauditinterne.LeszonespubliquesmettentdispositiondesvisiteursunaccsInternetfaiblement
contrl grce une borne WiFi au rayonnement rduit. Le passage dune zone lautre ncessite une
authentification.Malgrtout,lesaccsInternetdetype invits (filaireouWiFi)peuventresterdisponiblesdans
deszonestellesquelessallesderunionsdanslesquellesdespersonnestrangreslentreprisesontautorises
pntrer.Danscederniercas,uneisolationlogiqueouphysiqueseramiseen uvreafindegarantirlasparation

entrelerseau invits etlerseaudeproduction.
Pour conclure, citons le cas des locaux dans lesquels se trouvent les quipements rseau. Il va de soi que leur
protectionrequiertuneattentiontouteparticulire.Danscedomaine,ilestfortementrecommanddefaireappel
unprofessionneldelascuritphysiquematrisantlestechniquesdecontrledaccs,deblindage,etdeprotection
contrelesrayonnementslectromagntiques.

Scuritetcoucheliaisondedonnes
Nous abordons prsent la partie pour laquelle nous allons dcrire puis mettre en uvre matriellement les
possibilitsquinoussontoffertesparlesquipementsCisco.
Cestpartirdelacoucheliaisondedonnesquapparatlanotiondadresserseau.Cettecoucheestresponsablede
lacommunicationdentitsparlebiaisdunmdiacommun.Sesfonctionscomprennententreautreslagnrationdes
tramesetladtectionderreurs.ParmilesprotocolesdeniveaudeuxlesplusconnusnoustrouvonsEthernetetPPP.
Comme nous lavons dcrit lors du chapitre prcdent, une politique de scurit est indispensable pour assurer un
dveloppement et un suivi cohrent de la protection des donnes. Cette politique couvre les aspects affrents au
rseau de lentreprise. Il en va de mme lors dun projet rseau dont un volet abordera et prendra en compte la
scurit.Afindeslectionnerdanslecadredunappeldoffreplusieurscandidats,llaborationduncahierdescharges
prcis savre indispensable. Cest sur ce point quintervient lquipe ou le responsable charg de la scurit. Il doit
fournir ses exigences qui transcrites dans le cahier des charges, sont fournies aux quipementiers. Pour chaque
exigence, un degr de priorit est prcis. Enfin, en regard de chaque exigence, lquipementierrenseigneunecase
avecsescommentaires.Voiciunexempledansletableausuivantquenousavonsvolontairementsimplifi,librevous
deltendreenfonctiondevosexigences.
Exigencesdescuritdelquipementrseaupourlacouche2
Exigences Degrsdepriorit Rponses
Limiterlaccsauportuneliste Obligatoire Disponiblesurlesmodles

dadressesMac.
CrationdeVLAN. Obligatoire Disponibleaudeldumodle
Implmentationdelanorme Souhait Indisponibleavant2ans.

802.1X.
CrationdeVLANprivs. Optionnel Indisponible
Cetteprsentationstendraventuellementtouteslesfonctionnalitsdelquipement.Cestdecetypedetableau
que dcoule le cahier de test et dvaluation du matriel dans lequel les exigences obligatoires figureront avec le
rsultatdutestvisantenvrifierlebonfonctionnement.
1.Exigencesetrisquesdescuritpourlacoucheliaisondedonnes
Posons tout dabord nos exigences de scurit sous la forme dun tableau et mettonsles en regard des solutions
techniques que CISCO nous apporte. Nous partons du principe que toutes les exigences revtent un caractre
obligatoire.
Exigences Technique
LimiterlesadressesMacparport. portsecurity
Authentifierlaccsaurseau. 802.1x
LimiterleschangesdansunVLAN. privateVLAN
InterdirelechangementdeVLAN. Configuration
Prserverlintgritdunecommunication. Stickyarp,dynamicarpinspection,
ProtgerlesattaquesdanslesVLAN. dynamicarpinspection
EmpcherlinstallationdeserveursDHCPnon DHCPSnooping
autoriss.

Nouspouvonsextrapolerdecetableaulesattaquesdirigesverslacouche2.Cesont(danslordredutableau) :
lesattaquespar macflooding
lechangementdeVLANou VLANhopping
lesattaques ManInTheMiddle
lesattaquesauseindunVLAN
lesinterruptionsdeservices(parfoisinvolontaires)parintroductiondunserveurDHCPnonofficiel.
2.Descriptionsdesattaquesetprvention
Nousallonsnousattacherpourchaquetypedattaquedonnerunexemplequicorrespondelaralitdunrseau
de production en y associant les risques potentiels. Notons que cette notion de risque peut servir de base la
dfinitiondesexigencesdescurit.
a.Lesattaquesparmacflooding
Un commutateur Ethernet est communment dsign par lappellation de switch. Si un concentrateur Ethernet ou
hubestunquipementsansintelligence(parfoiscomparunemultiprise)leswitchquantluipossdeunetable
CAM (Content Addressable Memory) dans laquelle sont inscrits des couples port adresse MAC. Les ponts
possdaient dj une table de ce type mais en revanche navaient quun nombre de ports trs limits. Voici un
aperudelattaquemacflooding.
Flooding signifie peu de choses prs inondation. Cette attaque bien connue consiste saturer la table CAM du
switchenluienvoyantplusieursmilliersdentres.Leswitch,pourlescouplesquilneconnaitpasrecopieleurtrafic
sur tous ses ports au lieu de ne lenvoyer quaux ports concerns. La description de cette attaque est largement
documente.Toutefois,bienquellesoitsimplemenergrceunpetitoutilnommmacof,leswitchsousattaque
voitsesperformancessedgraderconsidrablementaupointquelesordinateursconnectsontleplusgrandmal
placerleurstramessurlerseau.NousavonsreproduitcetteattaquesurunswitchdumodleCisco2950.Aprs
avoir satur la table CAM avec laide de loutil macof (et avoir arrt ce dernier) nous avons russi capturer du
trafic unicast au sein dun VLAN, cestdire le trafic direct entre deux machines. Cette capture est possible si les
deuxmachinesnesontpasconnuesduswitchaumomentdelasaturation.
VoiciunecapturedcranmontrantmacofenvoyantdestramesdontladresseMACestgnrealatoirement.
Switch# sh mac-address-table count
Mac Entries for Vlan 2:

---------------------------
Dynamic Address Count : 5088
Static Address Count : 0
Total Mac Addresses : 5088

Total Mac Address Space Available: 0
Au bout de quelques secondes, la table CAM du switch est sature comme lindique ici le total des adresses MAC
disponible.
Le switch diffuse sur tous les ports le trafic (un ping) entre deux stations dont il dcouvre les adresses MAC ne
sachantpasoellessontphysiquementlocalises.
Lacommandeportsecurity
Afin de contrer une telle attaque, Cisco propose une commande switchport port-security dont les options
permettent :
delimiterlenombredadressesMACassociesunportduswitch
deragirencasdedpassementdecenombre
defixeruneadresseMACsurunport
deneretenirquelapremireadresseMACquiseprsente.
Configurationetvrification
Dcrivonslesquatretapesncessaireslaconfigurationdecesfonctions :
Lafonctionport-securityestdansunpremiertempsactiveglobalementauniveaudelinterface :
SW0(config)#int fastEthernet 0/2

SW0(config-if)#switchport port-security
Puis,ilfautrenseignerlemodedapprentissagedesadressesMACquiserontassociesauport.cestade,
ladresseestentremanuellementoubienappriseparleswitchparlebiaisdeloptionsticky.
SW0(config-if)#switchport port-sec mac-address 0018.8B

7E.20E9
ou,
SW0(config-if)# switchport port-security mac-address sticky
Il faut par la suite indiquer au switch le nombre maximal dadresses quil tolrera sur le port (2 dans la
commandecidessous).
SW0(config-if)#switchport port-security maximum 2
Ilfautfinalementindiquerauswitchlafaondontilragiraencasdedpassementdunombredadresses
MACautoris.Troismodessontdisponibles :

rejetdesadressesendpassementsansnotification,modeprotect
rejetdesadressesendpassementavecnotification,moderestrict
fermetureduport,modeshutdown(modepardfaut).
SW0(config-if)#switchport port-security violation shutdown
Voici,quelquesconfigurationscompltesduneinterface :
interface FastEthernet0/2
switchport access vlan 2
switchport mode access
switchport port-security
switchport port-security maximum 3
switchport port-security violation restrict
spanning-tree portfast
switchport port-security
switchport port-security mac-address 0018.abcd.abcd
switchport port-security violation restrict
Danscettedernireconfiguration,surla6 m e ligne,nousobservonsladresseMACapprisedynamiquementgrce
lutilisationdelacommandesticky.
VrifionslecomportementduswitchlorsduneattaqueparsaturationdelatableCAM.Leswitchestconfigurpour
fermerleportencasdedpassementdelavaleurautorise.
*Mar 1 01:15:36 CET: %PM-4-ERR_DISABLE: psecure-violation error

detected on Fa0/2, putting Fa0/2 in err-disable state
SW0#
*Mar 1 01:15:36 CET: %PORT_SECURITY-2-PSECURE_VIOLATION: Security
violation occurred, caused by MAC address 66a7.644e.3976 on port
FastEthernet0/2.
SW0#
*Mar 1 01:15:37 CET: %LINEPROTO-5-UPDOWN: Line protocol on
Interface FastEthernet0/2, changed state to down
SW0#
*Mar 1 01:15:38 CET: %LINK-3-UPDOWN: Interface FastEthernet0/2,
changed state to down
Linterfaceestbelleetbienferme.Pourlaremettreenservicenousutilisonslasquencesuivante :
SW0(config-if)#shut down
SW0(config-if)#no shut down
DanslecasduntlphoneIPsurlequelsetrouveconnectunPC,troisadressesMACsontncessaires
aubonfonctionnementdelensemble.Lacommandeseradoncswitchport port-security maximum 3.
UneadresseMACappriseetinscritedanslaconfigurationcourante(optionsticky)nestpassauvegarde
encasdextinctionduswitch.

Respecterlasquenceshutpuisno shutafinderemettreenservicelinterface.
Lacommandeshutdownpermetdefermer"administrativement"unport.Celaquivautenquelquesorte
unedconnexionvirtuelleducblerseaucarcedernierrestephysiquementconnect.Lacommandeno

shutdownpermetdouvrirleport.
Commetoujours,lescommandesshowpermettentdevrifierlersultatduparamtrage.
LescommandeschezCiscopossdentpourlaplupartdentreellesuneformeabrge.Lacommandeshow
sersumeparlecondenssh.
SW0#sh port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation
Security Action
(Count) (Count) (Count)
------------------------------------------------------------------
-
Fa0/2 3 1 0
Protect
------------------------------------------------------------------
-
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 1024
b.Lesaccsillicitesaurseauetleprotocole802.1X
La scurit dun rseau dbute sa porte dentre. Nous avons dcrit une mthode simple afin dempcher une
connexionaurseauquiconsistedconnecterlecblagedinfrastructure.Cettefaondeprocderesttoutefois
trs contraignante. Heureusement les switchs (et les routeurs) Cisco possdent une commande qui permet
ladministrateur de fermer distance un port daccs.Ilsagitdelacommande shutdown.Cettepratiquenestpas
adaptepourunrseaucomprenantplusieurscentainesouplusieursmilliersdutilisateurs.Uneautremthodeest
ncessairepourdchargerlesquipesdadministrationdunetchesirptitive.
Descriptionetfonctionnement
802.1x est un standard qui dfinit un mcanisme dauthentification pour laccs au rseau. 802.1x peut tre
comparauprotocolePPPlargementdiffuslpoque(passilointaine)olaccsInternetncessitaitlutilisation
dunmodem.LeprotocolePPPsappuyaitsurunmcanismeembarquchargdelauthentificationpourlequeldeux
sousprotocolestaientpropossauchoix :PAPetCHAP.Schmatiquement,nouspourrionscrire :accsInternet
=modem+PPP+(PAPouCHAP)+TCP/IP.
802.1X sil est utilis sur un quipement tel quun switch oblige lutilisateur connectant son ordinateur au rseau
(filaireousansfil)sauthentifieravantdentamertouteactivit.lissueduprocessusdauthentification(etencas
desuccs)leclientreoitunprofilrseau(TCP/IPetVLAN)ainsiquunassortimentderglesdescurit.
802.1X sappuie sur EAP (Extensible Authentication Protocol). EAP est un moyen de transporter un protocole
dauthentification. Cest pourquoi il existe autant dappellations autour dEAP que de protocoles dauthentification
embarqus.EAPtransportsurunlienEthernetestdnommEAPOLpourEAPOverLan.Citonstitredexemple :
LEAP(protocolepropritaireCisco)
EAPMD5(quitransportedesmessages hachs parMD5)
EAPTLS(authentificationbasesurlchangedecertificats)
PEAP(quitransporteuneauthentificationMicrosoftCHAPVersion2)
EAPFAST(proposparCISCOpourremplacerLEAP).
Nousallonsdtaillerlefonctionnementde802.1XaveclutilisationdePEAPdanslecadreduneconnexionEthernet.
PEAPestpropossurlessystmesdexploitationMicrosoftXPetVista.
802.1Xfaitintervenir3entits :
leclient(ousupplicantenterminologieanglaise)esttypiquementunPC
leswitch(ouauthenticator)

leserveurdauthentification(ouauthenticationserver)quiestunserveurRADIUS.
Les messages EAP transportent les changes dauthentification entre le client et le serveur dauthentification. Le
switchnefaitquelesrelayer,toutefoisdepartetdautreduswitch,lesmessagesEAPnesontpastransportsde
lammefaon.
Entreleclientetleswitch,EAPestdirectementdanslachargeutiledestramesEthernet.
EntreleswitchetleserveurRADIUS,EAPesttransportdanslesmessagesRADIUS.
LeschangesEAPentreleclientetleserveurRADIUSpassentpardeuxphases :
UnesriedchangescomportantlidentitduclientetlesparamtresdemiseenplaceduntunnelTLS.
LtablissementdutunnelTLSdanslequeltransiteraleprotocoledauthentificationMSCHAPV2.
lissue de ces changes et si lauthentification est correcte, le serveur RADIUS ordonne au switch de connecter
pleinement le client au rseau. Pour terminer, le client et le switch reoivent ventuellement des paramtres en
provenance du serveur RADIUS comme un numro de VLAN, une adresse IP ou encore une liste de filtrage ACL
(AccessControlList).
Silauthentificationnaboutitpas,leclientvoitsademandedeconnexionrejete.Ilestventuellementdirigvers
unVLANdattentelaconnectivitlimite.Tantqueleclientnestpasauthentifi,seuleslestramesEAPtransitent
entreleclientetleswitchlexclusiondetoutautreprotocolesuprieurtelqueTCP/IP.
Variantededploiement
Nousutiliseronsunclient802.1XetlimplmentationduprotocoleRADIUSfournisparMicrosoft.CeserviceRADIUS
estgalementdisponibleavecunserveurACSdechezCiscoousurunserveurLinux(FreeRADIUS).Denombreuses
implmentationsdeRADIUSsontdisponiblesparailleurs.
Nous ne dcrirons pas dans le dtail linstallation des composants de la partie Microsoft. Nous prsenterons une
liste des fonctions activer. Linstallation dun serveur RADIUS afin dauthentifier des utilisateurs avec 802.1X
requiert :
uneinstallationfonctionnelledeMicrosoftWindows2000ou2003Serverentantquecontrleurdedomaine
ActiveDirectory(ycomprislesservicesDNS)
lacrationdesutilisateursavecautorisationdaccsdistant
leregroupementdesutilisateursdansdesgroupesglobauxquiserontutilissparlespolitiquesdaccs
leservicedecertificatsenayantprissoindegnreruncertificatautosignpourleserveur
leservicedauthentificationInternetquiseraenregistrdanslActiveDirectory.
Leswitchfournissantleservice802.1Xseradclarentantqueclient.
Uneouplusieurspolitiquesdaccsenfonction :
desadressesIPdespointsdaccs(NAS)
dugroupedutilisateurauthentifier
desattributsRADIUSdfinissantleVLANdanslequeldirigerlutilisateurunefoisauthentifi :
TunnelType[64]=VLAN
TunnelMediumType[65]=802
TunnelPrivateGroupId[81]=NomduVLAN

LecertificatprcdemmentmisseradclardanslespropritsEAP(propritsdauthentification
duprofildelapolitique).
Surlespostesdetravail :
activation de lauthentification dans les proprits de la connexion rseau (pour Vista dpend du
serviceConfigurationautomatiquederseaucblquiestdsactivpardfaut)
paramtragedePEAP(enchoisissantounondevrifierlecertificatduserveurRADIUS).
Voiciprsentlaconfigurationduswitch2950 :
SW0#sh run
Building configuration...
!
aaa new-model
!
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa accounting dot1x default start-stop group radius
dot1x system-auth-control
dot1x guest-vlan supplicant
!
!
dot1x port-control auto
!
radius-server host 10.xxx.xxx.42 key 7 030752180500
Dcrivonscetteconfiguration:
La commande aaa new-model active les fonctions dauthentification, dautorisation et de comptabilit du

switch. Les trois commandes suivantes dfinissent les services du serveur RADIUS (dclar plus bas) qui
auralachargedauthentifierlesutilisateurs,deleuraffecterventuellementunVLANdaccueiletdegarder
unetracedeleurduredeconnexion.
Lacommandeglobaledot1x system-auth-controlactive802.1Xpourtoutleswitch.
Lacommandeglobaledot1x guest-vlan supplicantdirigelesclientsquinesupportentpas802.1Xoudont

lauthentificationachouversunVLANprvuceteffet.
Lacommande(enmodeinterface)dot1x port-control autoactive802.1xsurlinterfaceetdemandeauport

de suivre les instructions du protocole lui ordonnant de souvrir (en cas de succs) ou de ne pas donner
accsaurseau.
La commanderadius-server dclare le serveur RADIUS qui fournit les services demands ainsi quune cl
dauthentification.
c.ScuritetVLANs
Surunswitch,unVLANestungroupedeports.Lesmachinesconnectescesportspeuventcommuniquerentre
elles librement. En revanche, toute communication est impossible avec un port tranger au VLAN. On imagine
aisment deux rseaux cbls isols lun de lautre et qui de fait ne communiquent pas. Rpartis sur un rseau
Ethernetcommut,lesVLANoffrentparexempleunesolutionpratiquepourisolerlesunesdesautresdessocits
partageant une infrastructure commune. Aprs avoir t largement promue et recommande, cette technique est
maintenant remplace par le dploiement de rseaux routs au plus prs de lutilisateurfinal.Toutefois,lesVLAN
nontpastotalementdisparus.Onlesrencontretoujourssurlesquipementsdextrmit,lolesutilisateurs(ou
lesserveurs)sontphysiquementconnects.
DenouvellesexigencesdescuritdcoulentdelutilisationdesVLAN.Eneffet,ilestindispensabledegarantirque

deuxpopulationscensestreisoleslunedelautrelesonteffectivement.
ScuritlintrieurdunVLAN(VLANACL,PrivateVLAN,DynamicArpinspection)
Les attaques virales qui ont branl les rseaux dentreprises ces dernires annes ont prouv la ncessit de
possder un niveau disolation supplmentaire au sein des VLAN. Les vers ayant caus le plus de dgts
embarquaient un dispositif permettant lexpansion rapide de lattaque aux machines les plus proches. Ainsi, les
rseauxdirectementconnectsunefoisconnusparlevers,furentinondsdemessagesjusquleffondrement.
lintrieurdunVLANdutilisateurs,lapolitiquedescuritimposeparfoisuneisolationdespostesdetravailentre
euxafinquaucunedonnenesoitpartagedirectement.UneexigenceidentiqueestenvisageabledansunVLANo
setrouventdesserveurs.
Les communications directes entre les membres dun mme VLAN si elles sont autorises doivent toutefois tre
protges contre toute tentative dintrusion visant lusurpation didentit ou de donnes, cest pourquoi des
contrlesavancssurlacoucheliaisondedonnesviennentrenforcerceuxquenousavonsprcdemmentdcrits.
LesVLANACL
Les VLAN ACL (pour VLAN Access Control Lists) sapparentent aux ACL de niveau trois cestdire aux ACL qui
sappliquent sur les interfaces routes. Mais comme leur nom lindique, elles sapposent dans des VLAN ou plus
exactementtouslespaquetsquiyentrent.IlestainsipossibledelimiterletraficauseinmmedunVLAN.
Les VLAN ACL (ou VACL) sont dfinies dans la configuration par une suite de squences numrotes. Chaque
squencecomprenduneidentificationdutrafictraiteretuneactionluiadministrer,letoutestensuiteappliqu
auVLANprotger.
Parmilesactionsfigureauctdesoptionsdropetforwardloptioncapture.Ellepermetdecapturerletraficetdele
copierversunportsurlequelunesondededtectiondintrusionestconnecte.
Lestapespourlamiseen uvredesVACLsont :
La programmation dune ou plusieurs ACL classiques qui sont examines lune aprs lautre en squence.
CesACLsontbasessurdesadressesIPouMAC.
LacrationdelaVACLquiappellelACLprcdemmentdfinieetdcideduneaction.
LapplicationdelaVACLauVLANdanslequelonsouhaitefiltrerletrafic.
Les crans qui suivent montrent un cas simple permettant aux stations dun VLAN de sortir vers Internet (via un
proxy)enayantaupralableinterrogunserveurDNS.
Switch#conf t
Switch(config)#
Switch(config)#ip access-list extended juste-internet
Switch(config-ext-nacl)#10 permit udp any host DNS1 eq domain
Switch(config-ext-nacl)#20 permit udp host DNS1 eq domain any
Switch(config-ext-nacl)#30 permit tcp any host PROXY eq 8080
Switch(config-ext-nacl)#35 permit tcp host PROXY eq 8080 any
Switch(config-ext-nacl)#end
Switch#
Labrviation conf t condense la commande configuration Terminal qui donne accs au mode de
configurationdelquipementviauneconsoleouunterminal.
La commandeend permet de sortir du mode de configuration (et de tous ces sousmodes) pour revenir
directementlinvitedecommande(enanglais"prompt").
LACLdetypetenduenommejusteinternetcomporte6squencespermettantautraficissuduVLANdesortir(et
derevenir)pourlactivitDNS(domain)etWEBsurleportTCP8080.DeuxserveursDNSetunserveurproxyHTTP
sontdclars.
Switch#conf t
Switch(config)#vlan access-map limitation 10
Switch(config-access-map)#match ip address juste-internet

Switch(config-access-map)#action forward
Switch(config-access-map)#end
Switch#
Ici,laVACLestcre.Ellesenommelimitationetportelenumrodesquence10.Elleappelle(pourlasquence
10) lACL justeinternet prcdemment cre et permet au trafic autoris par lACL de quitter le VLAN (action
forward).
Switch# conf t
Switch(config)# vlan filter limitation vlan-list 2
Switch(config)#^Z
Switch#
Pourterminer,laVACLlimitationestappliqueauVLANfiltrer,icileVLAN2.
Switch#sh ip access-lists
Extended IP access list juste-internet
10 permit udp any host DNS1 eq domain
15 permit udp any host DNS2 eq domain
20 permit udp host DNS1 eq domain any
25 permit udp host DNS2 eq domain any
30 permit tcp any host PROXY eq 8080
35 permit tcp host PROXY eq 8080 any
Switch#sh vlan filter

VLAN Map limitation is filtering VLANs:
2
Switch#sh vlan access-map

Vlan access-map "limitation" 10
Match clauses:
ip address: juste-internet
Action:
forward
Lescommandesshownousfournissentdesinformationsquipermettentdevrifierlaconfiguration.Lescommandes
utilessontsh ip access-lists,sh vlan filteretsh vlan access-map.Cetexempleestrelativementsimplecaril
prsente une unique squence tant pour lACL que pour laccessmap. Il est tout fait possible de rallonger les
squencespourplusdegranularit.
LesPrivateVLAN
Lobjectif desPrivate VLAN est de fournir une isolation au niveau 2 entre des ports connects au mme VLAN. Un
exempletypiqueauseindunVLANestdinterdireauxstationsdecommuniquerentreellesdirectementetdeneleur
laisser que le routeur par dfaut comme porte de sortie. Avant cette technique, une solution consistait crer
autantdesousrseauxIPquedegroupesisoler.
Il est important de se renseigner afin de dterminer si le switch et la version du logiciel IOS vous permettent de
dployercettefonctionnalit.Siellenestpasdisponible,unecommandealternativeoffresurcertainsmodlesune
fonctionquivalente.LescontraintesetlimitationslemploidesPrivateVLANsontnombreuses.Nousvousinvitons
vousrfrerladocumentationcorrespondantvotremodledeswitchetcelledesonsystmedexploitation
IOSouCATOS.
Entreautrescontraintes :
LeswitchdoittreconfigurmodeVTPtransparent.
UnseulVLANsecondairedetypeisolatedpeuttrerattachauVLANprimaire.

Ici,lesportsde15nepeuventcommuniquerquavecleport6.
Avantdaborderlaconfiguration,unebonnecomprhensiondelaterminologiesimpose.
LatechnologiePrivateVLANfaitappeltroistypesdeVLANettroistypesdeports.OntrouvepourlesVLAN :
LeVLANdetypeprimarysurlequelseregroupentlesVLANsecondaires.
LesVLANsecondairesdetype :
isolated(lesportsmembressontisolsentreeux)
community(seulslesportsdunemmecommunautpeuventcommuniquerentreeux).
Quantauxportslestroistypessont :
promiscuous.CetypedeportappartientauVLANprimaireetpeutcommuniqueravectouslesautrestypes
de ports des VLAN secondaires associs au VLAN primaire. Il est utilis pour acheminer le trafic hors du
VLAN.
isolated.CetypedeportmembredunVLANisolatedestisoldesautresports(danssonVLAN)etnepeut
communiquerquavecleportpromiscuous.
community. Ce type de port membre dunVLAN community ne peut communiquer quavec les ports de sa
communautetleportpromiscuous.
Laconfigurationcomprendplusieurstapes :
LadclarationdesVLANetdeleurtype.CettetapecomprendlacrationdunVLANprimaireetdetousles
VLANsecondaires(isolated,communityoulesdeux).
LassociationdesVLANsecondairesauVLANprimaire.
LassociationdesVLANsecondaireslinterfacedeniveau3duVLANprimary(interfacevlan).
Laconfigurationdesinterfacesdeniveau2puisleurrattachementleurVLANsecondaireetprimaire.
LaconfigurationduportpromiscuousetsonrattachementauVLANprimaryainsiquauxVLANsecondaires.
- 10 - ENI Editions - All rigths reserved - Moha Anisa

Afindillustrercettedescription,nousprsentonsunexempledeconfigurationralissurunswitchCiscoCatalyst
2980G utilisant le systme dexploitation CatOS. Dans les captures dcran qui suivent, nous avons conserv les
rponsesdusystmeetquelquesretoursdelaideenligne.
sw1> (enable) set vtp mode transparent

VTP domain modified
switch> (enable) set vlan 10 pvlan-type primary name VLAN_PRIMAIRE

VTP advertisements transmitting temporarily stopped,
and will resume after the command finishes.
Vlan 10 configuration successful
switch> (enable) set vlan 11 pvlan-type ?

primary Set private vlan as primary vlan
isolated Set private vlan as isolated vlan
community Set private vlan as community vlan
none Set vlan to be a normal vlan
twoway-community Set private vlan as twoway community
vlan
switch> (enable) set vlan 11 pvlan-type isolated name ISOLATED_1
LeswitchesttoutdabordmisenmodeVTPtransparentquilaissepasserlesinformationsdeceprotocole
sansentenircompte.
LeVLANprimaryestcr.Ilportelenumro10etlenom VLAN_PRIMAIRE .
UnVLANsecondairedetypeisolatedestsontourcr.Ilportelenumro11etlenomISOLATED_1

switch> (enable) set vlan 14 pvlan-type community name COMMUNAUTE_1
switch> (enable) set vlan 15 pvlan-type community name COMMUNAUTE_2
QuelquesautresVLANsecondairessontcrs.
switch> (enable) set pvlan 10 11

Successfully set association between 10 and 11.

Primary private vlan already has an isolated vlan associated.
Failed to set association between 10 and 12.

Primary private vlan already has an isolated vlan associated.
Failed to set association between 10 and 13.

Successfully set association between 10 and 14.
ENI Editions - All rigths reserved - Moha Anisa - 11 -

LesVLANsecondairessontassocisauVLANprimary.NotonsquelesVLAN12et13nepeuventpastreassocis
auVLANprimarycarcedernierestdjassociauVLAN11.
switch> (enable) show pvlan

Primary Secondary Secondary-Type Ports
------- --------- ---------------- ------------
10 11 isolated
10 14 community
10 15 community
- 12 isolated
- 13 isolated
Lacommandeshow pvlannousmontrelestroisVLANrattachsauVLANprimary.
switch> (enable) set pvlan 10 11 2/22-32

Successfully set the following ports to Private Vlan 10,11:
2/22-32
switch> (enable) sh pvlan

------- --------- ---------------- ------------
10 11 isolated 2/22-32
QuelquesportssontassocisauVLANisolated(etdoncauVLANprimary).
switch> (enable) set pvlan mapping 10 11 2/17

Successfully set mapping between 10 and 11 on 2/17
CettedernirecommandedeconfigurationdclareleportpromiscuousetlassocieauVLANprimary.
switch> (enable) sh pvlan isolated

------- --------- ---------------- ------------
10 11 isolated 2/22-32
switch> (enable) sh pvlan mapping

Port Primary Secondary
---- ------- ---------
2/17 10 11
Lesdeuxcommandes sh pvlan isolatedetsh pvlan mappingnousmontrentlesportsdansleVLANisolatedetle

portpromiscuous.
LeportpromiscuousestdansnotretypedeconfigurationconnectunrouteurafindetransmettreletraficduVLAN
verslerestedurseau.Avecunswitchfournissantdesservicesdeniveau3,leportpromiscuousauraittaffect
uneinterfaceVLAN.
Afin datteindre cet objectif disolation entre les ports sur un modle de switch ne disposant pas de la fonction
private VLAN, nous avons sur un switch modle 2950 utilis la commande switchport protected en mode de
configurationduneinterface.
SW0#conf t
Enter configuration commands, one per line. End with CNTL/Z.
SW0(config)#int f0/3
SW0(config-if)#switchport protected
SW0(config-if)#end
SW0#
Notezaupassagequelacommandeendpermetdepasserdirectementdumodedeconfigurationaumodeexec.
Il existe, comme souvent, une mthode permettant de contourner lisolement dans le cas o une porte de sortie
existeraitviaunrouteurouuneinterfaceVLAN.UneinterfaceVLANestuneinterfacevirtuellerecevantuneadresse
IP,elleestmembrepartentireduVLANetpermetdeleconnecteraurestedurseau.Toutenrespectantles
principes de cette technologie, que se passetil si nous adressons des paquets IP (destins un autre rseau)
verslinterfaceVLAN?
Le routeur accomplira sa tche et adressera le paquet vers ladresse IP de destination rduisant nant la
protectionprcdemmentmiseenplace.Afindertablirnosexigencesinitiales,ilfautconfigurerlerouteuravecune
ACLdeniveau3pourrejeterletraficenprovenanceetdestinationdurseauIPduprivateVLAN.


EnvoyerverslinterfaceVLANsignifieenvoyerletraficversladressedeniveau2delinterfaceVLAN.
PrvenirleschangementsdeVLAN
Un rseau commut peut hberger de nombreux VLAN. Ils sont locaux (valides sur un seul switch) ou propags
entre plusieurs switch. Dans le premier cas (VLAN local) un PC dans le VLAN 2 du switch A ne pourra pas
communiqueravecunPCmembreduVLAN2surleswitchB.Danslesecondcas,leVLAN2estdisponibledesdeux
cts.
LorsquelesVLANsontpropagsdeswitchenswitch,lepassagedunVLANunautreconstitueuneatteintela
scurit.Examinonsleschmasuivant:
Les trois brins entre les deux switch portent le nom de trunk. Il sagit dun lien logique sur lequel transitent les
paquets marqus comme appartenant aux divers VLAN. Un trunk est physiquement contenu sur un mdia unique
(cble,fibre).
Deuxtypesdattaquesexistent.
Lapremireconsistepourunestationprendrelaplacedunswitchetdeseformeruntrunk.Lastationobtient
ainsisesentresdanslesVLAN.CetteattaqueestconnuesouslenomdattaqueDTP(DynamicTrunkProtocol).

La seconde, plus labore consiste forger un paquet qui sera marqu avec deux identifiants de VLAN en
loccurrenceleVLANnatifdutrunketleVLANdanslequelonsouhaitepntrer.LetraficquitransitedansleVLAN
natif nest pas marqu, le second switch reoit le paquet et ne voit que la marque 2 car la marque 1 nest pas
prservelorsdupassagedansletrunk.IlmetdonccepaquetdansleVLANnumro2.UnsautdeVLANestainsi
ralis. Il faut pour mener bien cette attaque que la machine lorigine de celleci soit connecte sur le VLAN
correspondantauVLANnatifduswitch.DesoutilscommeScapyouYersiniasontidauxpourcegenredattaque.
Lesparadesdisponiblessonttrssimplesmettreen uvre.Ilsuffitdeplanifieravecprcaution :
La configuration des VLAN sur les ports en prenant soin de ne jamais affecter un port le VLAN natif du
trunk.
Laconfigurationdesportsdestinsrecevoirdesmachines.Ilsserontforcsnejamaisdevenirdesports
detypetrunkaveclacommande :switchport mode access.
DenejamaisplacerdeportsdansleVLAN1.
d.LuttercontrelesserveursDHCPindsirables
La dcouverte dun serveur DHCP (Dynamic Host Configuration Protocol) non dclar va de pair avec la soudaine
dconnexiondurseaudeplusieursmachines.UnepremireenqutesurleterrainrvlequelesadressesIPdes
machinesisolesnesontpasissuesdestendueshabituelles.Uneinspectionplusapprofondie(aveclacommande
ipconfig /all)montrequeleserveurDHCPayantdlivrcesadressesdpenddudomainemshome.netlequelest
inconnu.LenqutesepoursuitparuneinspectiondestablesCAMlarechercheduportocetindsirableserveur
se trouve connect. Aprs une remonte de cblage sans doute fastidieuse, lintrus est enfin dmasqu. Il sagit
dunordinateurportablevoyageantrguliremententrelerseaudelentrepriseetledomiciledesonpropritaire
oilestconnectuneligneADSLquilpartageloisiravectoutelamaisonetpourquoipaslevoisinage.
Cecasconstitueundnideserviceinvolontaireetunepersonnemalintentionnerussissantinstallerunserveur
DHCPpiratesurlerseauetdclarantunestationsoussoncontrlecommetantlapasserellepardfautpourra
voirpasserletraficdesstationsleurres.Cetteattaqueparinterpositiondanslefluxporteenanglaislenomde
maninthemiddle.UneautreattaqueconsisteviderlarservedadressesIPduserveurDHCPpardesdemandes
incessantesprovenantduneouplusieursmachinessouslecontrledelapersonnemalintentionne.
Lepremierincidentestassezfrquentsurunrseauquinemetpasen uvrelesprotectionsadquates.Enoutre,
laconnexionsurlerseaudunemachineitinrantesoulvebiendautresquestions.Commetoujours,lessolutions
existent et sont une fois de plus fort simples. Quelques commandes permettent sur les ports rservs aux
utilisateurs de filtrer ce qui de prs ou de loin ressemble des messages provenant dun serveur DHCP. Cette
techniqueportelenomdeDHCPSnooping.
Le principe de base duDHCP Snooping est de considrer que sur un port quelconque aucun message du type de
ceux mis par un serveur DHCP ne doit transiter. En revanche, les messages DHCP normalement mis par une
station sont autoriss transiter. AvecDHCP Snooping, le switch construit une table de correspondance entre les

adresses MAC, les adresses IP dlivres et les ports physiques. Cette table est galement exploite par la
technologieDynamic Arp Inspection dans le cadre de la dtection de tentatives dusurpationdadresses MAC (mac
spoofing).
UnportestconfigurcommetantdutypetrustsilestconnectdirectementouindirectementunserveurDHCP.Il
estdoncprimordialdtudierlachanedesswitchetlespositionsdesports trustafindassurerlaprennitdela
configuration.Signalonsenfinquelesportssontpardfautdetypeuntrust.
Voicilaconfiguration.
SW0#conf t
SW0(config)#ip dhcp snooping

SW0(config)#ip dhcp snooping vlan 2
SW0(config)#
SW0(config)#^Z
LafonctionnalitsactiveunefoisenmodeglobalpuispourchacundesVLANprotger.
SW0#sh ip dhcp snooping

Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
2
Insertion of option 82 is enabled
Interface Trusted Rate limit (pps)
------------------------ ------- ----------------
Unecommandeshowdonneunpremieraperu.
SW0#conf t
SW0(config)#int f0/1
SW0(config-if)#ip dhcp snooping trust
SW0(config-if)#ip dhcp snooping limit rate 100
Leportf0/1estconfigur(trust)afinqueDHCPsnoopinglaissepasserlesmessagesissusdunserveurdirectement
ou indirectement connect, la commande limit rate autorise seulement 100 messages du protocole DHCP par
seconde.Attentionbientudieraupralablelaquantitdemessagesdevanttransitersurlelienafindenepasla
sousvalueretentranerundnideservice.
SW0# sh ip dhcp snooping

Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
2
Insertion of option 82 is enabled
Interface Trusted Rate limit (pps)

------------------------ ------- ----------------
FastEthernet0/1 yes 100
SW0# sh ip dhcp snooping binding

Option 82 on untrusted port is not allowed
MacAddress IpAddress Lease(sec) Type VLAN Interface
---------- --------------- ---------- ------- ---- ----------
x:x:x:19:03 10.xxx.xxx.x60 172724 dynamic 2
FastEthernet0/12
Lacommandesh ip dhcp snoopingmontrequelinterfacef0/1estlaseuleautorisefairetransiterlesmessages

DHCPissusdunserveur.Quantlacommandesh ip dhcp snooping binding,ellemontreleportf0/12etladresse
MACdelastationconnecte.CettetableestexploitepouranalyserlesmessagesDHCPvenir.
e.Luttercontrelesinterceptions
Ici, le protocole ARP (Address Resolution Protocol) est directement mis en cause ou plus exactement son
implmentationsurlessystmesdexploitation.ARPestchargdersoudreetdemaintenirunetabledescouples
adresseIPetadresseMAC.LesmessagesduprotocoleARPcherchentquelleadressedeniveau2correspondune
adresse de niveau 3, le but est de trouver la carte rseau vers laquelle envoyer les trames de niveau 2 qui
contiennentlinformationtransmettre.UndialoguetypiquedeschangesARPestlesuivant :
quelleadresseMACdoisjeenvoyerletraficdestinladresseIP192.168.0.1 ?(cemessageestrecopi
surtouslesportsduswich)
Je suis ladresse IP 192.168.0.1 et mon adresse MAC est la suivante : 00.18.ab.cd.ab.cd (ce message est
transmisdirectement).
LadministrateurdunsystmepeutgalementrenseignermanuellementlatableARP.
C:\Users\RZS>arp -a
Interface: 10.xxx.xxx.x66 --- 0xb

Internet Address Physical Address Type
10.xxx.xxx.x 00-02-b3-95-e4-4e dynamic
10.xxx.xxx.x 00-b0-d0-ec-8d-a4 dynamic
10.xxx.xxx.x 00-0c-29-48-bd-64 dynamic
10.xxx.xxx.x 00-0e-7f-3e-57-83 dynamic
10.xxx.xxx.x 00-0d-02-d1-64-65 dynamic
10.xxx.xxx.x 00-16-d4-ee-df-4d dynamic
10.xxx.xxx.x 00-0f-fe-77-2d-3f dynamic
10.xxx.xxx.x ff-ff-ff-ff-ff-ff static
224.0.0.22 01-00-5e-00-00-16 static
224.0.0.252 01-00-5e-00-00-fc static
VoicilatableARPdunemachineWindows.
UnmessageARPimportantestlemessageARPgratuit(gratuitousARP).Cemessageestmisaudmarrageparun
htequicherchesavoirsiuneadresseIPidentiquelasienneexistedj.Cetterequteestreuepartousles
hteslcoutequimettentjour(aveclinformationreue)leurpropretableARP.LeprotocoleARPnepossdant
pas de mcanisme dauthentification,leshtesdun sousrseau prennent en compte les messages qui leur sont
adresssmmesilsnontriendemand.
LeprincipedesattaquesARPconsisteenvoyerrgulirementverslamachinetrompersoitdesmessagesARP
gratuits,soitdesmessagesrpondantunedemandequina jamais t effectue. Lhtevictime,larception
des messages provenant de la machine de lattaquant met jour sa table ARP sans autre forme de procs.
Lattaquantfaitainsicroiresesvictimesquilestparexemplelapasserellepardfautetsilattaqueaboutit,les
communicationsdesvictimesdestinationdelextrieurdusousrseaupasserontparlui.
Lesswitchsontvulnrablescegenredattaquescarlestablesdtatsnetiennentpascompteducoupleadresse
MACadresseIP,maisducoupleadresseMACport.
IlesttoujourspossibledefixerlescouplesMACIPdemanirestatique,maissurunrseaudegrandedimension
la tche savre quasi impossible. Un dispositif automatique doit donc prendre en charge la vrification de la
prennit des couples adresse MAC adresse IP et surveiller tout changement anormal. Un programme comme
ArpwatchdisponiblesousLinuxsechargedecettetcheetrenseigneunfichieraveclescouplesdcouvertsetles
changementsventuels.Leprogrammedisposeduneoptionpouravertirparcourrielladministrateur.
ethernet vendor: Compaq (HP)

timestamp: Friday, April 18, 2008 11:28:23 +0200

From: arpwatch (Arpwatch TestStation)
To: root
Subject: new station (xx.xxx.xxxxxxx.xxxxx.net) eth0
hostname: xx.xxx.xxxxxxx.xxxxx.net
ip address: 10.yyy.yyy.yyy
interface: eth0
ethernet address: 0:b0:d0:xx:xx:xx
ethernet vendor: Dell Computer Corp.
timestamp: Friday, April 18, 2008 11:28:40 +0200
Voiciunbrefextraitdufichierdanslequelleprogrammecritlescouplesquildcouvreencoutantlesousrseau.
Pourmmoire,lechampethernetvendorestdduitpartirdelapremiremoitideladresseMAC.
Apr 18 15:20:16 TestStation arpwatch: changed ethernet address

10.xxx.xxx.xxx 0:17:42:xx:xx:xx (0:b:5d:xx:xx:xx) eth0
CemessagemontreunchangementdadresseMACpouruneadresseIPprcdemmentconnue.
Installer un dispositif comme Arpwatch pour chaque sousrseau ncessite la mise disposition de machines
ddies.Deplus,lesnombreuxmessagesdoiventtreexploitslarecherchedeschangementssuspects.Enfin,
Arpwatchneprendaucunedcisionlorsquilconstateunchangement.
CiscooffreunesolutiondesurveillancedescouplesadresseMACadresseIPbaptiseDAI(DynamicArpInspection).
Cette fonctionnalit sappuie sur les services que nous avons utilis pour protger les serveurs DHCP. Plus
prcisment,DAIlorsquilestactivrecherchedanslatableduDHCPsnoopinglescouplesvalides.Silenvironnement
rseaunestpasconfigurenDHCP,DAIserfreuneACLARP(filtragesurlesadressesMAC).
LesACLARPsontprioritairessurlatableduDHCPsnooping.SiuneACLestplacedanslaconfigurationetassocie
unVLAN,lerejetimplicite(deny)lafindelACLbloqueraletraficnonautorismmesicedernierestinscritdans
latableduDHCPsnooping.
LestapesdelaconfigurationdeDAIsontsimples.Quelquesprcautionssontprendresilapolitiquedescurit
imposeunelimitationdunombredemessagesARPsuruntempsdonn,silesinterfacessontenportchannelouen
trunk.Undpassementdelalimiteentranantalorsunrejetdutrafic.
ExaminonslaconfigurationdeDAI.
Switch#conf t
Switch(config)#ip dhcp snooping
Switch(config)#ip dhcp snooping vlan 2
Switch(config)#ip arp inspection vlan 2
Nous activons les fonctions DHCP snooping et DAI dans le VLAN2 en prenant bien soin dactiver DHCP snooping
globalement.
Switch(config)#int f0/1
Switch(config-if)#ip arp inspection trust
Switch(config-if)#ip dhcp snooping trust
Switch(config-if)#end
Comme nous lavions fait pour DHCP snooping, nous dclarons une interface derrire laquelle nous savons quun
serveurDHCPliciteestconnectdirectementouindirectement.
00:23:13: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa0/2,

vlan 2.([0018.8b7e.20e9/10.xxx.xxx.212/0000.0000.0000/10.xxx.xxx.153/00:23:12
UTC Mon Apr 12 2008])
Considrons le cas o notre switch (un modle 3550) regroupe des machines non configures avec le protocole
DHCP.LeswitchdtectesurlinterfaceFastEthernet0/2unemachinequinefigurenidanslatableduDHCPsnooping
nidansuneACLARP.Cemessageestaffichgrcelacommandelogging consoleenmodeglobal.Afinqueson
traficpuissetraverserleVLAN,ilfautconfigureruneACLdeniveau2commesuit :
Switch(config)#arp access-list ARP-ACL-TEST

Switch(config-arp-nacl)#?
Extended ARP Access List configuration commands:
default Set a command to its defaults
deny Specify packets to reject
exit Exit ACL configuration mode
no Negate a command or set its defaults

permit Specify packets to forward
Onentredanslemodedeconfigurationetondonneunnomlaccesslist.
Switch(config-arp-nacl)#permit ip host 10.xxx.xxx.212 mac

0018.8Bxx.xxxx 0.0.0
Cette commande (sans le retour la ligne) associe ladresse IP 10.xxx.xxx.212 ladresse MAC 0018.8Bxx.xxxx.
0.0.0estunmasquepourladresseMACquisignifie : cetteadresseprcisment .
Switch(config)#ip arp inspection filter ARP-ACL-TEST vlan 2
Pourterminer,lACLARPACLTESTestappliqueauVLAN(leVLAN2dansnotrecas).
Commenouslavonssoulign,cetteACLestprioritaire.Cestpourquoiilestrecommanddenepasmlangersurun
mmesousrseaudesmachinesutilisantetnutilisantpasleprotocoleDHCP.
SinousconsidronsunrseauentirementconfiguravecDHCP,unestationrequiertuneadresseIPetlareoit
dunserveur.Aupassage,DHCPsnoopingrenseignesatable.Rappelonsqueceserveurestauboutdelachane
desportsdclarstrust.
Switch#sh ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN

Interface
------------------ --------------- ---------- ------------- ----
--------------------
00:0B:5D:xx:xx:xx 10.xxx.xxx.152 172769 dhcp-snooping 2
FastEthernet0/3
Total number of bindings: 1
Lacommandesh ip dhcp snooping bindingmontrelatabledanslaquellesetrouventlescouplessurveills.Encas

dechangement,DAIrejetteletraficissudelamachineincrimine.
f.Rsum
Nous avons au cours de ce chapitre pass en revue les principales mesures de protection des deux premires
couchesdumodleOSI.
Laprotectionphysiquedesquipementsetdelaccsaurseauestunpointcrucialcaraucuneattaquene
sauraittremenesansconnexion.
Leraccordementauportphysiquedunswitchestscuristantauniveauphysiquequelogique.ceteffet,
lestechniques802.1XainsiquelalimitationdesadressesMACparportsontconsidrer.
LesVLANnesontpluslapanace,ilconvientdereleverleurniveaudescuritavecdestechniquescomme
lesPrivateVLAN,lesVLANACL(VACL).Deplus,danslecasduntrunkentredeuxswitch,ilestindispensable
deseprmunircontretoutepossibilitdechangementintempestifdeVLAN.
Les switch offrent une isolation du trafic port port (comparativement un concentrateur) mais sont
vulnrablessilatabledescouplesadressesMACportestsatureoucorrompue.chaqueportcorrespond
unnombreminimaldadressesMACncessaireaubonfonctionnementdudispositifconnect(PCseulouPC
etTlphoneIP).
Les serveurs DHCP installs sans autorisation sur un sousrseau entrainent des dnis de services. La
technologieDHCPsnoopingpermetdeseprmunircontrecegenredaccident.
Lesswitchdansleurconfigurationpardfautneprotgentnullementlessystmesdexploitationcontrela
corruptiondeleursproprescachesARP.Cependant,latechnologieDynamicArpInspectionpalliecettat
defaiteninspectantetensurveillantlescouplesadresseMACadresseIP(aveclaidedeDHCPsnooping).
Pour clore ce chapitre, nous ajoutons une mesure de scurit reprise sur le chapitre traitant des protections
globales dun quipement Cisco. Le protocole CDP (Cisco Discovery Protocol) se situe au niveau deux et prsente
quelquesrisquessilestactiv.Silnestpasncessaireaubonfonctionnementdurseau,ilestfortementconseill
deledsactiver.

Conclusion
Nous venons dexaminer les menaces et les mesures de protection qui permettent de garantir la scurit des deux
premirescouchesdemodleOSI.Lascuritcommenceiciavecunstrictcontrledelaccsauxmdiasquesontles
rseauxcbls(filaireouoptique).Nousaborderonsdansunprochainchapitrecemmethmeappliqucettefoisaux
rseaux sans fils qui utilisent les ondes radiolectriques comme mdia. La seconde couche du modle OSI a la
responsabilitdacheminerlescommunicationsentredeshtespartageantunmmemdia,cetitreelleestlacible
denombreusesattaquesvisantdtournerletraficversdestiersayantaupralableusurpdesadressesphysiques.
Cettecoucheestgalementvictimedattaquesayantpourobjectiflasaturationdesmmoiresrservesaustockage
decesmmesadresses.
Aveclextensiondesrseauxdentreprise,lebesoinsestfaitsentirdisolerlessegmentslesunsdesautresafinde
restreindre les domaines de collision au niveau de la couche 2. Cette exigence est accomplie par les VLAN qui, nous
lavonsvu,negarantissentpasuneisolationsuffisante.Demme,lintrieurdesVLAN,unautreniveaudisolation
estparfoisrequisafinquelesmembresdunsegmentnepuissentpascommuniquerentreeux.
Lascuritdelacouche2estprimordialecarlesmesuresdeprotectionappliquesauxcouchessuprieurespeuvent
dpendretroitementdescouchesinfrieures.
LechapitresuivantnouspropulsedeuxcouchesplushautverslesniveauxtroisetquatredansluniversdeTCP/IP.

Notionssurlacouche3
Au niveau de la couche 3 du modle OSI, les quipements terminaux reoivent en plus de leur adresse physique
(propre la couche 2) une adresse dite logique. Les machines qui sont connectes un rseau et qui doivent
changerdesdonnesnesontpastoutesobligatoirementsurlemmesegmentphysiqueetnontdoncpasunevue
directelesunesdesautreslorsdelamiseen uvredesprotocolesdeniveau2(commeARP)quenousavonsvoqu
au chapitre prcdent. Il est donc ncessaire dutiliser un autre niveau pour communiquer en saffranchissant des
barrires.AinsinaquitInternetquioffredenosjourslapossibilittoutunchacundchangerdesinformationsavec
descorrespondantslointains.Uneanalogietrssouventemployeetfortproposestcelledutlphone.Ilesten
effetaisdaborderlesconceptsdadressageetdesegmentationenlescomparantaveclamaniredontlesnumros
de tlphone sont organiss par pays, par rgion, par central tlphonique urbain et par rpartiteur dans chaque
quartier.Cettechanehirarchiqueestutilisepourlocaliserlescorrespondantsenvuedtablirlacommunication(et
delafacturer).IlenestdemmepourlesadressesIPquipossdentdespropritsutilisesparlesarchitectesafin
de segmenter les rseaux. Une fois physiquement et logiquement spars, les quipements terminaux utilisent les
services offerts par dautres quipements afin de communiquer en saffranchissant de la segmentation. Ces
quipementssontconnussouslenomderouteurs.
Cependant,siriennestfait,lerseauachemineraaveuglmentlesdonnespourvuquuneroute(unchemin)existe
entre tous les participants. Si le but espr est atteint en terme de communication hors des limites physiques du
rseau local, il nen est pas de mme en matire de scurit (aux exigences prs). Du point de vue scuritaire, la
couche3etleprotocoleTCP/IPenparticulieroffrentunegammedeservicesdontlesobjectifspremierssontjustement
defaciliterlescommunicationsdansununiverstrslargeolaconfiancergne.Cemondeparfaitnexistehlaspaset
lesrseauxouvertsauxpartenaireshonnteslesontaussiauxpiratesdetoutpoil.
Avant de poursuivre, et de poser nos exigences de scurit, admettons comme postulat de dpart que les rseaux
sont de deux types : internes et externes. Cette distinction est la consquence directe du manque dadresses
publiquespourlesquipementsIP.

Exigencesdescurit
Comme pour le chapitre prcdent, nous allons exposer les exigences de scurit qui rappelonsle sont des
contraintesrespecterdanslecadredelapolitiquedescurit.Nouspartonscettefoisduprincipequelesexigences
revtentuncaractreobligatoire.Lesexigencessontmisesdirectementencorrespondanceaveclatechnique.
Exigences Technique
DisposerduneredondanceIPsrepourlaroute HSRP
pardfaut.
FiltrerletraficentrerseauxIPentenantcompte ContextBasedaccesscontrolACL
desconnexionsetdeleursens.
SeprotgerdesattaquesTCP. TCPIntercept
Prserverlaconfidentialitetlintgritdes IPSec
changes.
Scuriserlesprotocolesderoutage. Contrlesembarqusdanslesprotocoles
Sparerlesadressesinternesdesadresses AdressesRFC1918
publiquestoutenassurantlacorrespondance
entreelles.

LeprotocoleHSRP
Lobjectif atteindre est de disposer dune suret de fonctionnement renforce sur une passerelle IP dont la
disponibilitestprimordiale.
IlestproprementparlerdlicatdeprterauprotocoleHSRPunefonctiondescuritausensstrict,toutefoissousla
perspectivedelascuritdefonctionnement,leprotocoleHSRPassuredesfonctionsintressantesetembarqueun
contrledescurit.LeprotocoleHSRPoffreainsi,avecauminimumdeuxrouteurs,despossibilitsderecouvrement.
LeprincipedefonctionnementdeHSRPestsimplecomprendre.LesrouteursmembresdunmmegroupeHSRPsont
connects sur un brin physique commun. Ils sont configurs de telle manire quun seul dentre eux rponde
ladresse IP de passerelle par dfaut dclare sur les stations de travail. En cas dindisponibilit du routeur actif, le
routeurpassifprendlerelais.Lorsquelancienrouteuractifredevientdisponible,ilpeutenfonctiondelaconfiguration
reprendresaplacederouteuractifoudemeurerpassif.Lesdeuxrouteurssepartagentdonclagestionduneadresse
IPvirtuelle(VIP)toutengardantleursadressespropres.
Le protocole HSRP est capable de dclencher une bascule de ladresse virtuelle si lune des interfaces externes ne
fonctionneplus.Ceciconcernelinterfacephysique(lineprotocoldown)etnonladisparitionduneroute.Enfin,signalons
que le protocole HSRP offre une fonction dauthentification mutuelle grce lchangedemessageshachsenMD5.
HSRPestdisponibleendeuxversions.Examinonsprsentuneconfigurationtype.
La station de travail possde une adresse de passerelle par dfaut pointant sur ladresse virtuelle gnre par les
routeursR0etR1quiimplmententleprotocoleHSRP.CesdeuxrouteurssontconnectsaurouteurR2quipossde
une interface de bouclage (dite de loopback). Le but est de conserver la connectivit de la station de travail vers
linterfacedebouclage(loopback0)vialundesdeuxrouteursHSRP(R0ouR1)etce,demaniretransparente.Nous
rappelons quune interface de bouclage est une interface purement virtuelle et qui ce titre est toujours prsente
(tantquelerouteurestsoustension).
1 - interface FastEthernet0/0
2 - ip address 10.226.121.79 255.255.255.0
3 - duplex auto
4 - speed auto
5 - standby 0 ip 10.226.121.80
6 - standby 0 preempt
7 - standby 0 authentication md5 key-string 7 00071A150754
8 - standby 0 track FastEthernet0/1 30
VoicilaconfigurationHSRPdurouteurR0.Nousobservonssurlaligne5ladressevirtuellequiseracogreavecR1
(10.226.121.80), le motpreempt sur la ligne 6 indique que R0 sil venait tomber en panne et revenir en service
reprendrait alors la gestion de ladresse virtuelle. Squence dauthentification entre les deux partenaires HSRP qui
viteunrouteurindsirabledentrerdanslegroupedegestiondecetteadressevirtuelle.
1 - interface FastEthernet0/0
2 - ip address 10.226.121.78 255.255.255.0
3 - duplex auto
4 - speed auto
5 - standby 0 ip 10.226.121.79
6 - standby 0 preempt

7 - standby 0 priority 80
8 - standby 0 authentication md5 key-string 7 00071A150754
La configuration de R1 montre sur la ligne 7 le mot priority 80 qui indique que le routeur R1 lors de la premire
ngociationavecR0(quipossdeunepriorityde100pardfaut)neprendrapaslecontrledeladressevirtuelle.
Notonslasimilitudedessquencesdauthentificationenmd5.
HSRPdisposeduneoptionparticulirementintressanteencasdepannenonpasdurouteurenluimmemaisdune
desesinterfaces.ImaginonssurleschmaprcdentunecoupuredulienentreR0etR2.HSRPgrcelacommande
track(voirlaconfigurationdeRO)vadcrmenterlavaleurdepriorit(priority)durouteurR0detellesortequelle
soitinfrieurecelledurouteurR1quiprendraalorssoncomptelagestiondeladressevirtuelle.Dansnotrecas,la
valeur priority du routeur R0 passera de 100 70 grce la dernire ligne de commande de notre configuration.
ObservonslesractionsdesrouteurslorsdunebasculesuitelarrtdelinterfaceentreR0etR2.
Fa0/0 Hello out 10.226.121.78 Standby pri 80 vIP 10.226.121.79

Fa0/0 Hello in 10.226.121.77 Active pri 70 vIP 10.226.121.79
Hello rcvd from lower pri Active router (70/10.226.121.77)

Fa0/0 Nbr 10.226.121.77 no longer active for group 0 (Standby)
Fa0/0 Nbr 10.226.121.77 Was active
Fa0/0 Grp 0 Hello out 10.226.121.78 Active pri 80 vIP
10.226.121.79
SurcettecapturetronquepourplusdelisibilitnousobservonslavaleurprioritydurouteurR0quiestde70aprs
coupuredesoninterfaceversR2.R1(.78)prenddoncgestiondeladressevirtuelle(.79)avecunepriorityde80.
C:\Users\RZS>ping 192.168.2.1 -t
Pinging 192.168.2.1 with 32 bytes of data:
Reply from 192.168.2.1: bytes=32 time=6ms TTL=254

Reply from 10.226.121.77: Destination host unreachable.
LetestquiprcdeconsisteenvoyerdesPINGversladressedebouclagedeR2encoupantlelienentreR0etR2.
LadresseIPvirtuellebasculeentranantlapertedecinqpaquets.
IlesttoutfaitenvisageabledecrerdesgroupesHSRPmultiplesafinderpartirdesgroupementsdemachinessur
plusieurspasserellesvirtuelles.

LesACL
Lobjectifatteindreestdedisposerdunefonctiondefiltrageprenantencomptelhistoriquedesconnexionsencours
afindenepasaccepterdutraficquinauraitpastdemandpartirdunezoneprcisedurseau.
Leslistesdecontrledaccs(enanglaisAccessControlListouACL)semblentavoirtoujoursexistsurlesrouteurs
Cisco et rares sont les configurations o elles napparaissent pas. Les ACL servent principalement au filtrage des
paquetssurlesinterfacesphysiquescependantleurmodededfinitionestemploypourcatgoriserlesrseauxen
vue,entreautre,delesinjecterdansunprotocolederoutageoudelessoumettreunergledequalitdeservice.
LestypesdACLproposssontlessuivants :
lesACLstandardsquifiltrentsurladressesource
les ACL tendues qui filtrent sur ladresse source, ladresse destination ainsi que les ports sources et
destination
lesACLlockandKeysemettentenplaceaprsauthentificationdelutilisateur(entelnet)
lesnamedACLsontdesACLtenduesquireoiventunnomaulieudunnumro
lesACLreflexivesutilisentlesinformationsdesessionpourlaisserentrerlespaquetsderetourcorrespondant
auxpaquetsenvoys
lestimebasedACLsontactivessuruneplagedetempsdonne
les ACL Contextbased access control utilisent les informations de session pour autoriser la demande et en
fonctiondusensdinitialisationlepassagedutrafic.
LadfinitiondesACLdansuneconfigurationestlobjetdetrsnombreuxchapitresvoiredelivresentiersaussinous
netraiteronspasicitouslescasdefiguremaisuneslectionconcernantlascurit.
1.ACLetpolitiquedescurit
Les ACL sont ncessaires pour limplmentation de nombreux points de la politique de scurit rseau. Rsumons
dansuntableaulesexigenceslespluscourantesdanslesquelleslesACLsontsollicites.
Communicationsverslesquipementsdurseau
SeullesrseauxdadministrationpeuventseconnecterauxquipementssurlesportsHTTPS,SSLet
SNMPchoisis.
Communicationsdesquipementsverslerseau
LesquipementsdurseaucommuniquentaveclesrseauxdadministrationsurlesportsSYSLOGet
TFTP.
Lesquipementsdurseauchangentlesroutesentreeuxauseindummegroupeadministratifavecle
protocoleOSPF.
LesquipementsdurseausurlesinterfacesWANacceptentuniquementlesprotocolesdelasuitede
chiffrementIPSec.
Communicationsentrerseaux
InterdireautraficInternetnonsollicitdentrersurlerseau.
FiltrerletraficentrelesVLAN.
Filtrerletraficenentreetensortiesurlesfermesdeserveurs.

AssurerlouverturedynamiquedesportspourlescommunicationsVoIP.
Cecourttableauestajustableenfonctiondescontraintesimposesparlapolitiquedescurit.Ilestimpratifdy
fairefigurerlarglededniimpliciterejetanttoutcequinapastdumentautorisensachanttoutefoisquecest
unergleincontournablesurlesrouteursCiscobienquellenapparaissepas.
LargledednilorsquelleestintgrelafinduneACLestassocieaveclemot"log"afindegarderune
tracedutraficrejet.Cettepratiqueestrecommande.
2.LesACLtendues
UneACLsecomposededeuxparties.Lapremireopreuneslectionetlasecondeappliquecetteslectionun
processus.
PrenonslexempleduntraficfiltrersuruneinterfaceavecuneACLtendue:
Laslectionsopresurunquadrupletadressesourceadressedestinationportsourceportdestination.
cequadrupletestjointlemotpermitoudenyquislectionneouneslectionnepasletraficdsign.
DanslecasduneACLayantvocationfiltrerletraficslectionn,lemotpermitautoriseletrafictransiter
etlemotdenylebloque.
UneACLpeutcontenirplusieurssquences.Letraficestcomparchacunedecessquencesdemanire
descendante.
Lorsquunecorrespondanceesttrouve,lacomparaisonsarrteetletraficestautoristraverserlinterface
ourejet(attentionnepasinsrerunpermituniverselaumilieudelACL).
Undenyimplicite(etinvisible)estajoutlafindechaqueACL.
LexempletypedufiltragedepaquetsIPsuruneinterfacephysiqueressemblececi : interdirelouverturedune
sessiontelnetsurladresse192.168.2.1 .
Dansunpremiertempsletraficestidentifiparlacrationdunergle,puiscettergleestappliqueuneinterface.
!
ip address 192.168.1.2 255.255.255.0
ip access-group No-Telnet-In in
duplex auto
speed auto
!
ip address 192.168.2.1 255.255.255.0
duplex auto
speed auto
!
ip access-list extended No-Telnet-In
deny tcp any host 192.168.2.1 eq telnet log
Toutefois, sur cet extrait de configuration la configuration de linterface apparait avant. La rgle dcrite
prcdemmentestappliqueici.NotonslafindelACLlemotlog.
R2#sh ip access-lists
Extended IP access list No-Telnet-In
10 deny tcp any host 192.168.2.1 eq telnet log (1 match)
LogpermetdegarderunetracedespaquetsquiseronttraitsparlACLetenloccurrencerejetscommelemontre
lersultatdelacommandeshow ip access-lists.

Les ACL Standard sont la forme la plus simple mise en uvre sur les routeurs et le contrle porte
uniquementsurladressesourceoulerseausource.
R1(config)#access-list 10 permit 10.10.10.32 0.0.0.15
Ici, le rseau 10.10.10.32 est autoris, en fonction de lutilisation de lACL, passer une interface, tre
injectdansunprotocoledynamiqueparexemple.Commenttrouverlechiffre15danslemasqueinversqui
accompagne lACL ? Pour ceux qui ne connaissent pas lastuce, la voici : avant de programmer cette ACL, vous
savez que les adresses autoriser sont du type 10.10.10.0 255.255.255.240. Combien vaut la diffrence entre
240et255 ?15 !Letourestjou.IlestfortementrecommanddeprparerlavancelesACLdansunditeurde
textesimpledutilisationetdelescopiercollerdanslafentreduterminal.Noubliezpasdajouterunretourchariot
aprs la dernire ligne pour la valider automatiquement. Cest galement une bonne ide de penser la
sauvegardesousformedefichiertextedetoutesvosACL.
LesACLtenduesoffrentlapossibilitdeclasserlesentresavecdesnumrosdesquence.
Extended IP access list Filtrage
10 permit tcp any host 192.168.1.1 eq domain
20 permit tcp any host 192.168.2.2 eq www
30 permit tcp any host 192.168.2.2 eq 443
40 permit tcp any host 192.168.2.3 eq smtp
50 permit tcp any host 192.168.2.3 eq pop3
CetextraitdeconfigurationmontreuneACLtenduepermettantlaccsdiversserveurspartirdenimportequel
rseau source (any). Tentons prsent de rorganiser notre ACL pour faire remonter la ligne concernant le trafic
POP3. Les ACL tant lues de manire squentielle, il est primordial de positionner au plus haut les rgles les plus
utilises.Ceciestvalablepourtouslesfirewallfonctionnantdelasorte.
R1#conf t
R1(config)# ip access-list extended Filtrage
R1(config-ext-nacl)#no 50 permit tcp any host 192.168.2.3 eq pop3
R1(config-ext-nacl)#15 permit tcp any host 192.168.2.3 eq pop3
R1(config-ext-nacl)#^Z
NousrorganisonslACLenannulantdansunpremiertempslasquence50etenlarepositionnantsouslenumro
15.Ellepasseainsiensecondeposition.
Sidaventureunincrmentde5taitsouhaitpartirdupremiernumrodesquence(enloccurrence10),ilnous
faudraitutiliserlacommanderesequencecommesuit.
R1(config)#ip access-list resequence Filtrage 10 5

R1(config)#^Z
IlesttrsfaciledintroduireuneerreurdansuneACL.Lapiredetouteestdese couperlapatte cestdirede

mettre fin sa propre session ce qui est fcheux sur un accs distant lorsque lon ne dispose pas dun chemin
alternatif.Lacommandereloadoffrelapossibilitdeprogrammerleredmarragedunrouteur.Lafaondeprocder
estlasuivante :
Lancementdelacommandereloadassortieduncertaindlaipourlancerleredmarrage.

Letravaileffectuer.
Sitoutestcorrect :annulationdelacommandereload (reload cancel)etsauvegardedelaconfiguration.
Encasdecoupureintempestive,lerouteurredmarrerasursaconfigurationprcdente.
R1#reload in ?
Delay before reload (mmm or hhh:mm)
R1#reload in 15
System configuration has been modified. Save? [yes/no]: yes

Building configuration...
[OK]
Reload scheduled in 15 minutes by vty0 (10.226.121.161)
Reload reason: Reload Command
Proceed with reload? [confirm]
R1#
R1# !------commandes passer au routeur------!
R1#reload cancel
R1#
***
*** --- SHUTDOWN ABORTED ---
***
R1#
3.LesACLbasessurlecontexte(ACLCBAC)
LesACL CBACoffrentlapossibilitdedistinguerdansunflotdepaquetsceuxquiappartiennentunesessionen
coursdeceuxquiviennentseheurterauxparoisdurouteuretnappartiennentpasunesessionvalide.Lerouteur
estalorstransformenunvritablefirewallconservationdtat(enanglais :stateful).Ilnestainsiplusncessaire
de configurer une ACL ddie au trafic retour. De plus, il devient possible de laisser le routeur prendre linitiative
douvrir des ports la vole en fonction de la ngociation protocolaire de certaines applications multimdias. Le
dploiementdetellesACLaidecombattrelesattaquesdednideserviceparsaturationdelapileTCP/IP.LesACL
CBAContaussilacapacitdinspecterlescommandespassesdanslesprotocolesfiltrslarecherchedattaques
parmilesplusconnues.LesACLCBACncessitentlaversionfirewalldelIOS.
Rsumonsenlespossibilits :
Ouverturedynamiquederglesautorisantleretourduntraficayantdbutdansunezonedeconfiance.
Inspectionprotocolaire.
SurveillancedesnumrosdesquenceTCP
Paramtragedelexpirationdessessions.
Dispositifdalerte.
Blocagedestraficssuspects.
BlocagedappletsJava.
FiltragedURL

Les ACL CBAC sont particulirement indiques pour amliorer la scurit des architectures voix sur IP. Cisco a
dveloppsonpropreprotocolevoixquiportelenomdeskinnyouSCCP.LestlphonesIPsontdpendantsdun
serveur central (le Call Manager) auquel ils sont connects et avec qui ils changent des messages de maintien
(keepalive).LorsdeltablissementdunecommunicationavecunautreposteIP,leCallManagerdsignelappareil
appelantladresseIPdesoncorrespondantainsiquunport.Sionconsidreplusieurscommunicationsrpartiessur
unrseautendu,ilfaudraitprocderlouverturedautantdeportssurlesquipementsdescuritquesontles
firewall.IciinterviennentlesACLCBACquiouvrent(etferment)lademandelesportsncessairesltablissement
des communications. Notons que les ACL CBAC ajoutent la fonction que nous venons de dcrire la technologie
dinspectionapplicativequenousretrouvonsdanslesfonctionsdedtectiondintrusiondelIOSfirewall.Danslecas
delavoixsurIP,lesenttesduprotocoleSCCPsontinspectslarechercheduneincohrencepouvantmasquer
uneattaque.
Examinons prsent une implmentation unidirectionnelle des ACL CBAC. Cet exemple est simplifi afin de ne pas
nuirelexplication.SacheztoutefoisquuneseuleACLCBACpeutexaminerplusieursprotocolesetquelesACLCBAC
sontpositionnablesdanstouteslesdirections.
NousobservonssurceschmaunPCconnectunrouteurluimmereliunserveur.Lobjectifatteindreiciest
douvrirdynamiquementlACLBlocagepositionnesurlinterfaceextrieure(f0/0)afindelaisserentrerletraficretour
issudesrequteslancesparlePCversleserveur.Toutautretraficentrantserabloqu.
ip inspect max-incomplete low 50

ip inspect max-incomplete high 100
ip inspect one-minute low 50
ip inspect one-minute high 100
ip inspect name WEBINSPECT http alert on audit-trail on
Nousappliquonstoutdabordquelquescommandesafindenousprmunircontrelesattaquespardnideservicequi
consistent ouvrir des connexions TCP moiti et les laisser dans cet tat. Les commandes ip inspect max-
incomplete high 100 et ip inspect max-incomplete low 50 sont complmentaires. Il sagit ici de demander au
routeurdliminerlesconnexions(moitisouvertes)lorsqueleurnombredpassecentetdarrterdelessupprimer
lorsquil nen reste que 50. Les deux commandes suivantesip inspect one-minute lowet ip inspect one-minute
highsontsimilairesmaissebasentsurlenombredeconnexions(moitiouvertes)parminute.
Puisvientlacommandeip inspect name WEBINSPECT httpquiintroduitlalistedesprotocolesinspecter.Ici,nous

inspectons le protocole http et nous activons les alertes et le suivi des vnements. Ces informations seront
desseindirigesversunserveurdetypesyslog.
Interface FastEthernet0/0
description EXTERNE
ip address 192.168.0.40 255.255.255.0
ip access-group blocage in
!
description INTERNE
ip address 192.168.2.1 255.255.255.0
ip access-group WebOK in
ip inspect WEBINSPECT in
!

ip access-list extended Blocage
deny ip any any
ip access-list extended WebOK
permit tcp any any eq www
!
Sur linterface externe du routeur nous trouvons une ACL nomme Blocage et applique au trafic entrant comme
lindique le motin. Cette ACL dans le cas prsent interdit tout trafic entrant sur linterfaceexterne.Cest sur cette
ACLquelespaquetsderetourserontpourtantbeletbienautorisspntrerverslintrieurdurseaucondition
quils aient satisfait les exigences de linspection.Cesouverturessontdynamiquesetcommandesparlinspection
directementsurlACL.
Sur linterface interne nous trouvons une ACL (applique au trafic entrant) qui autorise nimporte quelle station
communiquer vers nimporte quel serveur en http et la commande ip inspect WEBINSPECT in qui dclenche le
processusdinspection.IlestimportantdenoterquecettedernireACLestindispensableaubonfonctionnementde
CBAC.IlestobligatoiredautoriserletraficparlebiaisduneACLafinquilsoitprisencompteparlinspection.
FW#sh ip inspect all

Session audit trail is disabled
Session alert is enabled
one-minute (sampling period) thresholds are [50 : 100] connections
max-incomplete sessions thresholds are [50 : 100]
max-incomplete tcp connections per host is unlimited. Block-time 0
minute.
tcp synwait-time is 30 sec -- tcp finwait-time is 5 sec
tcp idle-time is 3600 sec -- udp idle-time is 30 sec
dns-timeout is 5 sec
Inspection Rule Configuration
Inspection name WEBINSPECT
http alert is on audit-trail is on timeout 3600
Interface Configuration
Interface FastEthernet1/0
Inbound inspection rule is WEBINSPECT
http alert is on audit-trail is on timeout 3600
Outgoing inspection rule is not set
Inbound access list is WebOK
Established Sessions
Session 64AAAF84 (192.168.2.2:55046)=>(192.168.0.38:80) http
SIS_OPEN
Nousproposonsicipourmmoirelersultatdelacommandeshow ip inspect allquiretourneunrsumdelamise

en uvredelatechniqueCBAC.Notonsquunesessionestencoursentrelamachinedurseauinterneetleserveur
httpsitulextrieur.Lasessionestidentifieparunnumrodordreetmentionnelequadrupletlabasedetoute
communicationTCP/IP.
FW#sh ip inspect stat

Packet inspection statistics [process switch:fast switch]
tcp packets: [3:15781]
http packets: [0:9937]
Interfaces configured for inspection 1
Session creations since subsystem startup or last reset 3
Current session counts (estab/half-open/terminating) [1:0:0]
Maxever session counts (estab/half-open/terminating) [1:1:1]
Last session created 00:05:17
Last statistic reset never
Last session creation rate 0
Maxever session creation rate 1
Last half-open session total 0
Ici,nousobservonslesstatistiquesdelinspection.
Les lignes Current session counts et Maxever session counts indiquent respectivement le nombre de sessions
(tablies,semiouvertesetseterminant)pourlinstantconsidr(current)etlemaximumcomptdepuislamiseen
servicedelACL.
IP: tableid=0, s=192.168.2.2 (FastEthernet1/0), d=192.168.0.38

(FastEthernet0/0), routed via FIB

*Mar 1 02:34:57.907: %FW-6-SESS_AUDIT_TRAIL_START: Start http
session: initiator (192.168.2.2:36663) -- responder
(192.168.0.38:80)
*Mar 1 02:34:57.915: IP: s=192.168.2.2 (FastEthernet1/0),

d=192.168.0.38 (FastEthernet0/0), g=192.168.0.38, len 60, forward
*Mar 1 02:34:57.919: TCP src=36663, dst=80, seq=4135566562,

ack=0, win=5840 SYN
*Mar 1 02:35:03.155: %FW-6-SESS_AUDIT_TRAIL: Stop http session:

initiator (192.168.2.2:36663) sent 432 bytes -- responder
(192.168.0.38:80) sent 257 bytes
*Mar 1 02:35:09.475: IP: s=192.168.94.1 (FastEthernet1/0),

d=239.255.255.250, len 312, access denied
Surcettecapturedelacommandedebug ip packet detailetdelaconsole,nousobservonsderrirelesigne%FW6

linterceptiondutraficparlACLCBACettoujourslequadruplet.
FW#sh ip access-lists
Extended IP access list Blocage
10 deny ip any any (504 matches)
Extended IP access list WebOK
10 permit tcp any any eq www (15258 matches)
LescompteursdesACLnousmontrentquedutraficentrantatbloqu(enentre)surlinterfaceexterne.
IP: tableid=0, s=192.168.0.38 (FastEthernet0/0), d=192.168.2.2

IP: s=192.168.0.38 (FastEthernet0/0), d=192.168.2.2

(FastEthernet1/0), len 40, access denied
TCP src=80, dst=55046, seq=1764435692, ack=1006152707, win=512 ACK
IP: tableid=0, s=192.168.0.40 (local), d=192.168.0.38

IP: s=192.168.0.40 (local), d=192.168.0.38 (FastEthernet0/0), len

56, sending ICMP type=3, code=13
CetextraitmontrelerouteurrecevantunpaquetforgaveclutilitaireHPING2quitentedesintroduireautraversde
lACL CBAC en se prsentant comme un trafic retour. cet effet nous avons retourn les adresses source et
destination ainsi que les ports source et destination et nous avons ajout le drapeau ACK. Le routeur refuse le
paquetetenvoieverslamachinetentantdusurperlaconnexionunmessageICMPtype3(destinationinjoignable)
code13(communicationinterditeadministrativement).
Pour conclure cette partie de chapitre sur les ACL, voici une indication sur leur emplacement idal. Les ACL sont
idalement positionnes au plus prs des lments protger nous y reviendrons au cours du chapitre sur
larchitecturegnriquedelascuritdesrseaux.Prenonstroisexemples :
La protection dun rseau par rapport Internet seffectue logiquement lentre du rseau et plus
particulirementsurlerouteurdaccs.
LaprotectiondunefermedeserveurseffectuelentreduVLANquihbergelesressources.
Le filtrage sur un VLAN utilisateurs est effectu afin de dterminer si les adresses sources qui tentent de
sortirduVLANsontdanslesplagesdadressagesconvenues.CefiltrageestmisenplaceensortieduVLAN
avantlaconnexionaurestedurseau.

IPSec
Lobjectifestdassurerlaconfidentialitetlauthenticitdesdonnesentransitsurunrseaunonscuris.
Onabeaucoupcritsurlacryptographieetelleesttoujourslobjetdenombreuxfantasmes.Lacryptographieintrigue
toujours. Estelle lapanage des services secrets ? Que protgetelle vraiment ? Qui en est le matre absolu ? La
cryptographieprotgevossecretsetvousenteslematreabsolu.Niplus,nimoins.Lartdedissimuleruneinformation
remonteauxsourcesdelhumanit.Depuislestempslesplusanciens,lescivilisationsenguerreonttoujourssouhait
protgerlessecretsmilitairestactiques.Simplespermutationsdelettresouenroulementsdelaniresdecuirsurdes
cylindres de bois au diamtre secret, la cryptographie a lentement volu pour bnficier depuis le 19e sicle des
recherches les plus pousses en mathmatiques. Rendons ici un modeste hommage Pierre de Fermat dont le
thorme dit du petit Fermat servit de base de travail aux trois mathmaticiens amricains Rivest, Shamir et
Adleman(RSA)quidcouvrirentlundessystmesdechiffrementquifigureparmilesplusutilissdanslemonde.Nous
nallons pas ici entrer dans les dtails tortueux mais combien passionnants du calcul modulaire mais dbuter cette
approchedelacryptographiesurlesquipementsCiscoparquelquesrglesdor :
Laforcedunsystmedechiffrementreposeavanttoutsurlaforcedelaclpluttquesurlatechnologiesous
jacente (bien quelle ait son importance). titre dexemple le systme dit du chiffre de Vernam ncessite une
feuilledepapier,unboncrayonet...unromandevotrechoix.Cechiffremanuelestreconnuparlesplusgrands
spcialistescommelesystmeleplussrcarlacldechiffrementestaussilonguequeletextechiffrer.Les
amateurs de cinma se remmoreront sans peine une scne du film "larme des ombres" montrant Lino
Venturaentraindechiffrerunmessagelaidedunlivredontsoncorrespondantpossdelammedition.
Lesfondementsscuritdunsystmedechiffrementreposentsurlaprotectiondontbnficientlescls.Cette
remarque parait incongrue de prime abord mais, certaines socits nhsitent pas pour des raisons de
commoditconfierleursclsdestiers.Quelcrditapportercegenredepratiques?
Ilexistedeuxtechniquesdemploiduchiffrementquisontlechiffrementenligneetlechiffrementhorsligne :
Lechiffrementenlignechiffrelesinformationslorsdeleurtransmission.IPSecentredanscettecatgorie.
Lechiffrementhorslignencessiteunchiffrementdelinformationavantdelatransmettrecarlquipementde
transmissionnepossdeaucunefonctioncryptographique.LechiffredeVernamdanssaversionmanuelleentre
danscettecatgorie.
Ilexistedeuxtypesdeclspourlechiffrement :
Lesclssymtriques.Lammeclestutiliseparlescorrespondantspourlechiffrementetledchiffrement.Ce
typedeclestutilisparIPSec.
Lesclsasymtriques.Chaquecorrespondantpossdeuncoupledecls,lunesertauchiffrement,lautreau
dchiffrement.Nousnetraiteronspascettetechnique.Sacheztoutefoisquelleestemployepourlasignature
lectronique.
IPSecestunensembledeprotocolesquipermetunchiffrementenlignedelinformation,leprotocoleestdirectement
implmentsurlesrouteurs,lesclssontdetypesymtrique.IPSecestcompos :
DuprotocoleIKE(InternetKeyExchange)quisert :
Authentifierlesdeuxpartenaires.
Ngocierlesparamtresdechiffrement
Protgerlasuitedeschangesdontlchangedesclsdesession.
Dedeuxmodes(auchoix)quipermettentsoitdetransmettrelespaquetsenconservantlesadressessources
et destinations dorigine soit de gnrer des paquets ayant comme adresses source et destination les
interfacesexternesdesrouteurs.
De deux modes (au choix) permettant soit lauthentification seule des paquets, soit le chiffrement et
lauthentificationdespaquets.
Examinonscestroistapesdanslecadredunchiffremententredeuxrouteurs.

Lamiseen uvredeIKEsedrouleendeuxphases :
Lapremirephasepermetauxrouteursdesauthentifiermutuellementetdemonteruncanalscurisafinde
procder la seconde phase. Lauthentification mutuelle seffectue par le biais dune paires de cls pr
partages (Pre Shared Key) ou sur prsentation de certificats. Un change de messages permet grce au
protocole DiffieHellman de calculer un secret commun qui permet son tour de calculer les futures cls de
session.
La seconde phase est entirement protge et scelle vritablement lassociation entre les deux partenaires
IPSec.Lesclsdesessionssontcalculesetlesparamtresderengociationfixs.
lissue de cette ngociation le tunnel proprement dit est tabli conformment aux choix fixs dans la configuration.
Ceschoixpermettentcommenouslavonsdcritbrivementplushaut :
Encequiconcernelemodedetransmission :
Deconserverlesadressessourcesetdestinationdorigine.Cestlemodetransport.
De chiffrer les adresses dorigine (cestdire tout le paquet original) et de doter le nouveau paquet
ainsi obtenu de nouvelles adresses qui correspondent aux adresses des interfaces externes des
routeurs.Cestlemodetunnel.
Encequiconcernelaprotectiondespaquets :
Dauthentifier le paquet et de garantir son intgrit sans le chiffrer. Cest le mode AH (Authentication
Header).
De chiffrer, dauthentifier et de garantir lintgrit des paquets. Cest le modeESP (EncryptionSecurity

Payload).
Ilestprsenttempsdexamineruneconfiguration.
Voici comme de coutume une configuration trs simple. Nous nabordons pas la traduction dadresse qui serait
ncessaire si le rseau central tait public. Cette configuration utilise une paire de cls prpartage pour la phase
dauthentification mutuelle des routeurs. tudions les tapes de configuration du routeur R1. Ici les communications
sontchiffresentrelesdeuxinterfacesdesrouteursR1etR2quisefontface.
R1(config)#ip access-list extended CHIFFRER

R1(config-ext-nacl)#10 permit ip 192.168.1.0 0.0.0.255 192.168.2.0
0.0.0.255
Avant toute chose, une ACL est dfinie afin didentifier le trafic chiffrer, nous avons voqu cet aspect des ACL qui
nontpaspourvocationuniquelefiltragedespaquetsdesfinsdeblocage.
R1(config)#key config-key password-encrypt securitemaximale123

R1(config)#password encryption aes
CettecommandepermetdechiffrerenAESlesclsprpartagesdanslaconfigurationdurouteur.
R1(config)#crypto isakmp policy 10

R1(config-isakmp)#encr aes
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#group 5
Nousobservonsicilaconfigurationdesphasesduprotocole IKEquiestappelISAKMP.Lerouteurestconfiguravec
une stratgie (policy) unique pour des raisons de clart. Sachez quil est envisageable de configurer plusieurs
stratgies policy ainsi que des profils. Les phases dauthentification mutuelle des routeurs sont protges avec le

protocole AES et le protocole de DiffieHellman au niveau 5 (group 5), les deux routeurs utilisent une mme cl pr
partage.Commenouslavonssoulignprcdemment,ilestindispensabledeprotgerleschangesdauthentification
mutuelsafindeseprmunircontretoutetentativedintrusionlorsdecettephase.
R1(config)#crypto isakmp key 0 cisco address 192.168.3.2
Voici la cl prpartage commune aux deux routeurs. Sur le routeur R1, nous configurons la cl qui correspond au
partenaireIPSec.CestpourquoifiguresurcettelignedecommandeladresseIPdurouteurR2.Laclestenclairdans
cettelignedecommande.Uneclprpartageestacceptejusqu128caractres.Ici,laclestlemotCISCO.Notons
au passage quil est recommand de ne jamais utiliser une cl aussi triviale. Rfrezvous en la matire aux
recommandationsdescuritdesmotsdepasse(utilisationdecaractresspciaux,dechiffres,demajuscules).Sinous
passonsenrevuelaconfigurationnoustrouvonslaclsouscetteforme :
crypto isakmp key 6 A_gL\QY[FDAXg_DOFi[AKY^P\SSAAB address

192.168.3.2
LaclesticichiffreavecleprotocoleAES.Nousremarquonslechiffre6entrelemotkeyetlaclaulieuduchiffre0.
Celaconfirmelechiffrementdelacl.
R1(config)#crypto ipsec security-association lifetime kilobytes

3000
R1(config)#crypto ipsec security-association idle-time 900
Les deux commandessecurity-association lifetime etidle-timelimitentdansletempsetenvolumelavaliditde

lassociation des deux routeurs. Audel de la limite de 3 mgaoctets ou de 900 secondes sans change, les cls de
chiffrementsontrengocies.
R1(config)#crypto ipsec transform-set CHIFFRE esp-aes 256 esp-sha-

hmac
Nous choisissons de chiffrer les paquets avec le protocole aes-256 et den protger lintgrit avec le protocole de
hachagesha,pardfautlemodetunnelestemploycelasignifiequelespaquetsdorigine(etnotammentlesadresses
IP)serontchiffrsmasquantainsileurorigineetleurdestinationsurlesrseauxlocaux.
R1(config)#crypto map LAN-LAN_VPAN 10 ipsec-isakmp

% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
VoicilacommandequinommelafonctionIPSecetquilarattachelastratgiepolicycreaudbut.Lerouteurnous
informequecettecommandenestdaucuneutilittantquunpartenaireIPSecneserapasdclarettantquuneACL
dterminantletraficchiffrernaurapastcre.Poursuivonsaveclessouscommandesdecrypto map.
R1(config-crypto-map)#set peer 192.168.3.2

R1(config-crypto-map)#set transform-set CHIFFRE
R1(config-crypto-map)#set pfs group5
R1(config-crypto-map)#match address CHIFFRER
Dtaillonscettesquencedecommandes.
Tout dabord le partenaire IPSec est dclar. Il sagit de ladresse externe du routeur R2. Puis, nous appelons les
fonctions de chiffrement dfinies auparavant avec la commande crypto ipsec transform-set. La commande suivante
estimportante,ellepermetdescuriserlesmessageschiffrsaveclesclsantrieuresuneclcompromisegrce
une rengociation par le protocole de DiffieHellman (avec un modulo lev). En clair, si une cl venait tre
compromise,unattaquantauraitdumaldchiffrerlesmessagesmisaveclesclsprcdentes,carcesderniresne
seraientplusliesentreelles.Enfin,lACLnommeCHIFFRERestappele.Cettedernire,dfinitletraficchiffrersurle
lien.
R1(config)#int f1/0
R1(config-if)#crypto map LAN-LAN_VPAN
Comme de coutume avec les routeurs Cisco, tout le travail que nous venons deffectuer sapplique sur une interface
physiqueoulogique.Enloccurrence,linterfaceextrieuredurouteurR1(FastEthernet1/0).
Uneconfigurationdignedecenomsachvetoujoursparquelquescommandesshowafindelavalider.
R1#sh crypto engine connections active
ID Interface IP-Address State Algorithm Encrypt Decrypt

001 FastEthernet1/0 192.168.3.1 set AES256+SHA 0 7
2002 FastEthernet1/0 192.168.3.1 set AES256+SHA 7 0

Les deux dernires lignes nous montrent que 7 paquets ont t chiffrs et dchiffrs par le routeur. Notons que le
routeurdiffrencielesdirectionsdanslesquellesseffectuentlesoprations(ID2001et2002).Ilenestmmepourles
associationsdescuritlorsquedeuxrouteurssontpartenaires,ellessontaussiaunombrededeux.
R1#sh crypto ipsec sa
interface: FastEthernet1/0
Crypto map tag: LAN-LAN_VPAN, local addr 192.168.3.1
protected vrf: (none)

local ident (addr/mask/prot/port):
(192.168.1.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port):
(192.168.2.0/255.255.255.0/0/0)
current_peer 192.168.3.2 port 500
PERMIT, flags={origin_is_acl,ipsec_sa_request_sent}
#pkts encaps: 7, #pkts encrypt: 7, #pkts digest: 7
#pkts decaps: 7, #pkts decrypt: 7, #pkts verify: 7
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. Failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 3, #recv errors 0
local endpt.: 192.168.3.1, remote crypto endpt.: 192.168.3.2

path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet1/0
current outbound spi: 0xF8CD0F54(4174188372)
inbound esp sas:

spi: 0x81CD9180(2177732992)
transform: esp-256-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2001, flow_id: SW:1, crypto map: LAN-LAN_VPAN
sa timing: remaining key lifetime (k/sec): (2861/3587)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE
outbound esp sas:

spi: 0xF8CD0F54(4174188372)
transform: esp-256-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2002, flow_id: SW:2, crypto map: LAN-LAN_VPAN
sa timing: remaining key lifetime (k/sec): (2861/3579)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE
Leretourdecettecommandeattronqupourplusdevisibilit.Nousydistinguonsclairementdesdeuxassociations
descurit.Nousobservonsgalementtroiserreurs.Ellescorrespondentauxpremierspaquetsquisontperduslorsde
langociationprotocolaireentrelespartenairesIPSec.
Nous passons volontairement sous silence le retour des commandes debug qui sont dune trs grande utilit
maisextrmementverbeusespourtrereproduitesici,nousvouslaissonslesoindelesdcouvriretdobserver
ltablissementdIPSec. Ces commandes sont :debug crypto ipsec,debug crypto isakmpetdebug crypto engine.
Pourmmoire,lacommande(ultracourte)mettantfintouslesdebugetpermettantderetrouveruncalmerelatifsur
laconsoleest :u all(ellersumelacommandeundebug all).
Il existe deux mthodes dauthentification mutuelle pour IPSec qui sont les cls prpartages (que nous
venons de dcrire) et les certificats. Ces derniers offrent plus de souplesse une fois en place et librent
ladministrateur des risques inhrents la gestion des cls sous forme de squence de caractres. Toutefois, la
miseenplaceetledploiementduneinfrastructuredecertificats(ditePKI)estcomplexeetnesejustifieenterme
depraticitpourlaconfigurationquaudeldunnombrelevderouteurs.Icicestlapolitiquedescuritetses
directives en la matire qui prvaudront. Sachez que le niveau de scurit dune cl prpartage est tout fait
acceptable condition de respecter quelques rgles de base qui sont une production partir dun gnrateur
alatoiresretunegestionrigoureusedesclsdelagnrationladestructionenpassantparladistribution.
titredexemple,cettecommandeduprogrammeopensslgnreuneclalatoirede128caractresquiestlataille
maximaleduneclprpartage :opensslrandbase64 128.

LesACLdelaconfigurationIPSecserventdfinirletraficquiestchiffrersurlelien.Untraficnondfinipar
lACLpasserasurlelienenclair.Ilestcommundepenserquilserarefussurlinterface.Ilnenestrien !

TCPintercept
LobjectifestdeseprotgercontrelesattaquesparinondationdepaquetsSYNautrementappelesynflooding.
Les connexions TCP/IP font appel un mcanisme bien connu pour ltablissement des communications. Souvent
nommethreewayhandshake,cettesquencesielleestmalexcutepeutmobiliserrapidementlesressourcesdun
serveurparlallocationdeplusenplusdemmoireauxconnexionsentrantesjugeslgitimes.Uneattaqueconsiste
monopoliser les ressources du serveur en lanant vers celuici une multitude de paquets douverture de connexions
sanstoutefoisallerjusqulaconclusionduthreewayhandshake.Cetteattaquepardnideserviceestredoutable.
Les routeurs mettent en uvre une protection contre cette attaque. Positionn entre un serveur et ses clients
potentiels,lerouteurvalidelesdemandesdeconnexionsavantdeleretransmettreauserveur.Sitelnestpaslecas,
la tentative de connexion est annule. La dure de la tentative dtablissement de la connexion est troitement
surveille et des rglages sont disponibles afin de la limiter. La mise en place du dispositif est effective aprs
applicationduneACLquidterminelequadrupletsurveiller.
Lerouteurreoitdansunpremiertempslademandedeconnexionduclientetconclutavecluilethreewayhandshake.
Ilprocdelammeoprationvisvisduserveuretseretirelaissantlesdeuxpartenairescontinuerleurchange.Si
un client ne rpond pas dans le temps imparti ou sil persiste envoyer en nombre des paquets de type SYN sans
rpondre aux sollicitations du routeur, la fonction tcp intercept intervient en liminant les communications moiti
ouvertesaufuretmesure.
Dtaillonslamiseen uvredecettefonctionnalitenexaminantlaconfiguration.
R1(config)# ip access-list extended TCP_INTER

R1(config-ext-nacl)#10 permit tcp any host 192.168.1.3 eq www
LafonctionnalittcpinterceptncessitetoutdaborduneACLafindedterminerletraficsurveiller.Prsentement,le
traficdsignestceluidestinationduserveur192.168.1.3surleporttcpwww(80).
R1(config)# ip tcp intercept mode intercept

R1(config)# ip tcp intercept list TCP_INTER
R1(config)# ip tcp intercept one-minute low 50
R1(config)# ip tcp intercept one-minute high 100
Cesquatrecommandesprisesdanslordrelancentlafonctiontcpintercept,donnentlarfrencedelACLpuisfixent
100 connexions incompltes par minute le seuil haut partir duquel il faudra commencer purger pour ne pas
justementdpasserceseuil.Silenombredeconnexionsincompltespasseendessousde50connexions,tcpintercept
leslaisseexpirer.

R1#sh tcp intercept connections
Incomplete:
Client Server State Create
Timeout Mode
Established:
Timeout Mode
192.168.2.3:44435 192.168.1.3:80 ESTAB 00:00:05
23:59:55 I
Uneconnexioncomplteesttablieentreleclientetleserveur,ici,nousnobservonsaucuneconnexionincomplte.
partir du client, nous allons avec lutilitairehping2lancerversleserveurdesdemandesdeconnexions.Ilsagitde

paquetsavecledrapeauSYN.Lacommandeest :hping2 192.168.1.3 -p 80 -S.
R1#sh tcp intercept connections

Incomplete:
Timeout Mode
192.168.2.3:2448 192.168.1.3:80 SYNRCVD 00:00:14
00:00:00 I
192.168.2.3:2449 192.168.1.3:80 SYNRCVD 00:00:13
00:00:01 I
192.168.2.3:2450 192.168.1.3:80 SYNRCVD 00:00:12
00:00:02 I
192.168.2.3:2451 192.168.1.3:80 SYNRCVD 00:00:11
00:00:03 I
192.168.2.3:2452 192.168.1.3:80 SYNRCVD 00:00:10
00:00:04 I
192.168.2.3:2453 192.168.1.3:80 SYNRCVD 00:00:09
00:00:05 I
Established:
Timeout Mode
192.168.2.3:41775 192.168.1.3:80 ESTAB 00:00:17
23:59:57 I
Voiciunextraitdesconnexionscompltesetincompltesvisiblessurlerouteur.NotonsqueltatmentionneSYNRCVD
quisignifieSYNreu.
R1#sh tcp intercept stat

Intercepting new connections using access-list TCP_INTER
99 incomplete, 1 established connections (total 100)
399 connection requests per minute
La commandeshow cidessus indique le nombre de connexions bloques et incompltes (99), montre une connexion
tablieetletauxde399connexionsparminutes.
Peudetempsaprs,lemessagesuivantapparatsurlaconsole :
%TCP-6-INTERCEPT: getting aggressive, count (100/100) 1
Cemessageissudetcpinterpectnousinformequeleseuilhautestatteint.Sinousstopponslenvoidepaquetsavec
hpihgzlemessagesuivantsaffiche :
%TCP-6-INTERCEPT: calming down, count (0/50) 1 min 3n
Ici,lerouteurindiqueunretourunesituationnormaletellequelleatdfiniedanslaconfigurationcestdire50
connexionsparminute.
Ilestimportantdeprteruneattentiontouteparticulirequantladfinitiondesvaleursdeparamtrage.Eneffet,
un rglage trop bas conduirait sans aucun doute le routeur carter du trafic lgitime. Une technique consiste
observer le trafic lors dune activit normale du rseau et tout particulirement le nombre maximum de connexions
ouvertesetmoitisouvertes.partirdecesvaleurs,ilestrecommanddappliquerunpetitc fficient de scurit
pournepasbloquerlerseaulorsdunpicdetraficlgitime.

Lesprotocolesderoutage
Lobjectif est de protger les changes protocolaires des protocoles de routage afin que le trafic soit correctement
acheminsurlerseau,enentreetensortiedeceluici.
Quelonconsidreunrseauditlocal,mtropolitainoulInternettoutentier,aucunecommunicationnesauraitavoirlieu
sans laide des protocoles de routage. Ils forment avec les services DNS les fondations de nos rseaux actuels. Ces
fondations toutefois ne manquent pas de susciter la convoitise des personnes les plus malveillantes. Parmi les
protocolesderoutagequinousintressentplusparticulirementfigurentBGP(BorderGatewayProtocol)etOSPF(Open
ShortestPathFirst)carcesontlespluspopulaires.Cesdeuxprotocolessontdisponiblessurlaplupartdesquipements
deroutagequelquesoitleconstructeur.SiOSPFestmajoritairementdploysurlesrseauxprivs,BGPestpoursa
partleprotocolederoutagedInternet.
Voici l uvre les deux protocoles de routage. Les deux systmes autonomes (AS 1001 et AS 1002) sont deux
entits indpendantes lune de lautre et possdant chacune son propre protocole de routage. Les deux AS utilisent
pour la gestion de leurs routes le protocole OSPF indpendamment lune de lautre. Si une connexion est envisage
entre les deux AS, il faut mettre en place un protocole de routage diffrent dOSPF afin de garantir chaque AS une
indpendancetotalepourlagestiondesesroutestoutencommuniquantcertainesdentresellesavecsonpartenaire.
Cest ici quintervient le protocole BGP dans son rle de transporteur de routes entre systmes autonomes. Cette
explicationconstitueuneapproche(rapideetschmatiqueilestvrai)durseauInternet.Cettevuenousmontreaussi
limportancedesprotocolesderoutage.Ilestaisdeconstaterquunepannesurlunoulautredesprotocoles(etce
malgr les redondances non reprsentes ici) entrainerait des perturbations dans lacheminement du trafic. De ces
perturbationspotentiellesvontdcoulernosexigencesdescurit :
Rsisterauxtentativesdednideservicesurleprotocole.
Rsisterauxtentativesdedtournementdinformationderoutage.
Cesdeuxexigencesgnralessontdclinesenmesuresdeprotectionquinesontpastouteshlasproposesparle
protocoleluimme.Enfait,lesdeuxprotocolesderoutagequenousvenonsdvoquernembarquentpourleurscurit
quuncontrlebassurunmotdepasseet(ou)lafonctiondehachageMD5.Celapeutparatrebienminceauregard
desmenacesquiplanentsurlesrseauxinformatiquesmais,dansledomainedesprotocolesderoutage,lescoupures
de service les plus svres ont eu lieu suite des erreurs de configuration ce qui na pas orient sembletil la
communautversuneapprochescuritaire.
Les tentatives de dni de service sur le protocole visent perturber ce dernier sur ses fonctions dans le but de le
perturber,deleralentiroudelarrtertotalement.Lesprotocolesderoutageprocdentlchangedemessagespour
associer entre eux les routeurs dun mme domaine et bien entendu changer des informations sur les routes
disponibles.titredexemple,leprotocoleOSPFsilreoitdesmessagesforgsetcontenantdesinformationserrones
auratendanceutiliserdeplusenplusdemmoirelorsdesestentativesdecalculpourrorganiserlatopologiedu
rseau,letoutpouvantgalementconsommerdimportantesquantitsdebandepassante.LeprotocoleBGPquant
lui,possdeunefonctionquiliminelinformationconcernantuneroutesicellecitendapparaitreetdisparatretrop

souvent. Ici aussi, une squence de messages savamment construits leurrera le routeur et causeront la disparition
dinformationsderoutage.Citonsgalementlesattaquesparsaturationdelabandepassantedeslienssurlesquels
circuleunprotocolederoutage.
Lestentativesdedtournementderoutageconsistentfournirauprotocolederoutagedesinformationsderoutage
erronesenvuededtournerletraficversunendroitprcisoupire,defairedisparaitredesroutes.
Quelssontlesmoyensmisnotredispositionpourcontrecarrerefficacementlescasquenousvenonsdeciter ?
Une solution est lutilisation de la fonction de hachage MD5 qui est disponible pour les deux protocoles. En voici le
fonctionnement.
1.LamisejourderoutageetuneclpartageentrentdansunefonctionMD5.Unrsultatestcalcul.
2. La mise jour de routage et le rsultat de la fonction MD5 prcdemment calcule sont envoys aux routeurs
destinatairesdelamisejour.
3.Aprsrception,lamisejourreueestdenouveauaveclaclpartageentredanslafonctionMD5,unrsultat
estcalcul.
4.Cersultatestcomparceluireuaveclamisejourreueltape3.
Ce systme est peu coteux en ressources. Une autre recommandation est de protger la configuration du routeur
contretoutaccsillgitimepourquelaclnetombepasentredemauvaisesmains.
Pourillustrercettefonctionnalit,nousavonsconnectdeuxrouteurs(R1etR2)vialeursinterfacesrseaurespectives
afindobserverleurcomportementlorsdelamiseen uvredelaprotection.
R1(config-if)#ip ospf message-digest-key 1 md5 cisco

R1(config-if)#ip ospf authentication message-digest
Enmodeconfigurationdelinterface,cesdeuxcommandesactiventlauthentificationtellequedcrite.
Lechiffre1,surlapremirecommandeindiquequilestpossibledentrerplusieurscls.Ceciesttrsutilelors
dunchangementdesclssansaltrerlefonctionnementdurseau.
R1#sh ip ospf interface f1/0

FastEthernet1/0 is up, line protocol is up
Internet Address 192.168.0.2/24, Area 0
Process ID 1, Router ID 192.168.0.2, Network Type BROADCAST,
Cost: 1
Transmit Delay is 1 sec, State DR, Priority 1
Designated Router (ID) 192.168.0.2, Interface address 192.168.0.2
Backup Designated router (ID) 192.168.0.1, Interface address
192.168.0.1
Timer intervals configured, Hello 10, Dead 40, Wait 40,
Retransmit 5
oob-resync timeout 40
Hello due in 00:00:07
Supports Link-local Signaling (LLS)
Index 1/1, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 0, maximum is 1
Last flood scan time is 0 msec, maximum is 4 msec
Neighbor Count is 1, Adjacent neighbor count is 1
Adjacent with neighbor 192.168.0.1 (Backup Designated Router)
Suppress hello for 0 neighbor(s)
Message digest authentication enabled
Youngest key id is 2
Rollover in progress, 1 neighbor(s) using the old key(s):
key id 1
Ici,nousobservonslersultatdelacommandesh ip ospf interface f1/0.Elleesttrsutileetmontreprcisment

quune mise jour de la cl est en cours sur le routeur R1 et que le routeur R2 utilise encore lancienne cl. Pour
effectuer le changement dfinitif, il suffira sur R2 dentrer la nouvelle cl et de retirer les anciennes cls des deux
routeurs.
ip address 192.168.0.2 255.255.255.0
ip ospf authentication message-digest
ip ospf message-digest-key 2 md5 7 104D000A0602
duplex auto

speed auto
Sileservicedechiffrementdesmotsdepasse(servicepasswordencryption)estactiv,nousnotonsquelaprotectiondu
motdepassedanslaconfigurationdurouteuresthlasconfieaveclemode7quiestunchiffrementfaible.Ilfaudra
doncveillerbienprotgerlaccsaurouteur.Quoiquilensoit,lauthentificationmutuelledespartenairesOSPF(on
parle aussi de voisins) est fortement recommande pour viter lintroduction dun routeur tranger au rseau et
linjectiondinformationsderoutageindsirables.
UneautresolutionpasseparunrenforcementdelaconfigurationetlutilisationdACLquiviennentunefoisencoreau
secoursdeladministrateurrseau.
ExaminonsleprotocoleBGP.
router bgp 1
no synchronization
bgp log-neighbor-changes
neighbor 10.0.0.1 remote-as 26001
neighbor 10.0.0.1 password 7 070C285F4D06
no auto-summary
BGPoffreuneprotectionsimilairecommelemontrelacapturecidessus.BGPmriteraituneprotectionrenforcetoutdu
moins pour sa version sur IPV4 car il constitue lpine dorsale dInternet et aussi de nombreux rseaux dentreprise
tendus.BGPatconuunepoqueolascuritntaitpaslaprincipaledesproccupationscaraucunemenace
srieuseneplanaitencoresurlerseaudesrseaux.Leretardafortheureusementtrattrapdanslaversionde
BGPdestineIPV6.
Lascuritdesprotocolesderoutagereposeprincipalementsurlaconfigurationdesrouteursetlaprotectiondecelle
ci.CesticiquinterviennentlesACL.Lesprincipesdebasesontsimples:
Identifierlespartenairesquienvoientlesmisesjourderoutageetauthentifiercesdernires.BGPquiutilise
descommunicationssurunportTCPbienconnu(179)estaptetransiterdirectementdansuntunnelchiffr.
Cette solution impliquerait un dploiement dIPSec entre routeurs ce qui nest pas toujours ralisable
principalement pour des problmes de logistique comme la distribution des cls ou des certificats entre des
milliersdepartenairesnappartenantpasauxmmesorganisations.DanslecasdOSPF,lasolutionrequiertla
crationduneinterfacedetypetunneletsonchiffrementavantdyfairetransiterlesmisesjour.
Nepasaccepterdundenospartenairesquilsnousinformentsurnospropresroutesinternesafindenepas
crer de boucles de routage. Cette rgle est valable dans les deux sens dans la mesure o un routeur
partenairenestpasnonplusintressparunretourdesmisesjourquilenvoie.
Lespartenairestantgnralementdirectementconnects,nepasaccepterdemisejourvenantdunrouteur
loign.CeciestralisableencontraignantlespaquetscontenantdesmisesjourseprsenteravecunTTL
(TimeToLive)suprieurunecertainevaleurquenepourrontjamaispossderdesmachineslointaines.
RefusersystmatiquementlesrseauxdontlesprfixessontrservsparlesinstancesdirigeantesdInternet.
Cettelistequiportelenomdebogonnetworksestlargementdiffuse.IlsuffitdassociercesrseauxuneACL
enentre.
NelaisserentrerlesmisesjourderoutagequenprovenancederouteursconnusgrcedesACLtendues.
La liste des rseaux non attribus sur Internet est disponible ladresse suivante :
http://www.iana.org/assignments/ipv4addressspace

RFC1918
RaressontlesentreprisesquimettentdispositiondupublicdesservicesInternetncessitantdegrandesquantits
dadressesIPdetype4.Cesderniresannes,lesadressesIPsontdevenuesunedenrerareetlesentreprisessur
leursrseauxprivsensontdegrandesconsommatrices.
Afin de palier un manque global dadresses IP, il a t dcid au niveau des instances rgulatrices dInternet de
proposerauxentreprisestroisplagesdadressesIPlibresdutilisationsurlesrseauxprivsetdefaitnonvalablessur
Internet. La mise disposition dun mcanisme de conversion entre les adresses prives et les adresses publiques
permettoujoursauxentreprisesdeconverseraveclemondeextrieur.CemcanismeportelenomdeNAT(Network
AddressTranslation).Aveccesystme,leshtesdunrseauprivdsirantseconnecterInternetlefontenutilisant
uneadressepubliqueuniqueetcontinuentcommuniquerentreeuxgrceauxadressesrserves.Enrevanche,un
htedsiranttrevisiblesurInternetdoitimprativementdisposerduneadressepublique.
Lesplagesdadressesprives,libresdutilisationetnonvalablessurInternetsont :
leprfixe10.0.0.0/8quireprsentelesadressesIPde10.0.0.110.255.255.254
leprfixe172.16.0.0/12quireprsentelesadressesIPde172.16.0.1172.31.255.254
leprfixe192.168.0.0/16quireprsentelesadressesIPde192.168.0.1192.168.255.254.
LesmcanismesdeNATsontgnralementeffectusparlesrouteursoulesparefeulalimiteentrelerseauprivet
Internet.
Nous observons sur ce schma deux htes du rseau priv 192.168.2.0 /24 qui envoient du trafic vers lextrieuren
direction dInternet. La fonction de traduction dadresse (NAT) sur le routeur transforme les champs adresses source
despaquetssortantetsubstitueauxadressesprivesladressepubliquedesoninterfaceexterne.Ladiffrenciation
entre les deux trafics lors du retour est effectue grce au port TCP (ou UDP). Dans notre exemple, les paquets
revenantverslerouteuravecunportTCPdestinationde24000serontdirigsverslhte192.168.2.2.

Conclusion
Aucoursdecechapitre,nousavonsexaminlesmenacesquipsentsurcettecoucheetlesmesuresdeprotection
adquates.
Lacouche3dumodleOSIestlpinedorsaledelamajeurepartiedesrseauxdentrepriseetdInternet.cetitresa
scurit requiert une attention particulire. Si aucune mesure de filtrage nest applique entre les rseaux, les
protocoles de routage et les tables ponymes se chargent tout naturellement dacheminerletrafictousazimuts.Ce
nest gnralement pas lobjectif des rseaux dentreprise pour lesquels un minimum disolation est requis. Pour
satisfaireauxexigencesdefiltrage,leslistesdecontrlesdaccs(ACL)sontdungrandsecourspourpratiquertoutes
sortes de restrictions de trafic. Les ACL de type CBAC sont en mesure de transformer un routeur en parefeu
conservation dtat (stateful). Ce type dquipement conserve en mmoire les connexions sortantes afin dautoriser
dynamiquementletraficretour.
IPSecquiestcomposdunesuitedeprotocolesalafaveurdesentreprisespourlechiffrementenlignedesdonnes
surdescircuitsdetypepointpointoupointmultipoints.Sonutilisationtoutefoissembleenpertedevitessedansle
domaine des connexions nomades car son implmentation et sa configuration bien que souples restent assez
dlicates.
LesprotocolesIPetTCPsonttrslis.cetitre,nousavonsabordlesmesuresdescuritquivisentprotgerla
pile IP contre les attaques par dni de service qui saturent les services en demandes de connexions laisses sans
suite.Ilconvientdeprendreencomptecetypedemenacescarlasaturationdunrseauconduitrapidementson
effondrementaveclesconsquencesquecelaimplique.
Lacheminement des paquets bon port est dterminant pour le bon fonctionnement dun rseau. Il sagit l dune
vidence.Lesprotocolesderoutagedynamiquesquiontremplaclestablesstatiquesmritentpourleurconfiguration
une attention particulire car, bien quils soient vulnrables des attaques ayant pour but de drouter le trafic, les
protocolesderoutagesontaussivictimesderreursdeconfiguration.Lauthentificationdesmisesjoursavrealors
indispensable.

Gnralits
Cesquatrelettresfontpartiedenotreenvironnementquotidien:WiFi.Chezsoi,aurestaurant,danslesgaresetles
aroports,lespointsdaccsontcesderniresannescolonissleslieuxpublicsetlessalons.Faciledaccsetpeu
coteux,parfoisgratuitpourlegrandpublic,leWiFisupplantepeupeulesrseauxcblsdanslesentrepriseset
apportebiensrsonlotdesoucislislascurit.LeWiFifaitappelauxondesradiosquiparnatureneconnaissent
commelimitequeleurporteetsascuritaconnudssesdbutsdegravesdboiresavecleprotocoleWEPdonton
connaitprsentlesfaiblesses.
ParmilesutilisationsdesrseauxsansfildetypeWiFiontrouve :
Le remplacement des lignes loues entre des btiments se trouvant de part et dautre dun domaine public.
LesquipementsWiFi(gnralementdesponts)sontdanscecasconnectdesantennesdirectionnellesqui
sefontfacedesdistancespouvantatteindreplusieursdizainesdemtre.
Lesconnexionsaurseaulocalitinrantesquinutilisentplusdecblagestandard(connecteurRJ45).
LesconnexionsInternetlibres(oupas)pourdespopulationsitinrantespartirdelieuxpublicsouprivs.
LesrseauxWiFisecomposentprincipalement,declientsradio,debornesdaccs(oupointsdaccs)etdemanire
optionnelleduneinfrastructuredescuritexterne.
LesclientsradiossontlquivalentdescartesrseauxEthernettellesquenouslesconnaissonsdepuisdenombreuses
annes. Le connecteur RJ45 est remplac par une antenne. On trouve les clients radio sous la forme de cartes
insrerdanslesconnecteursdunecartemredePCmaisaussisousformedeclsUSB.Ilssontparfoisdirectement
intgrs aux ordinateurs portables et sont reprables au petit logo qui ne manque pas daccompagner cette
technologie.
Les points daccs sont gnralement des botiers munis de plusieurs antennes (au moins deux) qui sont dun ct
relisauxclientsradiodunepartetlinfrastructurefilairedautrepart.
Linfrastructuredescuritesttotalementcontenuedanslepointdaccsouenpartiedportesurunsousrseaude
linfrastructure filaire. Elle comprend un ou plusieurs serveurs dauthentification dont le rle est gnralement de
contrlerlesaccsaurseaufilairevialespointsdaccssansfil.
Ciscosestbienentenduintresslatechnologiesansfiletproposetouteunegammedematrielquienglobeles
pointsdaccsetlesclients(gammeAironet)maisaussidiversoutilsdecontrleetdegestiondelinfrastructuresans
fil.Nousallonsnousconcentrericisurlespossibilitsdeconfiguration(etdescurisation)dunpointdaccs sans fil
toutendonnantpourmmoiredesconseilsdeconfigurationpourlesclients.

Scuritautourdesrseauxsansfil
Comme nous lavons expos dans les chapitres prcdents, une bonne approche de la scurit des systmes
dinformationconsisteposerquelquesexigences(simples)enfacedesquelleslestechnologiesadquatessontmises
encorrespondance.
ExigencesdescuritpourlesquipementsWiFi
Exigences Techniques
Scuriserlaccsaurseauetassurerla 802.1X
confidentialitetlauthenticitdesdonnes.
WPA(WirelessProtectedAccess)
EAP(ExtensibleAuthenticationProtocol)
AESmodeCCM
Seprotgerdesattaquespardnideservice. Configuration
Dtecterlesquipementsnonautoriss. WIDS(WirelessIDS)
Limiterlaportedusignal. Configuration
Protectionphysiqueetlogiquedesquipements Configurationetinstallationphysique
radio.
InterdirelescommunicationsentreclientsWiFi. ACLIPetACLMAC
Sparationdesrseauxsansfiletdesrseaux UtilisationdeVLANetdeFirewall
dinfrastructure.
Limitationdutempsetdesheuresdeconnexion Configuration
(avecousanstrafic).
Pour les clients, cestdire les machines se connectant au rseau sans fil grce leur cartes embarques, nous
proposonsquelquesexigencesgnrales :
Seprmunircontrelesconnexionsentrantes. Utilisationdunfirewallpersonneletdunantivirus.
Impossibilitdepasserdurseausansfilau Pasdactivationdescartessansfiletfilaire
rseaufilaire. simultanment.
Chiffrementauniveaulepluslev. ProtocolesdescuritWPA2etAES.
Nepasaccepterdeconfigurationautomatique. DsactiverWindowsZeroConfiguration.
Nepasseconnecterautomatiquement. Dsactivationdelafonctionnalit.
Cesmesuresgnralessontfacilementapplicablesetaismentcomprhensiblesdautantplusquelescasdattaques
surlesordinateursportablesparlebiaisduWiFisesontmultiplisdansleslieuxpublicscommelesaroports.Nous
vousconseillonsgalementdevousrfrerunexempledepolitiquedescuritrelativeauxstationsdetravail.Bien
que nos exigences le stipulent, nous insistons sur linterdiction faite aux utilisateurs du rseau dintroduire et de
connecter celuici des dispositifs sans fil. Cette bonne pratique nest hlas parfois pas suivie et certaines
architecturesfilairessevoientdotesdeportesdesortiessansfilruinantpotentiellementtoutletravaildeprotection
entreprisaupralable.

ScuriserlaccsaurseauWiFi
Ceci est la premire de nos exigences, son objectif est tout comme nous lavons fait pour les rseaux filaires de
conditionnerlaccsaurseau(parlebiaisdelaconnexionsansfil)laprsentationdidentifiantsvalides.
Pourillustrercepropos,nousutiliseronsunpointdaccsCiscodetype1230etundispositifprochedeceluiemploy
pourprotgerlesaccsfilaires.EnmatiredeWiFilematreacronymeretenirestWPApourWiFiProtectedAccess.
WPAestdisponibleendeuxversions(WPAetWPA2)etpourchacunedellesdedeuxmodes(personneletentreprise).
Initialement,WPAatconuafinderemplacerleprotocoleWEP(WiredEquivalentPrivacy)dontlemodledescurit
fut mis mal peu de temps aprs sa mise en service. De trs nombreux articles existent sur ce sujet ainsi quune
collectiondoutils permettant la rcupration des cls de chiffrement seulement aprs quelques heures dcoutedun
rseau.
1.WPA
WPAamlioradssapremiremouturelechiffrementutilisparleprotocoleWEPenproposantlutilisationdunecl
pluslongue(enfait,ilsagitduvecteurdinitialisation),ainsiquunmeilleursystmededistributionetdedrivation,
unmeilleurcontrledintgritetlutilisationduneclchaquepaquetchiffr.
WPA2introduitleprotocoledechiffrementAES(AdvancedEncryptionStandard)enremplacementdeRC4(utilispar
WEP)avecdesclsde128 bitsainsiquunenouvellecollectiondesystmesvisantassurerlintgritdesmessages.
WPAentreprise(ouWPA2entreprise):cetteversionncessitelamiseenplacedelundesprotocolesEAPetdun
serveurRADIUScommenouslavonsdcritdanslecadredelaprotectiondesrseauxfilaires.Ici,laccsestautoris
uniquement aprs prsentation dun couple utilisateur et mot de passe valide ou dun certificat personnel de type
X509.LeserveurRADIUSprendgalementenchargelagnrationetladistributiondesclsdechiffrement.
WPA personnel (ou WPA personnel) : dans cette version de WPA, une cl prpartage est utilise entre les
participants. Nous pouvons comparer ce mode de fonctionnement celui dIPSec qui utilise galement une cl
partage.Cemodeestvulnrableencasdeclmalchoisieeticiencoredesoutilsexistentpourtenterdedevinerla
clnotammentenutilisantdesdictionnairescontentantdesmilliersdemotsoudephrasestype.
NousallonsutilisericipourtudierlaprotectiondunrseausansfilleprotocoleWPA2entrepriseavecEAPTLS.
a.WPA2,EAPTLSetFreeRADIUS
NousdevrionsrajouterAESpourtrecomplet,cesteneffetceprotocoledechiffrementquenousallonsemployer
car cest le plus puissant mis disposition. Lutilisation dEAPTLS nest pas chose aise car elle demande le
dploiement et la gestion dune infrastructure de type PKI. Cela comprend lmission des certificats et la
maintenancedelalistedervocation.
Leprincipedefonctionnementchoisidanslecadredenotretudeest :
delaisserlutilisateurchoisirsonrseauWiFi(SSID)
dauthentifierunutilisateurparlebiaisduncertificatdetypeX509enEAPTLSencontrlantquesonnom
dutilisateurcorrespondceluiducertificat
defournirleVLANdetravailetladresseIPdynamiquementenfonctionduSSIDsurlequellutilisateursest
authentifi.
Nousavonschoisidutiliser :
leserveurRADIUSlibreFreeRADIUSenremplacementduserveurRADIUSMicrosoftquenousavionsemploy
pourltudedu802.1Xfilaire
leclientWPA2entreprisepropossousWindowsVista.
InstallationduserviceRADIUSetducertificatclient:
Linstallation du service RADIUS FreeRADIUS a t accomplie sur une machine Linux Fedora partir de la simple
commande :# yum install FreeRADIUS.
Leserveurcomportelesfichiersdeconfigurationsuivants :radiusd.conf,eap.conf,clients.conf.Ilssontsitusdansle
rpertoire/etc/raddb/.

eap {
default_eap_type = tls
timer_expire = 60
ignore_unknown_eap_types = no
cisco_accounting_username_bug = yes
tls {
certdir = ${confdir}/certs
cadir = ${confdir}/certs
private_key_password = whatever
private_key_file = ${certdir}/server.pem
certificate_file = ${certdir}/server.pem
CA_file = ${cadir}/ca.pem
dh_file = ${certdir}/dh
random_file = ${certdir}/random
fragment_size = 1024
check_crl = yes
CA_path=${certdir}/WIFIcrl.pem
check_cert_issuer="/C=FR/L=Toulouse/O=TESTLAB"
check_cert_cn = %{User-Name}
cipher_list = AES256-SHA
}
Lefichierradiusd.confnapastmodifietnousdonnonsicilaconfigurationdufichiereap.confquicommesonnom
lindiqueconfigurelesprotocolesEAP.
Nousobservons :
Les noms et les emplacements des divers certificats ncessaires cestdire celui de lautorit de
certification(CA)etduserveurRADIUSdontlaphrasedescuritfigureenclairdanslaconfiguration.
La liste de rvocation (CRL) est ici configure afin de rejeter tout certificat qui sy trouverait. Il est ce
proposindispensabledeconfigurerlaCApourquesoncertificatpuissesigneruneCRL.Nousvousinvitons
vousrapprocherdelaconfigurationdevotrePKI.DanslecasdOpenSSLlacommandekeyUsage = cRLSign
estncessairedanslefichierdeconfiguration.
Enfin,noustestonsquelquesattributsducertificat,lenomdutilisateurprsentetnousforonsleprotocole
dechiffrementAES.
Une seule modification intresse le fichier clients.conf et consiste dclarer le point daccs sans fil comme client
RADIUSavecsonadresserseauetsonsecret.
Client 192.168.1.16 {
secret = cisco
}
IlestensuiteindispensabledeconfigurerdescertificatssurlesquelssappuieleprotocoleEAPTLS.Cesfichierssont
danslerpertoire/etc/raddb/certsetdoiventpossderdesdroitspermettantauserveurFreeRADIUSdeleslire.
Sontncessaires :
Uncertificatautosignpoursimuleruneautoritdecertification(CA)auformatderetdelinstallerdansle
magasin nomm autorits principales de confiance. Pour mmoire les certificats sont imports partir
dInternetExplorerensuivantlechemin :OutilsOptionsInternet ContenuCertificatsImporter.
UncertificatpourleserveurRADIUSsignparcetteautoritdecertification.UnscriptfourniavecFreeRADIUS
danslerpertoire/certspermetdecrerlescertificatsdelautoritdecertificationetduserveur(cesdeux
premierscertificatssontcrsaveclescommandes :make caetmake server).
un certificat pour le client galement sign par cette mme autorit de certification. Ce certificat est mis
sous la forme dun fichier dont lextension est de type .p12 avant dtre charg dans le magasin nomm
Personnel.Ilestcraveclescommandessuivantes :
openssl req -new -out client.csr -keyout client.key -

config ./client.cnf
openssl x509 -req -in client.csr -out client.crt -CA

ca.pem
-CAkey ca.key -CAserial serial
openssl pkcs12 -export -inkey client.key -in client.crt -

out client.p12
Il est important de mentionner que dans notre cas, le certificat client est directement sign par lautorit de
certification sans passer par une autorit intermdiaire ce qui est gnralement le cas. Cela implique de ne pas
partager cette autorit de certification avec une autre organisation qui (si tel tait le cas) pourrait signer des
certificatsvalidesvotreplace.Danscetexemple,celaneposeaucunproblme.
SienplusdelaCAracine,ilexisteuneCAintermdiaire,lesdeuxcertificatsdevronttrerassemblsdans
un seul fichier qui sera dclar avec la commande CA_file = du fichier eap.conf. Un certificat nest que
rarementdlivrparuneCAracine.IllestgnralementparlintermdiaireduneCAintermdiaire.Sitelestle
cas,lecertificatdelaCAracineetdelaCAintermdiairedoiventtrefusionnsdansunfichierunique.Cefichier
seradclardanslefichiereap.confaveclacommande"CA_file=".Pourmmoire,lacommandeUNIXquipermet
deconcatnerdeuxfichiersest:catfichier_1fichier_2>fichier_3.
Soulignons de mme quil est fortement recommand lors de limportation du certificat client de cocher
loption afin que la phrase de protection de la cl prive soit demande systmatiquement lors de
lutilisationducertificat.

Nous observons sur ces deux images dun mme certificat client la chane de certification et le dtail des champs.
Comme indiqu, ce certificat a t directement sign pour lutilisateur Vincent par lautorit de certification
TESTLABWIFI.
Configurationdupointdaccssansfil(AP1231G):
hostname ap
!
aaa new-model
aaa group server radius rad_eap
server 192.168.1.3 auth-port 1812 acct-port 1813
aaa authentication login eap_methods group rad_eap
aaa session-id common
!
dot11 ssid EAP-TLS
authentication open eap eap_methods
authentication network-eap eap_methods
authentication key-management wpa
!
username vincent privilege 15 secret5 $3HBC$EpW82SUbZNtmI3PG0rU2z
!
bridge irb
!
interface Dot11Radio0
no ip address
no ip route-cache
encryption mode ciphers aes-ccm
broadcast-key change 1800
ssid EAP-TLS
bridge-group 1
!
interface FastEthernet0
bridge-group 1
!
interface BVI1

ip address 192.168.1.16 255.255.255.0
!
ip radius source-interface BVI1
!
radius-server host 192.168.1.3 auth-port 1812 acct-port 1813 key 7
13061E010803
bridge 1 route ip
BienquelespointsdaccsCiscobnficientduneinterfacegraphique,nousprsentonsicilaconfigurationenmode
textepourdesraisonspratiques.
Les cinq premires lignes configurent le systme AAA (Authentication Authorization Accounting) sur le point daccs
dontnousvoyonsaupassagequilseconfigurecommeunrouteur.Pourmmoirelacommandeaaa new-modelactive
les fonctions dauthentification externalises sous la responsabilit de serveurs de type RADIUS ou TACACS. Le
serveurradiusestunepremirefoisdfiniauseindungroupe(rad_eap)aveclenomdelamthodepoursyrfrer
(eap_methods).
Le SSID (EAP-TLS) est lidentifiant du rseau sans fil. Cest le nom du rseau qui saffiche lorsque ce dernier est
dcouvert par le systme dexploitation au voisinage du point daccs. Le SSID appelle la mthode eap_methods
laquelle,nousvenonsdelevoir,serfreaugrouperadius rad_eap.WPAestchoisiceniveau.
Dtaillonsprsentungroupedecommandeparticulier.
Lacommandebridge irbpermetdeconfigurerlepointdaccs(quiestlabaseunrouteur)detellesortequilse
comportecommeunpont(enanglaisbridge).LepointdaccsdevientdonclquivalentduncommutateurEthernet
munidedeuxinterfacesphysiques(radioetfilaire)entrelesquelleslespaquetsvonttransiter.Ilestncessairede
dclarerlesinterfacesquiparticipentceprocessusenincluantdansleurconfigurationlacommande :bridge-group
1.NoustrouvonsbiencellecisurlinterfaceradioetsurlinterfaceEthernet.
LinterfaceBVI(BridgegroupVirtualInterface)possdeuneinterfacerouteparlaquellelepointdaccsestjoignable
pour les tches administratives. Cette interface reprsente le pont tout comme linterface dadministration dun
commutateurEthernet.LenumrodelinterfaceBVI(1dansnotrecas)estlelienaveclenumrodubridgegroup(1
galement).
Lacommandebridge 1 route ipindiquequuneinterfaceIPestprsenteetqueletraficIPentrantluiestdestin.
Linterfacedot11radio0 est configure pour mettre en uvre le chiffrement des informations avec le protocole AES
(aesccm)puisestrattacheauSSIDEAPTLS.Elleparticipeaupontaveclacommandedcriteprcdemment.
LinterfaceEthernetparticipeaupontgrcelammecommande.
Viennent au final les commandes permettant la communication avec le serveur RADIUS. Deux commandes sont
prsentes. La commande ip radius source-interface BVI1 permet au point daccs de communiquer avec le
serveur RADIUS par le biais de ladresse IP affecte linterface BVI. La commande radius-server host donne
ladresse IP du serveur RADIUS ainsi que le secret partag. Attention aux valeurs des ports qui par dfaut sur le
pointdaccsnecorrespondentpartoujoursauxvaleurspardfautduserveurFreeRADIUS.
NotonsquaucunecommandevisantconfigurerladresseIPduclientfinal(DHCP)nesticiprsente.Ceciestduau
rledepont(bridge)tenuparlepointdaccs.
FonctionnementduserveurRADIUS :
/usr/sbin/radiusd -X
FreeRADIUS Version 2.0.5, for host i386-redhat-linux-gnu, built on

Jul 30 2008 at 10:41:14
Copyright (C) 1999-2008 The FreeRADIUS server project and
contributors.
There is NO warranty; not even for MERCHANTABILITY or FITNESS FOR A
PARTICULAR PURPOSE.
You may redistribute copies of FreeRADIUS under the terms of the
GNU General Public License v2.
Starting - reading configuration files ...
Listening on authentication address 192.168.1.3 port 1812
La commande figurant en premier dans la capture cidessus, permet de lancer le serveur RADIUS la main en
activantlavisualisationdesvnements.Silaconfigurationsavrecorrecte,leserveursemetencoutesurleport
1812.Lacaptureatvolontairementtronque.
rad_recv: Access-Request packet from host 192.168.1.16 port 1645,

id=22, length=127
User-Name = "vincent"

Framed-MTU = 1400
Called-Station-Id = "001b.53ba.46d0"
Calling-Station-Id = "001f.3c05.653c"
Service-Type = Login-User
Message-Authenticator = 0xd2135a7903682b3398591113c2565c66
EAP-Message = 0x0202000c0176696e63656e74
NAS-Port-Type = Wireless-802.11
NAS-Port = 265
NAS-IP-Address = 192.168.1.16
NAS-Identifier = "ap"
Nousobservonsicilarrive dune requte en provenance de notre point daccs.Yfigurentlenomdelutilisateur

ainsiqueladresseIPetlenom(ap)dupointdaccs.
auth: type "EAP"

+- entering group authenticate
rlm_eap: Request found, released from the list
rlm_eap: EAP/tls
rlm_eap: processing type tls
rlm_eap_tls: Authenticate
rlm_eap_tls: processing TLS
TLS Length 108
rlm_eap_tls: Length Included
eaptls_verify returned 11
(other): before/accept initialization
TLS_accept: before/accept initialization
rlm_eap_tls: <<< TLS 1.0 Handshake [length 0067], ClientHello
TLS_accept: SSLv3 read client hello A
rlm_eap_tls: >>> TLS 1.0 Handshake [length 004a], ServerHello
TLS_accept: SSLv3 write server hello A
rlm_eap_tls: >>> TLS 1.0 Handshake [length 085a], Certificate
TLS_accept: SSLv3 write certificate A
rlm_eap_tls: >>> TLS 1.0 Handshake [length 00a5],
CertificateRequest
TLS_accept: SSLv3 write certificate request A
TLS_accept: SSLv3 flush data
TLS_accept: Need to read more data: SSLv3 read client
certificate A
In SSL Handshake Phase
Le client et le serveur RADIUS par lintermdiaire du point daccs mettent en uvre le protocole EAPTLS. Le
certificatserveurestprsentetleserveurRADIUSdemandeauclientWiFideprsenterlesien.
--> User-Name = vincent

--> BUF-Name = vincent
--> subject = /C=FR/ST=Midi-
Pyrenees/L=Toulouse/O=TESTLAB/emailAddress=vincent.remazeilles
@laposte.net/CN=vincent
--> issuer = /C=FR/ST=Midi-
Pyrenees/L=Toulouse/O=TESTLAB/emailAddress=vincent.remazeilles
@laposte.net/CN=TESTLAB-WIFI
--> verify return:1
TLS_accept: SSLv3 read client certificate A
rlm_eap_tls: <<< TLS 1.0 Handshake [length 0106],
ClientKeyExchange
TLS_accept: SSLv3 read client key exchange A
rlm_eap_tls: <<< TLS 1.0 Handshake [length 0106],
CertificateVerify
TLS_accept: SSLv3 read certificate verify A
rlm_eap_tls: <<< TLS 1.0 ChangeCipherSpec [length 0001]
rlm_eap_tls: <<< TLS 1.0 Handshake [length 0010], Finished
TLS_accept: SSLv3 read finished A
rlm_eap_tls: >>> TLS 1.0 ChangeCipherSpec [length 0001]
TLS_accept: SSLv3 write change cipher spec A
rlm_eap_tls: >>> TLS 1.0 Handshake [length 0010], Finished
TLS_accept: SSLv3 write finished A
TLS_accept: SSLv3 flush data
(other): SSL negotiation finished successfully
SSL Connection Established
eaptls_process returned 13

...
...
rlm_eap_tls: processing TLS

rlm_eap_tls: Received EAP-TLS ACK message
rlm_eap_tls: ack handshake is finished
eaptls_verify returned 3
eaptls_process returned 3
rlm_eap: Freeing handler
++[eap] returns ok
Le certificat client est ici examin et accept mettant fin avec succs lchange SSLv3 entre le client WiFi et le
serveurRADIUS.
Nous venons de dcrire une configuration base sur EAPTLS entre un client WiFi et un serveur RADIUS par
lintermdiaire dun point daccs de type 1231. EAPTLS nest pas le seul protocole disponible pour ce genre
dauthentification.LeprotocolePEAPquenousavionsdcritprcdemmentestparfaitementefficaceetplussimple
dployercarilnencessitepasdecertificatsclients.PEAPetEAPTLSsontdisponiblesaveclesversionscourantes
dusystmedexploitationWindows.
2.LWAPP
Lesrseauxsansfilsontvictimesdattaquesvisantprincipalementdconnecterlesclientsencoursdesessionou
perturber le lien radio par lenvoi dondes lectromagntiques puissantes, concentres et diriges vers les points
daccssansfils.Dautresattaquessontdirigesverslesstationsdetravaildanslebutdedtournerlutilisateurdun
point daccs officiel pour le rediriger vers un point daccs maquill par lattaquant. Ces attaques se droulent en
deuxtemps.Lutilisateuresttoutdabordforcsedconnecterdupointdaccslgitimepuisinvitseconnecter
un point daccscontrlparlattaquant.Enfin,existentdesattaquesdirectespourlesquelleslordinateur cible est
directementvictimedelattaque.
LespointsdaccssansfildeCiscosontdespontsEthernetquinepossdentpasnativementlintelligencencessaire
ladtectiondesattaquesquenousvenonsdeciter.Lespointsdaccssontconsidrscommedesquipements
isols dont ladministration nest pas centralise. Il en est de mme pour le rassemblement des journaux
dvnements.Enltat,ladtectiondesattaquesestrenduetrsdifficile.
Afin de complter sa gamme avec une solution de scurit cohrente et intgre au maximum, Cisco propose des
quipementscomplmentairesetunprotocoledecommunicationspcifique.
Le protocole LWAPP est la premire brique de cette approche de la gestion des points daccs WiFi. Il permet de
centraliserlestchesdeconfiguration,desurveillanceetdedpannage.Lestchesdeconfigurationcomprennentla
miseenplaceetledploiementdepolitiquedescuritsousformedACL.Unautrepointquenousallonsaborderest
la gestion des ondes radios. Avec le protocole LWAPP, ladministrateur dun rseau WiFi a la possibilit de grer
(dunemanirecentralise)lespuissancesdmissiondespointsdaccs.Enmatirededtectiondesintrusions,le
protocole LWAPP se charge de centraliser les informations en provenance des fonctionnalits de sondes IDS
disponiblessurlespointsdaccs.
Deuxquipementssedmarquentdanslagammedesproduitsdegestiondesrseauxsansfil.Cesontlecontrleur
de rseau WLC (Wireless Lan Controler) et le WCS (Wireless Control System). Le WLC est un commutateur Ethernet
bas entre autre sur le chssis du Catalyst 3750. Il est possible dempiler les WLC pour augmenter la capacit de
traitement des points daccs sans fil. Le WLC doit tre abord comme le dpositaire des politiques WiFi de
lorganisationenmatiredescurit,degestiondessignauxradio,dequalitdeserviceetdegestiondelamobilit.
La mobilit est la capacit pour un utilisateur de se dplacer munis dun quipement terminal WiFi sans devoir se
rauthentifierlorsdesesdplacementsentreplusieurszonesdecouvertures.
LeWCSestunesuitelogiciellecomprenantunebasededonnesetdesapplicationswebquioffrentlapossibilitde
planifieravecprcisionleszonesdecouverturedunezonepardespointsdaccs.Lerseauunefoisoprationnel
est alors troitement surveill. Lapplicationweb,sousformedun portail, prsente des informations statistiques et
desvuesentempsreldelacouvertureradioetdetouslesincidents.Unservicedegolocalisationestgalement
disponibleafindeconnatresilebesoinsenfaitsentirlapositiondenimportequelclientsansfil.Pourconcluresurce
logiciel,lascuritestpriseencompteavecdessignaturesdattaques(crationsdesignatures)etladtectionde
pointsdaccsnonautoriss(rogueaccesspoints).Pourdeplusamplesinformations,nousvousinvitonsconsulterle
siteInternetdeCisco.

Ces quipements aux capacits et aux fonctionnalits remarquables sont relativement coteux et linvestissement
quils reprsentent doit tre compens par les services quils offrent. Limage montre une page du logiciel WCS sur
laquellesontdisponiblesdiversrapportsconcertantlascurit.
Lagolocalisationetlagestioncentralisedelacouvertureradiosontlapanagedesolutionsrservesauxrseaux
comprenantplusieursdizainesvoirecentainesdepointsdaccs.Toutefois,ilestparfaitementenvisageableavecdes
moyenslimitsauseulpointdaccsdepratiquerltudedelacouvertureradiodunbtiment.
3.Protectionautonome
Unedenosexigencesdescuritestdelimiterlaportedusignalafinquelerseauradiosoitlepluspossiblehors
deportedepersonnesmalintentionnes.Ilesttoutfaitenvisageablededterminersonprimtredetravail(et
descurit)avecunemachinedevotreparcquipedunecarterseauWiFivosstandards.
En se dplaant mthodiquement avec cette machine tout en ayant non moins mthodiquement plac un point
daccssansfil,voustracerezsurunplanlesvaleursdusignalcaptparvotrecarterseautoutaulongdevotre
parcours. Le but de lexercice est de fournir un signal radio aux utilisateurs en vitant le chevauchement des
frquencestoutennedbordantpasduprimtrefix.
Toujours en fonction de la politique de scurit il est tolr ou non que les signaux dpassent du primtre des
btiments.Iciencorelesrglagesdespuissancesdmissionsontajustsenfonctiondesbesoins.Lobjectiffixpar
lapolitiquedescuritpeuttoutfaitimposerquaucunsignalnepuissetrecaptdansledomainepublicavecun
matriel conventionnel. Hlas, des techniques existent pour amliorer considrablement la prcision et la directivit
desantennesWiFiafinderecevoirdessignauxlointainsetaffaiblisdurantleurtransmission.Nousentronsicidansle
domainedescoutesillicites.
Lapuissancedmissiondespointsdaccssansfilsestmodifiabledanslaconfigurationetilestgalementpossible
aupointdaccsdimposerunepuissancedmissionauclientsansfilenpassedeseconnecter.
ap(config)#int dot11Radio 0
ap(config-if)# power local ?
cck Set local power for CCK rates
ofdm Set local power for OFDM rates
ap(config-if)# power local cck ?

<1 - 50> One of: 1 5 10 20 30 50
maximum Set local power to allowed maximum
ap(config-if)# power local ofdm ?

<1 - 30> One of: 1 5 10 20 30
maximum Set local power to allowed maximum

Chaquetypedemodulation(CCKetOFDM)possdeunegammederglagepourlapuissancedmission.Lesvaleurs
sontdonnesenmW(milliwatt).Lemotclpourconfigurerlapuissancedmissiondupointdaccsestlocal.
ap(config)#int dot11Radio 0
ap(config-if)#power client ?
<1 - 50> One of: 1 5 10 20 30 50
local Set client power to Access Point local power
maximum Set client power to allowed maximum
Icinousobservonslespossibilitsderglagedelapuissancedmissionduclientimposesparlepointdaccs.
Aveccepetitpaneldecommandes,ilestprsentenvisageablederglerfinementlespuissancesdmissionafinde
resterdansleprimtreimposparlapolitiquedescurit.
4.Limitationsdeconnexion
Noussavonsquunpointdaccssansfilestunpontaccomplissantsatcheauniveau2dumodleOSI.Ceciimplique
si rien nest entrepris une connectivit totale entre les clients sans fil ayant russi se rattacher au point daccs.
Ceciesttoutfaitconcevablesilondsiremettreenserviceunrseauentirementouvertauseinduqueltoutun
chacunalapossibilitdecommuniqueravectouslesmembresconnects.Mais,danslemondedelentrepriseetdu
service,cetteapprochenestpasdemiseetlespolitiquesdescuritimposent(laplupartdutemps)unelimitation
strictedescommunications.
Notrepointdaccssansfilvarecevoiruneconfigurationlimitantsonenclinnaturelquiconsisterelierentreeuxtous
lesclientssansfiletdelesconnecterensembleaurestedurseaufilaire.
Les points daccs Cisco offrent la possibilit dassocier les VLAN au SSID. Un rsum extrmement bref serait
dnoncer le principe suivant : chaque SSID son VLAN, sa mthode dauthentification propre et sa plage
dadressesIPCeciesttrssduisant.Leschmacidessusnousmontreunetelleconfiguration.
Icinousobservons :
un transporteur de VLAN sur un lien physique unique aussi appel trunk qui relie un point daccs un
commutateurdotdefonctionsderoutage
deuxSSIDpropossparlepointdaccsetcorrespondantauxVLANWiFiLABetGUEST
pourchaqueSSIDquunepolitiquedauthentificationspcifiqueestpropose
surlquipementdinfrastructure :lesdeuxVLANprcitsetleVLANdadministration(hbergeantleserveur
RADIUSparexemple).
Les tendues DHCP mises la disposition des clients ne sont pas reprsentes pour des raisons de clart sur le
schma.Examinonslaconfigurationdupointdaccs.

ap(config-if)#int dot11Radio 0.1
ap(config-subif)#encapsulation ?
dot1Q IEEE 802.1Q Virtual LAN
ap(config-subif)#encapsulation dot1
ap(config-subif)#encapsulation dot1Q ?
<1-4094> IEEE 802.1Q VLAN ID
ap(config-subif)#encapsulation dot1Q 1 ?
native Make this as native vlan
second-dot1q Configure this subinterface as a 1Q-in-1Q
subinterface
<cr>
ap(config-subif)#encapsulation dot1Q 1 native
ap(config-subif)#exit
------------------------------------------------------------
ap(config-if)#int f0.1
ap(config-subif)#enca
ap(config-subif)#encapsulation dot
ap(config-subif)#encapsulation dot1Q 1 native
Tout dabord nous configurons une sousinterface sur linterface radio. Pour mmoire une sous interface est cre
lorsquelonfaitdirectementsuivreladsignationdelinterfaceparunpointsuividunchiffrequidsignelenumro
dordredelasousinterface.Ici,nouscronslasousinterfacenumro1etnouslaffectonsauVLAN1enindiquantde
surcroitquilsagitduVLANnatif.
Puis,lidentiqueunesousinterfaceestcresurlinterfacefilaire.ElleestgalementrattacheauVLAN1.Cesdeux
sousinterfacesmembresduVLAN1sontautomatiquementliesaubridge-group 1prcdemmentcr.Rappelons
quecemmebridge-group 1estlilinterfaceBVI1.
Toutcecipeutsemblerconfus,maisilfautgarderlespritqueCiscoutilisefrquemmentdanslesconfigurationsles
chiffresetlesmotsclspourlierlescommandesentreelles.
!
interface FastEthernet0.2
encapsulation dot1Q 2
no ip route-cache
bridge-group 2
no bridge-group 2 source-learning
bridge-group 2 spanning-disabled
!
interface FastEthernet0.3
no ip route-cache
bridge-group 3
Voiciunextraitdelaconfigurationdessousinterfacesfilairesnumro2et3rattachesauxVLAN2et3.
!
interface Dot11Radio0.2
no ip route-cache
bridge-group 2
bridge-group 2 subscriber-loop-control
bridge-group 2 block-unknown-source
no bridge-group 2 unicast-flooding
!
interface Dot11Radio0.3
no ip route-cache
bridge-group 3
bridge-group 3 subscriber-loop-control
bridge-group 3 block-unknown-source

no bridge-group 3 unicast-flooding
Ici,nousobservonsdanscetextraitlaconfigurationcorrespondantesurlessousinterfacesradio.
ap(config)# dot11 ssid WIFILAB

ap(config-ssid)# vlan 2
ap(config-ssid)# authentication open eap eap_methods
ap(config-ssid)# authentication network-eap eap_methods
ap(config-ssid)# authentication key-management wpa
-----------------------------------------
ap(config)# dot11 ssid GUEST

ap(config-ssid vlan 3
ap(config-ssid authentication open
ap(config-ssid mbssid guest-mode
Ici,lesdeuxSSIDsontcrsetassocisrespectivementauxVLAN2et3.Sontaussiprcisslesmodesetmthodes
dauthentification.
ap(config)#interface Dot11Radio 0
ap(config-if)# encryption mode ciphers aes-ccm
ap(config-if)# encryption vlan 2 mode ciphers aes-ccm
ap(config-if)# broadcast-key change 1800 membership-termination
capability-change
ap(config-if)# broadcast-key vlan 2 change 1800 membership-
termination capability-change
ap(config-if)# ssid GUEST
ap(config-if)# ssid WIFILAB
Les deux SSID prcdemment crs sont associs linterface radio principale. Le mode de chiffrement que nous
avionspralablementchoisiestconserv.
Enfacedecetteconfiguration,ilfaut :
disposerunquipementdeniveau3recevantletrunksuruneinterfacephysique
crerdesinterfacesdetypeVLANquifontofficedepasserellepardfautpourlesclientsdesSSID
associerchaqueinterfaceVLANunserviceDHCPpourlesclientssansfil.
switchport trunk allowed vlan 1-3
switchport mode trunk
LinterfaceestprsentementconfigurepouraccueillirlesVLANde13.
vlan 2
name WIFILAB
!
vlan 3
name GUEST
!
interface Vlan1
ip address 192.168.1.254 255.255.255.0
no ip route-cache
!
interface Vlan2
ip address 192.168.2.254 255.255.255.0
no ip route-cache
!
interface Vlan3
ip address 192.168.3.254 255.255.255.0
no ip route-cache

LesdeuxVLANWIFILABetGUESTsontactivsaveclestroisinterfacesVLAN.LesadressesIPsontlespasserellespar
dfautdesclientssansfilraccordscesVLAN.LeVLAN1dansnotrecasnestpascrcarilexistetoujours.
service dhcp
!
ip dhcp excluded-address 192.168.2.254
ip dhcp excluded-address 192.168.3.254
!
ip dhcp pool WIFILAB
network 192.168.2.0 255.255.255.0
dns-server 192.168.4.1
default-router 192.168.2.254
!
ip dhcp pool GUEST
network 192.168.3.0 255.255.255.0
default-router 192.168.3.254
dns-server 192.168.4.1
LeserviceDHCPestactivsurlquipementdeniveau3(service dhcp)puislesadressesdespasserellespardfaut
sontexcluesdestenduesafindenepassevoiraffectesunclient.
Deux tendues (dhcp pool) sont actives et rfrencent pour chacun desVLANlapasserellepardfautainsiquun
serveurDNScommun.LelienentrelestenduesDHCPetlesinterfacesdetypeVLANseffectuesurlacorrespondance
entrelesadressesderseaudestendues(network)etlesadressesIPdesinterfacesVlan.
Un problme se pose toutefois ce niveau. Si rien nest fait, les membres du VLAN WIFILAB et GUEST peuvent
changerdespaquetscequinestpassouhaitable.Cephnomneestnaturelcarlquipementdeniveautroisroute
nativemententresesinterfaces.LesACLunefoisencoreviennentdnouerlasituation.Cependant,lesclientsausein
dun VLAN sur le point daccs ont encore la possibilit de dialoguer entre eux ce qui nest pas conforme aux
exigencesdescurit.DenouvellesACLserontpositionnessurlesinterfacesroutes.Enfin,lesclientssansfilsne
sauraient communiquer avec une autre adresse source que celle qui leur a t communique. Faisons le point en
nousposantcommeobservateurdespaquetsentransitsurlinterfaceVLAN.Ilneresteplusqutraduireletableau
suivantenACLdetypetendues.
AdresseIPSourceduclientsansfilfournieparDHCP. Autoris
AdresseIPSourceduclientsansfilnonconforme. Interdit
AdresseIPdedestinationcorrespondantuneadresselocaleauVLANdappartenance. Interdit
AdresseIPdedestinationnonlocaleauVLANetautoriseparlapolitiquedescurit. Autoris
5.Timeouts
La dernire exigence stipule ( demimots) quun client inactif durant un certain temps doit tre dconnect du
rseau.Danslemmeespritondsirelimiterlaccsaurseausansfilcertainesplageshoraires.
La commande dot1x reauth-period en mode gnral permet de forcer un client authentifi se rauthentifier en
fonctiondutempsparamtr.
Pourlimiterlaccsaurseausansfil,unemthodeconsistepositionneruneACLassocieuneconditiondetemps
(time based ACL). Ceci est intressant pour limiter laccs des invits (voire des employs) audel dune certaine
heure.
6.Autresmesures
LechampdesmesuresdeprotectiondesrseauxsansfilestsivastequeCiscoaintgrdanssagammedeproduits
unesolutiondesondeIDS(IntrusionDetectionSystem)basesurlanalysecomportementaledutraficpassantparles
pointsdaccsoucaptpareux.Lestentativesdereconnaissancedurseausontainsidtectesetsignalessous
formedunealarme.Pourcefairelespointsdaccssansfilpeuventtreconfigursafindofficiercommedessondes
passiveslcoutedurseauradiodansleurprimtre.
La solution porte le nom de WCS (Wireless Control System), elle se compose dun service installer sous Microsoft
WindowsouLinuxRedhatEnterprise5etduneinterfacedadministration.
LepointdaccssansfilquenousavonsutilispeuttreconfigurafindeparticiperunrseaudesondeIDSsans
fil, aprs avoir dclar son rattachement une station WDS le point daccs est configur en mode scanner ou en

modemonitor.Lemodescannersurveilletouslescanauxalorsquenmodemonitor,lepointdaccsnesurveilleque
lecanalsurlequelilestconfigur.

Conclusion
Les connexions sans fil aux rseaux dentreprise ou Internet sont trs populaires et disponibles sur une gamme
tendue de matriels commencer par les ordinateurs personnels, mais aussi les assistants personnels et certains
modlesdetlphones.LemodledescuritduWiFiaconnudssesdbutsdegravesproblmesdescuritdont
il hrite encore cause de la compatibilit descendante que le protocole se doit de maintenir. WEP est toujours
disponiblealorsquesonutilisationnestfranchementpasrecommande.
Fort heureusement, la situation sest considrablement amliore avec la mise en service des protocoles WPA
notammentdansleurversionentreprise.Laconditionsinequanonuneamliorationdelascuritdesrseauxsans
filestdedployersystmatiquementcesprincipesenlescouplantdesmcanismesdauthentificationforte.Ici,les
serveurs RADIUS adosss des bases de comptes comme Active Directory ou de jetons usage unique sont
recommands.
Un point primordial est aussi la prise de conscience collective et individuelle des risques lis linstallation non
autorisedepointsdaccsoudecartesrseausansfil.Cesinitiativesmalheureusesentraventetvontlencontrede
touteslesmesuresdeprotectionquenousvenonsdvoquer.

Larchitecturerseauetscurit
Un rseau est soumis rgulirement de nombreuses volutions et modifications qui sont le fruit dune rflexion
impliquantletravailduservicedarchitecture.Lesentrepriseslesplusmodestesnesontpasdotesduntelservicequi
resteenrglegnralelapanagedesgroupesplusgrands.Toutefois,larflexionsurlestenantsetlesaboutissants
dune volution relve de la mme logique. Ce travail soulve principalement des questions concernant limpact des
modificationssurlexistantetlamaniredeprocderlintgration.Lestchesduservicedarchitecturesilexistesont
rparties autour de ples lis aux spcialits qui composent le systme dinformation et nous y trouvons tout
naturellementdesspcialistesdelascuritetdesrseaux.Pourcespersonnes,uneconnaissanceapprofondiede
lexistantestimprativepralablementtoutetudedvolutiondurseau.Pourlesentreprisesdetaillemodeste,le
responsable informatique fait office darchitecte et prend conseil auprs de ressources extrieures tout en restant
matredeseschoix.
Lesrseauxontbnficicesderniresannesdavancestechnologiquesdansledomainedelascurit.Citonsau
passagelesprotectionsdiversesetvariesfacelInternet,lavnementdelatlphoniesurIPetdesrseauxsans
fil. De nos jours, de nombreuses socits ouvrent leur rseau leurs partenaires dans le but de leur permettre
daccderdesapplicationsoudesdocuments.Toutcecisoulvedemultiplesquestionsauxquelleslesarchitectes
dudomainerseauetscuritsontsommsderpondrepournepascompromettrelabonnemarchedelentreprise.
Uneapprochemthodiqueconsistescinderlarchitectureglobaleenzonesfonctionnellesrecevantchacuneunniveau
descuritenfonctiondesapositionetdesonrle.
Les techniques que nous avons abordes lors des chapitres prcdents vont ici tre mise contribution. chaque
zonedescuritnousferonscorrespondreunjeudemesurestechniquesetorganisationnelles.
Il est important de comprendre quaudel de la protection du seul rseau, larchitecture de scurit a pour objectif
ultime la disponibilit des applications et des donnes. Le schma montre en entre (bulles suprieures) les
composantesdelarchitecturescuriseetensortiedecelleci,lesservicesfournisauxdiversprocessusdployspar
lentreprise.
Nousallonsprsenterdanscechapitreleszonesdescuritquiconnecteslesunesauxautresconstituentlerseau
scurisdanssonentiret.Nousallonsmettreencorrespondancepourchacunedeszoneslesfonctionsdescurit
abordesaucoursdeschapitresprcdents.

LavisiondeCisco
Ciscoprsenteunconceptnomm"theselfdefendingNetwork",lerseauquisedfendseul,lerseauautodfense.
Cette approche de la scurit des rseaux stend toutes les couches du modle OSI et offre des services
scuritaires aux quipements, aux utilisateurs et aux applications. Cette offre est troitement connecte des
systmesdecontrleetdesurveillance.Ceconceptsedclineensolutionscestdireenproduitsquisontintgrs
larchitecturerseau.Ilenrsulteunearchitecturerseauscurise.
LestroisgrandesfamillesdesolutionsintroduitesparCiscosont:
le contrle des menaces pour les infrastructures, les quipements dextrmit et la messagerie dont les
produits entre autres englobent : les parefeu, les systmes de prvention et de dtection dintrusion, les
contrleursdaccsaurseau,lesagentsdescurit,lespasserellesdemessagerie
la scurit des communications dont les produits fournissent des services IPSec ou VPN SSL : ce sont les
routeursetlesparefeu
le contrle daccs au rseau avec lquipement NAC (Network Access Control) qui contrle la scurit des
quipementsvoulantseconnecteraurseau.
Ces trois grandes familles de produits sont rparties sur des zones de scurit qui correspondent aux zones de
sgrgationhabituelles.Pourmmoire,unezonedesgrgationcorrespondundcoupagefonctionneldurseaude
lentreprise en rgions. Ces rgions sont connectes les unes aux autres avec un certain niveau de scurit. Ce
principeestdiamtralementopposceluiderseau"plat"ouschmatiquementtouslesquipementspartagentle
mmerseauphysiquevoirelogique.
Ciscorecommandedoncdescinderlerseauenzonesquisont:
linfrastructurequireprsentelerseauinterne.Cederniertantsontourdivisentroiszones
lesfiliales
les rseaux longue distance (WAN). Il sagit des zones dinterconnexions entre lentreprise et ses filiales via
desrseauxdedonnesfournispardesprestatairesdetlcommunications(fournisseurdeserviceInternet,
oprateurTlcom)
lazoneDMZ
les zones applicatives ou (Datacenter) qui comprennent les aires de stockage, les centres applicatifs et les
servicesdetlphoniesurIP.

Dcoupageenzonesdescurit
Nousallonsdonnerunaperududcoupagequipermetdaffecterchaquezonedesfonctionsdescuritbasessur
sonrle.Cedcoupagefonctionnelfaciliteconsidrablementlestchesdesurveillanceetdadministrationenciblantles
mesuresdescuritenfonctiondelazoneconcerne.Deplus,chaquezoneobtientunecertaineindpendancedans
sa gestion ce qui ne remet pas en cause la gestion de la scurit des autres zones qui lentourent.Toutefois,ilfaut
garderenmmoirequelascuritdunezoneesttroitementdpendantedecelledeszonesquilentourent.
Quelquesrglessontobserverencequiconcernelacrationetlexploitationdeszonesdescurit :
un quipement ou un hte qui viendrait changer de zone doit se conformer aux rgles de scurit de la
nouvelle zone. Ceci est du ressort de la scurit systme et vise tout particulirement les processus de
renforcement(OSHardening).
letraficnedoitpastransiterentredeuxzonesdanslesensdelazonelamoinsscuriseverslazonelaplus
scurise.
1.Lazoneinfrastructure
La zone infrastructure est la premire des zones de scurit considrer car elle est au centre du systme
dinformation.Ltenduedecettezonecomprend,danslecadredecelivre,lec urdurseauetlazonedaccs.Les
documentspublisparCiscoontintroduittroiszonesdebase :
Leszonesdaccssontlextrmitdurseauetcomprennentlescommutateurssurlesquelssontconnects
lespostesdetravail.Leszonesdaccssontdrivesendeuxfamilles :
Leszonesdanslesquellessontfournisdesaccsfilaires.
Leszonesdanslesquellessontfournisdesaccssansfil.
Les zones dagrgationsontconstituesparleregroupementdeszonesdaccsetsontreliesauc urdu

rseauavecunniveauderedondance.
Lec urderseauestcomposidalementdquipementsrapidesquirelaientletraficdunezonelautre.

Sur le schma reprsentant la zone dinfrastructure, les zones daccs et dagrgation sont confondues. Cette
architectureestconseillepourlesstructuresdetaillemoyenne.
Nousavonsdcomposlazoneinfrastructureentroissouszonesenregarddesquellesnousallonsfairefigurerun
groupedquipementdescuritoudetechniquesvoquesdansleschapitresprcdents.
Lazonedaccsestessentiellementscuriseautourduniveau2.Cest ici quintervientlauthentificationobligatoire
avanttoutepossibilitdecommuniquer.Limplmentationduprotocole802.1Xestrecommande.Cettefonctionest
combinableaveclestechniquesquilimitentlescommunicationsunefoislaconnexiontablie.Citonsentreautresles
VACL et les private ACL. Nous avons galement notre disposition toutes les mesures de protection contre les
attaquespardnideserviceouparusurpationdesessionquesontdynamicarpinspectionetDHCPsnooping.
Lazonedagrgationestsitueimmdiatementlasuitedelazonedaccslaquelleellepeuttrecombinedes
finsdesimplification.Ici,larchitecturefaitintervenirleroutageentreleszonesdaccsetlerestedurseauavecles
limitations imposes par la politique de scurit. Ce sont donc les techniques de scurit au niveau 3 qui prvalent
commelefiltrageinterVLAN,lesACLdetoustypesetbiensrlaprotectiondesprotocolesderoutage.
Lazoneduc urderseaunereoitpasproprementparlerdefortesmesuresdescuritcar,tantaucentredece
dernier,ellebnficiedelascuritdeszonesquilentourent.Deplus,larapiditdetraitementestdemiseausein
de cette zone qui ne saurait souffrir daucune latence due de coteux contrles. Malgr tout, la scurit de cette
zoneexiste.Elleseconcentreautourdesprincipesdescuritdesquipements,desprotocolesderoutageetdela
sretdefonctionnementgrceauxmultiplestechniquesderedondance.
Il va sans dire que la zone dinfrastructure bnfice dune scurit physique renforce eut gard son rle
minemment stratgique. Ici, la moindre interruption de service dunlien,mmepriseenchargeparlaredondance,
doittreremiseentatleplusrapidementpossible.Eneffet,ladfaillancedunlienbienquepriseencompteparun
dispositifdesecoursprsenteuneprisederisquenotableencasderuptureduliendesecours.Ici,ilestimportantde
disposerdunsystmedalerteefficaceenmesurededtectertoutdfaut.
2.Filiales
Unefilialeestunezonepartentiredelentrepriseetdisposeenrglegnraledemoyenslimitspourassurersa
propre scurit. Ici, lefficacit maximale est recherche avec un nombre rduit dquipements. La filiale est
gnralement traite comme une extension du rseau local et ce titre bnficie de tous les services applicatifs.
Toutefois, une filiale dispose rarement dun c ur de rseau part entire et sappuie frquemment sur un unique
quipement multifonction qui a pour mission de grer la scurit et les connexions vers le site central. La scurit
dunefiliale(considrecommeuneextensiondurseaulocal)estsensiblementidentiquecelledeszonesdaccset
dagrgation. Ici, le protocole 802.1X est charg dassurer une stricte authentification des utilisateurs ainsi que la
distributiondedroitsdaccsrseausouslaformedACLreuesaprsleprocessusdeconnexion.Toutcommesurle
rseaudusitecentral,lepaneldesprotectionsdelacouche2estentirementdisponiblepouroprerdessparations
entredeszonesauxdegrsdeconfidentialitdivers.
Lescommunicationsdelafilialeverslesitecentralsonthabituellementchiffres.Cettemesuresejustifiepleinementsi
le rseau Internet est vou cette tche dinterconnexion. La suite IPSec est tout naturellement indique pour
accomplir cette tche entre un quipement de la filiale (mutualis) et un quipement ddi sur le site central. Bien
entendu,des ACLoprentunesgrgationentreletraficchiffreretceluiautoristransiterenclair.Cecijustifie
amplementunetudepralableafindedterminerlestypesdetraficprotger.

Cette notion est importante car les ressources consommes par les processus de chiffrement peuvent se rvler
importantes. La zone filiale dploie sur lquipement de connexion toutes les protections ncessaires visvis des
rseauxextrieurs.CecisappliquetoutparticulirementsilInternetestutilispourlaconnexionverslesitecentral.
Noustrouvonsici,lesACLdontlebutestdefiltrerlesbogonnetworksetdesmesuresvisantlimiterlestentativesde
connexionfrauduleusesutilisesdesfinsdesaturation.
Nous avons abord au chapitre "La scurit de la couche rseau" la notion de logon network. Il sagit de
lensemble des rseaux IP non attribus sur Internet dont la liste est disponible sur lURL suivante :
www.iana.org/assignments/ipv4addressspace
Lafiguremontreunezonefilialerelativementsimplepourlaquelledeuxquipementssontenservice.Lecommutateur
EthernetainsiquelerouteursontparfoisintgrsdansunquipementuniquecommeleparefeuASA.
3.WAN
LazoneWANestraccordeauxdiversesinterfacesquilarelientaumondeextrieur.

Ainsi,unsousrseauestattribuaurecueildescollaborateursnomades,unautrecorrespondauxarrivesInternet
etundernierestddiauxfiliales.LascuritsurcettezonecomprendlesACLquicartentdurseautouslestrafics
indsirables en provenance dInternet et la protection logique des quipements. Ces ACL reprennent les bogon
networks.Ilestprimordialdeprendrelesmesuresdeprotectionvisantlimitercertainstypesdetraficenfonctionde
leurdbitafindeseprmunircontrelesattaquesparsaturation.
LesarrivesdespersonnelsnomadesseffectuentsurlesquipementsddisquesontlesconcentrateursVPNoules
parefeu. Ces derniers embarquent des fonctions de chiffrement de type IPSEC ou SSL. Nous aborderons cette
spcificitdanslechapitreconsacrauxparefeu.ChaquearriveWANestlieunepolitiquedescuritrelativeaux
technologies dployes qui portent par exemple sur la force du chiffrement, lauthentification des utilisateurs et les
ACLspcifiquesdonthritentlesutilisateursunefoisquilssontauthentifis.
LazoneWANassuregalementlerecueildesconnexionsenprovenancedesfiliales.Lesliaisonssonttabliessurdes
ligneslouesousurInternet.Enfonctiondutypedeliaison,lesmesuresdeprotectiondiffrent.Silaliaisonutilise
unevoieloue,ilestimportantdesassurerauprsdeloprateurdetlcommunicationsdelabonneisolationentre
lerseaudinterconnexionetlesrseauxdeloprateurvoireceuxdautresclients.
Lentre de la zone WAN mrite une troite surveillance des interfaces afin de visualiser toute irrgularit dans le
trafic.Unpicouuncreuxdetraficindiquentsouventlimminencedunproblmeplusgrave.
LesparefeuetlesrouteurssontlesprincipauxintervenantsdanslazoneWAN.Ilestnoterquelesdeuxfonctions
peuventfigurersurlemmequipement.
4.LazoneDMZ
Les DMZ (Demilitarized Zones) sont apparues avec la ncessit de mettre disposition sur Internet des services
applicatifsetdedonneraccsverslextrieurauxpersonnelsdelentreprise.Silonconsidrelafournituredeservice,
ilesttoutfaitinconcevableentermedescuritdautoriserunaccsinternedesclientschappanttoutcontrle.
Ainsi naquit lide de positionner ces services sur une zone dporte formant cran entre le domaine public et le
rseauinternedelentreprise.
Une DMZ est donc une zone tampon situe entre ce qui est considr extrieur et ce qui est considr intrieur
linfrastructurecentrale.UneDMZdisposedediversdispositifsdefiltragerseau,maisaussiderelaisapplicatifsdans
lebutdenerienlaisserentrerdirectementauseindelinfrastructure.
LesDMZsontconnectesparlehautlazoneWANsurlaquelleentrentlesconnexionsenprovenancedelextrieur
du rseau et par le bas la zone dinfrastructure. Le schma montre trois DMZ organises comme suit : une DMZ
externe,uneDMZdetransitetuneDMZinterne.Lesdeuxzonesdextrmithbergentdesrelaisapplicatifs(internes
ou externes) qui sont habituellement des serveurs de messagerie, des relais HTTP (web proxies) et des relais de
rsolution de nom (DNS). Ces relais possdent leur propre systme de dfense. La DMZ de transit quant elle
hberge opportunment des dispositifs de dtection dintrusion et de vrification de code comme par exemple les
firewall XML de Cisco car le trafic nest analysable quune fois quil est dchiffr. Les zones DMZ peuvent galement

hbergerdesapplicationsautonomesdontlesdonnesproviennentdelintrieurdurseau.Icisappliquelargledu
moindreprivilgequiindiquequeletraficnesauraittreinitialisdunezonefaibleniveaudescuritversunezone
dontleniveaudescuritestpluslev.Cestpourcetteraisonquetroisflchessontdessinessurleschma,cela
indiqueentreautresquelesdonnesprsentesdanslesDMZproviennentdelintrieurdurseauetquenaucuncas
uneentitdelaDMZ(unserveurparexemple)nevadesonproprechefrechercherdesdonneslintrieurdela
zoneinfrastructure.Desexceptionsexistenttoutefoisafinderendrevisibledelextrieurlerseauduneentreprise.Il
sagit alors de laisser pntrer dans les DMZ publiques le trafic en provenance de lextrieur. Ces drogations font
lobjetderglesdescuritdanslesconfigurationsdesquipementsetdunetroitesurveillance,ellessontdeplus
limitesauxpremireszones,voireuneseulezoneditepublique.
5.LazoneDatacenter
La zone Datacenter hberge les serveurs centraux et des baies de stockage de grande capacit. La notion de
Datacenter implique une concentration des moyens en un lieu unique dont la scurit logique est lune des
composantesfortes.UnDatacentercombineeneffettouteslescomposantesdelascuritetrequiertunniveaude
disponibilit la hauteur de la criticit des informations quil hberge. Les mesures de protections associes au
Datacentervontdelaprotectionphysiquedesaccs,laredondancelectriqueenpassantparlaprotectioncontre
les incendies et la surveillance de la qualit de lair ambiant pour nen citer que quelquesunes. Lobjectif du
Datacenterestavanttoutechose,ladisponibilitdelinformation.
Le Datacenter dispose de sa propre scurit au niveau des systmes dopration et se repose sur la scurit du
rseaupournerecevoirquedesdemandessurlesservicesquiloffre.titredexemple,unefractionduDatacenter
fournissant des services de type http (WEB) attend uniquement des connexions sur le port 80. Celuiciseraleseul
autorisenentresurladitezone.
LascuritauniveaurseauduDatacenterreposeprincipalementsurledploiementdACLquivisegarantirquele
trafic entrant autoris correspond aux services fournis par le Datacenter. Il en va de mme en sens inverse en
sassurantdelacorrespondancedutraficsortantaveclesrequtesmisesdelextrieur.
Cest ici aussi la politique de scurit qui dicte les choix en matire de sens dinitialisation du trafic. Le Datacenter
tant une zone interne, le trafic qui y transite nest habituellement pas chiffr. Cette disposition favorise le
dploiementdedispositifdanalyseetdesurveillancecommelessondesdedtectionsdintrusionsfinementajustes
sur les trafics caractristiques de la zone. Sil est dcid de chiffrer le trafic, il conviendra de disposer de relais si la
surveillanceestsouhaite.
Unezoneauseindudatacentersedmarque,ilsagitdecellequireoitlesservicesdetlphoniesurIP.Cettezone
est idalement isole car la tlphonie est un service hautement stratgique tant par sa confidentialit que par la
hautedisponibilitquilncessite.

Lesparefeu(Firewalls)
Lecimententrelesdiverseszonesquenousvenonsdexaminerestleparefeuoufirewallenanglais.Lesparefeuont
pourrledefiltrerletraficenfonctiondesinformationscontenuesdanslescouches3et4dumodleOSI.Lvolution
desparefeuverslesmodlesconservantltatdessessions(modlesstateful)autoriseunsuividusensdinitialisation
desconnexionscequiesttrsutileentreautressurlemodledechanagedesDMZochacunepossdeunniveaude
scuritquiluiestpropre.Commeexpliqudanslechapitresurlascuritauniveau3,lapolitiquedescuritimpose
quelesfluxsoienttoujoursinitialissdunezonedontleniveaudescuritestlevversunezonedontleniveaude
scurit est infrieur. Les contrles dtat des connexions se charge de laisser entrer les paquets retours venant en
rponseauxtraficsinitiaux.
Ce schma montre un parefeu laissant passer les trafics faisant partie dune session autorise et bloquant un trafic
provenantdunezonedunfaibleniveaudescuritettentantdetrouverunpassageverslintrieurdurseau.
LesrouteursCiscoetlescommutateursdeniveau3sontaptesremplirlerledeparefeuentreleszonesconues
parlarchitectedescurit.Cependant,lalimitedesparefeuestflagrantesilonseplaceauniveaudescouchesdites
hautesdumodleOSI.Eneffetunfiltragemmeavecmmorisationdeltatneprotgeaucunementunservicecontre
une attaque purement applicative cestdire exploitant une faille dans un programme donn. Nous entrons ici dans
luniversdesattaquesentreautresparinjectiondecodemalicieuxdunclientversuneapplication.
Ilestdevenuindispensabledeprotgerlesapplicationscontrecetypedemalveillancequinesontpaspriseencompte
par les firewalls classiques. Le dploiement (pour le protocole http) de relais (proxies) et de relais inverss (reverse
proxies)dotsdefonctionsdescuritrpondparfaitementcetteexigencedefiltrageentrelesclientsetlesserveurs.
CesquipementsembarquentdenombreuxcontrlescommelefiltragedURLetlesscannersantivirus.
Linscurit crot aussi avec lutilisation intensive de la messagerie et des services Web dont les flux transitent entre
applications grce la souplesse du langage XML embarqu lintrieur des protocoles HTTP ou HTTPS. Comme le
montre le schma cidessus, les flux 1 et 2 sont grs par le contrle dtat et sont autoriss transiter dans des
directionsenfonctiondesrglesdescurit(ACLCBAC).Leflux3,inconnuestarrt.Letrafic,bienqutantconforme
auxrglesdescurit,vhiculepotentiellementducodemalveillantetlquipementdefiltragesiperfectionnsoitilny
verraquedufeu.

Conclusion
Larchitecture de scurit du rseau est troitement lie larchitecturedurseau.Cetteimbricationnest pas sans
soulever quelques problmes lors des volutions qui ne manquent pas de se produire dans les deux domaines. Les
volutionsdanslunoulautredomainencessitentuneparfaitesynchronisationainsiquuneparfaitedocumentation.
Les zones darchitecture que nous venons dvoquer impliquent une division logique du rseau et le passage dun
rseau dit " plat" un rseau hirarchis. Ce remaniement saccompagne opportunment dune refonte du plan
dadressageIPetdunrenforcementdufiltrageentreleszones.
Toutcommelapolitiquedescurit,larchitectureestenperptuellevolutioncardenouvellesfonctionnalitsetde
nouveauxprocessusviennentenrichirlesservicesdontlentreprisebnficieouquelleoffresespartenaires.Toutes
cesouverturesexposentlesystmedinformationdenouveauxrisquesetdenouvellesmenaceslesquellesseront
traitespourunrenforcementdelascuritarchitecturale.

Ncessitdeprotgerlesquipements
Cblesarrachs,alimentationscoupes,motsdepasseperdusetconfigurationseffacessontlelotcommundeceux
quineprtentaucuneattentionlascuritphysiqueetlogiquedesquipementsdurseau.
Lesquipementsdecommunicationmritentquelonsintresseeuxdeprsencequiconcernelascurit.Car,si
toutes les mesures de protection logiques des couches rseau sont correctement prises, il serait particulirement
gnantdebriserlachanedesfluxcausedunquipementdontlascuritintrinsqueauraittnglige.Deplus,
lesconfigurationsinternesdesmatrielscontiennentdeslmentshautementconfidentielsetrvlentrapidement
un ilexercunepartiedelarchitecturedurseauetdesascurit.
La ncessit de procder une scurisation rigoureuse dun routeur ou de tout autre matriel est ds lors toute
justifie.
Unepolitiquedescuritdestineauxquipementsdurseausavre ncessaire et doit dcrire les exigences ainsi

quelesprocduresdadministrationetdexploitationscurises.
Nousallonsdiviserlesexigencesdescuritentroispartiesdistinctes.Lapolitiquequiendcouleracomprendradonc
galementtroisparties.Nousallonstoutdabordnousintresserlascuritphysiquedelquipement,sascurit
logiqueetlaprotectiondesconfigurations.

Exigencesdescuritetsolutions
1.Physique
Abordonstoutdabordsousformedetableaulesexigencesdescuritphysique.Nousmettronsenfacedechaque
exigenceunebrvedescriptiondelasolutionavantdeladvelopper.
Exigencesdescuritphysique
Lerouteurseraphysiquementprotg. localprotgaccsscurisparbadgeavec
enregistrementdesaccs.
Lecblageseraidentifiable. attachementdescbles,tatdesconnecteurs,
reprage.
Lalimentationlectriqueseragarantie. alimentationredondante.
Latempratureresteradanslesnormespublies sondedetempraturedanslelocaletsurveillance
parleconstructeur. descompteursSNMPsurlquipement.
LachargeCPUetmmoireserasurveille. SurveillancedescompteursSNMP.
Lachargedesliensrseauserasurveille. SurveillancedescompteursSNMP.
a.Protectionphysique
NousavonsdjabordcetaspectdelascuritaveclacouchephysiquedumodleOSI.Toutefoisici,nousentrons
dansledomainedelascuritdesinstallationsinformatiquesquivontdusimplelocaltechnique,lasallemachine
enpassantparledatacenter.
Toutquipementsedoitdebnficierduneprotectionphysiquelahauteurdesoncotmaisgalementdeson
importanceauseindurseau.Lestechniquesdedtectionetdeluttecontrelesincendiesdpassentlecadredece
livremaissontprimordialesetprendreencomptelorsdelaconstructiondunlocalvocationinformatique.
Laprotectionphysiquedunquipementrseausetraduitparsoninstallationdansunlocaldontlescaractristiques
deprotectionphysiquerespectentltatdelart.Nousparlonsicidecontrledesaccslasalleinformatiqueetde
la capacit de ce contrle tenir un journal permettant de retracer les entres et les sorties. Les exigences de
scurit (et donc la politique de scurit) imposent parfois le recours une armoire spcifique et scurise pour
laccueildesquipementsrseau.
Lecblageinformatiqueestundomaineminemmentstratgiqueetilesttrsimportantdedisposerduninventaire
prcis et complet indiquant les chemins. Les quipements dinfrastructure du rseau peuvent occuper une place
partentiresurleplandecblagedelentreprise.Decettemanirelorsquesurvientunvnementcritique,ilest
plusaisdedfiniruncheminalternatifoudecouperdeslienssincessaire.Auniveaudechaquequipement,un
reprage mticuleux des cbles rattachs aux quipements savre indispensable tout dabord pour identifier les
extrmits dans un mme local. Ici, il est opportun de disposer dune base de donnes contenant lensembledes
quipements,leursconnexionsetlescblesquiysontrattachs.
quipement Interface IDCble EquipementArr InterfaceArr
RouteurXXX InterfaceFx/x CbleNYYY SwitchZZZ InterfaceFy/yy
Ce bref exemple montre un exemple dinventaire de cblage avec lequel il est ais de retrouver un chemin. Cette
techniqueestaussivalablepourlesstationsdetravail.Lescblesrseauxmunisdtiquettesprnumrotessont
largementdisponiblesetilexisteaussidenombreuxsystmesdtiquetageindustrielspermettantdidentifiertous
typesdecbles(rseauxetlectrique).
b.lectricit
Les systmes dalimentation lectrique haute disponibilit ne sont pas accessibles toutes les entreprises. Les
systmes dalimentation lectrique totalement redondants sont coteux car ils mettent en uvre des sources
alternativescomprenantdessriesdebatteriesetdesgroupeslectrognesmoteurthermique.Lentretiendune

telle installation requiert de surcroit une main d uvre spcialise. Les onduleurs, en cas de coupure lectrique,
fournissentpartirdebatteriesinternesducourantpouruneduredfiniedurantlaquelleilestpossibledteindre
lematrieloudattendreunretourdelalimentation.Cesonduleurssontgalementcapablesderemonterencasde
coupureunealarmeverslesquipesdadministration.
Si certaines de ces mesures sont tant bien que mal adoptes, il est toutefois primordial de soigner le cblage
lectriquequiestsouventleparentpauvre.Lexprienceetlesauditsmontrentencoretropsouventdesmontages
lectriques douteux alimentant des quipements sensibles. Citons brivement les cascades de prises multiples
quipes dun interrupteur gnral qui, sil venait tre actionn couperait irrmdiablement lalimentation des
machines situes en aval. Quant aux cbles proprement dits, tiquetages et fixations solides sont naturellement
recommands.
c.Temprature
Les quipements du rseau comme tout autre ordinateur sont conus pour fonctionner dans une plage de
temprature qui est indique sur la notice du constructeur. Audel ou en de de cette plage de temprature, la
bonnemarchedusystmenestplusgarantie.Surlafichetechniqueestindiquelaquantitdechaleurmiselors
du fonctionnement. Cette quantit est le souvent exprime en BTU (British Thermal Unit). La somme de lnergie
calorifiquedgageindiquelapuissancedelaclimatisationquilfaudrachoisir.Lensembledudispositifdeventilation
est dans la mesure du possible quip dun dispositif dalarme en cas dapproche des seuils indiqus par le
constructeur.
d.CPUetMmoire
Tout comme un ordinateur individuel, un quipement rseau fonctionne avec un processeur et plusieurs types de
mmoire quil est primordial de surveiller. linstar de la temprature, une augmentation (tendant vers la limite
publie)delaconsommationdemmoireoudeprocesseurindiqueundysfonctionnementencoursouvenir.Afin
de surveiller les compteurs dutilisation, lactivation du protocole SNMP est toute indique en respectant les
prcautionsdusageenmatiredescurit.
e.Chargedesliensrseau
Lesinterfacesphysiquesouvirtuellesdunrouteurparexemplesontenpermanencesoumisesunecertainecharge
detrafic.Enfonctiondesheuresdujouretdelanuit,dunepriodeparticuliredelanne,voiredunvnement.
Comme la temprature, les compteurs mmoire et CPU, la charge de trafic est une indication particulirement
intressantesousplusieursaspects.Toutdabordelleindiquesilerseaureoitdutraficetsitelestlecasildevient
possible dobserver lactivit en temps rel. Une telle surveillance si elle est de plus couple avec un systme
dalarmeencasdedpassementdeseuilpermetdedtecterparexempleunemonteenchargeinhabituelle.Des
logiciels libres et trs performants sacquittent de ces tches en offrant de surcrot dintressantes fonctions
dhistoriquedontlanalysepermetdanticiperlesredimensionnementsfutursdurseau.

Voiciunexempleduncrandesurveillancedupourcentagedoccupationdesliensdunrseau.Lelogicielutilisest
Weathermap 4 RRD. Les couleurs des flches donnent rapidement une tendance de lutilisation des interfaces
surveilles.CelogicielexploiteunebaseRRDquipermetdeconserverunhistoriquedutrafic.
RRDtool(RoundRobinDatabase)estunlogiciellibredunegrandepuissancequipermetdegnrerdesgraphes.Il
estdisponibleici :http://oss.oetiker.ch/rrdtool/
2.Scuritlogique
La scurit logique des quipements rseau concerne principalement la protection des accs la console ou au
serveurWebembarqu.Ciscoamunisesproduitsdinterfacesphysiquesetlogiquesafinquunadministrateurpuisse
seconnecteretaccderlalignedecommande.
Toutcommepourlascuritphysique,ilnousfautenpremierlieuexprimerlesexigencesdescurit.
Exigencesdescuritlogique
Tempssynchronisavecauthentificationdela ProtocoleNTPavecauthentificationMD5.
source.
Protectiondesaccsvialesportssrieetauxiliaire. Authentificationparcomptelocalouexterne.
Enregistrementdestentativesdaccs. Commandeslogin on-failure,login on-success.
Contrerlestentativesdedcouverteduncompte. Commandelogin block-for.
Authentificationetchiffrementdesaccs. ProtocoleSSHversion2.
Limiterletempsdinactivit. Commandeexec-timeout.
Limiterlaccscertainescommandeset Accslalignedecommandebassurdesrles.
informations.
Protgerlesinformationsmisesparlerouteur. ChiffrementdesmessagesSYSLOGetSNMP.
a.labonneheure
LesinformationsgnresparSYSLOGnesontpasvritablementexploitablestantquellesnesontpasestampilles
aveclheurelaquellelvnementsestproduit.Cestpourcetteraisonquilestindispensablederglerlheuredun
quipement avant sa mise en exploitation. Il est recommand pour ce faire dutiliser les services dun serveur de
tempsconnuaussisousladsignationdeserveurNTP(NetworkTimeProtocol).Riendeplussimpleavecunrouteur
Cisco,ilsuffitdentrerlacommandesuivante :
R0(config)#ntp server 192.168.0.38
R0#sh ntp status

Clock is synchronized, stratum 2, reference is 192.168.0.38
nominal freq is 250.0000 Hz, actual freq is 250.0000 Hz, precision
is 2**18
reference time is CC7651DA.62FA027C (14:51:06.386 UTC Sat Sep 13
2008)
clock offset is -8.7854 msec, root delay is 36.13 msec
root dispersion is 14.43 msec, peer dispersion is 5.63 msec
Voicilersultatdelacommandeshow ntp statusmontrantlasynchronisationdelheuredurouteuravecleserveur

detemps.
Mais, dans un souci vident de scurit, pouvonsnous faire confiance aux informations provenant du serveur de
temps configur ici ? Rien nest moins sr et il faut recourir une nouvelle fois un protocole offrant un systme
dauthentification.
R0(config)#ntp authenticate
R0(config)#ntp authentication-key 1 md5 cisco

R0(config)#ntp trusted-key ?
<1-4294967295> Key number
R0(config)#ntp trusted-key 1
R0(config)#ntp server 192.168.0.38 key 1
R0(config)#ntp access-group peer 10
Toutdabord,lauthentificationestactive.Puisuneclportantlenumro1estcre.Cetteclseraprotgeen
md5.Lacommandetrusted-keydsignecetteclcommetantuneclvalide.Lacommandedanslaquellesetrouve
ladresseIPdurouteurassocieceluiciaveclaclnumro1.Pourterminer,uneACLestappliqueauxrequtesNTP.
Unefoislquipementsynchronis,lesdeuxcommandessuivantespermettentdestampilleraveclheureetladate
lesvnementsSYSLOGetlesmessagesissusdescommandesdeloutildediagnosticdebug.
R0(config)#service timestamps log datetime localtime year

R0(config)#service timestamps debug datetime localtime year
b.PortsConsoleetAuxiliaire
Examinons tout dabord les connecteurs externes. Nous trouvons sur un routeur un port Console et un port
Auxiliaire.
LeportconsoleseprsentesouslaformedunconnecteurDB9oudetypeRJ45.Uncbleconnectceportetau
portsriedunPC(COM1)donneaccslalignedecommandedurouteurviauneinterfacegnralementnomme
con0.
Laccs la ligne de commande via cette interface ne souffre daucune drogation en matire de scurit. Il est
possibledeprotgerlaconnexionselondeuxmthodes :lemotdepasseenableouuncomptedutilisateur.
La premire mthode donne accs dans un premier temps au mode non privilgi. Il est alors ncessaire
dentrerlemotdepasseenablepouraccderaumodeprivilgi.
Lasecondemthodeestplusscurisequelapremireetrequiertlacrationduncomptelocal.Cecompte
estalorsrequislorsdelaconnexionconditiontoutefoisdavoirconfigurlinterfacecon0encesens.
R0(config)#username vincent password cisco
R0(config)#line con 0
R0(config-line)#login local
La premire ligne cre un compte local lquipement. La troisime ligne impose aux connexions entrantes via le
portconsoleuneauthentificationaveclabasedecomptelocaledurouteur.
Cetteinterfaceesttrspratiquelorsquelquipementdoittredpannetquilestinaccessibleparlerseau.Afin
de faciliter les oprations en cas durgence, il est recommand de laisser le cble de la console ct de
lquipement.
Le port AUX (auxiliaire) du type DB 25 ou RJ 45 est utilis pour connecter un modem au routeur afin de le rendre
accessible par lintermdiaire dune ligne tlphonique analogique. Une fois connect, il est ncessaire de
sauthentifiertoutcommepourleportconsole.
Il est primordial de tracer les tentatives de connexions russies ou se soldant par un chec. Deux commandes
existentpoursatisfairecetteexigence :
R0(config)#login on-failure log

R0(config)#login on-success log
Ici,lestentativescouronnesdesuccsetinfructueusessontenregistresvialeserviceSYSLOG.
Toutquipementpeuttrevictimeduneattaquevisantdcouvriruncomptevalable.Ilestpossibledelimiterdans
letempscestentativesenintroduisantundlaientreelles.
R0(config)#login block-for 120 attempts 3 within 10
Ici,lerouteurrefuseratoutetentativedurantdeuxminutes(120s)silaprcdemmentreuplusdetroistentatives
daccs(sanssuccs)enmoinsdedixsecondes.
c.TelnetetSSH

Telnet est un protocole client serveur qui nous semble provenir du fond des ges tant il est intgr dans les
ordinateursaupointquesonnomestentrdanslelangagecourant.BassurTCP/IP,Telnetrenddinnombrables
servicesdeparlemondeetsonctpratiquealargementcontribusadistributionetsapopularit.Toutefois,
Telnet prsente en terme de scurit de trs nombreux dsavantages comme celui de ne pas chiffrer les
communications. Ainsi, la squence dauthentification entre le client et le serveur passant en clair sur le rseau
rvledirectementlemotdepassedelutilisateurquitentedeseconnecter.
UnrouteurCiscoimplmentepardfautunserviceTelnetquiestdisponiblesurlesinterfacesvirtuelleVTY(Virtual
Terminal).Ilestmalgrtoutindispensabledavoirentrunmotdepassedanslaconfigurationoudefaireappelau
servicedauthentification.Toutcecirestecependantinsuffisantauregarddesmenacesactuellesquiplanentsurles
rseaux.
La protection des accs (via le rseau) la ligne de commande est une ncessit et ce fait est universellement
reconnu.CestlaraisonpourlaquelleleprotocoleSSHconnaitdepuisquelquesannesunfrancsuccs.
LimplmentationduprotocoleSSH(SecureShell)surlesproduitsCiscooffrelapossibilitdeseconnecterentoute
scuritunhtedistantenchiffranttoutelacommunicationycomprislasquencedauthentification.Ciscofournit
galement un client SSH en remplacement du client Telnet. Il est noter que SSH ncessite une version dIOS
fournissantlesservicesdechiffrement.
ObservonslaconfigurationdeSSHsurunrouteurainsiquunetentativedeconnexion.
Router#conf t
Router(config)#host R0
R0(config)# ip domain name TestLab.fr
R0(config)#crypto key generate rsa modulus 2048

The name for the keys will be: R0.TestLab.fr
% The key modulus size is 2048 bits

% Generating 2048 bit RSA keys, keys will be non-exportable...[OK]
R0(config)#
*Mar 1 00:06:38.919: %SSH-5-ENABLED: SSH 1.99 has been enabled
R0(config)# ip ssh version 2
Enmodedeconfigurationilsuffit :
dedonnerunnomdhteaurouteuretunnomdedomainedansunpremiertemps
de gnrer une paire de cls de type RSA. Un modulo de 2048 bits est requis ici. La politique de scurit
relativeauchiffrementindiquelacomplexitrequisepourlemodulo.
delancerSSHdanssaversion2.Pourmmoire,leretourmentionnantSSH1.99renseignesurlapossibilit
dutiliserSSHversion1cequinestpasrecommandpourdesraisonsdescurit.
R0(config)#line vty 0 4
R0(config-line)#transport input ssh
R0(config-line)#login local
R0(config-line)#exec-timeout 0 30
R0(config)#access-class 10 in
R0(config-line)#exit
R0(config)#username vincent password cisco
R0(config)#service password-encryption
R0(config)#enable secret cisco
LeslignessuivantessepassentdecommentairessilelecteurestfamilierdelaconfigurationdesquipementsCisco.
Cependant, une commande est ici importante. Il sagit detransport input ssh qui oblige la connexion distante
utiliserSSH.
La commande exec-timeout 0 30 est primordiale car elle permet de ne pas laisser la console connecte en cas
dinactivit de lutilisateur. Le premier chiffre (ici 0) reprsente les minutes et le second (ici 30) reprsente les
secondes.Danslecasexpos,lutilisateurseradconnectaprs30secondesdinactivit.
Pourmmoire,nouscronsunutilisateurlocaletnousactivonsleservicedechiffrementdesmotsdepasse.

EnfonctiondesversionsilestparfoisncessairepouractiverSSHdentrerlacommande :aaa new-model.

NepasoublierdepositionneruneACLpourdonnerlatouchefinalelaprotectiondesaccsviaSSHavec
lacommande :access-class 10 in.
Lorsdelapremireconnexion,uncrandecetypeapparatetdemandelutilisateurdevaliderlempreintedelacl
publiqueduserveur.Ilestimportantquunutilisateurdistantconnaisseaupralablecetteempreinte.Dslors,la
rceptiondecetcranlutilisateurseraenmesuredelavalideraveccellequilpossdedj.Danslecascontraire,
lutilisateursexposeaurisquedesubiruneattaquedutype maninthemiddle cestdiredesevoirprsenter
uneclappartenantunepersonnemalveillante.
Voicilcranquiprcdelaconnexion.noter,ilestdemandauclientSSHdenepasmmoriserlemotdepasseen
mmoire.Cettemesureestapplicabletouslesclientsquelsquilssoient.
NousvenonsdemontrerquelimplmentationduprotocoleSSHestexcessivementsimple.Ilesttoutefoisncessaire
depossderunrouteurdisposantdesfonctionsdechiffrementcequioccasionneuncotsupplmentaire.
d.SNMPetSYSLOG
SNMP
SNMPouSimpleNetworkManagementProtocolassureenmodeclientserveurlenvoidemessagesentrelquipement
surlequelrsidelagentSNMPetunserveurquiinterrogeceluici.LagentSNMPestaussicapabledmettredelui
mme des messages destination du serveur. Ces messages portent le nom de trap. Il existe trois versions du
protocoleSNMPquisediffrencientlesunesdesautresparleniveaudescuritoffert.Seulelaversion3permetle

chiffrement et lauthentification des messages. Cette version est privilgier dans les environnements hautement
scuriss.Examinonsunexempledeconfiguration.
R0(config)# snmp-server group TESTLAB v3 priv access 10

R0(config)# snmp-server user vincent TESTLAB v3 auth sha cisco priv
aes 128 cisco access 10
Ces deux commandes sont assez complexes et sont associes lune lautre avec le mot TESTLAB. La premire
commande dfinit un groupe nomm TESTLAB qui utilise la version 3 du protocole SNMP. Le mot priv spcifie
lauthentificationetlechiffrementdesmessages.LACL10estappliquepourfiltrerladressesourcedesrequtes.
LasecondecommandedclarelutilisateurvincentdanslegroupeTESTLAB.Laversion3deSNMPestutiliseavec
uneauthentificationbasesurlesprotocolesSHAetchiffreenaes128.Laccesslist10estgalementapplique.
VoiciunclientSNMPsurlepointdinterrogerlagentSNMPdelquipementafindobtenirladescriptiondusystme.
Sep 13 2008 20:03:05: SNMP: Packet received via UDP from

192.168.0.38 on FastEthernet0/0
Sep 13 2008 20:03:05: SNMP: Get request
R0(config)#, reqid 59802776, errstat 0, erridx 0

system.1.0 = NULL TYPE/VALUE
Sep 13 2008 20:03:05:
Incoming SNMP packet

Sep 13 2008 20:03:05: v3 packet security model: v3 security level:
priv
Sep 13 2008 20:03:05: username: vincent

Sep 13 2008 20:03:05: snmpEngineID: 800000090300C2000F340000
Sep 13 2008 20:03:05: snmpEngineBoots: 1 snmpEngineTime: 2633
Sep 13 2008 20:03:05: SNMP: Response, reqid 59802776, errstat 0,

erridx 0
system.1.0 = Cisco IOS Software, 3700 Software (C3725-
ADVSECURITYK9-M), Version 12.4(11)XW5, RELEASE SOFTWARE (fc1)
Sep 13 2008 20:03:05: SNMP: Packet sent via UDP to 192.168.0.38

Nousobservonsdanslesretoursdescommandes debug snmp packets etdebug snmp headers,larrive du paquet
SNMP,letypedauthentificationetlarponseenvoyeparlagentSNMPdurouteurversleclientSNMP.
Le protocole SNMP facilite la surveillance de trs nombreux paramtres parmi lesquels lactivit des interfaces
rseau. Les outils de mesure doccupation des liens effectuent une simple soustraction entre deux valeurs des
compteursifinoctets(traficentrantenOctets)etunedivisionparlintervalledetempsentrelesdeuxmesures.
SYSLOG
LeprotocoleSYSLOGestsansdoutecontemporaindeTelnet.Deplus,ilesttoutcommeluiefficacecequilarendu
populaireetindispensable.SYSLOGseproposedenvoyersurlerseaulesmessagesissusdvnementsgnrs
par un systme dexploitation. Les messages SYSLOG sont clairement visibles lorsque lon quitte le mode de
configurationpourrevenirenmodeexecaveclacommandeend(oulasquencesimultanesdestouches[Ctrl]Z).
R0(config)#logging on
R0(config)#logging console ?
<0-7> Logging severity level
alerts Immediate action needed (severity=1)
critical Critical conditions (severity=2)
debugging Debugging messages (severity=7)
discriminator Establish MD-Console association
emergencies System is unusable (severity=0)
errors Error conditions (severity=3)
guaranteed Guarantee console messages
informational Informational messages (severity=6)
notifications Normal but significant conditions (severity=5)
warnings Warning conditions (severity=4)
Lesmessagesissusdusystmesontvisiblessurlaconsolequiestdisponibledirectementsurleportdummenom
(Con0danslaconfiguration)ousurunesessiondistante(TelnetouSSH)aveclacommandeterminal monitor.
Toutdabord,ilestindispensabledepasserlacommandelogging on afin dactiverglobalementleservice,puisde

signifier au systme les types de messages renvoyer vers la console. La commandelogging console 6dirigera
verslaconsolelesmessagessystmeduneseverity de 6jusqu0ignorantlesmessagesdeniveau7.
R0(config)#logging on
R0(config)#logging host 192.168.0.38
CettesquencedecommandesdirigetouslesmessagesversunserveurSYSLOGexternecommeceluipropospar
lasocitKIWIentreprise.
Voici,prsentsdanslelogicielKiwiSyslogmanager,lesmessagesissusdunrouteur.Nousytrouvonsplemledes
informationsrelativesdesaccs,desmodificationsdelaconfigurationouencoredesmessagesprovenantdACL
lafindesquellessetrouvelemotlog.
SilesretoursdeSYSLOGsontrenvoysverslaconsoleaveclacommandelogging consoleunproblmede
scuritseposeencasdchecdauthentificationsicettedernireesteffectuesurleportconsole(con0).
En effet, le message indique si le rejet est du une erreur de nom dutilisateur ou du mot de passe. Ces
informationssontautantdindications fournies une personne malveillante dans sa qute dunaccscommele
montrelecodesuivant.
Username: vincent
Password:

% Login invalid
Username:
Sep 13 2008 20:33:44: %SEC_LOGIN-4-LOGIN_FAILED: Login failed
[user: vincent] [Source: 0.0.0.0] [localport: 0] [Reason: Login
Authentication Failed - BadPassword] at 20:33:44 UTC Sat Sep 13
2008
Username:
Ici, nous savons que le nom dutilisateur est correct mais que le mot de passe est erron. Nous sommes donc en
possession de la moiti de la squence dauthentification. Il est donc recommand de dsactiver la commande
logging console.
e.Rlesadministratifs
Ilestsouhaitabledansuneentrepriseayantgrerunparcdquipementconsquentdedisposerdunepolitique
daccs aux diverses fonctionnalits des quipements. Il est possible de crer des rles dans le but de donner
chacun deuxlaccs un ensemble limit de fonctions. Ainsi, la confidentialit de la configuration du routeur et la
rpartitiondesresponsabilitssentrouventamliores.
DanslaterminologieutiliseparCisco,letermedevue(view)estemploy.Ilenexistedeuxtypes :
Lavuerootquidisposedetouslesprivilgesdontceluidecrerdautresvues.
Lesvuesliesunrlequidisposentdetoutlepaneldescommandesexistantessurlquipement.
Avant toute chose, il est indispensable dactiver AAA avec la commande aaa new-model puis de se dconnecter du
modeprivilgiavantdeconfigurerlquipementsuivantlexemplesuivant.
R0>enable view
Password:
R0#
*Mar 1 02:42:51.331: %PARSER-6-VIEW_SWITCH: successfully set to
view root.
La premire commande suivie du mot de passe enable permet dentrer dans la vue root partir de laquelle nous
allonsparamtrerlesautresvues.
R0#conf t
R0(config)#parser view admin-reseau
R0(config-view)#
Lavueportantlenomadminreseauestcrepartirdelavueroot.
R0(config-view)# secret 0 cisco

R0(config-view)# commands configure include all interface
R0(config-view)# commands exec include traceroute
R0(config-view)# commands exec include ping
R0(config-view)# commands exec include configure terminal
R0(config-view)# commands exec include configure
R0(config-view)# commands exec include all show ip
cettevuesontajouteslescommandesjugesncessairespourcerledadministration.Lemotdepassesecret
decettevueseranaturellementchiffrparlesystme.
R0>enable view admin-reseau

Password:
R0#
*Mar 1 02:58:17.631: %PARSER-6-VIEW_SWITCH: successfully set to
view admin-reseau.
R0#?
Exec commands:
configure Enter configuration mode
enable Turn on privileged commands

exit Exit from the EXEC
ping Send echo messages
show Show running system information
traceroute Trace route to destination
R0#sh
R0#show ?
ip IP information
Pour accder au rle, il faut tout dabord entrer la commande enable view suivie du nom de la vue. Le message
SYSLOGindiquequenoussommesentrsdanscettevueavecsuccs.Enentrantlepointdinterrogationseulnous
observons toutes les commandes disponibles dans le mode Exec. Nous pouvons aussi examiner les options
disponibles aprs la commande show. Dans notre cas, seules les commandes commenant par show ip sont
disponibles.
R0#conf t
R0(config)#?
Configure commands:
do To run exec commands in config mode
exit Exit from configure mode
interface Select an interface to configure
Ici, nous procdons la verification du mode de configuration. Comme prvu, seul le mode de configuration des
interfacesestpropos.
f.Protectiondesdonnesmises
Lapolitiquedescuritimposeparfoisdeprotgerlesinformationsissuesdelquipementenfonctiondutypede
liaison(localeoudistante)etdutypederseau(privoupublic).NousvenonsdexaminerlesprotocolesSYSLOGet
SNMPquientrentdanscecasdefigure.Lesinformationsmisesparcesdeuxservicestransportentltatphysique
etlogiquedelappareillorsdesonfonctionnement.Ilestdoncprimordialdassureruntransitscurisdecestats
afinquilsnesoientniinterceptsetencoremoinsmodifissurletrajetentrelquipementetleserveurchargde
rceptionnerlesdonnes.Encasdelitigelaprotectiondesinformationsdurantletransitenassurantlintgritdu
messageetnotammentlacorrespondanceentrelvnementetsonheuredoccurrence.
LeprotocoleIPSecesttoutnaturellementdsignpouraccomplircettetche.Nousavonsexaminsaconfiguration
dansunchapitreprcdent.LaprotectiondesdonnesissuesdesservicesSNMPetSYSLOGconsistedonccrer
unecryptomapentrelerouteuretleserveuraccueillantlesmessages.LesservicesIPSecsontdisponiblessurles
platesformes Microsoft et Linux. Soulignons aussi lopportunit de filtrer ces communications vers les serveurs de
destinationlaidedACLappropries.
3.Scuritdesconfigurationsetdusystmedexploitation
Desinformationssensiblessontprsentesdanslaconfigurationdunquipementrseau.Citonsentreautrelesmots
de passe des utilisateurs locaux et cls de chiffrement IPSec. Le systme dexploitation est lui aussi au centre de
touteslesattentions.Prsentonscommelaccoutumelesexigencesdescurit.
Exigencesdescuritdesconfigurationsetdusystmedexploitation
NepasinstalleruneimageIOScorrompue. UtilisationdeMD5.
Protgerlesmotsdepassedanslefichierdeconfiguration. Chiffrementdesmotsdepasse.
Protectiondesclsdechiffrement. Chiffrementdesclsdansla
configuration.
a.ScuritdelimagedulogicielIOS
LesystmedexploitationdunrouteurCiscosenommeIOS(InternetworkOperatingSystem)etcelogicielnestpas
exempt de dfauts tant ses possibilits sont tendues. Ces imperfections (on parle de bug) ont parfois un impact
direct sur la scurit de lquipement et par extension sur le rseau tout entier. La politique de scurit impose
gnralementdesurveillerlesvulnrabilitsetdappliquerlescorrectifsquisimposentenrespectanttoutefoisune
certaine procdure. Les entreprises ne sont pas toutes gales face aux menaces informatiques et ceci est
principalement d au manque de moyen dans les fonctions de scurit et plus particulirement en matire de

surveillancedesvulnrabilitsimpactantleparcinformatique.
ConcernantlesystmedexploitationIOS,ilestfortementrecommanddesuivrelespublicationsdevulnrabilitsle
concernant et de prendre les bonnes dcisions en fonction des impacts potentiel sur le rseau voire le systme
dinformationtoutentier.Leschangementsdeversionsncessitentlapplicationdeprocduresrelativementsimples
mais incontournables. Elles consistent principalement appliquer la nouvelle version sur un quipement
reprsentatif de ceux se trouvant en cours dexploitation.Siaucunquipementreprsentatifnest disponible, une
fentre dintervention sera ngocie afin de procder au changement de version sur un quipement en cours
dexploitation.Cettefentreseraplanifieentenantcomptedutempsncessairepoureffectuerunventuelretour
en arrire. Bien entendu la configuration et lIOS en cours seront sauvegards. Pralablement toute installation
dunnouvelIOSsurunquipement,ilfautletlchargersurlesiteInternetdeCiscoouseleprocurerauprsde
sonfournisseur.Afindviterunecorruptiondulogiciel(onparleaussidimage)unevrificationsimposeetconsiste
vrifierlempreinteMD5delIOS.Voicicommentprocder.
Toutdabord,lesitewebdeCiscofournituneempreinteMD5delimagequelonestsurlepointdetlcharger.Une
foislIOSreu,ilsuffitdevrifiersonempreintegrceunutilitaire.
LempreinteMD5estdonnedanscetableau.Puisilfauteffectueruncopiercollerdecetteinformationdansloutil
devrificationdanslequelonchargegalementlIOSvrifier.
Nous observons ici que lempreinte copie partir du site Internet correspond celle de lIOS tlcharg.
Cependant, il est toujours possible de corrompre une image lors de son transfert. Fort heureusement, les
quipements disposent dune fonction qui vrifie lempreinte de lIOS au moment de son transfert. Cette fonction
sactiveaveclacommandefile verify auto.Unefoiscettecommandepasse,lesimagesserontvrifieschaque
tlchargement dans lquipement et en cas dchec lors de la vrification limage sera efface. Il est noter que
cette commande effectuera aussi une vrification systmatique de limage en place dans lquipement lors de sa
rinitialisation.
b.Protectiondesmotsdepasse
La politique de scurit impose une protection logique du routeur. Nous avons plusieurs reprises dans les
chapitres prcdents cr des comptes dutilisateurs distants auxquels nous avons systmatiquement associ un
motdepassequinaturellementseretrouvedanslaconfiguration.Ilsagitdoncdeprotgerefficacementcemotde
passe au cas o la configuration viendrait tomber entre de mauvaises mains. Cisco propose deux mthodes de
chiffrement pour les mots de passe, nous disposons pour notre part dun levier qui est la complexit du mot de
passe.Enlamatireilconvientdeserfrerlapartiedelapolitiquedescurittraitantdelagnrationdesmots
depasseetdappliquerlacomplexitrequise.
Ilexistedoncdeuxtypesdeprotectiondesmotsdepassedanslesconfigurations.
Lapremiremthodeappliqueunalgorithmehlasrversiblequilfautviterautantquepossible.
enable password 7 02050D480809

!

username vincent password 7 01100F175804
!
line vty 0 4
password 7 104D000A0618
login
VoiciunexempledecechiffrementrversibleutilispourprotgerlesaccsTelnet.Ilestidentifiablegrceauchiffre
7aprslemotpassword.
Denombreuxsiteswebpermettentdedcoderlechiffrementdetype7.Ici,quellequesoitlacomplexitdumotde
passe il est rcuprable. Notez quil est indispensable au pralable dactiver la commande service password-
encryption.
LasecondemthodeutiliseuneversiondeMD5modifieparCiscoquinestpasdirectementrversible.
R0(config)#enable secret cisco

!
R0(config)#username vincent secret cisco
Enentrantlescommandescidessus,nousobtenonslorsdelarevuedelaconfigurationceci:
enable secret 5 $1$m3hk$LpKovptYw61uMDjauPeCt0

!
username vincent secret 5 $1$OCOM$75BPe3ttOA.dUPKsjxdd61
Ici,nousobservonslempreinteMD5dumotdepasseenableetcelledumotdepassedunutilisateur.
Le chiffrement de type 7 qui protge le mot de passe daccs aux lignes virtuelles devrait tre
systmatiquement cart au profit dun protocole scuris tel que SSH. Ce dernier sappuie sur une
authentificationpesonnalise(ventuellementlocale)etseconfigurecommesuit.
R0(config)#aaa new-model
R0(config)#aaa authentication login default local
Cette configuration seule suffit protger avec un compte local les interfaces Telnet (vty), Console (con 0) et
Auxiliaire.
Ciscometdispositionunecommandequipermetdeconfigurerunmotdepasseusageuniqueaveclacommande
one-timeutilisedansunesquencecommecelleci :username vincent one-time secret cisco.Cettetechniqueest
applicable une stratgie dinstallation distance dun quipement disposant dune configuration minimale. Un
administrateurseconnecteenSSHlquipementaveclemotdepasseuniquepuisytlchargeuneconfiguration
pluscompltecomportantdeslmentsconfidentielsavantdelasauvegarderdanslammoireaveclacommande
wr.Lemotdepasseuniqueestcemomentldfinitivementperduetremplacparlecomptedfinitif.
Lutilisationdecomptelocauxdeprfrencelimiteuncompteafindexposerlemoinspossiblelquipementaux
attaquesquitententdesenemparer.Ilesthabituellementconsidrcommeuncomptedesecours.Eneffet,ilest
recommand daccder au routeur par le biais dun compte hberg sur une base externe lquipement comme
celledunserveurdetypeRADIUScedernierinterrogeantventuellementsontouruneautrebasedecompte.
c.Protectiondesclsdechiffrement
NousavonsabordlesujetdelaprotectiondesclsdechiffrementdanslechapitretraitantdIPSec.Pourmmoire
lescommandesutilisersont :key config-key password-encryptetpassword encryption aes.
Ilnefautpaslimiterlaprotectiondesclsdechiffrementlaseuleconfiguration.Lesclsdechiffrementunefois
gnres sont idalement conserves dans un lieu sr et font lobjet dune comptabilit soigne quant leur
attribution, leur changement et leur destruction. La gestion des cls sur un mdia lectrique implique une
protectiondeceluiciparunchiffrementadquat.

Conclusion
La protection des quipements, si elle est nglige, facilite considrablement les agissements des personnes mal
intentionnes mais favorise aussi les erreurs de configuration ou de manipulation. Les consquences de tels
manquements peuvent tre dramatiques et difficilement reprables en cas, par exemple, dun mauvais rglage de
lheure.
Il en va de mme pour lenvironnementphysiquedesquipementsquinesauraitsouffrirdaucunengligencecarla
prservation des performances et la dure de vie dun quipement dpendent de facteurs sensibles comme la
tempratureoulhygromtrie.
Les journaux, en fonction de leur utilisation, sont protger durant leur transit sur le rseau et sur leur lieu de
stockageafinquilspuissentlecaschantservirdepreuvelorsduneenquteconscutiveunaccident,unepanne
ouunactedevandalisme.
Enfin,ilestfortementrecommanddefairesuivreauxclsdechiffrementuncycleviestrictallantdeleurgnration
leurmiseenservicejusquleurdestruction.

Introduction
Pourcertains,ctaitunphnomnedemodemaispourdautresctaitunencessit.liminertoutjamaisdescaves
et des soussols les encombrantes armoires tlphoniques, les centraux et les autocommutateurs. La tlphonie
classique, analogique puis numrique, tait pour les entreprises un centre de cot sans cesse croissant avec
lembauchedenouveauxcollaborateurschacunncessitantlinstallationdunpostetlphoniqueetlaconsommation
duncertainvolumedecommunications.celasajoutelephnomnedemondialisationdelconomiequiapoursa
partgrandementcontribulaccroissementconsidrabledeschangestlphoniquesnationauxetinternationaux.
Jusquunedizainedannes,dansledomainedestlcommunications,latlphonievhiculaitlinformatiqueetlon
trouvait dans les salles machines bon nombre de modems (modulateurs dmodulateurs) raccords des lignes
tlphoniquesouvertesenpermanence.Cesliaisonsextrmementcoteusespermettaientderelierlesgrossystmes
informatiques entre eux et den assurer la maintenance distance. Tout cela fonctionnait fort bien mais, de lignes
loues analogiques en cartes dextension en passant par le cot des appels longue distance, la facture
tlcommunicationcroissaitchaqueanneunpeuplus.
AveclavnementdInternetetlesprogrsenmatiredenumrisationdelavoixsontapparusaufildesannesdes
logiciels permettant dtablir une communication vocale sur le rseau des rseaux avec des correspondants dj
connects.LepasverslatlphoniesurIPfutrapidementfranchietlesconstructeurscomprirentquilspourraientsans
tarderproposerauxctsdeleursproduitspharesdesquipementsquipermettraientderemplacerdfinitivementles
centrauxtlphoniques.grandrenfortdepublicitetdecommunicationlesentreprisesprirentconsciencegalement
quaudeldespremiersinvestissements,latlphoniesurIPetlesservicesassocisdiminueraientconsidrablement
lescotstoutenaccroissantlasouplesseetlaproductivit.
prsent,lesrseauxinformatiquesvhiculentletlphone.Cettetransitionnaurapasdurunedcennie.
Nousallonsdanscechapitrenumrerlesmenacesquiplanentsurlesrseauxhbergeantdesservicesdetlphonie
surIPetprsenterlesmesuresdeprotectionadquates.
Le tlphone IP sur son poste de travail. Cest chose possible avec Cisco IP communicator un tlphone logiciel
ressemblantcommedeuxgouttesdeauauxmodlesdelasrie74XX.

Stratgieetscurit
Letlphonefaitdepuisplusdunsiclepartiedenotrevieaupointquilpassetotalementinaperucarilestunobjet
de consommation courante et le service quil fournit est particulirement stable. Les rseaux tlphoniques sont les
nerfs de notre civilisation moderne dont dpend notre mode vie au point quils revtent une dimension stratgique
sans quivoque. Cest sans doute pour cette raison qui furent et restent encore dans une moindre mesure sous le
contrledestatsquipeupeucdentdeslicencesdexploitationdescompagniesprives.Lec urdesrseauxde
tlcommunicationettoutesoninfrastructuresontainsiprotgsetsurveillsaveclaplusgrandeattentiontantleur
arrtetlinterruptiondeservicequisensuivraitauraientdesconsquencesdsastreusessurnotreconomieetnotre
viecourante.Ilsuffitpourceladesongeruninstantlimpossibilitdejoindreunservicedesecoursoulincapacit
decesmmesservicessecoordonnerencasdecatastrophe.Ilenvademmedansledomaineconomique.Pour
toutescesraisons,lascuritdesrseauxdetlcommunicationestfondamentale.
Nousallonsexaminerdanscechapitrelascuritdesrseauxinformatiquestransportantlesservicesdetlphonie
surIPplusconnusouslesigneTOIPpourTelephonyOverIP.LesservicesdeTOIPsupplantentlesservicesclassiques
de tlphonie analogique ou numrique car ils sintgrent parfaitement linfrastructure des entreprises dont ils
partagent la capacit avec les autres services comme la messagerie. Le succs que connaissent actuellement les
services de tlphonie sur IP sont en partie du cette troite imbrication qui diminue considrablement sur le long
terme les cots dexploitation de la tlphonie classique. Ainsi, il nest plus ncessaire de maintenir un cblage
spcifiqueenparallledeceluidestinaurseauinformatique.Deplus,lesservicesdeTOIPsonthbergssurdes
serveursaummetitrequetouteslesautresapplications.
CesthlasenpartiecausedecesavantagesquelesrseauxTOIPentrentdanslaproblmatiquegnraledela
scuritinformatique.Enfait,ilshritenttoutnaturellementdesmmesmenacesetdesmmesfaiblesses.Examinons
les.
1.Menacesetfaiblesses
Au chapitre des menaces et faiblesses planant sur les rseaux de TOIP nous trouvons les attaques par dni de
service qui prennent ici une dimension mesurable par tous les utilisateurs dun rseau tlphonique. Nous nous
sommeseneffethabitusanneaprsanneuneexcellentedisponibilitdurseautlphoniquedomestiqueet
uneamliorationconstantedelaqualitdelavoixdenoscorrespondants.Raressontdenosjourslesproblmesde
distorsion ou de diaphonie et notre interlocuteur nous parat naturellement proche. Toutefois, les rseaux de
tlphonie sur IP souffrent dautres imperfections comme lcho qui dpend troitement du temps dacheminement
des paquets sur le rseau et le hachage des conversations ds que la bande passante vient manquer. Les
attaques par dni ou dgradation de service disposent donc dun terrain favorable du fait mme de la technologie
utilise. Les attaques portent principalement sur les quipements du rseau ou sur les serveurs hbergeant les
servicesdetlphoniesurIP,cesderniersayantremplaclestraditionnelscentrauxtlphoniques.Lesattaquesne
manquent pas et consistent rendre un poste indisponible en le faisant sonner sans cesse ou en diffusant un
message en boucle aprs avoir dcroch le combin. Quant au c ur du systme toutes les techniques visant
mettrehorsserviceunserveursontthoriquementutilisables.
Lescoutestlphoniquesnourrissenttouslesfantasmesdepuislapparitiondutlphoneetdonnenttoujourslieu
dimportantsscandalespoliticomdiatiques.cetitreellesattirenttoujourslattentiondescurieuxentoutgenre.
Lescoutessoprentauseindedeuxprimtresbiendistincts,cesontlevoisinagedirectdelappareilpigerou
le rseau de loprateur.Cest sur ce dernier quoprent les services gouvernementaux qui seuls ont le droit sous
couvertdelajusticedepratiquerlescoutes.Levoisinagedirectdupostetlphoniquestendduposteluimme
lentre sur le rseau de loprateur tlphonique. Pour mmoire, au voisinage du poste, les coutes des rseaux
analogiques ne ncessitaient que trs peu de matriel, un simple fer souder et des pinces crocodiles taient
amplementsuffisants.Puis,latlphonieavantdebasculerdansluniversIPquenousallonsdcrireestpassepar
une tape intermdiaire pendant laquelle la voix, dj numrise, cheminait sur un protocole informatique nomm
RNIS. Les coutes sur le rseau au voisinage des appareils requraient la mise en uvre dappareil drivs des
analyseursdeceprotocole.Lescoutesntaientdslorspluslaportedupremiervenucarlematrieltaitassez
coteux. Avec lavnement de la TOIP, nous pouvons dire quen matire de scurit sopre un certain retour en
arrire car cette technologie, si rien nest fait pour la protger, redevient sujette aux coutes avec des moyens
relativementsimplesetsurtouttrslargementdiffuss.Fortheureusement,pourpalliercettatdefait,desmesures
deprotectionsontdisponibles.
Lun des multiples cauchemars dun responsable de la scurit veillant sur un rseau fournissant des services de
TOIPestlafraude.Cetermedsigneausenslargelesappelssortantduprimtredelentrepriseversdesservices
payants ou des contres lointaines. La facture tlphonique augmente considrablement et les agissements des
fraudeursdoiventtreentravsleplusrapidementpossible.Lesmthodesutilisesdescendentenlignedirectede
celles utilises du temps de la tlphonie analogique et consistent manipuler des prfixes ou jouer des
mcanismesderedirectiondappel.
2.Mesuresdeprotection
Lesmesuresdeprotectionnemanquentheureusementpaspourentraverlesattaquesquenousvenonsbrivement

dvoquer. Tout comme la TOIP repose sur les rseaux de donnes IP en hritant des problmes de scurit, elle
hrite aussi des mthodes de dfense qui vont sarticuler autour du rseau et des quipements que sont les
tlphonesetlesserveursdevoixsurIP.
Auniveauphysique,unedosedeprotectionsavrerancessairepournepasnuirelintgritdutlphoneIPet
encoremoinscelledesserveurs.Lacouche2dumodleOSIsert,linstardecequenousavonsdjexamin,
lancer des attaques dinterception du trafic dont le but ultime nchappera personne. Les couches session et
rseau sont extrmement sollicites par la tlphonie sur IP qui est fortement consommatrice de ports attribus
dynamiquementetquilconviendradelimiteretdefiltreravecleplusgrandsoin.Lacoucheapplicationquantelle
nestpasenrestecarlesserveursainsiquelestlphonessontlesvictimesdattaquesdiversestantauniveaudes
protocolesdevoixsurIPquauniveaudesdiversesinterfacesdadministration quilconvientdeprotgeravecsoin
par le biais de protocoles HTTPS ou SSH tout en veillant dconnecter les sessions ouvertes aprs un temps
dinactivitraisonnable.

LavisiondeCisco
Ciscoproposedepuislemilieudesannes90unservicedetlphoniesurIPintgrconnusouslappellationdeCall
ManagermaisdontlenomcommercialactuelestCUCMpourCiscoUnifiedCommunicationManager.Cevritablecentral
tlphoniqueIP(onparledIPBX)outresescapacitsgrerdesmilliersdappelsoffretouteunegammedeservices
annexes comme la mobilit, la prsence ou encore les confrences. Cisco fournit avec son systme un protocole
propritaire de tlphonie sur IP nomm SCCP (ou Skinny), il est rput pour sa lgret comparativement au
protocoleH323.SCCPestactifentreletlphoneIPetleCallManagerpourltablissementdunappel.Examinonstrs
schmatiquementledroulementdunecommunication.
Nous observons sur ce schma simple ltablissement dune communication entre deux postes tlphoniques IP. La
mthodedescendenlignedirectedecellemiseen uvreparlatlphonieanalogique.
1 Lappelant dcroche son combin et compose le numro de son correspondant. Ds le dcroch du combin, le
serveurTOIPdtecteuneactivitetattendlanumrotationavantdelinterprter.
2 Le serveur de TOIP cherche la correspondance entre le numro compos par lappelant et ladresse IP du
correspondantetlorsquillatrouvefaitsonnerlaligne.Enretour,ilannoncecettatlappelantquireoitlatonalit
desonnerie.
3Lecorrespondantdcrochesoncombin.LeserveurTOIPinformealorslesdeuxcorrespondantssurleursadresses
IPrespectivesetlesportsutiliserafindentamerlacommunication.lissue,leserveurTOIPseretireetlaisseles
deuxcorrespondantschangerlibrementdespaquetscontenantdelavoixnumrise.
Lestapesnumrotes1et2sontdsignesentermestlphoniquescommetantleprotocoledesignalisationou
parextensiondelangage :lasignalisation.Ltapenumro3constituelaconversationtlphoniqueproprementdite
etfaitappeldautresprotocoles.
Nouspouvonsdjpartirdecesimpleschmaaborderlescasdanslesquelslascuritseraitmenace.Toutefois,
lesarchitecturesTOIPneselimitentpascemodlecarlesarchitectureslespluscomplexesprvoientdespointsde
sortiesverslesrseauxpublicviadespasserellesspcialises.CertainsrseauxdeTOIPmettentaussien uvredes
quipementsdestinslaconversionentrelesprotocolesTOIP,maisnousexamineronspourplusdeclartdescasde
figurerelevantdelexempledcritdansceschma.

Exigencesdescuritetsolutions
Les versions de CUCM voluent sans cesse, aussi nous avons dcid de ne pas encombrer le lecteur de multiples
cransdeconfigurationetavonschoisidedcrirelesmenusconduisantlaconfigurationsouhaitetelsquilsexistent
danslaversion6.0.1.
Nous pouvons dj partir du simple schma dcrivant une communication aborder les cas dans lesquels la scurit
seraitmenace.Toutefois,lesarchitecturesTOIPneselimitentpascemodlecarlesarchitectureslespluscomplexes
prvoient des points de sorties vers les rseaux public via des passerelles spcialises. Certains rseaux de TOIP
mettentaussien uvredesquipementsdestinslaconversionentrelesprotocolesTOIP.Pourplusdeclart,nous
nexamineronsquedescasdefigurerelevantdelexempledcritdansceschma.
LobjectifdecechapitreestdedcrirelesprincipalesmenacesquipsentsurunrseauTOIPetdelescontrergrce
aux mesures de protection dj implmentes sur un rseau IP et celles propres aux services de tlphonie. La
politiquedescuritdelentreprisehritedunnouveauchapitreaveclavnementdesservicesdeTOIP,chapitredont
nousverronsquilesttroitementliceluisurlascuritauxniveauxdeuxettroisdumodleOSI.
Lescransdecechapitreproviennentdelaversion6deCiscoUnifiedCommunicationManager.
1.Exigenceslieslascuritrseau
ExigencesdescuritphysiquesetrseauappliqueslaTOIP
ProtectiondesservicesdeTOIP. Protectionphysiquedeslocaux.
Protgerphysiquementetlogiquementles Surveillancedesbureauxsensibles.
quipementsdextrmit.
DsactivationdelinterfaceWeb
Assurerlasparationdutraficvoixetdonnes. MiseenplacedeVLANddislavoixetfiltrage
entrelesVLAN.
Interdirelesattaquesdetypemaninthemiddle. Dispositifsdesurveillanceauniveau2.
NoncoutedesmessagesgratuitousARP.
LesservicesdetlphoniesurIPsont,nouslavonssoulign,stratgiquesetnesauraientsouffrirdaucunepanne.
Ceci est en partie d lexcellente fiabilit laquelle nous sommes habitus de la part des rseaux tlphoniques
prcdents.
Maintenir un tel niveau de disponibilit ncessite une haute protection physique des services. Toutes les rgles
voquesprcdemmentsontdispositionafindatteindrecetobjectif.
Les appareils dextrmit comme les tlphones IP et les stations de tlconfrence doivent tre lobjet dune
attention toute particulire car leur intgrit physique garantit directement le niveau de confidentialit de toute la
chanedecommunication.Avantdaborder limprieusencessitdechiffrerlescommunicationsetlasignalisation,il
estindispensabledeprciserquelesattaqueslesplusaudacieusesportentdirectementsurlesquipementsavant
mme que tout chiffrement intervienne. Il sagitalorsdepigerlesmicrosoucouteurscestdire les composants
chargsdecapterlavoixhumaineoudelarestituer.Ainsi,unmicrometteurhabillementdissimuldansuncombin
contournetouteslesmesuresdeprotectionprisesenavalcommelechiffrementcarilintervientavantlanumrisation
dusignaletsonchiffrement.
Certains postes de par leur position dans des locaux sensibles comme les salles de confrence doivent faire lobjet
dune attention soutenue par le biais par exemple de camras de vido surveillance. Les quipements dextrmits
disposentparfoisdemicrophonesdambiancedestinscapterlavoixlorsquelecombineestraccrochcequipermet
de poursuivre une conversation les mains libres. Ces microphones sont gnralement activables par le logiciel du
tlphoneetsoninterfacedadministration.Encasdedfaillancelogicielleoudengligencequantlaprotectiondes
accscetteinterface,lesconversationspourraienttransiterviacemicrophonediscrtementactiv.Sadsactivation
simpose donc. De mme, la plupart des tlphones IP disposent dune interface dadministration Web qui peut
enfreindrelapolitiquedescuritetsevoiraffectedebugslogiciels.

VoicicequelonobtientenseconnectantenhttpladresseIPdutlphoneaprsstrebienentenduconnectau
VLANvoix.CettepageaffichequelquesinformationsquiindiquententreautressesURLsurleCUCMquipermettentde
seconnecterentantquutilisateuroudelanceruneattaquevisanttrouveruncoupledauthentificationvalide.
Nonobstantcettemesure,letlphoneprsentelutilisateurparlebiaisdesmenusdesinformationssensiblesde
scurit.
Ici, lutilisateur visualise les options de scurit de son tlphone et avec la combinaison de touches **# a la
possibilit doprer quelques modifications. Tout comme pour le serveur HTTP embarqu, la prsentation de la
configurationlutilisateurestuneoptionquilestprfrablededsactiver.
Les donnes issues des postes de travail et celles provenant des appareils de tlphonie sur IP doiventelles
emprunter le mme chemin ? Les rgles de scurit que nous avons dcrites recommandent une sgrgation du
rseauenzonesfonctionnelles.Ilenvademmepourlesdonnessiellessontissuesdoriginesquilconvientdisoler
lesunesdesautrespourdesraisonsdeconfidentialit.Ceciestlaissladiscrtiondelapolitiquedescurit.En
matiredetlphoniesurIPunesparationentrelavoixetlesdonnesestrecommandeafinentreautredelimiter
limpact dune perturbation sur le rseau rserv aux donnes. Cette exigence de sparation repose quasi
essentiellementsurlesVLAN.Danslapratique,deuxapprochessontenvisageables :
LapremireconsistepourunmmeutilisateurdedissocierlaconnexiondutlphoneIPaurseaudecellede

lordinateur,chacunoccupantunportsurlquipementderaccordement.
Lasecondeconsisteconnecterlordinateursurletlphonecederniertantconnectviauntrunk802.1Q
lquipementderaccordement.Cettederniresolutionestlapluscourammentemployecarelleconomiseun
port.
Ici,letlphonejouelerleduncommutateurEthernetenacceptantdunctuntrunkcomposdedeuxVLANetde
lautreunordinateurindividuel.UnVLANdonnesaccueillelordinateuretunVLANvoixreoitlespaquetsmisparle
tlphoneIP.
Sicetteconfigurationestdployepardfaut,leportrservauPCserapartoutdisponibleycomprissurlespostes
tlphoniques qui ne sont pas destins en recevoir un. Ceci entrave ventuellement la politique de scurit en
offrantuneportedentreaurseausurunlieupublic,ilestalorsindispensabledavoirlapossibilitdedsactiverce
port.
Nousavonsdjabordlesproblmespossparlesattaquesdetypemaninthemiddleaucoursdesquellesuntiers
intercepteletraficentredeuxcorrespondantsentrompantlessystmesdexploitationauniveaudelacouche2du
modle OSI. Cette attaque transpose dans le monde de la tlphonie sur IP signifie que les conversations seront
coutes linsu des correspondants lgitimes. Les attaques sont galement bases sur le protocole ARP et
consistent empoisonner le cache ARP dun tlphone (ARP poisoning). Larsenal quil convient demployer est
identiqueceluidcritdanslechapitresurlaprotectionauniveau2.Encomplmentnotonsquelaconfigurationdun
poste IP permet de dsactiver tout ce qui nest pas strictement ncessaire au fonctionnement de lappareil comme
lacceptationdesmessagesgratuitousARP.
LetlphoneIPlorsdesoninitialisationfaitappelauxservicesdunserveurDHCPpourobtenirsonadresseIP.Les
protections tudies au chapitre La scurit des couches physiques et liaison de donnes sont aussi appliquer
imprativement.

Voiciuneillustrationdesoptionsdontnousvenonsdeparler.LaccsauVLANvoixparletlphoneseffectuelorsde
la premire prise de contact grce au protocole CDP dont nous savons quil est vulnrable de multiples attaques
do limportance de veiller lisolation du PC par rapport au VLAN voix qui une fois dcouvert ouvre la porte
potentiellementbiendesdbordements.CesoptionssontvisiblesdanslongletDevice,puisdanslongletPhone.Il
fautensuiterechercherlespropritsdunnumrooucreruntlphone.
SilasparationentrevoixetdonnesesteffectivegrcelemploidesVLAN,unnouveauproblmeseposesilest
dciddedployerdestlphoneslogicielssurlerseaurservauxdonnes.Ilsagitdegarantirentoutescurit
lepassagedutraficprovenantdestlphoneslogicielsversleVLANddilavoix.Deplus,ilestconseilldenepas
laisserseconnectervialerseaudedonnesuntlphonelogicielsansquilsoitauthentifi.
LasolutionproposeparCiscoestdeforcerlepassagedecetraficparunfirewallASAquisechargedauthentifierle
tlphone logiciel avant de transmettre la signalisation vers le CUCM. Cette technique requiert la configuration de
certificats sur le firewall qui, groups dans un fichier CTL, sont proposs au tlphone ainsi quune obligation
sauthentifier.
2.Confidentialitetauthentification
Lemythiquetlphonerougeestlaportedetous.Ilesttoutfaitpossibledepassersoncollguedebureauun
appeltlphoniquechiffr,toutcecinestpluslapanagedesgrandespuissancesnuclairesetlatechnologieesttout
aussipuissantequecelleutilisedurantlatristementclbreguerrefroide.
Aprsavoirprocdlaconfigurationdelascuritphysiqueetrseau,ilfautprsentexaminerlesmesuresqui
renforcent la confidentialit des changes tlphoniques. En prenant pour rfrence le schma montrant
ltablissement dune communication, des grandes phases principales se dtachent et chacune delles correspond

desmesuresdescurit.Posonslesexigencesenmatiredeconfidentialitetdauthentification.
ExigencesdeconfidentialitetdauthentificationappliqueslaTOIP
Assurerlascuritdelasignalisation. UtilisationdeTLS
Authentifierlquipementdextrmit. UtilisationdeTLS
Assurerlaconfidentialitetlintgritdela UtilisationdeSRTP
communication.
Chiffrerlesfichiersdeconfiguration. Dispositifdechiffrementdesfichiersde
configuration
CiscorecommandetoutdabordlactivationdIPSECencasdutilisationdungroupementdeserveursredondantscaril
nestpasprvunativementdeprotectionentrelesserveurs.Concernantlescommunicationsetlasignalisation,Cisco
basesasolutionsurlamiseen uvreduneinfrastructuredeclspubliques(PKI)etlepanelhabitueldesprotocoles
descuritdontTLS.LechiffrementdelavoixutilisequantluileprotocoleSRTP(SecureRealTimeProtocol).
a.Protectiondelasignalisation
Lasignalisationestlpine dorsale de tout systme tlphonique car elle transporte entre autres la numrotation
composesurlecadrandelappareil.Dunemaniregnrale,unefoislecombindcroch,lasignalisationentreen
jeu pour dune part informer lutilisateur sur le succs de ses requtes (diverses tonalits) et dautre part pour
informer le central tlphonique du numro avec lequel il devra tablir une liaison. Les protocoles de signalisation
utiliss pour la tlphonie sur IP sont SIP, H 323 et SCCP qui est proprit de Cisco bien que quelques
implmentationsexistentchezdautresmarques(IPBlue,Asterisk).Laprotectiondelasignalisationestunprrequis
pourlchange scuris de mdia entre le CUCM et les quipements. La signalisation est donc un flux stratgique
quil convient de protger car toute attaque contre elle met en pril linfrastructure tlphonique par une
dsorganisation en temps rel. Cela se manifeste entre autre par un taux lev dappel qui naboutissent pas
correctementoupasdutout.
LasignalisationentrelestlphonesetleCUCMestprotgeparleprotocoleTLS(Transport Layer Security)quia
succd SSL (Secure Socket Layer). Dans le cas dun rseau tlphonique entirement chiffr (excluant pour
linstantlestlphoneslogiciels)aucuneanalyseduprotocolenestenvisageable.Ilestenvisageableaveclefirewall
ASA, qui possde une fonction de proxy TLS et sintercale entre un tlphone IP et le CUCM, de dchiffrer la
signalisationvenantdutlphone,denanalyserlespropritsetdelachiffrerdenouveauavantdeladirigervers
le CUCM. Cette technique ncessite la production de certificats et leur installation sur le firewall afin quil puisse
sinterposerentrelestlphonesetleCUCM.
b.Protectiondelavoix
Afindecombattreefficacementlescoutestlphoniques,lechiffrementseposecommeunesolutiondechoix.Le
protocolemiscontributionsenommeSRTP(SecureRealTimeProtocol)etsebasesurdeuxprotocolesbienconnus
qui sont AES (pour le chiffrement) et SHA (pour le contrle dintgrit). Un prrequis lutilisation de SRTP est la
protectiondelasignalisationcarelletransportelesclsdechiffrementdelavoix.SRTPestdfiniparlaRFC3711.
c.Protectiondesmdias(imagesetconfigurations)
Lauthentificationdesimagesoudesconfigurationspermetdviterquunquipementreoiveunlogicielcorrompuou
pigparuntiers.LeprocessusdevrificationdesimagesestindpendantduCUCM.Lesproduitslogicielsdestins
auxquipementsdetlphoniesontsignslectroniquementlorsdeleurproductionparCisco.
Ilestenfinrecommanddauthentifieretdechiffrerlesfichiersdeconfigurationreusparletlphoneetprovenant
duserveurTFTP,cesfichierscomportenteneffetquelquesinformationssensibles.Lactivationdecettefonctionnalit
estfacilitesiletlphoneestdtenteurduncertificatdanslecascontraireuncodeestentrauclavieravantle
tlchargementdufichierdeconfiguration.
Nousvenonsdaborderdesfonctionnalitsparticulirementutilespourlaprotectiondesdiverschangesentreles
composants de linfrastructure de tlphonie IP. Toutefois, rien de tout ceci ne serait envisageable sans une
mthodedauthentificationentreleslmentsquicomposentcetteinfrastructure.LeCUCMembarqueceteffetune
PKI dont tche est la production de certificats X509 destins aux divers composants de service du CUCM et aux
tlphones.
d.LinfrastructureclpubliqueduCUCM

Avant toute chose, il est important de souligner les difficults qui accompagnent toujours le dploiement dune
architecturedeclspubliquesouPKIenanglais.Letravailfournirsarticuleautourdeproblmatiquestechniques
et organisationnelles. Ainsi, la phase dtude ne saurait tre nglige au bnfice de la phase technique et vice
versa.
DanslecadreduCUCMsetrouventaumoinstroisautoritsdecertification(CA)quisontlesCUCM,lesserveursTFTP
etleCAPF(CertificateAuthorityProxyFunction).Noussommesgalementenprsencedetroistypesdecertificatsqui
sediffrencientenfonctiondelautoritparlaquelleilsonttsigns.Cesont :
les certificats autosigns par les serveurs centraux pour leurs propres besoins (accs administratifs en
HTTPS)
lescertificatssignsparlesprocessusdefabricationdirectementchezCiscosontappelsMIC(Manufacturing
InstalledCertificate)
lescertificatssignsparleCAPFouparuneCAexternesontappelsLSC(LocallySignificantCertificates).
LestlphonesIPenfonctiondeleurmodlereoiventuncertificatMIClorsdeleurfabricationousilnensontpas
munisdevrontrecevoiruncertificatLSCenvuedutiliserlesfonctionsdechiffrement.
Des certificats mis par des autorits de certification diffrentes ne pourront sauthentifier mutuellement qu
condition que leurs autorits respectives dpendent dune autorit suprieure commune. Cest le principe de la
chanedecertification.CiscopourregrouperlesmultiplesautoritsdecertificationquicomposentlarchitectureCUCM
propose un logiciel nomm CTL Client (Certificate trust List Client) dont la fonction est dinteragir avec une cl de
scuritUSB(eToken)quisignelalistedescertificatsdesautoritsdecertification.Cetteliste(signe)estcharge
danschaquetlphonelorsdesondmarrage.Lorsdunprocessusdauthentificationpralableuneprocdurede
chiffrement, le tlphone examine le certificat quil reoit de son partenaire et le confronte la liste CTL quil
possde.
LelogicielCTLClientesttlchargsurunestationdetravailpartirdunepagedelinterfacedadministrationdu
CUCM rserve aux plugins et aux API et ncessite une cl USB de scurit du type eToken sur laquelle seront
dposslesclsprivesetlescertificatsdesautoritsdecertification.
eTokenCisco
CetteclUSBestunlmentdescuritquiportelappellationdeTokenrenfermeunepairedecl(publiquesigne
etprive)gnreparCisco.
LeprincipedelaCTLestcomparableceluidelalisteblanchequidfinitlesCAautorisesvalideruncertificatau
contraireduneCRL(CertificateRevocationList)quiestunelistedecertificatsinterdits.

LorsdupremierchargementduneCTL,unappareilquinenpossdepasaccepterasansautreformedeprocsune
CTLquellequesoitsonorigine.Lerseausurlequelseffectuecettepremireinstallationdoittreirrprochable.
Une fois la PKI active (lopration nest pas triviale) les tlphones sont configurs pour utiliser le protocole de
signalisationchiffrpralablementdfinidansunprofilpuissenrlentauprsduCUCM.
La cryptographie correctement configure au niveau des quipements et du protocole de signalisation, les
tlphonesayantlacapacitdentameruneconversationprotgeentreeuxlefontnaturellementenprocdant
unevrificationmutuelledeleurscertificats.Desmodesdgradssonttoutefoisenvisageablespourlestlphones
nepossdantpastouteslesfonctionsdescurit.Cestlecasdestlphoneslogiciel(Softphones)dutypeCiscoIP
communicatorquiontseulementlacapacitdeprotgerlasignalisation.
3.Luttecontrelafraude
La lutte contre la fraude est une priorit pour les entreprises afin de ne pas sexposer des comportements
dangereuxetirresponsablespouvantengendrerdesfacturationstrslourdes.Lephnomneremonteauxorigines
mme de la tlphonie. Les entreprises offrent leurs collaborateurs quelques facilits qui si elles ne font lobjet
daucune surveillance sont un facteur aggravant du phnomne de fraude. Linformation concernant la dcouverte
dune martingale schange entre initis et le montant des factures qui connait dans les premiers temps une
croissancemodre explose quelquesmoisplustard.Ilestnoterquelafraudenerevtpassystmatiquement
uncaractretechniqueparlebiaisdesavantesmanipulations,maisconsisteparfoisenuneutilisationdraisonnable
des moyens octroys au collaborateur. Citons titre dexemple les postes bnficiant dun accs linternational
utilisspardesutilisateursmalveillantsdsledpartenfindejournedutitulairedelaligne.Uneutilisationabusive
estaussiconsidrecommeunefraudepartentire.
Lafraudequimetprofituneutilisationindirectedelalignesappuiedonctrsfrquemmentsurlesfacilitsoffertes
parlecentraltlphoniqueIP.Lesservicesderedirectiondappelsilnesontpasscurisspermettentderedirigerun
appel entrant (provenant de lextrieur de lentreprise) vers un service surtax ou un pays exotique. De mme un
appelinternepeutsevoirredirigverslextrieur.Cesmthodesncessitentuncompliceparmilescollaborateurs
moins que le bnficiaire nopre seul. Les services de bote vocale permettent aussi sous certaines conditions de
bnficierdunefonctionnalitderedirectiondappel.
Nous ne prsentons pas ici comme laccoutume un tableau dexigences car la lutte contre la fraude est une
exigenceuniquedontilestpossibledeseprmuniraveclesconfigurationsquenousallonsexaminer.
a.Techniquesantifraude
Lestechniquespermettantderestreindrelespossibilitsdecontrlerlaredirectionoulesappelssontbasessur
lanalysedunumrocompos.NoussavonsparexemplequenFrance,unappelinternationaldbutetoujoursparla
squence (ou prfixe) "00", de plus, lintrieur de lentreprise, il faut traditionnellement ajouter un "0" pour
indiquerunappelverslextrieur.Lasquencedenumrotationdbutedoncpar"000".Lelogicieldexploitationdu

centraltlphoniqueIPestenconsquenceconfigurpourreconnaitretouteslessquences(enanglaispatterns)
quicorrespondentauxdestinationsinternes,nationales,internationalesetdiversservices.Schmatiquement,pour
filtrerlesappelsoulesredirectionslamarchesuivreestlasuivante:
dfinitiondesgroupesdeprfixesdenumrotation(00033 00044 )
crationsdegroupesdutilisateursenfonctiondeleursprivilges
regroupement des groupes dutilisateurs et des groupes de prfixes afin de dterminer les destinations
permisesauxmembresdesgroupes.
Les trois points que nous venons de dcrire sont reprsents sur le schma cidessus et se traduisent par la
terminologieCiscosuivante :
dans le menu call routing, le sousmenu translation pattern permet de crer les squences qui sont
compares avec le numro compos. Des caractres spciaux sont prvus la manire des scripts shell
(Unix/Linux)pourdsignerdessquencesoudessuitesdechiffres.Parexemplelasquence0001!dsigne
touslesnumrosdetlphonecommenantparleschiffres0001suividenimportequelautrechiffre.
une partition est un ensemble de pattern qui groups sont applicables une ligne tlphonique IP.
Toutefois,lesnumrosnecorrespondantaucunpatternneserontpasjoignablessanslaidedesespaces
derecherchesdappellescallingcallspace.
les calling call space regroupent des partitions selon un certain classement. Ils sont appliqus un
quipementtlphoniqueIPcommeuntlphoneouunelignecommeindiqusurleschma.
Deux termes importants sont utiliss ici et mritent un claircissement car ils couvrent la notion de poste
tlphonique et de ligne tlphonique. Au dbut de ce chapitre figure limage dun tlphone logiciel IP. Sur la
gauchedelimagesetrouventhuitboutonsrondsmatrialisanthuitlignestlphoniquespotentiellesdontseulela
premireestconfigurepourunutilisateur.Pardduction,unpostetlphoniqueestunobjet(logicielouphysique)
quipeutrecevoiruneouplusieurslignestlphoniques.
Direction Encadrement Employs
Appelsinternationaux OK OK X
Europe
Appelsinternationaux OK OK X
Amriquedunord
Appelsinternationaux OK X X
autresdestinations

Appelsnationaux OK OK X
Appelsverslesmobiles OK OK X
Appelsrgionaux OK OK OK
Numrosdurgence OK OK OK
Voici un tableau relatif aux appels ou aux redirections en fonction dune position hirarchique dans lentreprise.
chaquecaseOKcorrespondlapossibilitdtablirouderedirigerunappelverslesprfixesappartenantauxfamilles
de la colonne de gauche. Le CUCM offre deux autres techniques complmentaires celles que nous venons
dtudier :
La limitation des appels en fonction de lheure et du jour de la semaine. Cette mthode ncessite la
dfinitionduntimeperiodreporterdansuntimescheduledclarerdansunepartition.Cettedernireest
dclarerdansuncallingsearchspaceluimmeappliquunquipementouuneligne.
Lobligation faite un utilisateur dentrer un code secret pralablement un appel et ce, en fonction du
prfixeetduneprioritentreleniveaudautorisationdeceprfixeetceluidelaroutetlphoniquequildoit
emprunter.
Ces descriptions peuvent paratre relativement abstraites il est donc fortement recommand de se
reporteraumanuelduCUCMpourdeplusamplesexplicationsrelativeslaconfiguration.
Uneroutetlphoniqueestuncheminverslextrieurdudomaine,engnralverslerseautlphonique
public.CettenotionestprochedecelledunerouteIPquiseraitextrieureaurseaulocal.

Conclusion
LescentrauxtlphoniquesIPontpeupeuprislaplacedeleuranctresanalogiquesdanslesentreprisesquelleque
soit leur taille qui, connectes Internet, abaissent le cot de leurs communications et celui de lentretien de
linfrastructuretlphonique.Ceciestaussidlaconvergencephysiquedesrseauxdedonnesettlphoniques
quiempruntentdsormaisdesroutescommunes.
LessystmesdetlphoniesurIPhritentaussidetouteslesmenacesetvulnrabilitsquidgradentrgulirement
le fonctionnement des rseaux informatiques. De plus, les agissements de personnes ou dorganisation hostiles et
malveillantessontfacilitsdansledomainenotammentdescoutesetautresindiscrtions.Toutefois,lesprotections
disponiblessurlesrseauxdedonnesprofitentdirectementauxrseauxtlphoniquesquiontleurdispositionun
arsenalcompletdemesuresparmilesquelleslacryptographietientuneplacedechoix.

Gnralitsethistorique
Les parefeu ou firewalls sont apparus et ont connu leur heure de gloire lorsque les rseaux dentreprise se sont
progressivement vus connects Internet, ce rseau qui a toujours t peru comme une menace. Dune manire
gnrale,lesfirewallsprotgentlesrseauxinternesdesrseauxextrieursetcettatdefaitesttoujoursdemise
aujourdhui. Les architectures voluant, les firewalls tout en restant leur place originelle investissent lintrieur du
rseau. Les modes de travail tendent vers une troite imbrication des acteurs qui gravitent autour du systme
dinformationetilestdevenucourantdefournirdespartenaireslaccsdesressourcesinternes.Cettesituation
entrane un tel bouleversement dans les architectures de scurit (et rseau) quune rflexion simpose afin de
redfinir les nouvelles limites et les nouvelles rgles de scurit encadrant un trafic toujours plus dense et plus
complexeauprofitdesapplicationsquilvhicule.
Les firewalls trouvent toujours leur place dans cette redistribution des cartes et leurs capacits se sont au fil des
annes toffes avec lapparition de fonctionnalits devenues indispensables parmi lesquelles figurent
lauthentification des utilisateurs, les VPN SSL et la surveillance des protocoles applicatifs. Toutefois, les firewalls
accomplissenttoujourslefiltragedesprotocolesrseauquiestloriginedeleurcration.
Nousallonsdanscechapitrebrosserunportraitdesfonctionnalitsproposesparlesfirewallsendbutantparleurs
missionspremires(lefiltrageIP)jusquauxderniersdveloppements(lesVPNSSL).Nousavonschoisipourillustrer
notreproposlemodleASA5505quiestlefirewalldentredegammedeCiscoaumomentdelcrituredecelivre.
Cisco sest illustr dans le domaine du firewall avec le clbre modle PIX (Private Internet Exchange) livr ds ses
dbuts sous la forme dun quipement compact et fiable librant ladministrateur des contraintes de gestion dun
systme dexploitation sousjacent. Tel ntait pas le cas des autres firewalls quasi exclusivement conus pour tre
installs sur des platesformes Unix ou Windows. La gamme PIX sest teinte en 2008. Elle est remplace par la
gammeASA(AdaptiveSecurityAppliances)quiperptuelatraditiondesquipementsddisetautonomes.
Cette nouvelle famille fait la part belle aux techniques mergentes comme les VPN SSL qui ont pour vocation de
remplacerlestunnelsVPNbasssurIPSecddisauxutilisateursdistants.Lebutavoudecettetechnologieestde
faciliterlaccs(scuris)auxapplicationspubliesauformatWEBtouslesemploysetpartenairesdelentreprise
enfonctionderlespralablementdfinisetfinementattribus.Lefirewallestdevenuainsiaudeldesafonctionde
filtragerseauunevritablepasserellemultiniveauassurantdesservicesdaccsetdescuritsurtouteltendue
dumodleOSI.

PrsentationdelASA5505
LefirewallASA5505estprsentsouslaformedunpetitbotierdontlesdimensionsleplaceparmilespluscompacts
du march : 20 cm x 17cm x 4.5 cm. Il est principalement destin aux petites et moyennes entreprises, aux
tltravailleurs ainsi quaux agences de taille modeste. Ses possibilits en revanche sont proches de celles des
modlessuprieurs.Toutefois,lesfonctionsdehautedisponibilitnesontpasoffertes(aveclalicencedebase)etle
nombredeVLANgrsestlimit.Ilnestgalementpaspossibledexploiterlatechnologiedescontextesdescurit
qui autorise la cration de multiples instances de firewall virtuelles au sein dun mme quipement physique. Le
Firewall ASA 5505 est un quipement dentre de gamme relativement limit dans ses capacits de configuration
rseauparrapportauxmodlessuprieurs.Ilestenrevancheadministravecunoutiltrsvolu.
LafaceavantdubotiercomportedesLEDindiquantltatdelquipementetdesconnexionsrseau.LeportUSBnest
pasutilis.
Sur la face arrire nous trouvons les huit ports dun commutateur Ethernet qui ont la possibilit dtre organiss en
troisVLANlocaux.Leportzroestpardfautrservlinterfaceexterneconnecteaurseaulemoinssr.Lessept
autres ports sont considrs comme tant internes au rseau. Les deux derniers ports offrent une alimentation
lectriqueafindalimenterunpostetlphoniqueIP.Leconnecteurdelaconsoleestentourdebleuetlesdeuxports
USB sont rservs de futures applications. Un emplacement est rserv pour accueillir une carte dextension qui
prendenchargeunmoduleddilinspectionvirale.Surladroiteduportconsole,lapetitefentepermetdattacherle
firewallunsupportlaideduncbledescuritdummetypequeceuxutilisspourlesordinateursportables.
Ciscoannonceunecapacitdetraitementde150Mbpsparlefirewallet100Mbpslorsquelechiffrementestactiv.En
fonctiondeslicences,lefirewallestlimitennombredutilisateursnormauxouutilisantlesconnexionsprotgesde
typeVPNIPSecouVPNSSL.
1.Configurationdebase
Nous prsentons la configuration du firewall ASA en nous basant principalement sur la ligne de commande (CLI).
LinterfacegraphiquedadministrationASDMseraprsenteenannexe.
Le firewall est livr avec une configuration de base qui comporte deux interfaces routes. Ce sont des interfaces
VLANidentiquescellesdescommutateursdelagamme.Chacunedentreellereoitunedsignationquiestreprise
parexempledanslescommandesdetraductionsdadresse.
LesdeuxinterfacesVLANdelaconfigurationdebasesontnommesinsideetoutside.Chacunedelleestassocie
unniveaudescurit.
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 192.168.2.1 255.255.255.0

!
Dans cet extrait de configuration, nous remarquons la commande nameif qui donne son appellation aux deux
interfaces.Lacommandesecurity-levelestquantellesuiviedunevaleurquiindiquesonniveaudescurit.Plus
lechiffreestgrandetpluslinterfaceestdignedeconfiancetoutcommelesrseauxquiysontconnects(centestle
maximum).
Il faut retenir que par dfaut, le trafic transite uniquement entre deux interfaces du niveau le plus lev vers le
niveaulemoinslev.Danslextraitdeconfigurationcidessus,lesmembresduVLAN1(quireprsentelintrieurdu
rseau)peuventinitialiserdesconnexionsversleVLAN2(quireprsentelextrieurdurseau).Pourdrogercette
rgledebaselutilisationduneACLestindispensable.
Une spcificit de lASA 5505 livr avec une licence de base est lobligation de rendre unidirectionnel le trafic entre
deuxdestroisinterfacesVLANquilestpossibledecrer.SilondcidedeconfigurertroisinterfacesdetypeVLAN.Le
messagesuivantapparatalors :
ERROR: This license does not allow configuring more than 2

interfaces with nameif and without a "no forward" command on this
interface or on 1 interface(s)
Cemessagenousmetengardeetindiquequilfautlimiterletraficentredeuxdestroisinterfaces.
interface Vlan3
no forward interface Vlan1
nameif DMZ
security-level 50
Ici, linterface VLAN3 est configure de telle sorte quelle ne puisse pas initialiser de communication vers linterface
VLAN1.Dautrepart,sonniveaudescuritestde50cequilasitueentrelesvaleursdesdeuxautresinterfaces.
interface Ethernet0/0
!
!
Les interfaces physiques du commutateur Ethernet intgr dans lASA sont au final raccordes aux divers VLAN en
utilisantlacommandeswitchport access vlansuiviebienentendudunnumrodeVLAN.Pourcefaire,ilfaututiliser
lemodedeconfigurationduneinterfacephysique.LesinterfacesdansleVLAN1napparaissentpasdanslerappelde
configuration.
Tout comme pour les autres quipements, le firewall ASA dispose du protocole SSH afin de scuriser les accs
administratifs.
ASA-5505(config)# domain-name testlab.com

ASA-5505(config)# crypto key generate rsa modulus 2048
ASA-5505(config)# username vincent password cisco
ASA-5505(config)# aaa authentication ssh console LOCAL
ASA-5505(config)# ssh 192.168.1.2 255.255.255.255 inside
ASA-5505(config)# ssh timeout 5
ASA-5505(config)# ssh version 2
ASA-5505(config)# management-access inside
Cet extrait de configuration est relativement explicite. Notons toutefois la simplification en comparaison avec un
routeur. Ici, les interfaces VTY ont disparu. Il est simplement indiqu au protocole SSH ladresse IP de la station
dadministration et linterface VLAN sur laquelle ce trafic aboutit. Il sagit en loccurrence de linterface inside qui
correspondlinterfaceVLAN1.
username vincent password Vtb/ZufSkY.w0v3m encrypted privilege 15
Lecomptelocal(utilisateurvincent)vuaprsunrappeldelaconfigurationmontreicisonmotdepassechiffretson
niveaudeprivilge.

Exigencesdescurit
Nous avons voqu la place des firewalls dans larchitecture rseau en insistant sur le fait quelle ne se limite plus
uniquementauxfrontirestraditionnelles.Desserviceshautementsensiblescommelatlphonie,bienquhbergs
lintrieurduprimtre,ncessitentuneprotectionaccrueafinqueriendautrequelesprotocolesassocislavoixne
pntredanslazonedesserveursddislavoix.Ilenvademmepourdautreszonesapplicatives.Toutefois,les
firewalls ne quitteront sans doute jamais les emplacements qui marquent la sparation du rseau dune entreprise
aveclemondeextrieur.
Lavaleurajoutedespremiersquipementsdefiltragetaitbienfaiblemalgrladjonctiondesservicesdetraduction
dadressesdevenusindispensableaveclavnementdInternetetlesmenacesquilnemanquepasdecharrier.Cest
pourquoi,lesditeursdefirewallslesontdotsdefonctionnalitsplusvoluesquiconcentrentsurunquipement
unique des fonctions annexes comme lauthentification des utilisateurs et la surveillance approfondie des protocoles
applicatifs.
NousavonsexaminaucoursduchapitreLascuritdelacoucherseaulaconfigurationsurunrouteurdelasuite
IPSecquiestinitialementdestineauxcommunicationsderseaurseau.CettetechniquecourammentnommeVPN
est galement applicable la relation entre un individu (sa station de travail) et un rseau central. Elle ncessite
linstallationdunclientlourdaccompagnderglagesspcifiquesdelasuiteIPsecetdelacoucherseau.Partantdu
principequunestationdetravailpossdeunnavigateurInternetdisposantdefonctioncryptographique,dessolutions
sont apparues qui utilisent les fonctions SSL du navigateur en substitution de celle dun client lourd. Les accs au
rseau central sont de fait envisageables depuis nimporte quelle station de travail ce qui pose, nous le verrons,
quelquesproblmes.
Ce sont ces techniques que nous allons dcrire mais auparavant, dfinissons comme de coutume des exigences de
scuritparrapportauxfonctionnalitsquenousvenonsdvoquer.
ExigencesdescuritFirewallpourlesfonctionsdefiltrageIP
FiltrageIPavecconservationdeltatdessessions ACL
ImplmentationdeDMZ Configuration
Traductiondadresseetprotectiondesserveurs NAT
publics
Dtectionetprotectioncontrelesmenacesausein Servicedinspectiondesprotocolesapplicatifs
desprotocolesapplicatifs
1.LesACL
Bien entendu le firewall ASA possde la capacit de garder en mmoire ltat des sessions en cours. Comme nous
lavons dcrit lors du chapitre sur la scurit au niveau 3, le firewall autorise le trafic retour correspondant celui
dfinisurlACL.
LaterminologiedesACLdiffrelgrementdecelleenvigueursurlesrouteurs,ilestgalementpossiblededclarer
(grouper)desrseaux,desquipements,desprotocolesetdesservicespourlesintgrerlaconfigurationdelACL.
LapplicationdelACLlinterfaceneseffectuepasdanslemodedecelleci.
ASA-5505(config)# object-group ?
configure mode commands/options:

icmp-type Specifies a group of ICMP types, such as echo
network Specifies a group of host or subnet IP addresses
protocol Specifies a group of protocols, such as TCP, etc
service Specifies a group of TCP/UDP ports/services
ASA-5505(config)# object-group network inside

ASA-5505(config-network)# ?
description Specify description text

group-object Configure an object group as an object
help Help for network object-group configuration commands
network-object Configure a network object
no Remove an object or description from object-group

ASA-5505(config-network)# network-object 192.168.4.0 255.255.255.0
Cestroiscapturesdeconfigurationmontrentlestapesdelacrationdetroisobjetsdsignantchacununrseau.
Nous crons un groupe dobjets(object-group) de type network portant le nom inside. Puis, nous associons trois
objets rseaux ce groupe. Le but est de dsigner sous un nom unique trois rseaux interieurs qui ne sont pas
directementconnectslinterfaceinterne.
object-group network inside

network-object 192.168.4.0 255.255.255.0
network-object 192.168.5.0 255.255.255.0
network-object 192.168.6.0 255.255.255.0
Cetextraitdelaconfigurationmontreplusexplicitementleregroupementdestroisrseaux.
ASA-5505(config)# access-list ACL-Interne extended permit ip

object-group inside any
ASA-5505(config)# access-group ACL-Interne in interface inside
LapremiredesdeuxcommandescidessuscreuneACLetlanommeACL-Internedetypetendueetslectionne
legroupedobjetsnomminsidecommesourcedutraficIPetdestinationdenimportequelledirection.
LasecondecommandeappliquelACLenentre(in)surlinterfaceinside.
ASA-5505(config)# access-list ACL-Interne line 2 deny ip

192.168.9.0 255.255.255.0
la manire de ce qui existe pour les routeurs il est possible de numroter les entres duneACLafinde
faciliterlinclusiondunenouvellelignedanslaliste.
ASA-5505(config)# sh access-list
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max
4096)
alert-interval 300
access-list ACL-Interne; 5 elements

access-list ACL-Interne line 1 extended permit ip object-group
inside any 0x4d17491e
access-list ACL-Interne line 1 extended permit ip 192.168.4.0
255.255.255.0 any (hitcnt=0) 0x6b96d490
255.255.255.0 any (hitcnt=0) 0xf64614a7
255.255.255.0 any (hitcnt=0) 0x4ac0eade
access-list ACL-Interne line 2 extended deny ip 192.168.9.0
255.255.255.0 any (hitcnt=0) 0x60adaa36
Le retour de la commandeshow access-list nous montre la ligne 1 qui fait rfrence au groupe dobjets nomm
inside.Puis,nousobservonslaligne2quiinterditlerseau192.168.9.0.Silonsouhaiteintercaleruneligneentrela
ligne1etlaligne2,ilsuffitdecrerunenouvelleligne2.Lancienneligne2devientalorslaligne3.
2.LesDMZetNAT
Nous allons aborder deux notions qui sont troitement lies sur tous les rseaux scuriss, ce sont la cration de
zonesdmilitarises(DMZ)etlutilisationdelatraductiondadresse(NAT).
LacombinaisondecesdeuxtechniquesetlappuidesACLpermettent :
demasquerlerseauinternelavuedumondeextrieur
decrerunezonedescuritintermdiaireentrelintrieuretlextrieur
depublierdesinformationsdanscettezoneenlarendantaccessibledelextrieur.

VoiciunereprsentationdunfirewallASA5505surlequeltroiszonessontcres.LesinterfacesphysiquesEthernet
37sontpardfautrattachesauVLAN1etfontpartiedelazoneINSIDE(intrieure).
Il existe une rgle dor concernant les DMZ, celle qui recommande de ne pas laisser une zone initialiser des
communicationsversunezonedontleniveaudescuritestsuprieurausien.Cestleprincipedumoindreprivilge.
Cette rgle applique par dfaut nos trois interfaces par le firewall est rsume dans ce tableau. Il existe
cependant des cas de figure pour lesquels les communications doivent stablir afin dalimenter la zone DMZ en
informations. Ces communications devraient dbuter partir de la zone INSIDE vers la zone DMZ. Il est parfois
opportundinterdireautraficdescoulerdanslesensquiestautorispardfaut.SinousconsidronslazoneDMZ
muniedunserveurWEB,nouspouvonssouleverlaquestiondelutilitpourcettezonedtablirdescommunications
aveclextrieur.Eneffet,cetypedeserveurrenvoieverslextrieurdesinformationsetnecommuniquejamaisdesa
propre initiative vers lextrieur. Ce nest par contre pas le cas des serveurs de messagerie. Un autre cas
dapplicationdecettergleinterdiraitlazoneOUTSIDEdecontacterlaDMZsurlaquellesontdploysdesservices
vocation publique. Il apparait clairement que lorganisation des flux (vue sous laspect scurit) ne relve pas
uniquementdelanaturedelazonedoriginemalgrlebienfondduprincipedumoindreprivilge.Afindedroger
cettergleimplmentepardfautsurlesFirewallASA(aveclesniveauxdescurit),ilfautdployerdesACL.Elles
seulessontmmedautoriserdemaniregranulairedesaccsquisontinterditspardfaut.
La cration de DMZ sur le firewall ASA sopre par la configuration du niveau de scurit des interfaces VLAN. Le
schma reprsente lexemple type dans lequel la zone interne (INSIDE) reoit la valeur de 100, la zone externe
(OUTSIDE)lavaleurminimalede0,laDMZquantellereoitlavaleurintermdiairede50.
Aveccetteconfiguration,nousobtenonspardfautletableausuivantquirespecteleprincipedemoindreprivilge.
versINSIDE versDMZ versOUTSIDE
deINSIDE OK OK OK
deDMZ NON OK OK
deOUTSIDE NON NON N/A
AudbutdInternet,lesquipementsterminauxrecevaienttousuneadressepublique.Ilstaientdefaitdirectement
joignables. Ce nest plus le cas de nos jours o la plupart des systmes terminaux utilisent des adresses dites
privesmasques(NAT)paruneouplusieursadressespubliques.Nousallonsdcrirelesdeuxcaslespluscourants,
ilsagitdelaconnexiondunrseauprivInternetetdelamisedispositiondunservicepublicsuruneDMZavec
un adressage priv. Ces cas sont des classiques du genre, mais ont pour mrite daider grandement la
comprhensiondecettetechnique.
NAT (Network Address Translation) est considr comme une fonction de scurit part entire car ses
caractristiques permettent une isolation entre les rseaux publics et privs. NAT est apparu avec la ncessit
dconomiser les adresses IP publiques dInternet. De plus, il est rapidement devenu inconcevable en matire de
scuritdelaisserunordinateurdirectementconnectInternet.DesplagesdadressesIPonttdclaresnon
routables (donc inutilisables) sur Internet et mise disposition des entreprises pour un usage interne. Ces plages
dadressessontconnuessouslappellationRFC1918etsont :
10.0.0.110.255.255.254
172.16.0.1172.31.255.254

192.168.0.1192.168.255.254.
NATmodifieleschampssourceoudestinationdespaquetsIPaupassagedecesdernierssurlefirewall.Danslescas
qui suivent, nous utiliserons NAT pour modifier ladresse source des paquets IP sortant du rseau INSIDE vers le
rseau OUTSIDE et pour modifier ladresse destination des paquets IP en provenance du rseau OUTSIDE vers le
rseauDMZ.
NousmontreronsgalementcommentnepasutiliserNATentrelerseauINSIDEetlerseauDMZ.
Nous allons dcrire les trois cas les plus courants, il sagit (en 1) de la connexion du rseau INSIDE au rseau
OUTSIDE,delaconnexion(en2)durseauINSIDEverslerseauDMZetdelaconnexion(en3)durseauOUTSIDE
verslaDMZ.CestroisconfigurationsutilisentlatraductiondadresseetlesACL.
CasN1:
LerseauINSIDEseconnecteaurseauOUTSIDE.Cecasmontreunestationdetravaildunrseauinternequise
connectesurInternet.Commeellenedisposepasduneadressepublique(routablesurInternet)ilestabsolument
ncessairedechangerladresseIPsourcedespaquetsIP.Sitelntaitpaslecas,lespaquetsretournepourraient
trouverleurdestination.
LorsdesonpassagetraverslefirewalllepaquetIPchangedadressesource.SonadressedetypeRFC1918est
transformeenadresseIPpublique,enloccurrencecelledelinterfaceoutside.AucuneACLnesticincessairecarle
rseau INSIDE bnfice du niveau de scurit maximal. Cet exemple montre le rseau INSIDE en correspondance
avecladressedelinterfaceOUTSIDEdufirewall.
ASA-5505(config)# nat (inside) 1 192.168.1.0 255.255.255.0

ASA-5505(config)# global (outside) 1 interface
LasyntaxedescommandesNATnestpasfacilereteniretmritedesexplicationsapprofondies.

Ici, nous dclarons un processus NAT qui porte le numro 1. Il est indiqu que le rseau 192.168.1.0 rsidant sur
linterfaceinside(commandenameifdelinterfaceVLAN1)estcandidatpourlatransformationdesadressessources
(nat)aupassagedufirewallverslerseauoutsidequisesitueenzonepublique(global).Lesdeuxlignessontlies
parlenumro1.Lorsdupassagedunpaquet,latabledecorrespondancedeNATestrenseigneafindepermettre
ladistributioncorrectedupaquetretour.
ASA-5505(config)# nat (inside) 1 192.168.1.0 255.255.255.0

ASA-5505(config)# global (outside) 1 198.10.10.10-198.10.10.240
Il est galement possible de faire correspondre le rseau INSIDE un groupe dadresses publiques routes sur
linterface OUTSIDE. Dans cet extrait de configuration, aux adresses du rseau INSIDE correspondent une plage
dadressespubliquescestdiretouteslesadressesentre198.10.10.10et198.10.10.240
CasN2:
FautilactiverlesfonctionsNATpourtouslestypesdetrafic ?Celaneparatpasindispensableentredeuxrseaux
quipossdentdesadressesIPprives.Lecasseprsentedansnotrearchitecturepourlescommunicationsentrele
rseau INSIDE et le rseau DMZ. Le cas N1 transforme toutes les adresses du rseau INSIDE. Si la fonction NAT
nest pas ncessaire entre le rseau INSIDE et le rseau DMZ, il faut indiquer au processus NAT quil ne doit pas
traitercertainspaquets.
NousobservonsiciquelespaquetsentrelerseauINSIDEetlerseauDMZconserventleuradressesource.
ASA-5505(config)# access-list PasDeNat permit ip 192.168.1.0

255.255.255.0 192.168.3.0 255.255.255.0
ASA-5505(config)# nat (inside) 0 access-list PasDeNat
UneACL(nommePasDeNat)dsigneletraficentrelerseauINSIDEetlerseauDMZ.Puis,cetteACLestapplique
unecommandeNATsappliquantsurlinterfaceinsidesuivieduchiffre0indiquantquilnefautpastransformerles
adressessourcescorrespondantlACLPasDeNat.
CasN3:
Les services offerts au public sont gnralement installs sur des zones dmilitarises afin de bnficier de la
protectionoffertedanscesespaces.Latraductiondadresseestlunedecesprotections.Ilfautqueleserveurdans
le rseau DMZ soit accessible de lextrieur par son adresse publique. Puis NAT modifie ladresse de destination
publique vers ladresse prive du serveur telle que configure sur sa carte rseau. En outre, cette communication
stablit entre linterfaceoutside(securitylevel0)etlinterfacedmz(securitylevel50)cequincessitelajoutdune
ACLpourdrogerauprincipedumoindreprivilge.

NousconstatonslechangementduchampIPdestinationdanslepaquetlorsdupassageautraversdufirewall.Cette
configurationncessiteunroutagedeladresse198.10.10.100surladressedelinterfaceoutside.
static (inside,outside) 198.10.10.100 192.168.3.2 netmask

255.255.255.255
access-list VersDMZ extended permit tcp host 198.10.10.100 eq www

host 192.168.3.2 eq www
access-group VersDMZ in interface outside
Cesdeuxcommandesdcrivent :
lassociationentreladressepubliqueduserveur(198.10.10.100)etsonadresseprive(192.168.3.2)
lindispensableACLpourpasserdunniveaudescuritlautre.Examinonslesdansledtail.
Lapremirecommandenest pas aise mmoriser de prime abord. Elle indique au routeur quuneadresseIPdu
ctdelinterfaceinsideeststatiquementtraduitesurlinterfaceoutsideparNAT.Noustrouvonsensuiteladresse
IPpubliqueduserveursuiviedesonadresseprive.Cettesyntaxeestquelquepeudroutantedufaitdelinversion
desadressesparrapportlordredesmotsinsideetoutside.
LasecondecommandeestuneACLtendueclassiquequiautoriseladressepubliqueduserveurseconnecter
sonadresseprive,lesportssontprcissetcorrespondentauprotocoleHTTP(port 80).
Descontrlessupplmentairesexistentpourlesrglesdetraductionetconcernentlacouchesession.Ilestpossible
de configurer un nombre maximum de connexions TCP et UDP. La quantit de connexions moiti ouvertes est
galementconfigurable.
3.Dtectionetprotectioncontrelesmenaces
Lesattaquesportantsurlesprotocolesdurseaunemanquentpas.Ellesschelonnentdelasimplereconnaissance
de port la mise hors service dun rseau par lenvoi en grand nombre de paquets volontairement errons. Les
attaques de ce genre peuvent tout fait traverser un firewall si elles correspondent du trafic autoris. Il peut
sembler irraliste denregistrer dans les journaux ces trafics lgitimes, mais une brutale augmentation dune
catgorie de trafic est une information de premier choix hlas noye dans le flux incessant qui traverse un
quipement de scurit. Ce principe est sduisant mais induit pour un firewall, aussi dot en mmoire soitil, une
chargedetravailconsidrable.Ilestprfrablededlguerdautresoutilslesoindesurveillerlachargedesliens
du rseau voire la conformit applicative du trafic. Parmi ces outils nous trouvons les dispositifs de corrlation de
journauxquiprsententunavantageincontestableencomptabilisantlesoccurrencesdunmmevnementaulieu
decrerunelignepourchacundentreeux.
Aprs la dtection dune activit paraissant suspecte, il convient de prendre une dcision quant au traitement du
traficincrimin.Ilestenvisageabledelliminertotalementouderestreindresontauxdepntrationdanslerseau

parlebiaisdesoutilsdequalitdeservice.
Nous avons examin sur les routeurs des ACL qui permettent de rejeter sur les interfaces externes, du trafic
semblant provenir des rseaux internes. De mme, nous avons soulign lintrt reprsent par un filtrage la
sourceauplusprsdesconnexionsdesutilisateurs.
NousallonsprsentexaminerlessolutionsproposessurlefirewallASA.
Le taux de messages de scurit concernant le nombre de paquets rejets par des ACL est tout particulirement
intressantcarilindiqueuneanomaliedueounonuneattaquesurlerseau.
ASA-5505(config)# threat-detection basic-threat
Cette premire commande active la dtection des menaces sur une liste prdtermine dirrgularit comme les
rejetssurlesACL,unnombretropimportantdepaquetsSYNenattentedesynchronisationouunereconnaissance
parscandeports.Unmessageestenregistrsurlejournaldufirewall.Lestauxdedtectionsonttrsfacilement
paramtrables et portent sur la dure pendant laquelle seront calcules les moyennes, le taux moyen de paquets
rejetsparsecondeetuntauxdepicsurunintervallepluscourt.Cescommandesneprsententaucunedifficult
particuliremaisncessitentunparamtrageralisteenfonctiondesseuilssouhaits.
hostname(config)# threat-detection rate {acl-drop | bad-packet-drop

| conn-limit-drop | dos-drop | fw-drop | icmp-drop | inspect-drop
|interface-drop | scanning-threat |
syn-attack} rate-interval rate_interval average-rate av_rate burst-
rate burst_rate
threat-detection rate syn-attack rate-interval 1200 average-rate
100
Ledtaildelacommandeestdonnpourinformation.Noustrouvonsaudessous,unecommandevisantremonter
unealerteencasdedpassementduncertainrglagedanslecasduneattaqueparinondationdepaquetsSYN.
Aprs chaque mot cl et avant chaque valeur en secondes, lutilisation du point dinterrogationfournit(enanglais)
desexplicationstrsdtaillessurlutilisationdechaquemotcl.Cetteaideenligneestdunetrsgrandequalit.
La commande en exemple se traduit de la manire suivante : le taux de dtection des menaces pour une attaque
SYN(prsume)estcalculsurunintervallede1200secondesetdclencheunealarmepouruntauxde100paquets
parseconde.
ASA-5505(config)# threat-detection scanning-threat shun duration 60
Cetteautrecommandeconcerneplusparticulirementlesreconnaissancesparscandeport.Ilesticiquestionnon
seulementderemonterunmessageencasdereconnaissancemaisaussidedconnecterlegneurpourunedure
duneminutegrceloptionshunquiestoptionnelle.Pourmmoireunereconnaissanceestunnombreconsidrable
de tentatives de connexions sur tous les ports connus afin de dterminer quels sont ceux sur lesquels le systme
dexploitationvisestencoute.
Cisco sous lappellation de normalisation du protocole TCP offre une myriade doptions trs intressantes pour
tenter de paramtrer finement la dtection des attaques dont TCP est la victime. Ici aussi le point dinterrogation
apporte beaucoup dinformations. Citons toutefois quelques options portant sur la dtection des drapeaux ACK ou
URGENTmalpositionnsainsiquelapossibilitdaccepterunevariationdelatailledesfentres.
LemcanismedapplicationdelanormalisationduprotocoleTCPuneinterfacesuitleschmautilispourajusterla
qualitdeservice.LasyntaxeutiliseparCiscoest tiroir etmritequelonsyarrtequelquesinstants.

Toutdabord,nousdfinissonslesparamtresdenormalisation(enbasdroite),puisuneclass-mapestcredans
laquelleletraficdfiniparuneACLestslectionnpourlanormalisation.Toutceciestintgrdansunepolicy-map
(qui peut contenir plusieurs entres class-map et set). Pour terminer, une service-policy englobe la policy-map
avantdesevoiraffectelinterfaceoutside.
ASA-5505(config)# access-list trafic_entrant extended permit tcp

any host 198.10.10.100 eq www
ASA-5505(config)# tcp-map normalisation

ASA-5505(config-tcp-map)# checksum-verification
ASA-5505(config-tcp-map)# reserved-bits clear
ASA-5505(config-tcp-map)# syn-data drop
ASA-5505(config-tcp-map)# exit
ASA-5505(config)# class-map tcp_norm

ASA-5505(config-cmap)# match access-list trafic_entrant
ASA-5505(config-cmap)# exit
ASA-5505(config)# policy-map tcp_normalisation

ASA-5505(config-pmap)# class tcp_norm
ASA-5505(config-pmap-c)# set connection advanced-options
normalisation
ASA-5505(config-pmap-c)# exit
ASA-5505(config-pmap)# exit
ASA-5505(config)# service-policy tcp_normalisation interface

outside
ASA-5505(config)#
Cette capture comporte la totalit des commandes qui correspondent au schma dorganisation de cette
configurationencascade.Noustouchonsiciauxsquencesdecommandesparmilespluscomplexesintroduitespar
Cisco.
4.OlonreparledelatlphoniesurIP

LefirewallASAoffredesmesuresdescuritpourlatlphoniesurIPparmilesquellesnousretiendronslapossibilit
dedchiffrerlavolelasignalisationafindelinspecter(TLSproxy),linspectionprotocolaireproprementditeetla
fonctionphoneproxy.
a.TLSproxy
TLSproxyplaceleparefeuencoupureentreuntlphoneetleCUCMafinde dfaireetrefaire lasessionTLS

qui protge la signalisation. Une fois en clair, la signalisation est inspecte puis chiffre nouveau avant dtre
redirigeversleCUCM.Cettearchitecturencessitelamiseenplaceduncertificatsurleparefeulamanirede
celuiprsentsurleCUCMetlamisejourdelalistedeconfianceprsentesurletlphone.TLSproxyncessite
linstallationdecertificatssurleparefeuafindereprsenterleCUCMpourlestlphonesetunemisejourdeleur
listedescuritinterne.
b.Inspectionprotocolaire
Il est ici question de vrifier la conformit du protocole de signalisation par rapport des rgles dfinies dans la
configuration du parefeu. Ces rgles seront confrontes la signalisation. Linspection du protocole vrifie
galementlespropritsTCPdelaconnexionetoffrelopportunitderendrealatoirelesnumrosdesquences.
Enfin,unergledequalitdeservicepeutaussitreappliqueautrafic(enloccurrencelasignalisation).
class-map VoIP
match any
!
policy-map type inspect skinny Inspection-SCCP
parameters
enforce-registration
message-id max 0x141
sccp-prefix-len max 65536
timeout media 0:01:00
timeout signaling 0:05:00
rtp-conformance enforce-payloadtype
policy-map global-policy
description Telephonie
class VoIP
inspect skinny Inspection-SCCP
set connection conn-max 100 embryonic-conn-max 20 per-client-max
3
set connection timeout tcp 1:00:00 reset dcd 0:15:00 5
set connection decrement-ttl
!
service-policy global-policy global
CetextraitmontrelaconfigurationdelaprotectionduprotocoleSCCP.Leschmaconsistedclarerunpolicymap
de type inspect puis linsrer dans une policymap nomme globalpolicy. Cette dernire est appele dans une
commande service-policy applique globalement (global). La classmap nomme VoIP dsigne tout trafic sans
distinction.Elleestappeledanslapolicymapnommeglobalpolicy.
Les paramtres concernant SCCP sont sous le mot parameters. Ceux concernant TCP sont dans la classnomme
VoIP.Cetteinspectionestbienentenduapplicablesurdutraficenclairmaisaussisurdutraficchiffrcondition
davoiractivlafonctionTLSproxy.
c.Phoneproxy
Cette technique est particulirement utile pour scuriser les rseaux au sein desquels sont prsents des
tlphonesIPlogiciel(SoftPhone).Lesrseauxdetlphonieetceuxdedonnesemploientenrglegnraledeux
VLANdistincts.Siuntlphonelogicielestinstallsurunestationdetravail(membreduVLAN donnes )ilest
alorsncessairedefairetransiterlatlphoniedunVLANverslautrecequisoulvequelquesproblmesdusla
naturedesportsUDPetleurdsignationdynamiqueparleCUCM.Cetteconfigurationncessitetoutcommepour
leTLSproxylinstallationdecertificatssurleparefeuafindereprsenterleCUCMpourlestlphonesetunemise
jourdeleurlistedescuritinterne.
LeCUCMestcapabledintercepterlesmessagesenprovenanceduntlphonelogicielduVLANdedonnesetde
leforcersauthentifier. lissuedecettesquencelasignalisationindiqueauparefeulesportsparlesquelsle
trafictlphoniqueseraautorispasser.Cettetechniquevitedonclouverturestatiquedunetropgrandeplage
deportsUDP.

5.VPNSSL
Les applications de type client serveur ncessitent en temps normal linstallation dun logiciel spcifique sur la
machineclienteetcelanevapassansposerdenombreuxproblmesdedploiementetdemisejourdesversions
en production. De plus, les accs distants au rseau de lentreprise sur lesquels rsident des clients spcifiques
ncessitentunsupplmentdeconfigurationaveclinstallationdeslogicielsddislacommunication.Lavnement
desapplicationsdveloppespourInternetaconsidrablementmodifiladonneensimplifiantlesaccsauxrseaux
distants. En effet, partir dun simple navigateur Web il est possible daccder en toute scurit un portail sur
lequeldesliensredirigentlutilisateurverssesapplications.Pourcertainesdentreellescemodedefonctionnement
nestpasenvisageableenraisonducotdemigrationoudeshabitudesprisesparlesutilisateurs.Lamessagerieest
un exemple typique pour lequel les utilisateurs ont quelques difficults troquer leur traditionnel client contre une
messagerie en ligne offrant pourtant les mmes facilits. Afin de palier cet inconvnient, il est possible de
tlchargerlademandedesfonctionnalitsadditionnellespourcanalisercestypesdetraficdanslacommunication
protgeparSSL.
LesparefeuCiscoASAoffrenttroistechniquesquenousallonsexaminersousleprismedelascurit.Cesmodesde
fonctionnementsont :laconnexionVPNSSLsansclient,celleavecunouplusieursconnecteursspcifiques(plugin)
etcelleavecunclientlourd.
Le dploiement de cette technologie ncessite une bonne organisation afin de planifier avec soin les groupes
dutilisateursetlesdroitsdaccsauxressources.Ici,lanotiondegroupestendenfonctiondesprojetsbienau
del des utilisateurs de lentreprise. Ceci est du au fait que la technologie VPN SSL repousse les limites des
connexionstraditionnellesetoffreainsilapossibilituneentreprisedouvrirsesressourcessespartenairessans
quilsoitncessairedematriserleurinfrastructure.Untelprojetsaccompagneaussidunetudesurlesprocdures
decrationetdechangementconcernantlesressources,lesgroupesdutilisateursetlesrelationsquilesunissent.
Cestudessont,soulignonsle,troitementlieslorganisationdesannuairesdentrepriseetplusglobalementla
gestiondesidentits.
Cettetudecomportebienentendu(etcommetoujours)unedfinitionpralabledesexigencesdescurit.
ExigencesdescuritdesVPNSSL
Authentifierlesutilisateurs AAA(associationgroupesressources)
Leurattribuerdesdroitsdaccs Gestiondesmotsdepasse.
Validerunniveaudescuritsurlesstations Vrificationdelantivirus,niveauminimalde
distantes chiffrement,expirationdessessions,
authentificationmutuelle(certificats)
Renforcerlascuritencasdaccspartirde Securedesktop,effacementducache,clavier
machinespubliques virtuel,dtectiondesenregistreursdeclavier
CesexigencescouvrentlesdeuxdomainesquesontlquipementVPNSSLcentraletlastationdistante.
Voici une reprsentation trs schmatique dune architecture VPN SSL sur laquelle nous observons les lments
constitutifs et les flux associs en partant du principe que lquipement VPN SSL est en mode rout et dlgue
quelques fonctions de scurit. Si tel nest pas le cas, il savre indispensable dintercaler un routeur ou un
commutateurEthernetmunisdefonctionsderoutage.Dcrivonscettearchitecture :
Les stations de travail passent au travers dun premier firewall qui a pour vocation de filtrer le protocole
entrantenveillantlabonneconformitdelacoucheTCP/IPetenassurantunebarrirecontrelesattaques
parsaturation.

Lquipement terminal VPN SSL termine la session chiffre avec lutilisateur distant et examine ses droits
gnralement en fonction de son groupe dappartenance. Les annuaires de lentreprise sont mis
contribution.Ilsnesontpasicireprsents,maissontpositionnsdansunezonedescurit,carrappelons
le,aucuntraficexternenedoitdirectementaccderaurseauInterne.CesannuairesDMZpeuventtredes
imagesdesannuairesinternesdisposantdunsystmederplicationdelintrieurverslaDMZ.
Letraficestroutversunquipementdetypereverseproxyafindepasserdenouveauxservicesdescurit
commelanalysedescaractresdangereuxavantdtre(gnralementenfonctiondelURI)versleserveur
deproduction.Ilestrecommanddechiffrercettecommunicationpourassurerunmaximumdeconfidentialit
auseinmmedesDMZ.
Cedernierestalimentendonneparlintrieurdurseauenapplicationduprincipedemoindreprivilge.
Des mcanismes additionnels qui sortent du cadre de ce livre offrent la possibilit de grer les droits daccs en
fonction de lapplication demande lors des requtes HTTP ainsi que lauthentification unique plus connue sous
lappellationdeSSO(SingleSignOn).ToutefoiscertainesapprochesduSSOsontprisesencompteparlefirewallASA.
a.VPNSSLsansclient
IlsagitdumodeprivilgiquiutiliselesfonctionsdechiffrementdunavigateurInternetpourassurerlascurit.
Les clients se connectent un portail personnalis sur le firewall et en fonction de leur identit ont accs aux
ressourcespourlesquellesilsontdesdroits.Ilestgalementpossibledeparcourirdesrpertoiresetdesfichiers
lamaniredelexplorateurdunestationdetravail.Unavantageincontestableestlaccsauxdonnespartirde
nimportequelpostedetravailrelieInternet.
Nous allons dcrire les configurations qui conduisent la construction dun exemple simple mettant en avant les
fonctionsdescurit.Nousnaborderonspaslesmultiplescapacitsdeceproduitenmatiredepersonnalisation
desportails.
ASA-5505(config)# webvpn
ASA-5505(config-webvpn)# enable outside
Ces deux commandes activent le VPN SSL sur linterface extrieure du firewall. Les paramtres de scurit sont
affectslutilisateurunefoisfranchielapagedauthentification.Ilsproviennentdunecombinaisondesproprits
de lutilisateur et du groupe auquel il appartient. Cest ce groupe dappartenance qui fixe les rgles de scurit
auxquellesestsoumislutilisateurpendantsasession.
group-policy "Entreprise 1" internal

group-policy "Entreprise 1" attributes
banner value Bonjour bonjour
vpn-access-hours none
vpn-simultaneous-logins 3
vpn-idle-timeout 30
vpn-session-timeout 240
vpn-tunnel-protocol webvpn
group-lock none
vlan none
webvpn
url-list value template_entreprise_1
filter none
port-forward disable
customization value Entreprise_1
hidden-shares none
smart-tunnel disable
file-entry enable
file-browsing enable
url-entry enable
smart-tunnel auto-signon disable
username Paul password NUNxeiV/zZIW3X5z encrypted
username Paul attributes
vpn-group-policy "Entreprise 1"
vpn-idle-timeout 30
vpn-session-timeout 240
vpn-filter none
vpn-tunnel-protocol webvpn
password-storage disable

group-lock Entreprise_1
service-type remote-access
webvpn
file-browsing enable
file-entry enable
url-entry enable
port-forward disable
homepage none
hidden-shares none
url-list none
svc keep-installer installed
svc keepalive none
svc compression deflate
svc dtls enable
svc mtu 1406
svc profiles none
smart-tunnel disable
smart-tunnel auto-signon disable
tunnel-group Entreprise_1 type remote-access
tunnel-group Entreprise_1 general-attributes
default-group-policy "Entreprise 1"
password-management password-expire-in-days 2
tunnel-group Entreprise_1 webvpn-attributes
customization Entreprise_1
group-alias ent1 enable
VoiciunlargeextraitdelaconfigurationdunASAquimontreleparamtragedunVPNSSL.
Cetteconfigurationminimalisteestdonnetitreinformatifetneproposeaucunefonctionnalitweb,elleapour
vocation dillustrer la manire dont lutilisateur hrite des paramtres du VPN SSL sur lequel il se connecte. Ces
paramtresviennentsajouterauxsiensetceuxdesongroupedappartenance.
Les attributs de lutilisateur Paul sont clairement visibles et notamment la politique de groupe laquelle il est
rattach.Lesparamtresdepersonnalisationduportailnesontpasvisiblessurlaconfigurationcarilssontstocks
dansunfichierXMLluimmesauvegardenmmoireflash.Parcommodit,cetteconfigurationnefaitpasappel
unannuairecentralismaisutiliselabaselocaleAAA.Lecontrleeffectusurlexpirationdumotdepasseestbas
surlalecturedespropritsvenantdelannuaire.Lefirewallpermetlutilisateurdechangerluimmesonmotde
passe.
Ledtaildecetteconfigurationestlesuivant :
UnepolitiquedegroupeestcreetnommeEntreprise 1.Ellereoitquelquesproprits.Ellesfigurent
surleslignesquisontdcalesduncaractresurladroite.
Lacommandevpn-tunnel-protocol webvpnappellelacommandewebvpnsituetroislignesplusbaslaquelle
reoitgalementdesproprits(denouveaudcalesduncaractredroite).
La commande webvpn est assortie de proprits de personnalisation du portail comme la liste dURL
(template_entreprise_1).
LutilisateurPaulestdfinietunesriedecaractristiquesluisontappliquesdontsonrattachementla
politiquedegroupeEntreprise 1.
Le portail est finalement cr avec la commande tunnel-group Entreprise_1 et reoit la politique

Entreprise_1.
Les exigences de scurit indiquent que la slection des paramtres de cryptographie participe lvaluation du
niveaudescuritdelastationdistante.LesnavigateursInternetetlesserveursngocientlasuitedechiffrement
etenfonctiondeleurspossibilitssaccordentsurunesuitefaible.
ASA5505(config)# ssl encryption aes256-sha1 aes128-sha1 3des-sha1

ASA5505(config)# ssl server-version tlsv1-only
CesdeuxlignesmontrentlaconfigurationSSLductdufirewallASA.Langociationestacceptepourcestrois
suites et le protocole gnral choisi est TLS V1 ce qui signifie quune station distante sera rejete si elle se
prsenteavecunesuitediffrentedestroisproposes.Lobjectificiestdeforcerlangociationsurlessuitesles
plusfortes.

Leclaviervirtuel:
Ces deux captures montrent le menu de configuration du clavier virtuel et le rsultat obtenu lors dune tentative
douverturedesession.Cedispositifprotgecontrelesenregistreursdeclavierdontlebutestdecapturerlesmots
depasseentrsparlutilisateur.
Securedesktop
CiscoSecureDesktop(CSD)estunenvironnementdetravailscurisquiesttlchargpuisinstallparunclient
distant. Cette technologie est souvent compare un bac sable logiciel duquel on ne peut sortir. CSD est une
machine virtuelle chiffre qui une fois cre sur la station distante sintercale entre lutilisateur et le systme
dexploitation.Lutilisateurdslors,interagitavecsesapplicationslintrieurdecetespacevirtuellocal.Unefoisla
sessiontermine,lenvironnementestdtruit.
Lamiseen uvredeCSDseffectueentroisphases :
sontlchargementsurlesitedeCisco,sacopiesurlesystmedefichierdufirewalletsonactivation
lacrationdunepolitiquedevrificationentrelemomentolutilisateurentamelaconnexionetlemoment
oilentresesidentifiants.Leprincipeestdeprocderdescontrlespralablesdfinissantunniveaude
scuritdontdpendraletypedeservicesdisponiblesoulanonconnexion(sileniveauminimalnestpas
atteint)
Laconnexionproprementditedansleclientscuris.
ASA5505(config)# webvpn
ASA5505(config-webvpn)# csd image disk0:/cte/securedesktop-asa-
3.3.0.129-k9.pkg
ASA5505(config-webvpn)# csd enable
CestroiscommandesactiventcsdpartirduneimagelogiciellepralablementtlchargesurlesiteInternetde
Cisco. Cette image est copie dans un systme de fichiers nomm disk 0:. La commande csd enable active
globalementlafonction.

Ici,unefoisnestpascoutumenousprsentonsunextraitgraphiquedelaconfigurationdelaphasenumrodeux.
Ilesticipossiblegraphiquementdeconcevoirunelogiqueafindeclasserleniveaudescuritdelastationdistante
en fonction de certaines de ses caractristiques. En fonction du niveau de scurit, CSD autorisera certaines
fonctionnalits.Danscetexemple,CSDexaminelesystmedexploitationdelastationdistanteetexigelaprsence
duncertaintype(2K/XP/Vista)avantdepoursuivreparunexamendeladresseoudurseauIP.Sicerseauest
conforme celui configur dans la rgle la station est reconnue sre. La chane de caractre reconnue sre
devientdefaitlenomdunepolitiqueCSD.
LalogiquepoursuitsoncheminementencasderreursurladresseoulerseauIPetlastationestreconnuemoins
sre. Afin de lui permettre daccder un jeu rduit de fonctionnalits, cette nouvelle tentative recherche sur la
stationdistanteunfichierunemplacementprcis.Silesttrouv,lastationestaffectedeltiquette reconnue
moinssre dontlachanedecaractresdevientsontourlenomdunepolitiqueCSD.
Ilestpossibledecrerplusieurspolitiquesenfonctionduneanalyseprliminairedecertainescaractristiquesdu
poste de travail. Par exemple, toute station ne possdant pas une cl spcifique dans sa base de registre est
considrecommetantdansunlieunonscuris.Cettepolitiqueouvreparlasuiteledroitdeffectuercertaines
actions comme la navigation sur Internet ou laccs des fichiers. Limage nous montre aussi les icnes de
configurationdesdiverscontrlesdescuritdechaquepolitique.Nousytrouvonslesdispositifsdenettoyagedu
cachedelastationdistanteainsiquediversautrescontrlesvisantprmunirlastationcontrelesenregistreurs
declavieroulintroductiondemdiasamovibles.

VoicilutilisateursurlepointdentrerdanssonenvironnementprotgparCSD.Ilestindiququaucunenregistreur
declaviernatdtectsurlastation.
Politiquedaccsdynamique
Cetypedepolitiquepermetdaffecterdesdroitsdaccsetdecirculationsurlerseauunutilisateurenfonction
desespropritsdauthentification (AAA) et de la prsence sur sa machine dunlogicieldescuritcorrectement
paramtr.
Voici lexemple dune politique daccs dynamique concernant les utilisateurs dun profil de connexion qui doivent
galementsatisfairedesconditionsdeversiondantivirus(moteuretsignature).Silunedesconditionsnestpas
remplieouaucontraireestremplie,desattributssupplmentairessontaffectslutilisateuretviennentprendrele

dessus sur les valeurs obtenues par lauthentification AAA. Sur la capture dcran, en cas de nonconformit, la
connexionestcoupe.
Protectionapplicative
Lun des objectifs de linspection applicative est dexaminer le contenu des paquets (filtrs par une ACL) afin de
permettre au parefeu douvrir les ports ncessaires la communication. Cette ouverture dynamique est suivie
dune fermeture des ports une fois la communication acheve. Ce principe est appliqu lors de la traverse des
protocolesassocieslatlphoniesurIP.
Linspectionvaaussiconfronterlespaquetsungroupederglesdestinesdtecterdventuellesirrgularits
letoutdonnantlieuunedcisioncommedanslexemplesuivrequiconcerneHTTPetSCCP.
class-map Inspection_SCCP
match any
!
class-map Inspection_HTTP
match any
!
!
policy-map type inspect http Niveau_de_securite_HTTP
parameters
protocol-violation action drop-connection log
class asdm_high_security_methods
drop-connection
match request header non-ascii
drop-connection
policy-map Inspection_SCCP_et_HTTP
class Inspection_SCCP
inspect skinny
set connection conn-max 100 embryonic-conn-max 20 per-client-max
100
set connection timeout tcp 1:00:00 reset dcd 0:15:00 5
class Inspection_HTTP
inspect http Niveau_de_securite_HTTP
!
service-policy Inspection_SCCP_et_HTTP global
Nousretrouvonsiciletraditionnelschma classmap dans unepolicymapdansuneservicepolicy (cettephrase

est retenir !). Toutefois, nous observons une petite nuance. Il sagit de la policymap de type inspect qui est
appele dans la policy-map Inspection_SCCP_et_HTTP. Cette policymap dfinit des actions en cas dirrgularit
dansleprotocole.Noussommesdoncenprsencedunpetitarsenaldeluttecontrelesattaquesdissimulesdans
lesprotocolesapplicatifs.
b.VPNSSLavecSmartTunnels
LatechnologieSmartTunnelpermetdefairetransiterdesapplicationsTCP(nonWEB)entrelordinateurdistantet
le site central. Smart Tunnel vient en remplacement du client lger prcdent qui assurait des fonctions de
redirection de port la manire dun client SSH. Malgr tout, il est toujours possible dactiver les fonctions de
redirectiondeportpourlesapplicationsquinesontpassupportesparlatechnologieSmartTunnel(OutlookMAPI).
SmartTunnelnencessitepasdedisposerdesdroitsadministrateursurlepostedetravailetmetdispositionde
lutilisateur des connecteurs (plugins) pour certaines applications prdfinies. Les connecteurs dispensent
lutilisateurdelinstallationdunprogrammeadditionnel.
ASA5505(config)# webvpn
ASA5505(config-webvpn)# smart-tunnel list Messagerie 1
thunderbird.exe platform windows
ASA5505(config-webvpn)# group-policy "Entreprise 1" attributes
ASA5505(config-group-policy)# webvpn
ASA5505(config-group-webvpn)# smart-tunnel enable Messagerie
Ici,nousconfiguronsSmartTunnelpourfairetransiterletraficissudelapplicationdemessageriethunderbird.exequi
fonctionnesuruneplateformeMicrosoftWindows.
Les connecteurs sinstallent dans la mmoire flash de lquipement via linterface graphique aprs les avoir
tlchargs sur le site de Cisco. Une fois en place, ils apparaissent dans le portail et donnent lintrieur dune
pageweblapossibilitdelanceruneconnexionSSH,RDP,CitrixouencoreVNC.

c.VPNSSLavecleclientAnyConnect
Leclient lourd AnyConnectsinstallemanuellementouautomatiquementsurunposteclientetcresurceluici

uneinterfacerseauvirtuelleainsiquuneroutestatique.Ceclientpossdeunavantagecertainparrapportun
clientdetypeVPNIPSeccarilestexemptdetouteconfiguration.Unefoisinstall,lutilisateurdmentauthentifi
est directement connect sur le rseau local de lentreprise. La configuration dAnyConnect comporte plusieurs
tapes.
ip local pool AnyConnect 192.168.1.10-192.168.1.20 mask

255.255.255.0
!
group-policy Client1 internal
group-policy Client1 attributes
banner value Bonjour bonjour
vpn-idle-timeout 30
vpn-session-timeout none
vpn-filter none
vpn-tunnel-protocol svc
group-lock value AnyConnect
msie-proxy method no-proxy
vlan none
nac-settings none
address-pools value AnyConnect
webvpn
url-list value template_entreprise_1
svc dtls enable
svc keep-installer installed
svc keepalive none
svc compression deflate
svc profiles none
svc ask none default svc
deny-message value Des droits vous manquent
Toutdabord,unepolitiquedegroupeestcre.Ellecomportequelquespropritscommelindicationdelamiseen
place dun tunnel SSL vpn-tunnel-protocol svc et laffectation dun groupe dadresses IP address-pools value
AnyConnect.
LesinstructionssouswebvpnconcernentleclientVPNetindiquententreautredelaisserleprogrammedinstallation
surlamachinehteetdeforcersoninstallation.
username Paul password bI0TiI3IJ4S1atiy encrypted

username Paul attributes
vpn-group-policy Client1
MrPaulestrattachlapolitiquedegroupeprcdemmentcre.
tunnel-group AnyConnect type remote-access

tunnel-group AnyConnect general-attributes
address-pool AnyConnect
authentication-server-group (outside) LOCAL
default-group-policy Client1
tunnel-group AnyConnect webvpn-attributes
group-alias AnyC enable
Letunnelestmisenplaceetreoitlespropritsprcdemmentcres.Lacommandedauthentificationappellele
serveurAAAinterne(LOCAL)dufirewallpourassurercettefonctionsurlinterfaceexterne.

Encliquantsurlepetitcadenas(premireicnegauche)nousobtenonslafentrequifournitquelquesindications
commeladresseIPobtenueetcelleduparefeusurlaquellesetermineletunnelSSLVPN.
Ici,nousobservonsleretourdelacommandenetstat -nrsurlastationdetravailetnousconstatonslaprsence
duneroutepardfautpointantversladresseinterneduparefeu.
ASA5505# sh vpn-sessiondb svc
Session Type: SVC
Username : Paul Index : 2

Assigned IP : 192.168.1.10 Public IP : 198.10.10.2
Protocol : Clientless SSL-Tunnel DTLS-Tunnel
License : SSL VPN
Encryption : 3DES AES256 Hashing : SHA1
Bytes Tx : 53140 Bytes Rx : 22736
Group Policy : Client1 Tunnel Group : AnyConnect
Login Time : 18:58:50 UTC Fri Oct 24 2008
Duration : 0h:01m:25s
NAC Result : Unknown
VLAN Mapping : N/A VLAN : none
Voici le rsultat de la commande show vpn-sessiondb svc qui montre les caractristiques de la connexion de Mr
Paul.Lesinformationsfourniessonttrslisiblesetdirectementexploitablestoutefois,lemotclientlessquiapparait
iciporteconfusion.
Dans cette configuration ne figure aucune indication concernant le splittunneling qui est la technique autorisant
lutilisateurduntunnelensortirpouraccdercertainesressources.Celasignifieenltatquecechoixnestpas
permis.
LesplittunnelingestutilispourlesconnexionsInternetpartirdelastationdetravaildunutilisateurnomade.

EnfonctiondelapolitiquedescuritletraficInternetdelutilisateurnomadeestsoitcontraintdepasserparle
sitecentraloubienautorissortirdirectementcequinevapassanssouleverquelquesinterrogations.
Ici,lapolitiquedescuritdurseaurejointcelledesstationsdetravailquipourlesaccsnomadesimposedes
protectionscommelesfirewallspersonnels,lesantivirusetdesmcanismes(ouprocdures)dedsactivationdes
interfacesautresquecellesurlaquelleletunnelesttabli.
Signalonsenfinquauniveaurseauenfonctiondelarchitecturelesrglesdetraductiondadressesdevronttre
ajuste.Laconfigurationprsentencessiteunergledexclusioncarlerseauaffectlastationnomadeexiste
surlerseauinterne.

Conclusion
NousavonsexposdanscechapitrequelquesunesdesmultiplesfonctionnalitsoffertesparleparefeuASAquivont
bien audel de la simple confrontation du trafic des rgles de filtrage. Sans cette volution, ce type de matriel
serait sans doute tomb en dsutude. Le parefeu ASA de Cisco est un quipement multifonction aux possibilits
remarquablesquireprendlesfonctionsdebasecommelefiltrageetyajoutecellesissuesdesbotiersVPN.Toutesles
couches du modle OSI sont couvertes et les protocoles applicatifs bnficient dun puissant service danalyse
permettantdeparerauxproblmesdirrgularitsetdattaquesembarques.
LeVPNSSLestuneavancesignificativepermettantauxentreprisesdefournirdesaccsapplicatifsentoutescurit
leurs partenaires avec ou sans linstallation dun client spcifique. Ces accs sont galement subordonns des
contrlesdescuritsurleposteclientportantsurletypedesystmedexploitationoudantivirus.
LeparefeuASAvientgalementauservicedelatlphoniesurIPavecunepriseencomptedesspcificitsdeses
protocolesparmilesquellesfigurentlattributiondynamiquedesportsdecommunication.
Danslarchitecturedescurit,leparefeudeCiscooccupe,deparsescapacitsdanalysemulticouches,despositions
qui ne se limitent pas aux frontires avec le monde extrieur car ses spcificits font de lui un appareil capable de
protgergalementlintrieurdurseau.

Virtualisation(VMware)
Ce livre a grandement bnfici de lessor des technologies de virtualisation et dmulation. Nous allons dans ce
chapitre dcrire les mthodes qui nous ont permis de raliser les maquettes destines concevoir et valider les
configurations prsentes dans ce livre. Deux logiciels particulirement performants ont t mis contribution. Nous
citeronsenpremierlincontournableVMwarepuislecoupleDynamips,GNS3.
La virtualisation consiste utiliser un systme dexploitation afin de faire fonctionner en son sein dautressystmes
dexploitation. La virtualisation est apparue pour le grand public la fin des annes 90 avec lavnement du logiciel
VMware.Ellepossdesonactifdenombreuxavantagesparmilesquelsnouspouvonsciterunerductiondunombre
de machines prsentes dans les salles informatiques grce aux regroupements effectus sur des machines htes.
Outre le gain de place vident, la virtualisation simplifie la cration et le dplacement de systmes dexploitation
virtuelsentrelesmachineshtesdiminuantainsilescotsassocislexploitation.
Lavirtualisationprsentedindniablesavantagesencequiconcernelacrationderseauxdesfinsdessaislorsde
phasesdintgrationetdevalidationdunprojetinformatique.Ilesteneffetfaciledecrer,demodifier,dedplaceret
de supprimer un systme dexploitation virtuel. Un autre avantage est de pouvoir aisment dplacer un groupe de
machinesvirtuellesdanslecadrededmonstrationscarellesprennentlaformedunensembledequelquesfichiers.La
capture dcran montre une machine hte Microsoft Windows Vista hbergeant une machine virtuelle Linux. Lhte
fournissant le service dhbergement est galement dsign par lappellation dhyperviseur. Les machines virtuelles
avec certaines versions de VMware (ACE) peuvent tre chiffres et recevoir des politiques de scurit. VMware est
aussi prsent sous une forme qui constitue ellemme un systme dexploitation. Il sagit de la version ESX qui
sinstalle directement sur le matriel. Il nest plus indispensable dinstaller un systme dexploitation hte comme
MicrosoftWindows(cequiestlecassurlacapturedcran).
La virtualisation dun systme Linux permet de bnficier de tous les services rseaux offerts par les distributions.
Nous avons pour la prparation de ce livre utilis VMware pour installer sur notre machine hte un serveur Linux
FEDORAsurlequelnousavonsinstallleserveurFreeRADIUS.
LesrseauxetVMware
Unemachinevirtuelleestutilisableencircuitferm.CetteconfigurationestutilepourdcouvrirlesystmeLinux(ouun
autre)sansavoirlinstallerdemeureetdemanireisole.Toutefois,unemachinevirtuellepeutseconnecterla
machinehteetaurseaudecelleci.Laversionquenousavonsutiliseproposetroismodesdefonctionnementqui
consistent :
Connecter la machine virtuelle uniquement la machine hte. Il sagit du mode host Only disponible
gnralementsurlinterfaceVMNet1.LamachinevirtuellesevoitattribueruneadresseIPparleserveurDHCP
de Vmware. Ce mode de fonctionnement permet la machine virtuelle de dialoguer uniquement avec la
machinehte.
Connecterlamachinevirtuelleaumondeextrieurvialamachinehte.Pourcefairecettedernireopreune
traductiondadresse.IlsagitdumodeNATdisponiblesurlinterfaceVMNet8.

Connecterlamachinevirtuelleauxctsdesonhtesurlemmerseau.Ilsagitdumodebridgedpourlequel
lamachinevirtuellepossdesapropreadresseIPcommenimportequelleautremachinesurdurseaulocal.

Cetteimageillustrenotredescription:http://sebsauvage.net/temp/ccm/types_reseau_vmware.png
Installationduproduit
Linstallationdunemachinevirtuelleestrelativementsimple.PourinstallerunsystmeLinux,ilestrecommanddese
procureruneimageISOquiesthabituellementutilisepourgraverunCDouunDVDdusystme.
Pourcrerunenouvellemachinevirtuelle,ilsuffitdesuivrelestapessuivantes :
Slectionner Filepuis New puisVirtual Machine et suivre lassistant. Ce dernier propose plusieurs choix de
systmesdexploitationainsiquelespacedisquerservlamachinevirtuellesurlesystmehte.
SlectionnerleCDRometchoisirdutiliseruneimageISO.
Cliquersurletrianglevertpourlancerlinstallationdusystmequisedroulecommelorsquunordinateurest
misenrouteetselanceavecundisquedanslelecteurdeCDRom.
Cette capture dcran montre ltape durant laquelle limage ISO du systme Linux Fedora est slectionne pour
linstallation.

mulation
NousavonsgalementfaitusagedelatechniquedmulationpoursimulerunrseauderouteursCisco.Lafrontire
est mince entre lmulation et ce que nous venons de dcrire avec la virtualisation. Ici, lordinateur va simuler
llectroniquedurouteurafindefairefonctionnerlelogicielIOS.Cettetechniquedmulationesttrsutilisedansle
monde du dveloppement sur microprocesseur. Nous la retrouvons aussi dans un autre domaine qui se trouve tre
celuideluniversdesjeuxvidosdesannes80.Cesjeuxdarcadeonteneffettrouvunesecondejeunessegrce
auxmultiplesmulateursquipournotreplusgrandbonheurressuscitentdesjeuxcommeleclbrePacman.
DynamipsetGNS3
Ces deux logiciels sont indissociables et permettent dmuler un routeur Cisco sans son systme dexploitation. Les
diversesplateformesquilestpossibledmulersontlessuivantes :C1700,C2600,C2691,C3600,C3700,C7200.
Il est important de prciser que le systme dexploitation IOS est sous licence. Pour utiliser Dynamips, il est donc
indispensabledepossderlgalementuneimagesystme.Dynamipsreoitdoncuneimagesystmecompatibleavec
la plateforme choisie ainsi quun fichier de configuration qui comporte le paramtrage des interfaces et des
interconnexionsaveclesautresrouteursetmmelacarterseaudelhtelocal.Dynamipsseconfigureaussiavecune
interfacegraphiquenommeGNS3.
Installationduproduit
Le logiciel est disponible pour Windows et MacOs X. Le code source est galement propos sur le site Internet
www.gns3.net. Le tlchargement pour Windows comprend tous les lments additionnels requis. Parmi eux figure
linterfacedeprogrammation(API)PCAPbienconnuedesutilisateursdulogicielWireshark(exEthereal)quipermetde
capturerletraficsurunrseauEthernetnoncommut.
Aprslinstallationquiestdesplusclassique,lelogicielmontresurunecolonneplusieursicnesreprsentantchacune
unmodlederouteurs,decommutateurEthernet,framerelay,ATMainsiqueleparefeuPIX.Enslectionnantlemenu
editpuisIOSimagesethypervisorsonobtientlafentrequipermetderenseignerlaversiondIOSquiserautilise
parlasuite.
En faisant glisser les icnes de la colonne de gauche vers le centre de linterface graphique et en reliant les icnes
entre elles comme le montre la capture dcran, nous crons une petite architecture sur laquelle apparaissent deux
routeurs,uncommutateurEthernetetunnuage.Lesliaisonssedessinentaprsavoirslectionnlicnereprsentant
une souris, il convient alors de tracer les liaisons entre les divers quipements. Lorsque le pointeur se trouve au
dessusdelobjetconnecter,unepetitefentreapparaitetpermetdeslectionnerlinterfacededestination.
Lenuageestunobjetpartentire.Ilestutilispourrelierlamaquettelacarterseaudelordinateurhteafinde
la rendre disponible distance et de la connecter divers services comme des annuaires, des enregistreurs de
journaux(Syslog)oudesserveursdauthentification.
Lorsquetouteslestapesmenantlaralisationdelamaquettesonttermines,ilestrecommanddesauvegarder
laconfiguration.LefichierdeconfigurationpourDynamipsestalorscr.
[localhost]
[[7200]]
image = \Program Files\Dynamips\images\c7200-jk9o3s-mz.
124-7a.image
# On Linux / Unix use forward slashes:

#image = /opt/7200-images/c7200-ik9o3s-mz.124-5a.image
npe = npe-400
ram = 160
[[ROUTER R1]]
F1/0 = S1 1
[[ethsw S1]]
1 = access 1
2 = access 20
3 = dot1q 1
# Note, replace the interface below with a valid interface
# on your system or Dynamips will crash!
#4 = dot1q 1 NIO_gen_eth:eth0
4 = dot1q 1 NIO_gen_eth:\Device\NPF_{B00A38DD-F10B-43B4-99F4-
B4A078484487}
VoiciunexempledeconfigurationdeDynamips.NousobservonslimageIOSchoisiepourlesrouteursdelamaquette.
Chaque routeur fait lobjet dune dclaration sur laquelle figurent ses connexions vers les autres objets de la
maquette. Ici, le routeur R1 est connect par son interface F1/0 (pour Fast Ethernet 1/0) au port numro 1 du
commutateurS1cederniertantreprsentparlentreethswS1quicomporte3interfaces.Lesinterfacesnumro1
et 2 sont chacune dans un VLAN (1 et 20), quant linterface 3 elle est relie un trunk de type dot1q luimme
connectunecarterseaudelamachinehte.
Voici le dtail de la configuration du nuage vu par linterface graphique. Une liste droulante montre toutes les
interfacesdelamachinehteligiblespourservirdeconnexionentrelamaquetteetlamachinehte.
Voici une maquette comprenant quatre routeurs relis entre eux par un commutateur Ethernet. Le routeur R0 est

connectlacarterseaudelamachinehteenpassantparlenuageC0(Cloud0).

Conclusion
LesavantagesdesproduitscommeVMware ouDynamips,GNS3sontmultiples,maislereversdelamdailleestune
augmentationconsidrabledesressources(mmoireetprocesseur)quisontconsommesparcesprogrammessurle
systme hte. Il devient possible dans un environnement rduit une seule machine de mettre en uvre une
maquette rseau et systme trs complte et relativement complexe. Ces techniques permettent aisment de
sauvegarderlesdiversesconfigurationsetdelesinstallerloisir.Lestechniquesdevirtualisationetdmulationsont
enquelquesorterespectueusesdelenvironnementenpermettantderaliserdesconomiesdlectricitetdespace,
cestpourcesraisonsquellesconnaissentdepuisquelquesannesdjunfrancsuccs.

Conclusion
Ciscodepuis1985proposedessolutionspourlesrseauxetasudslecommencementdesonactivitassocierses
produitsdesfonctionsdescuritinnovantes.NousavonslargementutilisaucoursdecelivrelesfameusesACLqui
audeldeleurrleenmatiredescuritsontemployeschaquefoisquuneslectiondetraficsavrencessaire.
Dslors,Ciscoaentamunesriedacquisitiondesocitdontcertainesontapportleursavoirfairedansledomaine
de la scurit. Ce fut le cas pour le parefeu phare de la marque dont nous avons tudi le successeur. De mme,
chaquediversificationdanslagammedeproduitfutsystmatiquementaccompagnedinnovationsvisantprotger
lesfonctionsderoutage,decommutationouplusrcemmentdevoixsurIP.
Nousnavonspastexhaustifsdanscelivrecarnousavonseulavolontdetraiterlevastesujetquereprsentela
scurit avec Cisco sous le prisme des quipements les plus couramment rencontrs dans les petites et moyennes
entreprises. Bien dautres solutions et technologies sont disponibles au catalogue comme les sondes de dtections
dintrusion, la protection de la messagerie ou les dispositifs daccs au rseau (NAC). Malgr tout, nous avons
indirectementabordquelquesunsdecessujetsnotammentaucoursduchapitresurlascuritdelacouchelogique.
Lapprochematrielleettechnologiquenestpourtantpassuffisantepourassurerpleinementlamissionconsistant
protger un rseau et les applications qui lempruntent. Avec laccroissement des menaces et la diversification des
matriels,lesquipementsseulsnesuffisentpasaccomplirlatchequileurestconfiesansunesolideorganisation.
Cestpourquoi,avanttoutechose,ilestprimordialdemenerbienunerflexionstructureauprsdesutilisateursdu
rseau afin de connatre et donc de comprendre leurs besoins scuritaires et les risques associs la perte ou
lindisponibilitdurseau.
Des quations complexes alliant la multiplication de la variable risque la division par la variable menace sont
disponiblesunpeupartoutetleslongsrapportsdanalysederisquesbasssurdimprobableshypothsesdedpart
versentparfoisdanslecatastrophismelepluspathtique.Dansledomainedelascurit,touteslesinformationssont
recevablesetlesdcisionsdoiventtreprisesendehorsdetoutepeurouaffolementsavammententretenuparles
marchands de solutions miracles qui ne manquent pas de se presser aux portes des entreprises. Une analyse
pragmatiqueaccompagnedebonsensvalentsouventbienmieuxquecertainestudesbienloignesdelaralit
delentreprise.Laphasedtudeetderflexionestdautantplusimportantequeleprixdesquipementsdescurit
estrelativementlevetleurimplmentationcomplexe.
Le principal acteur de la scurit trop souvent oubli est lutilisateur. Les architectures, les systmes et les rseaux
sont tous au service des utilisateurs. Il peut arriver que ce facteur humain soit nglig ou tout bonnement cart.
Pourtant, aucune politique de scurit nest totalement oprationnelle sans ladhsion totale et sans rserve des
utilisateurs.Icietl,sedveloppentdescampagnesdesensibilisationparfoisfortcoteusessurlebienfonddela
scuritinformatiqueetsonlientroitaveclasantconomiquedelentreprise.Hlas,cestentativesquirestenttrop
souventvainesconduisentirrmdiablementlesresponsablesdurcirlesrglesaugrandmcontentementdetous.
Nouslobservonsfrquemmentdanslapresse,lesaffairesimpliquantlascuritinformatiquesemultiplientetlapart
de plus en plus importante quoccupe lconomie numrique dans le monde incite les criminels en systmes
dinformationdployertoujoursplusdingniositpoursemparerdinformationssensiblesoudargent.Facecette
menace,lascuritdesrseauxetdesdonnesquiytransitentdevientuneproccupationpourtouslesacteursde
cetteconomiecommencerparlesusagerseuxmmes.
Ce livre consacr la scurit des rseaux avec les solutions de Cisco se veut avant tout une ouverture vers
lensembledesapprochesmatriellesetconceptuellesdanscepassionnantdomainequinapasfinidefaireparlerde
lui.

La Sécurité Des Réseaux Avec Cisco PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

La Sécurité Des Réseaux Avec Cisco PDF

Transféré par

Droits d'auteur :

Formats disponibles

Cisco

La scurit des rseaux

ENI Editions - All rigths reserved - Moha Anisa - 1-

ENI Editions - All rigths reserved - Moha Anisa - 1-

ENI Editions - All rigths reserved - Moha Anisa - 1-

ENI Editions - All rigths reserved - Moha Anisa - 1-

- 2- ENI Editions - All rigths reserved - Moha Anisa

ENI Editions - All rigths reserved - Moha Anisa - 1-

ENI Editions - All rigths reserved - Moha Anisa - 1-

- 2- ENI Editions - All rigths reserved - Moha Anisa

ENI Editions - All rigths reserved - Moha Anisa - 1-

ENI Editions - All rigths reserved - Moha Anisa - 1-

ENI Editions - All rigths reserved - Moha Anisa - 1-

ENI Editions - All rigths reserved - Moha Anisa - 1-

ENI Editions - All rigths reserved - Moha Anisa - 1-

- 2- ENI Editions - All rigths reserved - Moha Anisa

Exigences Degrsdepriorit Rponses

Limiterlaccsauportuneliste Obligatoire Disponiblesurlesmodles

CrationdeVLAN. Obligatoire Disponibleaudeldumodle

Implmentationdelanorme Souhait Indisponibleavant2ans.

CrationdeVLANprivs. Optionnel Indisponible

ENI Editions - All rigths reserved - Moha Anisa - 1-

Switch# sh mac-address-table count

Mac Entries for Vlan 2:

- 2- ENI Editions - All rigths reserved - Moha Anisa

SW0(config)#int fastEthernet 0/2

SW0(config-if)#switchport port-sec mac-address 0018.8B

SW0(config-if)# switchport port-security mac-address sticky

SW0(config-if)#switchport port-security maximum 2

ENI Editions - All rigths reserved - Moha Anisa - 3-

SW0(config-if)#switchport port-security violation shutdown

*Mar 1 01:15:36 CET: %PM-4-ERR_DISABLE: psecure-violation error

- 4- ENI Editions - All rigths reserved - Moha Anisa

EAPMD5(quitransportedesmessages hachs parMD5)

ENI Editions - All rigths reserved - Moha Anisa - 5-

- 6- ENI Editions - All rigths reserved - Moha Anisa

La commande aaa new-model active les fonctions dauthentification, dautorisation et de comptabilit du

Lacommandeglobaledot1x guest-vlan supplicantdirigelesclientsquinesupportentpas802.1Xoudont

Lacommande(enmodeinterface)dot1x port-control autoactive802.1xsurlinterfaceetdemandeauport

ENI Editions - All rigths reserved - Moha Anisa - 7-

- 8- ENI Editions - All rigths reserved - Moha Anisa

Switch#sh vlan filter

Switch#sh vlan access-map

ENI Editions - All rigths reserved - Moha Anisa - 9-

- 10 - ENI Editions - All rigths reserved - Moha Anisa

sw1> (enable) set vtp mode transparent

switch> (enable) set vlan 10 pvlan-type primary name VLAN_PRIMAIRE

switch> (enable) set vlan 11 pvlan-type ?

switch> (enable) set vlan 12 pvlan-type isolated name ISOLATED_2

switch> (enable) set pvlan 10 11

switch> (enable) set pvlan 10 12

switch> (enable) set pvlan 10 13

switch> (enable) set pvlan 10 14

ENI Editions - All rigths reserved - Moha Anisa - 11 -

switch> (enable) show pvlan

switch> (enable) set pvlan 10 11 2/22-32

switch> (enable) sh pvlan

switch> (enable) set pvlan mapping 10 11 2/17

switch> (enable) sh pvlan isolated

switch> (enable) sh pvlan mapping

Lesdeuxcommandes sh pvlan isolatedetsh pvlan mappingnousmontrentlesportsdansleVLANisolatedetle

- 12 - ENI Editions - All rigths reserved - Moha Anisa

ENI Editions - All rigths reserved - Moha Anisa - 13 -