Vous êtes sur la page 1sur 73

ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion du Travail

CCNA Sécurité
Support du cours V1.0
Filière : TRI
Niveau : TS
Secteur : NTIC
Réalisation : Omar OUGHZAL
CCNA Sécurité ISTA KHENIFRA

Chapitre 01 : Les Menaces de sécurité réseau


CCNA Security

Leçon 1 : Sécurité Réseau

Introduction
La sécurité réseau est une branche de l'informatique qui consiste à sécuriser tous les éléments d’un
réseau informatique pour empêcher : l'accès non autorisé, le vol de données, l'utilisation abusive d’une
connexion réseau, la modification des données, etc. Elle vise donc à impliquer des méthodes et des
mécanismes de défense proactifs pour protéger un réseau contre les menaces externes et internes.

Terminologie de sécurité
• La sécurité réseau est une branche de l'informatique qui consiste à sécuriser tous les éléments
d’un réseau informatique pour empêcher : l'accès non autorisé, le vol de données, l'utilisation
abusive d’une connexion réseau, la modification des données, etc.
• Ressources : tout élément de valeur pour une entreprise devant faire l'objet d'une protection, à
savoir les serveurs, les appareils d'infrastructure, les terminaux et surtout, les données.
• Vulnérabilité : Une faiblesse qui pourrait être exploitée par un attaquant à son profit.
• Menaces : tout danger potentiel auquel est exposée une ressource
• Exploit : Mécanisme ou outil qui permet de profiter d’une vulnérabilité, afin de compromettre
la sécurité ou la fonctionnalité d’un système.
• Risque : c’est la possibilité de la perte, l’altération, la destruction ou autres conséquences
négatives de la ressource d'une organisation. Le risque peut naître d'une seule ou plusieurs
menaces ou de l'exploitation d’une vulnérabilité
• Contre-mesure : l'ensemble des actions mises en œuvre en prévention de la menace
• Vecteur d’attaque : est le chemin ou les moyens qui permit à l’attaquant d’accéder au
serveur, à l’hôte ou au réseau.
• Impact : dommages subis par l'entreprise suite à l'attaque.

Les types de sécurité réseaux


• La sécurité physique : concerne tous les aspects liés à l'environnement dans lequel les
ressources sont installées :
▪ La sécurité physique des salles de serveurs, des périphériques réseau
▪ La prévention des accidents et des incendies ;
▪ Les systèmes de l’alimentation ininterrompue ;
▪ La surveillance vidéo, etc.
• La sécurité logique : fait référence à la mise en œuvre d'un système de contrôle d'accès, par
logiciel, pour sécuriser les ressources :
▪ L’application d’une stratégie de sécurité fiable pour les mots de passe ;

Réalisation : Omar OUGHZAL Page 1 sur 72


CCNA Sécurité ISTA KHENIFRA

▪ L’instauration d’un modèle d’accès s'appuyant sur l'authentification, l'autorisation et


la traçabilité ;
▪ La configuration correcte des pares-feux de réseau ;
▪ L’installation des IPS (systèmes de prévention d'intrusion),
▪ L’utilisation des VPN (réseau privé virtuel), etc.
• La sécurité administrative : administrative permet d’assurer le contrôle interne d’une
organisation à l’aide d’un manuel des procédures :
▪ Prévenir les erreurs et les fraudes
▪ Définir les responsabilités respectives des différents intervenants ou opérateurs
▪ Protéger l’intégrité des biens et des ressources de l’entreprise
▪ Assurer l’enregistrement de toutes les opérations concernant la manipulation du
matériel
▪ Gérer rationnellement les biens de l’entreprise ;
▪ Assurer une gestion efficace et efficiente des activités

Leçon 2 : Les menaces réseau

Qui attaque les réseaux


• Le terme “hacker” est souvent utilisé pour désigner un pirate informatique.
• A l'origine ce nom désignait les programmeurs expérimentés
• C'est au cours des années 80 que ce mot a été utilisé pour catégoriser les personnes impliquées
dans le piratage de jeux vidéo, en désamorçant les protections de ces derniers, puis en en
revendant des copies.
• Aujourd'hui ce mot est souvent utilisé à tort pour désigner les personnes s'introduisant dans les
systèmes informatiques.

Les hackers
• Un Pirate (Hacker) : est un informaticien qui utilise ses connaissances et ses compétences
pour attaquer un système informatique.
• Pirates au chapeau blanc (White Hate) : II s'agit de pirates éthiques qui utilisent leurs
compétences en matière de programmation à des fins bénéfiques, éthiques et légales.
• Pirates au chapeau gris (Grey Hate) : II s'agit de personnes qui commettent des délits et
dont l'éthique est discutable, mais qui ne le font pas pour leur gain personnel ou pour causer
des dommages. Ce peut être par exemple une personne qui compromet un réseau sans
autorisation, puis dévoile publiquement la vulnérabilité Les hackers au chapeau gris peuvent
dévoiler une vulnérabilité à l'entreprise affectée après avoir compromis son réseau.
• Pirates au chapeau noir (Black Hate) : II s'agit de criminels malhonnêtes qui enfreignent la
sécurité des ordinateurs et des réseaux pour leur gain personnel ou à des fins malveillantes.

Les Types des Hackers


• Script kiddies : Amateurs qui utilisent des outils ou des instructions pour lancer des attaques.
Même s'ils utilisent des outils basiques, les résultats peuvent être dévastateurs.
• Hacktivistes : Ce sont les pirates chapeaux gris qui protestent contre des idées politiques et
sociales différentes. Hacktivistes protestent publiquement contre les gouvernements ou les

Réalisation : Omar OUGHZAL Page 2 sur 72


CCNA Sécurité ISTA KHENIFRA

organisations par affichage articles, vidéos, une fuite de renseignements de nature délicate et
la réalisation les attaques DDoS.
• Cyber Criminels : sont des hackers au chapeau noir qui ont la motivation de gagner de
l'argent en utilisant tous les moyens nécessaires.
• Hackers Financés par l’état : Selon la perspective d’une personne, ceux-ci sont chapeau
blanc ou pirates de chapeau noir qui volent des secrets de gouvernement, de recueillir des
renseignements et de sabotent des réseaux. Leurs cibles sont des sociétés, des groupes
terroristes et des gouvernements étrangers. La plupart des pays dans le monde participent dans
une certaine mesure dans le piratage parrainé par l’État.
• Les Cadres : sont des personnes spécialisées dans les attaques des systèmes de cartes à puses.
• Les phreakers : sont des personnes qui se spécialisent dans les attaques des systèmes
téléphonique, en général, dans le but d’effectuer des appels gratuits.

Leçon 3 : Les Malwares

Types de malwares
• Virus : c’est un programme qui s'attache à un logiciel pour exécuter une fonction spécifique
non souhaitée sur un ordinateur. La plupart des virus nécessitent une activation par
l'utilisateur. Cependant, ils peuvent être mis en état de vieil pendant une période prolongée
comme ils peuvent également être programmés pour éviter la détection.
• Vers : ce sont des programmes autonomes qui exploitent des vulnérabilités connues dans le
but de ralentir un réseau. Ils ne nécessitent pas l'activation de l'utilisateur et ils se dupliquent et
tente d’infecter d'autres hôtes dans le réseau
• Cheval de Troie : un logiciel qui semble légitime, mais contient du code malveillant qui
exploite les autorisations d'accès de l'utilisateur qui l'exécute. Ils sont fréquemment associés à
des jeux en ligne.

Classification des chevaux de Troie


Les chevaux de Troie sont généralement classés en fonction des dégâts qu'ils provoquent ou de la
manière dont ils s'introduisent dans un système, comme illustré dans la figure :

• Un cheval de Troie à accès distant (Remote-access) : permet un accès distant non autorisé.
• Un cheval de Troie émetteur de données (Data-Sending) : transmet des données sensibles
au cyberpirate, par exemple des mots de passe.
• Un cheval de Troie destructeur : est capable de corrompre ou de supprimer des fichiers.
• Un cheval de Troie par proxy : utilise l'ordinateur de la victime pour lancer des attaques et
pratiquer d'autres activités illégales.
• Un cheval de Troie FTP : permet le transfert non autorisé de fichiers sur des terminaux.
• Un cheval de Troie désactivateur de logiciels de sécurité : empêche le bon fonctionnement
des antivirus et des pares-feux.
• Un cheval de Troie DOS : a la faculté de ralentir ou de stopper l'activité d'un réseau.

Fonctionnement des vers

Réalisation : Omar OUGHZAL Page 3 sur 72


CCNA Sécurité ISTA KHENIFRA

Les vers informatiques ressemblent aux virus, car ils se répliquent et provoquent le même genre de
dommages. Mais les vers ont la capacité de se répliquer eux-mêmes en exploitant, en toute autonomie,
les vulnérabilités des réseaux. Ils ralentissent le réseau tout en se propageant d'un système à l'autre

Les attaques de vers ont trois composantes :

• Activation de la vulnérabilité (Enabling vulnerability) : le ver s'installe sur un système


vulnérable en utilisant un mécanisme d'exploit, comme une pièce jointe, un fichier exécutable
ou un cheval de Troie.
• Mécanisme de propagation (Propagation mechanism) : une fois qu'il a accès à un appareil,
le ver se reproduit et identifie de nouvelles cibles.
• Charge utile (Payload) : tout code malveillant qui se traduit par une action est une charge
utile. Le plus souvent, cette charge utile ouvre une porte dérobée qui permet à un cyberpirate
d'accéder à l'hôte infecté ou de lancer une attaque DoS.

Autres malwares
• Ransomware : Il s'agit d'un malware qui bloque l'accès aux données ou au système d'un
ordinateur infecté. Les cybercriminels exigent alors une rançon contre le nettoyage du système
infecté.
• Les spywares : sont utilisés pour collecter des informations sur l'utilisateur et les envoyer vers
une autre entité à son insu. Un spyware peut être un programme de surveillance de système,
un cheval de Troie, un logiciel publicitaire, un cookie ou un keylogger (enregistreur de saisie).
• Un logiciel publicitaire (ou adware) : affiche généralement des fenêtres contextuelles
intempestives afin de générer des revenus pour son développeur. Certains malwares analysent
les centres d'intérêt des utilisateurs en enregistrant les sites web visités. Ils envoient ensuite
des publicités contextuelles correspondant à ces sites.
• Un scareware : comprend un logiciel utilisant une méthode basée sur l'ingénierie sociale pour
choquer ou angoisser l'utilisateur en simulant une menace. Ce type d'attaque cible
généralement les utilisateurs non avertis en les incitant à infecter un ordinateur en réagissant à
une menace factice.
• Le phishing : est un malware conçu pour inciter les victimes à divulguer des informations
sensibles. Cela peut se traduire par un e-mail de leur banque leur demandant de divulguer leur
compte et leurs identifiants.
• Les rootkits : sont des malwares installés sur un système compromis. Une fois installés, ils
restent dissimulés et fournissent un accès privilégié au cyberpirate.

Leçon 4 : Les Attaques Réseaux

Types d'attaques d'un réseau


Bien qu'il n'existe aucune classification standardisée des attaques réseau, nous les répartirons trois
grandes catégories :

• Attaques de reconnaissance : Les attaques de reconnaissance servent à collecter des


informations

Réalisation : Omar OUGHZAL Page 4 sur 72


CCNA Sécurité ISTA KHENIFRA

• Attaques par accès : exploitent les vulnérabilités connues des services d'authentification,
services FTP et services web pour accéder à des comptes web, des bases de données
confidentielles et d'autres informations sensibles
• Attaques DOS : se traduit par une interruption des services pour les utilisateurs, les appareils
ou les applications

Attaques de reconnaissance
Les cyberpirates utilisent les attaques de reconnaissance pour découvrir et cartographier les systèmes,
les services et les vulnérabilités en toute discrétion

Voici quelques-unes des techniques utilisées par les cyberpirates pour lancer des attaques de
reconnaissance :

• Requête d'informations sur une cible : le cyberpirate est à la recherche d'informations


préliminaires sur une cible. Des outils largement accessibles sont utilisés, notamment une
recherche Google sur le site web de l'entreprise ciblé. Des informations publiques sur le réseau
ciblé peuvent être récupérées sur les registres DNS avec des outils comme dig, nslookup et
whois.
• Balayage ping des réseaux ciblés : le cyberpirate lance un balayage ping des réseaux ciblés
identifiés lors des précédentes requêtes DNS pour identifier les adresses réseau ciblées. Un
balayage ping permet d'identifier les adresses IP actives et de créer une topologie logique du
réseau ciblé.
• Analyse des ports des adresses IP actives : le cyberpirate lance alors une analyse des ports
sur les hôtes actifs identifiés lors du balayage ping pour repérer les ports ou les services
disponibles. Des outils d'analyse de ports comme Nmap, SuperScan, Angry IP Scanner et
NetScanTools se connectent à l'hôte ciblé en recherchant des ports ouverts sur les ordinateurs
visés.
• Analyse des vulnérabilités : le cyberpirate utilise un scanner des vulnérabilités comme
Nipper, Secunia PSI, Core Impact, Nessus v6, SAINT ou Open VAS pour analyser les ports
identifiés. L'objectif est d'identifier les vulnérabilités potentielles sur les hôtes visés.
• Exploitation : le cyberpirate peut alors tenter d'exploiter les vulnérabilités identifiées dans le
système. Il utilisera pour cela des outils tels que Metasploit, Core Impact, Sqlmap, Social
Engineer Toolkit et Netsparker.

Attaques par accès


Lancer une attaque d'accès sur un réseau ou un système permet d'atteindre au moins 3 objectifs :

• La récupération de données
• L'accès à des systèmes
• La modification des niveaux de privilèges d'accès

Il existe plusieurs types d'attaques d'accès couramment utilisés :

• Les attaques de mot de passe : consistent à découvrir des mots de passe système importants à
l'aide de diverses méthodes comme des attaques par phishing, des attaques par dictionnaire,
les attaques par force brute, des analyses de réseau (ou « sniffing ») ou des techniques
d'ingénierie sociale. Les attaques par force brute sont des tentatives d'intrusion répétées

Réalisation : Omar OUGHZAL Page 5 sur 72


CCNA Sécurité ISTA KHENIFRA

perpétrées à l'aide d'outils comme Ophcrack, L0phtCrack, THC Hydra, RainbowCrack et


Medusa.
• La méthode pass-the-hash : est utilisée par les cyberpirates ayant déjà accès à l'ordinateur de
l'utilisateur et utilisant des malwares pour accéder aux hashs des mots de passe stockés. Le
cyberpirate utilise alors ces hashs pour s'authentifier auprès d'autres serveurs ou appareils
distants sans devoir recourir à la force brute. Les hashs sont décrits plus en détail dans la suite
de ce cours.
• L'exploitation de la confiance : consiste à utiliser un hôte de confiance pour accéder aux
ressources du réseau. Par exemple, un hôte externe qui accède à un réseau interne via le VPN
est supposé fiable. Une fois l'hôte de confiance attaqué, le hacker l'utilise pour accéder au
réseau interne.
• La redirection de port : consiste à utiliser un système compromis comme base pour lancer
des attaques contre d'autres cibles.
• Attaque man-in-the-middle : le cyberpirate se positionne entre deux entités légitimes afin de
lire, de modifier ou de rediriger les données échangées entre elles.
• Usurpation d'adresse IP, MAC ou DHCP (Spoofing) : un appareil se fait passer pour un
autre en falsifiant ses données d'adresse. Il existe de nombreux types d'attaques par usurpation.
Par exemple, il y a usurpation d'adresse MAC lorsqu'un ordinateur accepte les paquets de
données en utilisant l'adresse MAC de l'ordinateur auquel elles étaient destinées.
• Le détournement de session (hijacking) : l'attaquant pirate une session entre un hôte et un
serveur pour obtenir un accès, non autorisé, à ce service. Cette attaque s’appuie sur le «
spoofing »

Attaques d'ingénierie sociale


Une attaque d'ingénierie sociale est un type d'attaque d'accès où le cyberpirate s'efforce de manipuler
un utilisateur en l'incitant à effectuer des actions ou à divulguer des informations confidentielles telles
que des mots de passe ou des identifiants d'utilisateurs. Cette méthode requiert généralement
l'utilisation de compétences sociales pour amener des utilisateurs du réseau ciblé à fournir les
informations nécessaires pour y accéder.

Exemples d'attaques d'ingénierie sociale :

• L'usurpation : a lieu quand un cyberpirate contacte un individu et lui ment en vue d'accéder à
des données confidentielles. Il peut, par exemple, affirmer qu'il a besoin de données
personnelles ou financières pour confirmer l'identité du destinataire.
• Les courriers indésirables (spam) : peuvent être utilisés pour inciter un utilisateur à cliquer
sur un lien infecté ou à télécharger un fichier infecté.
• Le phishing : est une technique d'ingénierie sociale composée de nombreuses variantes. Il
arrive fréquemment qu'un cyberpirate envoie des e-mails indésirables conçus spécialement
pour inciter ses destinataires à cliquer sur un lien ou à télécharger du code malveillant.

Attaques par déni de service


Il existe deux sources majeures d'attaques par déni de service :

• Volume de trafic trop important : lorsqu'un réseau, un hôte ou une application s'avère
incapable de faire face à de très grandes quantités de données, ce qui le ralentit ou le bloque
complètement.

Réalisation : Omar OUGHZAL Page 6 sur 72


CCNA Sécurité ISTA KHENIFRA

• Paquets formatés de manière malveillante : des paquets volontairement mal formatés sont
envoyés à un hôte ou à une application dans le but de le bloquer. Une attaque par dépassement
de mémoire tampon est l'une des méthodes utilisées dans ce type d'attaque DoS. Par exemple,
un cyberpirate envoie des paquets contenant des erreurs impossibles à identifier par
l'application ou transmet des paquets mal formatés. Ainsi, l'appareil destinataire est ralenti ou
même bloqué.

Exemple d’attaques DOS :

• Ping de la mort (Ping of Death) : Dans cette attaque classique, l'attaquant a envoyé un ping
of death, qui était une demande d'écho dans un paquet IP d'une taille supérieure à la taille
maximale de 65 535 octets. L'hôte récepteur ne serait pas en mesure de gérer un paquet de
cette taille et il se planterait.
• Smurf Attack : Dans cette attaque classique, un pirate informatique a envoyé un grand
nombre de demandes ICMP à différents destinataires. L'utilisation de plusieurs destinataires a
amplifié l'attaque. De plus, l’adresse source du paquet contenait une adresse IP usurpée d’une
cible. Il s'agissait d'un type d'attaque de réflexion, car les réponses d'écho seraient toutes
renvoyées à l'hôte ciblé dans le but de le submerger.
• Attaque TCP SYN Flood : Dans ce type d’attaque, un pirate informatique envoie de
nombreux paquets de demande de session TCP SYN avec une adresse IP source falsifiée à une
cible prévue. Le périphérique cible répond avec un paquet TCP SYN-ACK à l'adresse IP
usurpée et attend un paquet TCP ACK. Cependant, les réponses n'arrivent jamais et les hôtes
cibles sont submergés de connexions TCP semi-ouvertes.

Attaques DDoS
Les attaques DDoS (DoS distribuée) suivent la même logique que les attaques DoS, mais ont une
ampleur bien plus importante, car elles proviennent de sources multiples et coordonnées

Les termes suivants sont utilisés pour décrire les composants d'une attaque DDoS :

• Zombies : groupe d'hôtes compromis (également appelés agents). Ces hôtes exécutent des
instances de code malveillant appelées robots (ou bots). Les malwares zombies sont conçus
pour se propager constamment, comme les vers.
• Bots : malwares conçus pour infecter un hôte et communiquer avec un système gestionnaire.
Les bots peuvent également enregistrer les saisies, récupérer des mots de passe, capturer et
analyser les paquets, etc.
• Botnet : groupe de zombies infectés par un malware à propagation autonome (les bots) et
contrôlés par des gestionnaires.
• Gestionnaires : serveur maître de type commande et contrôle (« C&C » ou « C2 ») contrôlant
les groupes de zombies. Le créateur d'un botnet peut utiliser Internet Relay Chat (IRC) ou un
serveur web sur le serveur C2 pour contrôler les zombies à distance.
• Botmaster : le cyberpirate contrôlant le botnet et les gestionnaires.

NB : il existe une économie souterraine où ces botnets peuvent être achetés (et vendus) pour des
sommes modiques. Les cyberpirates peuvent ainsi se procurer des botnets ou des hôtes infectés prêts à
lancer une attaque DDoS.

Attaque par dépassement de la mémoire tampon (Buffer Overflow)

Réalisation : Omar OUGHZAL Page 7 sur 72


CCNA Sécurité ISTA KHENIFRA

L'objectif d'un cyberpirate lors d'une attaque DoS par dépassement de la mémoire tampon consiste à
trouver une faille associée à la mémoire système d'un serveur en vue de l'exploiter. La saturation de la
mémoire tampon par envoi massif de valeurs inattendues suffit généralement à mettre un système hors
service, ce qui équivaut à une attaque DoS.

Leçon 5 : Atténuer les menaces

Confidentialité, Intégrité, Disponibilité (CIA)


Les trois objectifs principaux de la sécurité d’un réseau sont :

• La confidentialité : consiste à protéger les données, enregistrées ou en circulation, d’un


réseau informatique des personnes non autorisées.
• L’intégrité : vise à maintenir et à assurer la fiabilité (l’exactitude et la cohérence des données.
Les données reçues par un destinataire doivent être identique aux données envoyées par
l'expéditeur.
• La disponibilité : vise à s'assurer que les données ou les services du réseau sont,
continuellement, à la portée des utilisateurs.

Politique de Sécurité Réseau


La politique de sécurité du réseau est un document complet conçu pour être clairement applicable aux
opérations d’une organisation. La stratégie est utilisée pour faciliter la conception du réseau,
transmettre les principes de sécurité et faciliter les déploiements de réseau.

La politique de sécurité se compose généralement des éléments suivants :

• Politique d'identification et d'authentification : elle spécifie les personnes autorisées à


accéder aux ressources réseau et décrit les procédures de vérification d'identité.
• Politiques de mot de passe : elles garantissent que les mots de passe remplissent les
conditions minimales requises et sont changés régulièrement.
• Charte informatique : elle identifie les applications et les utilisations du réseau considérées
comme acceptables par l'entreprise. Elles peuvent également permettre d'identifier les
responsables d'une infraction.
• Politique d'accès à distance : elle définit la façon dont les utilisateurs distants accèdent à un
réseau ainsi que les éléments accessibles via une connectivité à distance.
• Politique de maintenance du réseau : elle spécifie les procédures de mise à jour des
systèmes d'exploitation des appareils réseau et des applications.
• Procédures de gestion des incidents : elles décrivent la manière dont sont gérés les incidents
liés à la sécurité.

Défendre le réseau
Les meilleures pratiques pour sécuriser un réseau sont les suivantes :

• Développer une politique de sécurité écrite pour l'entreprise.


• Éduquez les employés sur les risques de l'ingénierie sociale et développez des stratégies pour
valider les identités par téléphone, par courrier électronique ou en personne.

Réalisation : Omar OUGHZAL Page 8 sur 72


CCNA Sécurité ISTA KHENIFRA

• Contrôler l'accès physique aux systèmes.


• Utilisez des mots de passe forts et changez-les souvent.
• Cryptez et protégez vos données sensibles avec un mot de passe.
• Implémentez du matériel et des logiciels de sécurité tels que des pares-feux, des IPS, des
périphériques de réseau privé virtuel (VPN), un logiciel antivirus et le filtrage de contenu.
• Effectuez des sauvegardes et testez régulièrement les fichiers sauvegardés.
• Arrêtez les services et les ports inutiles.
• Maintenez les correctifs à jour en les installant chaque semaine ou chaque jour, si possible,
pour éviter les dépassements de mémoire tampon et les attaques par escalade des privilèges.
• Effectuer des audits de sécurité pour tester le réseau.

Atténuer les Malware


L'antivirus est le principal moyen d'atténuer les attaques de virus et de chevaux de Troie. Un logiciel
antivirus empêche les hôtes d’être infectés et de propager du code malveillant. Il faut beaucoup plus de
temps pour nettoyer les ordinateurs infectés que pour maintenir à jour le logiciel antivirus et les
définitions antivirus sur les mêmes ordinateurs.

Atténuer les Vers


Les vers sont plus basés sur le réseau que les virus. L'atténuation des vers nécessite une diligence et
une coordination de la part des professionnels de la sécurité des réseaux.

La réponse à une attaque de ver peut être décomposée en quatre phases :

• Confinement : consiste à limiter la propagation d’une infection par le ver aux zones du
réseau.
• Inoculation : tous les systèmes non infectés sont corrigés avec le correctif de fournisseur
approprié.
• Quarantaine : isoler les machines infectées dans les zones confinées pour la phase de
traitement.
• Traitement : implique une désinfection active des systèmes infectés.

Atténuer les Attaques de reconnaissance


• Implémenter l'authentification pour assurer un accès approprié.
• Utilisez le cryptage pour rendre les attaques de renifleur de paquets inutiles.
• Utilisez des outils anti-renifleurs pour détecter les attaques par renifleur de paquets.
• Implémenter une infrastructure commutée.
• Utilisez un pare-feu et IPS.

Atténuer les attaques d’accès


• Utilisez des mots de passe forts
• Désactiver les comptes après un nombre spécifié de connexions infructueuses
• Utiliser le principe de confiance minimale
• Utilisation du cryptage pour un accès distant à un réseau
• Le trafic du protocole de routage doit également être crypté

Réalisation : Omar OUGHZAL Page 9 sur 72


CCNA Sécurité ISTA KHENIFRA

• Utilisation de protocoles d'authentification chiffrés ou hachés, accompagnés d'une stratégie de


mot de passe fort
• Sensibiliser les employés aux risques de l'ingénierie sociale

Atténuer les attaques DOS


• La sécurité des ports
• La surveillance du protocole DHCP
• La protection de la source IP
• L’inspection ARP
• Les listes de contrôle d'accès (ACL)

Réalisation : Omar OUGHZAL Page 10 sur 72


CCNA Sécurité ISTA KHENIFRA

Chapitre 02 : Sécuriser les périphériques réseau


CCNA Security

Sécurisation des accès aux périphériques

Sécuriser le routeur de périmètre


On trouve en général trois approches pour le les routeurs de périmètre :

• Approche d’un seul routeur : un seul routeur est installé entre le réseau interne et le réseau
externe, ce routeur est responsable de la sécurité du réseau.
• Approche de défense en profondeur : deux routeurs sont installés entre le réseau interne et
externe et entre ces routeurs en place un pare-feu
• Approche DMZ : une variante de l’approche de défense en profondeur, où en place les
serveurs accessibles depuis l’externe dans la zone entre les deux routeurs qu’on appelle DMZ
(demilitarized zone)

Types de sécurité du routeur


• Sécurité physique :
▪ Sécuriser l’accès physique au routeur (salle verrouillée, caméra…)
▪ Installer UPS (uninterruptible power supply) contre les coupures électriques pour
garantir la disponibilité du routeur
• Sécurité de système d’exploitation :
▪ Installer la dernière version stable du système d’exploitation
▪ Configurer le routeur avec le maximum de mémoire RAM
▪ Garder une copie du système d’exploitation
• Sécurité administrative :
▪ Sécuriser le Contrôle administrative : seules les personnes autorisées peuvent accéder.
▪ Désactiver les ports et les services inutilisés

Sécuriser l’accès de gestion


• Restreindre l'accessibilité des périphériques : Limitez les ports accessibles, restreignez les
communicateurs autorisés et restreignez les méthodes d'accès autorisées.
• Consigner et comptabiliser tous les accès : Enregistrer toute personne qui accède à un
périphérique, ce qui s'est passé pendant l'accès et quand l'accès s'est produit à des fins d'audit.
• Authentifier l'accès : Assurez-vous que l'accès est accordé uniquement aux utilisateurs,
groupes et services authentifiés.
• Autoriser les actions - Limitez les actions et les vues autorisées par un utilisateur, un groupe
ou un service particulier.
• Notification légale actuelle - Afficher une notice légale, élaborée conjointement avec un
conseiller juridique de l'entreprise, pour des sessions interactives.
• Assurer la confidentialité des données - Protège les données stockées et sensibles
localement d'être visualisées et copiées.

Sécuriser l’accès local et distant


• Accès local : nécessite généralement une connexion directe à un port de console du routeur
Cisco et l’utilisation d’un ordinateur exécutant le logiciel d’émulation de terminal.

Réalisation : Omar OUGHZAL Page 11 sur 72


CCNA Sécurité ISTA KHENIFRA

• Accès à distance : la méthode d’accès à distance la plus courante consiste à autoriser les
connexions Telnet, SSH, HTTP, HTTPS ou SNMP au routeur. L'ordinateur peut être sur le
réseau local ou sur un réseau distant.

Des précautions doivent être prises lors de l'accès au réseau à distance :

• Cryptez tout le trafic entre l'ordinateur administrateur et le routeur. Par exemple, au lieu
d'utiliser Telnet, utilisez SSH version 2 ; ou au lieu d'utiliser HTTP, utilisez HTTPS.
• Établissez un réseau de gestion dédié. Le réseau de gestion ne doit comprendre que les hôtes
d'administration identifiés et les connexions à une interface dédiée du routeur.
• Configurez un filtre de paquets pour autoriser uniquement les hôtes d'administration identifiés
et les protocoles préférés à accéder au routeur. Par exemple, autorisez uniquement les
demandes SSH provenant de l'adresse IP d'un hôte d'administration pour établir une connexion
aux routeurs du réseau.
• Configurez et établissez une connexion VPN au réseau local avant de vous connecter à une
interface de gestion de routeur.

Les mots de passe Forts


• Utiliser de mots de passe de longueur de plus de 10 caractères
• Utiliser la majuscule, minuscule, chiffres et caractères spéciaux
• Eviter les mots de passe basés sur les informations d’identification personnelles (Nom, date de
naissance)
• Délibérément mal écrire les mots par exemple : Smith → Smyth ou 5mYth
• Changer souvent le mot de passe
• Ne pas écrire le mot de passe sur un papier et le lisser en vu

Configurer un accès administratif sécurisé

Sécuriser les mots de passe


• Appliquer la longueur minimale du mot de passe.
• Désactivez les connexions sans assistance.
• Cryptez tous les mots de passe dans le fichier de configuration.

R1(config)# ! par défaut 6 caractères


R1(config)#security passwords min-length 10
R1(config)#service password-encryption
R1(config)#line vty 0 4
R1(config)#! par default 10 minutes
R1(config-line)#exec-timeout 3 30
R1(config-line)#line console 0
R1(config-line)#exec-timeout 3 30

Configuration de la sécurité améliorée pour les connexions virtuelles


• Délais entre les tentatives de connexion successives
• Fermeture de session si des attaques DOS sont suspectées
• Génération de messages de journalisation système pour la

Réalisation : Omar OUGHZAL Page 12 sur 72


CCNA Sécurité ISTA KHENIFRA

R1(config)#login block-for 120 attempts 3 within 60


R1(config)#ip access-list standard Permit-Admins
R1(config-std-nacl)#permit 192.168.1.6
R1(config-std-nacl)#permit 192.168.1.7
R1(config-std-nacl)#exit
R1(config)#login quiet-mode access-class Permit-Admins
R1(config)#login delay 10
R1(config)#login on-success log
R1(config)#login on-failure log every 3
R1(config)#do show login
R1(config)#do show login failures

La fonctionnalité login block-for surveille l'activité du périphérique de connexion et fonctionne selon


deux modes :

• Mode normal (mode de surveillance) : le routeur comptabilise le nombre de tentatives de


connexion infructueuses au cours d'une période donnée.
• Quiet mode (période silencieuse) : si le nombre de connexions échouées dépasse le seuil
configuré, toutes les tentatives de connexion utilisant Telnet, SSH et HTTP sont refusées.

Lorsque le mode silencieux est activé, toutes les tentatives de connexion, y compris les accès
administratifs valides, ne sont pas autorisées. Toutefois, pour fournir un accès critique aux hôtes à tout
moment, ce comportement peut être remplacé à l'aide d'une liste de contrôle d'accès. La liste de
contrôle d'accès doit être créée et identifiée à l'aide de la commande login quiet-mode access-class.

Configurer SSH
R1(config)#ip domain-name ofppt.com
R1(config)#hostname R1
R1(config)#crypto key generate rsa modulus 2048
R1(config)#ip ssh version 2
R1(config)#line vty 0 4
R1(config-line)#transport input ssh
R1(config-line)#exit
R1(config)#ip ssh time-out 60
R1(config)#ip ssh authentication-retries 2
R1(config)#do show ip ssh
R1(config-line)#do show crypto key mypubkey rsa
R2# ! se connecter à partir d’un autre périohérique
R2#ssh -l tri 192.168.1.1
R1# ! afficher les connections SSH
R1#show ssh

Assigner des rôles administratifs

Configuration des niveaux de privilège


Par défaut, la CLI du logiciel Cisco IOS dispose de deux niveaux d’accès aux commandes :

Réalisation : Omar OUGHZAL Page 13 sur 72


CCNA Sécurité ISTA KHENIFRA

• Mode utilisateur EXEC (niveau de privilège 1) : Fournit les privilèges utilisateur en mode
EXEC le plus bas et n'autorise que les commandes de niveau utilisateur disponibles à l'invite
du routeur>
• Mode EXEC privilégié (niveau de privilège 15) : Inclut toutes les commandes de niveau
activation à l'invite du routeur #

Il existe en total 16 niveaux de privilège :

• Niveau 0 : prédéfini pour les privilèges d'accès de niveau utilisateur. Rarement utilisé, mais
inclut cinq commandes : disable, enable, exit, help, and logout.
• Niveau 1 : niveau par défaut pour la connexion avec l'invite du routeur, Routeur>. Un
utilisateur ne peut modifier ni afficher le fichier de configuration en cours d'exécution.
• Niveaux 2 à 14 : Peut-être personnalisé pour les privilèges de niveau utilisateur. Les
commandes des niveaux inférieurs peuvent être déplacées vers un autre niveau supérieur, ou
les commandes des niveaux supérieurs peuvent être déplacées vers un niveau inférieur.
• Niveau 15 : réservé aux privilèges du mode d'activation (commande enable). Les utilisateurs
peuvent modifier les configurations et afficher les fichiers de configuration.

R1(config)#privilege exec level 5 ping


R1(config)#enable algorithm-type scrypt secret 5 cisco5
R1(config)#username Support privilege 5 algorithm-type scrypt secret cisco5
R1(config)#privilege exec level 10 reload
R1(config)#enable algorithm-type scrypt secret 5 cisco10
R1(config)#username Admin10 privilege 5 algorithm-type scrypt secret cisco10
R1> enable 5
R1> enable 10

Configuration de l'accès CLI basé sur le rôle (Role-Based CLI Access)


L'accès CLI basé sur les rôles permet à l'administrateur réseau de créer différentes vues des
configurations de routeur pour différents utilisateurs. Chaque vue définit les commandes CLI
auxquelles chaque utilisateur peut accéder.

La CLI basée sur les rôles fournit trois types de vues qui déterminent les commandes disponibles :

• Vue racine (Root View) : pour configurer une vue pour le système, l'administrateur doit être
en vue racine. La vue racine dispose des mêmes privilèges d'accès qu'un utilisateur disposant
de privilèges de niveau 15. Cependant, une vue racine n’est pas la même chose qu’un
utilisateur de niveau 15. Seul un utilisateur de vue racine peut configurer une nouvelle vue et
ajouter ou supprimer des commandes aux vues existantes.
• Vue CLI : un ensemble spécifique de commandes peut être regroupé dans une vue CLI.
Contrairement aux niveaux de privilège, une vue CLI n’a pas de hiérarchie de commandes ni
de vues supérieures ou inférieures. Toutes les commandes associées à cette vue doivent être
affectées à chaque vue. Une vue n'hérite des commandes d'aucune autre vue. De plus, les
mêmes commandes peuvent être utilisées dans plusieurs vues.
• Superview : un superview consiste en une ou plusieurs vues CLI. Les administrateurs peuvent
définir les commandes acceptées et les informations de configuration visibles. Superviews
permet à un administrateur réseau d’attribuer simultanément à plusieurs utilisateurs et groupes
d’utilisateurs plusieurs vues CLI, au lieu de devoir attribuer une seule vue CLI par utilisateur
avec toutes les commandes associées à cette vue CLI.

Réalisation : Omar OUGHZAL Page 14 sur 72


CCNA Sécurité ISTA KHENIFRA

R1(config)#enable secret cisco


R1(config)#aaa new-model
R1#enable view
Password:
R1#show parser view
Current view is 'root'
R1#conf t
R1(config)#parser view TRIVIEW
R1(config-view)#secret cisco
R1(config-view)#commands exec include ping
R1(config-view)#commands exec include show
R1(config-view)#commands exec include configure terminal
R1(config-view)#commands configure include interface
R1(config-view)#commands configure include Router
R1(config-view)#end
R1#enable view TRIVIEW

R1(config)#parser view TRISUPER superview


R1(config-view)#secret cisco
R1(config-view)#view TRIVIEW

Surveillance et gestion des périphériques

Sécuriser l'image de Cisco IOS et les fichiers de configuration


La fonctionnalité de configuration résiliente de Cisco IOS permet une récupération plus rapide si
quelqu'un reformate la mémoire flash ou efface le fichier de configuration de démarrage dans la
NVRAM. Cette fonctionnalité permet à un routeur de résister aux tentatives malveillantes
d’effacement des fichiers en sécurisant l’image du routeur et en conservant une copie sécurisée de la
configuration en cours.

R1(config)#secure boot-image
R1(config)#secure boot-config
R1(config)#exit
R1#show secure bootset
R1(config)#secure boot-config restore config2

Récupération d'un mot de passe de routeur


Au démarrage envoyer le signal Break
rommon 1 > confreg 0x2142
rommon 1 > reset
Après le redémarrage
Router>enable
Router#copy startup-config running-config
Router(config)#enable secret cisco
Router(config)#config-register 0x2102
Router(config)#do write

Réalisation : Omar OUGHZAL Page 15 sur 72


CCNA Sécurité ISTA KHENIFRA

Gestion sécurisée et rapports


Lors de la journalisation et de la gestion des informations, le flux d'informations entre les hôtes de
gestion et les périphériques gérés peut emprunter deux chemins :

• Out-of-band (OOB) : flux d'informations sur un réseau de gestion dédié sur lequel aucun
trafic de production ne réside.
• In-band : flux d'informations sur un réseau de production d'entreprise, Internet ou les deux à
l'aide de canaux de données standard.

Utilisation de Syslog pour la sécurité du réseau


Le standard Syslog est utilisé pour consigner les messages relatifs à des événements depuis les
équipements réseau et les périphériques finaux. Ce standard permet de transmettre, de stocker et
d'analyse r les messages indépendamment du système.

Les routeurs Cisco peuvent envoyer des messages de journal à plusieurs installations différentes. Vous
devez configurer le routeur pour envoyer des messages de journal à un ou plusieurs des éléments
suivants :

• Console : La journalisation de la console est activée par défaut


• Lignes de terminal : Les sessions EXEC activées peuvent être configurées pour recevoir des
messages de journal sur toutes les lignes de terminal.
• Buffered logging: La journalisation en mémoire tampon est un peu plus utile en tant qu'outil
de sécurité, car les messages de journalisation sont stockés dans la mémoire du routeur
pendant un certain temps.
• SNMP : Certains seuils peuvent être préconfigurés sur les routeurs et autres périphériques.
Les événements de routeur, tels que le dépassement d'un seuil, peuvent être traités par le
routeur et transmis sous forme d'interruptions SNMP à un serveur SNMP externe.
• Syslog : Les routeurs Cisco peuvent être configurés pour transférer les messages de journal
vers un service Syslog externe.

Les implémentations Syslog contiennent deux types de systèmes :

• Serveurs Syslog : Également appelés hôtes de journal, ces systèmes acceptent et traitent les
messages de journal des clients Syslog.
• Clients Syslog : Routeurs ou autres types d'équipement qui génèrent et transmettent des
messages de journal aux serveurs Syslog.

Les niveaux de gravité Syslog

Code Gravité Mot-clé Description


0 Emergency emerg (panic) Système inutilisable.
1 Alert Alert Une intervention immédiate est nécessaire.

2 Critical Crit Erreur critique pour le système.

3 Error err (error) Erreur de fonctionnement.

Avertissement (une erreur peut intervenir si aucune


4 Warning warn (warning)
action n'est prise).

Réalisation : Omar OUGHZAL Page 16 sur 72


CCNA Sécurité ISTA KHENIFRA

5 Notice Notice Événement normal méritant d'être signalé.

6 Informational Info Pour information.

7 Debugging Debug Message de mise au point.

000027: *Dec 9 20:29:13.508: %LINK-3-UPDOWN: Interface Ethernet0/0, changed state to up

• Seq no : indique le numéro d’ordre de l’événement, cette information apparait seulement si la


commande service sequence-numbers a été exécutée.
• Timestamp : indique la date et l’heure de l’événement. Cette information apparait uniquement
si la commande service timestamps a été exécutée.
• FACILTY : indique le composant, protocole ou le processus qui a généré le message,
exemples SYS pour le système d'exploitation, IF pour une interface, etc.
• SEVERITY : Un nombre, entre 0 et 7, qui indique l'importance de l’événement signalée.
• MNEMONIC : un code identifiant le message SysLog.
• Message : Une description de l'événement qui a déclenché le message SysLog

R1(config)#service timestamps
R1(config)#service sequence-numbers
R1(config)#logging trap 5
R1(config)#logging on
R1(config)#do show logging
R1(config)#logging host 192.168.1.20

Utilisation de SNMP pour la sécurité du réseau


Le protocole SNMP (Simple Network Management Protocol) permet aux administrateurs de gérer les
appareils tels que les serveurs, les stations de travail, les routeurs, les commutateurs et les Appliance
de sécurité sur un réseau IP. Ces derniers peuvent ainsi contrôler et gérer les performances du réseau,
identifier et résoudre les problèmes et anticiper la croissance du réseau.

Le SNMP comprend trois éléments pertinents pour le système de gestion de réseau (NMS) :

• Un gestionnaire SNMP qui exécute le logiciel de gestion SNMP.


• Des agents SNMP qui correspondent aux nœuds surveillés et gérés.
• Une base de données MIB (Management Information Base) qui est une base de données
sur l'agent qui stocke les données et des statistiques opérationnelles relatives à l'appareil.

SNMP a plusieurs versions, mais il existe trois versions principales :

• SNMPV1 : C’est la version originale et il est recommandé de ne pas l’utiliser sur un réseau
suite à des lacunes de sécurité.
• SNMPv2c : Elle présente une mise à jour de protocole initial et offre quelques améliorations.
Cependant, la sécurité qu'il fournit se base sur la chaîne de communauté uniquement qui est
juste un mot de passe en texte clair (sans cryptage) vulnérables aux attaques des pirates. Il
existe deux types de chaînes de communauté dans SNMPv2c :
▪ Lecture seule (RO) : cette option donne accès en mode lecture seule pour les objets
MIB. Cette une option plus sûre et recommandé.

Réalisation : Omar OUGHZAL Page 17 sur 72


CCNA Sécurité ISTA KHENIFRA

▪ Lecture-écriture (RW) : donne un accès en mode lecture et écriture pour les objets
de la MIB. Cette méthode permet le gestionnaire SNMP pour modifier la
configuration d’un élément réseau.
• SNMPv3 : Elle apporte des améliorations significatives pour remédier aux faiblesses de
sécurité existant dans les versions antérieures. Le concept de chaîne de communauté a été
abandonné en mettant en place trois nouvelles fonctionnalités principales :
▪ L’intégrité : il permet de s’assurer qu'un paquet n'a pas été modifié.
▪ L’authentification : il permet de s’assurer que le message provient d'une source
valide sur le réseau
▪ Cryptage (chiffrement) : il permet de crypter le contenu d'un paquet avec la méthode
DES pour crypter.

Configuration du protocol SNMP V2c


R1(config)#snmp-server community TRI RW
R1(config)#snmp-server host 192.168.1.150 TRI
R1(config)#snmp-server host 192.168.1.150 version 2c TRI
R1(config)#snmp-server enable traps

Configuration du protocol SNMP V3


R1(config)#ip access-list standard SNMP-ACL
R1(config-std-nacl)#permit 192.168.1.0
R1(config-std-nacl)#exit
R1(config)#snmp-server view SNMP-VIEW 1.3.6.1.4.1.9 included
R1(config)#snmp-server group SNMP-Group v3 priv read SNMP-VIEW access SNMP-ACL
R1(config)#snmp-server user user1 SNMP-Group v3 auth md5 Password priv aes 256 Password
R1(config)#do show run | include snmp

Network Time Protocol (NTP)


De nombreux éléments de la sécurité d'un réseau, tels que les journaux de sécurité, dépendent d'une
date et d'un horodatage précis. Les secondes importent lorsqu'il s'agit d'une attaque car il est important
d'identifier l'ordre dans lequel une attaque spécifique s'est produite.

Les paramètres de date et d’heure du routeur peuvent être définis de deux manières :

• Modifier manuellement la date et l'heure


• Configurer le protocole NTP (Network Time Protocol)

Le protocole NTP : permet aux routeurs du réseau de synchroniser leurs paramètres de temps avec un
serveur NTP. Il utilise le port UDP 123

NTP version 3 (NTPv3) et versions ultérieures prennent en charge un mécanisme d'authentification


cryptographique entre homologues NTP. Ce mécanisme d'authentification peut être utilisé pour aider à
atténuer une attaque.

Configuration NTP
R1(config)#ntp master 1
R1(config)#do show clock
R1(config)#ntp authenticate
R1(config)#ntp authentication-key 1 md5 cisco

Réalisation : Omar OUGHZAL Page 18 sur 72


CCNA Sécurité ISTA KHENIFRA

R1(config)#ntp trusted-key 1
R2(config)#ntp authenticate
R2(config)#ntp authentication-key 1 md5 cisco
R2(config)#ntp trusted-key 1
R2(config)#ntp server 192.168.1.1 key 1 source E0/0 prefer

Utilisation des fonctionnalités de sécurité automatisées

La fonctionnalité Cisco AutoSecure


Les routeurs Cisco sont initialement déployés avec de nombreux services activés par défaut. Cette
opération est effectuée par souci de commodité et pour simplifier le processus de configuration requis
pour que le périphérique soit opérationnel. Cependant, certains de ces services peuvent rendre le
périphérique vulnérable aux attaques si la sécurité n'est pas activée. Les administrateurs peuvent
également activer les services sur les routeurs Cisco, ce qui peut exposer le périphérique à des risques
importants. Ces deux scénarios doivent être pris en compte lors de la sécurisation du réseau.

Cisco AutoSecure : une fonctionnalité d'audit de sécurité disponible via l'interface de ligne de
commande Cisco IOS. La commande autosecure lance un audit de sécurité, puis autorise des
modifications de configuration. Selon le mode sélectionné, les modifications de configuration peuvent
être automatiques ou nécessiter la saisie de l'administrateur du réseau.

R2#auto secure

Usurpation de protocole de routage (Routing Protocol Spoofing)


Les systèmes de routage peuvent être attaqués en perturbant les routeurs de réseau homologues, ou en
falsifiant ou en usurpant les informations véhiculées par les protocoles de routage. Les conséquences
de la falsification des informations de routage :

• Redirecting traffic to create routing loops


• Redirecting traffic so it can be monitored on an insecure link
• Redirecting traffic to discard it

Authentification du protocole de routage OSPF


OSPF prend en charge l'authentification de protocole de routage à l'aide de MD5. L'authentification
MD5 peut être activée globalement pour toutes les interfaces ou interface par interface.

R1(config)# Interface E0/0


R1(config-if)#ip ospf message-digest-key 1 md5 cisco
R1(config-if)#ip ospf authentication message-digest
R1(config)#key chain OSPF-KEY
R1(config-keychain)#key 1
R1(config-keychain-key)#cryptographic-algorithm hmac-sha-256
R1(config-keychain-key)#exit
R1(config-keychain)#exit
R1(config)#interface e0/0
R1(config-if)#ip ospf authentication key-chain OSPF-KEY

Réalisation : Omar OUGHZAL Page 19 sur 72


CCNA Sécurité ISTA KHENIFRA

Réalisation : Omar OUGHZAL Page 20 sur 72


CCNA Sécurité ISTA KHENIFRA

Chapitre 03 : Sécurisation de l'accès de gestion avec AAA


CCNA Security

But de l’utilisation de AAA


Le protocole d'authentification, d'autorisation et de traçabilité (AAA) constitue le cadre nécessaire
pour assurer une sécurité d'accès évolutive.

Dans le cadre d'un accès administratif et d'un accès réseau, la sécurité AAA possède plusieurs
composants fonctionnels :

• Authentification : les utilisateurs et les administrateurs doivent prouver leur identité.


L'authentification peut se faire à l'aide de combinaisons de nom d'utilisateur et de mot de
passe.
• Autorisation : une fois que l'utilisateur est authentifié, les services d'autorisation déterminent
les ressources auxquelles l'utilisateur peut accéder et les opérations qu'il est autorisé à
effectuer.
• Traçabilité et audit (Accounting) : les services de traçabilité consignent les actions de
l'utilisateur, la date et l'heure de ces actions, les ressources auxquelles il accède et pendant
combien de temps, et toutes les modifications apportées.

Authentification AAA
L'authentification AAA peut être utilisée pour authentifier des utilisateurs dans le cadre d'un accès
administratif ou d'un accès au réseau à distance. Cisco propose deux méthodes pour mettre en œuvre
des services AAA :

• Authentification AAA locale : cette méthode, parfois appelée « authentification autonome »,


authentifie les utilisateurs à l'aide de noms d'utilisateur et de mots de passe stockés localement.
L'authentification AAA locale est idéale pour les réseaux de petite taille.
• Authentification AAA basée sur le serveur : cette méthode authentifie les utilisateurs sur un
serveur AAA central contenant les noms d'utilisateur et mots de passe de tous les utilisateurs.
L'authentification AAA basée sur le serveur convient aux réseaux de moyenne et grande taille.

Autorisation AAA
Une fois les utilisateurs authentifiés avec la source de données AAA sélectionnée, qu'elle soit locale
ou basée sur un serveur, ils sont autorisés pour des ressources réseau spécifiques. L'autorisation est ce
que les utilisateurs peuvent et ne peuvent pas faire sur le réseau après s'être authentifié. Ceci est
similaire à la manière dont les niveaux de privilège et la CLI basée sur les rôles accordent aux
utilisateurs des droits et privilèges spécifiques sur certaines commandes du routeur.

L'autorisation est généralement mise en œuvre à l'aide d'une solution basée sur un serveur AAA.
L’autorisation utilise un ensemble d’attributs créé qui décrit l’accès de l’utilisateur au réseau. Ces
attributs sont comparés aux informations contenues dans la base de données AAA et une
détermination des restrictions pour cet utilisateur est effectuée et transmise au routeur local auquel
l'utilisateur est connecté.

Réalisation : Omar OUGHZAL Page 21 sur 72


CCNA Sécurité ISTA KHENIFRA

Journaux de traçabilité AAA


La traçabilité AAA collecte des données d'utilisation dans les journaux du système AAA. Ces
journaux sont utiles pour réaliser un audit de la sécurité. Les données recueillies peuvent indiquer les
heures de début et de fin des connexions, les commandes exécutées, le nombre de paquets et le nombre
d'octets.

Il est très fréquent de combiner la traçabilité à l'authentification AAA. Cela permet au personnel
administratif de réseau de gérer l'accès aux dispositifs d'interconnexion de réseaux. La traçabilité offre
une plus grande sécurité que l'authentification seule. Les serveurs AAA génèrent un journal détaillé
des actions de l'utilisateur authentifié sur l'appareil. Ce journal comprend toutes les commandes EXEC
et les commandes de configuration exécutées par l'utilisateur.

Authentification de l'accès administratif


L'authentification AAA locale doit être configurée pour les réseaux plus petits. Les réseaux plus petits
sont ceux qui ont un ou deux routeurs qui permettent d'accéder à un nombre limité d'utilisateurs. Cette
méthode utilise les noms d'utilisateur et les mots de passe locaux stockés sur un routeur.

R1(config)#username admin algorithm-type scrypt secret cisco


R1(config)#aaa new-model
R1(config)#aaa authentication login default local-case

Méthodes d'authentification
Pour activer AAA, la commande de configuration globale aaa new-model doit d'abord être
configurée. Pour désactiver AAA, utilisez no aaa new-model.

R1(config)#aaa authentication login {default | NOM} Methode1 Méthode2 …

Types des Méthode :

• Enable : utiliser le mot de passe enable pour l’authentification


• Local : utiliser la base de données local pour l’authentification
• Local-case : utiliser les noms d’utilisateur local sensible à la case
• None : n’utiliser pas d’authentification
• Group radius : utiliser la liste de tous les serveurs RADIUS pour l’authentification
• Group tacacs+ : utiliser la liste de tous les serveurs TACACS+ pour l’authentification
• Group Nom : utiliser un sous-ensemble des serveurs RADIUS ou TACACS+ pour
l’authentification défini par la commande aaa group server radius ou aaa group server
tacacs+

Méthode Default et nommée


Pour plus de flexibilité, différentes listes de méthodes peuvent être appliquées à différentes interfaces
et lignes à l’aide de la commande aaa authentication login list-name.

R1(config)#aaa authentication login SSH-LOGIN local


R1(config)#line vty 0 4
R1(config-line)#login authentication SSH-LOGIN

Ajustement de la configuration de l'authentification


R1(config)#aaa local authentication attempts max-fail 3
R1(config)# end

Réalisation : Omar OUGHZAL Page 22 sur 72


CCNA Sécurité ISTA KHENIFRA

R1#show aaa local user lockout


R1#clear aaa local user lockout username Nom-Utilisateur
R1#clear aaa local user lockout All
R1#show aaa sessions

Introduction au système Cisco Secure Access Control System (ACS)


Le système ACS (Secure Access Control) de Cisco est une solution centralisée qui associe la stratégie
d’accès réseau et la stratégie d’identité d’une entreprise.

La famille de produits Cisco ACS comprend des serveurs de contrôle d'accès hautement évolutifs et
performants. Celles-ci peuvent être utilisées pour contrôler l'accès et la configuration des
administrateurs pour tous les périphériques réseau d'un réseau prenant en charge RADIUS, ou
TACACS +, ou les deux.

Cisco Secure ACS prend en charge les protocoles TACACS + et RADIUS.

Introduction à RADIUS et TACACS+


TACACS+ (Terminal Access Controller Access-Control System Plus) et RADIUS (Remote
Authentication Dial-In User Service) sont tous deux des protocoles d'authentification qui sont utilisés
pour communiquer avec les serveurs AAA. Le choix de TACACS+ ou de RADIUS dépend des
besoins de l'entreprise.

TACACS+ RADIUS
Sépare AAA en fonctionne de Combine l’authentification et autorisation
Fonctionnalité
l’architecture AAA
Standard Cisco RFC ouvert
Protocole TCP 49 UDP 1645 ou 1812
Défis et réponses bidirectionnels Défis et réponses unidirectionnels de
CHAP
serveur vers le client RADIUS
Confidentialité Chiffrement des paquets complets Chiffrement du mot de passe uniquement
Autorise les commandes en Pas de possibilité d’Autoriser les
Personnalité fonction de l’utilisateur et du commandes en fonction de l’utilisateur et
groupe du groupe
Traçabilité Limité Étendue

Réalisation : Omar OUGHZAL Page 23 sur 72


CCNA Sécurité ISTA KHENIFRA

Authentification TACACS+

Authentification RADIUS

Configuration de l’authentification AAA basé sur le serveur


• Activer AAA.
• Spécifiez l'adresse IP du serveur ACS.
• Configurez la clé secrète.
• Configurez l'authentification pour utiliser le serveur RADIUS ou TACACS +.

Configuration des serveurs TACACS +


R1(config)#aaa new-model
R1(config)#tacacs server Server-R
R1(config-server-tacacs)#address ipv4 192.168.1.101
R1(config-server-tacacs)#single-connection
R1(config-server-tacacs)#key TACACS-Password

Réalisation : Omar OUGHZAL Page 24 sur 72


CCNA Sécurité ISTA KHENIFRA

Configuration des serveurs RADIUS


R1(config)#radius server Server-R
R1(config-radius-server)#!utiliser les port 1812 et 1813
R1(config-radius-server)#address ipv4 192.168.1.101 auth-port 1812 acct-port 1813
R1(config-radius-server)#!ou utiliser les port 1645 et 1646
R1(config-radius-server)#address ipv4 192.168.1.101 auth-port 1645 acct-port 1646
R1(config-radius-server)#key RADIUS-PASSWORD
R1(config-radius-server)#Exit

Configurer l'authentification pour utiliser le serveur AAA


R1(config)#username admin algorithm-type scrypt secret cisco
R1(config)#aaa authentication login default group tacacs+ group radius local

Configuration de l'autorisation AAA


Pour configurer l'autorisation de commande, utilisez la commande aaa authorization. Le type de
service peut spécifier les types de commandes ou de services :

• Network : Pour les services réseau tels que PPP


• Exec : Pour démarrer un exec (shell)
• Commands level: Pour les commandes exec (shell)

R1(config)#aaa authorization exec default group tacacs+ group radius


R1(config)#aaa authorization commands 15 default group tacacs+ group radius
R1(config)#aaa authorization network default group tacacs+ group radius

Configuration de la traçabilité AAA


Pour configurer la comptabilité AAA, utilisez la commande aaa accounting. Les trois paramètres
suivants sont couramment utilisés dans les mots clés de comptabilité aaa :

• Network : Exécute la comptabilisation de toutes les demandes de service liées au réseau, y


compris PPP.
• Exec : Exécute la comptabilité pour la session shell EXEC.
• connection: Exécute la comptabilité sur toutes les connexions sortantes telles que SSH et
Telnet.

Le déclencheur spécifie quelles actions provoquent la mise à jour des enregistrements comptables. Les
déclencheurs possibles incluent :

• Start-stop : Envoie une notification comptable "Start" au début d'un processus et une
notification comptable "stop" à la fin d'un processus.
• Stop-only : Envoie un enregistrement comptable "stop" pour tous les cas, y compris les
échecs d'authentification.
• None : Désactive les services de comptabilité sur une ligne ou une interface.

R1(config)#aaa accounting connection default start-stop group tacacs+ group radius


R1(config)#aaa accounting exec default start-stop group tacacs+ group radius

Réalisation : Omar OUGHZAL Page 25 sur 72


CCNA Sécurité ISTA KHENIFRA

Sécurité à l'aide de l'authentification 802.1X basée sur le port


La norme IEEE 802.1X définit un protocole d'authentification et de contrôle d'accès basé sur les ports
qui empêche les stations de travail non autorisées de se connecter à un réseau local via des ports de
commutateur accessibles au public. Le serveur d'authentification authentifie chaque poste de travail
connecté à un port de commutateur avant de mettre à disposition tous les services proposés par le
commutateur ou le réseau local.

• Supplicant (Client): Le périphérique (poste de travail) qui demande l'accès aux services de
réseau local et de commutateur, puis répond aux demandes du commutateur.
• Authenticator (Switch): Contrôle l'accès physique au réseau en fonction de l'état
d'authentification du client. Le commutateur agit en tant qu'intermédiaire (proxy) entre le
client (demandeur) et le serveur d'authentification.
• Serveur d'authentification : Effectue l'authentification réelle du client. Le serveur
d'authentification valide l'identité du client et indique au commutateur si le client est autorisé à
accéder au réseau local et aux services de commutateur.

Jusqu'à ce que le poste de travail soit authentifié, le contrôle d'accès 802.1X active uniquement le
trafic EAPOL (Extensible Authentication Protocol over LAN) via le port auquel le poste de travail
est connecté. Une fois l'authentification réussie, le trafic normal peut transiter par le port.

L’échange de messages entre le demandeur, l'authentificateur et le serveur d'authentification.


L'encapsulation se produit comme suit :

• Entre le demandeur et l'authentificateur : les données EAP sont encapsulées dans des
trames EAPOL.
• Entre l'authentificateur et le serveur d'authentification : les données EAP sont
encapsulées à l'aide de RADIUS.

État d'autorisation de port 802.1X


• Auto : Active l'authentification basée sur le port 802.1X et provoque le démarrage du port
dans un état non autorisé, permettant uniquement l'envoi et la réception de trames EAPOL via
le port.
• Force-authorized : le paramètre par défaut, le port envoie et reçoie le trafic normal sans
authentification 802.1x

Réalisation : Omar OUGHZAL Page 26 sur 72


CCNA Sécurité ISTA KHENIFRA

• Force-unauthorized: le port reste à l’état non autorisé, en ignorant tous les tentatives
d'authentification du client. Le commutateur ne peut pas fournir de services d'authentification
au client via le port.

SW1(config)#aaa authentication dot1x default group radius local


SW1(config)#interface range F0/0 -24
SW1(config-if-range)#switchport mode access
SW1(config-if-range)#dot1x port-control auto
SW1(config-if-range)#dot1x pae authenticator

NB : pour authentifier les carte réseau sous Windows le service (Dot3svc) ‘’Configuration
automatique de réseau câblé’’ doit être démarré. Et configurer les paramètres de l’onglet
‘’Authentification’’ de la carte réseau.

Réalisation : Omar OUGHZAL Page 27 sur 72


CCNA Sécurité ISTA KHENIFRA

Chapitre 04 : Implémentation des technologies Pare-feu


CCNA Security

Liste de Contrôle d’accès (ACL)

Introduction aux listes de contrôle d’accès


Une liste de contrôle d'accès (ACL, Access Control List) est une série de commandes qui déterminent
si un appareil achemine ou abandonne les paquets en fonction des informations contenues dans l'en-
tête de paquet. Une fois configurées, les listes de contrôle d'accès assurent les tâches suivantes :

• Elles limitent le trafic du réseau pour accroître ses performances.


• Elles assurent un contrôle du flux de trafic.
• Elles offrent un niveau de sécurité de base pour l'accès réseau.
• Elles filtrent le trafic selon son type.
• Elles filtrent les hôtes pour permettre ou refuser l'accès aux services réseau.

Les ACL IPv4


Les routeurs prennent en charge deux types d'ACL IPv4

• Les ACL Standard :


▪ Filtre les paquets IP en se basant uniquement sur l'adresse IP source.
▪ Peuvent être numérotées ou nommées.
▪ Les plages de nombres valides comprennent 1 – 99 et 1300 – 1999.
• Les ACL Etendues :
▪ Filtre les paquets IP se basant sur les adresses IP source et destination, les ports UDP et
TCP source et destination, et les types de messages ICMP, etc.
▪ Peuvent être numérotées ou nommées.
▪ Les plages de nombre valides comprennent 100 – 199 et 2000 – 2699.

Configuration des ACL numérotées


• Configuration d’ACL standard :

R1(config)#access-list 2 permit 192.168.1.0 0.0.0.255


R1(config)#access-list 2 permit host 192.168.2.1
R1(config)#access-list 2 deny 192.168.2.3
R1(config)#access-list 2 permit 192.168.2.0

• Configuration d’ACL étendue

R1(config)#access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255


R1(config)#access-list 101 permit tcp any any eq www
R1(config)#access-list 101 permit udp any eq domain any

Configuration des ACL nommées


• Configuration d’ACL standard :

R1(config)#ip access-list standard ACL-Standard

Réalisation : Omar OUGHZAL Page 28 sur 72


CCNA Sécurité ISTA KHENIFRA

R1(config-std-nacl)#permit 192.168.1.1
R1(config-std-nacl)#permit 192.168.1.0
R1(config-std-nacl)#permit 192.168.2.0 0.0.0.255
R1(config-std-nacl)#do show ip access-list

• Configuration d’ACL étendue

R1(config)#ip access-list extended ACL-Etendue


R1(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 any
R1(config-ext-nacl)#permit tcp host 192.168.1.20 any eq ftp
R1(config-ext-nacl)#permit udp any eq 53 any
R1(config-ext-nacl)#deny icmp any any echo-reply

Appliquer une ACL


• Appliquer une ACL à une Interface

R1(config)#interface F0/0
R1(config-if)#ip access-group 101 in

Appliquer une ACL lignes VTY

R1(config)#line vty 0 4
R1(config-line)#access-class 2 in

Directives de configuration ACL


• Créez une liste de contrôle d'accès globalement, puis appliquez-la.
• Assurez-vous que la dernière déclaration est implicite : deny any ou deny any any.
• N'oubliez pas que l'ordre des instructions est important, car les ACL sont traitées de haut en
bas. Dès qu'une déclaration correspond, la liste de contrôle d'accès est abandonnée.
• Assurez-vous que les déclarations les plus spécifiques figurent en haut de la liste.
• N'oubliez pas qu’une seule ACL est autorisé par interface, par protocole et par direction.
• N'oubliez pas que les nouvelles instructions pour une liste de contrôle d'accès existante sont
ajoutées au bas de la liste de contrôle d'accès par défaut.
• Rappelez-vous que les paquets générés par le routeur ne sont pas filtrés par les ACL sortantes.
• Placez les ACL standard aussi près que possible de la destination.
• Placez les ACL étendues aussi près que possible de la source.

Modification des ACL existantes


Par défaut, la numérotation de séquence se produit par incréments de 10 et est attribuée à chaque
entrée de contrôle d'accès (ACE) dans une liste de contrôle d'accès. Une fois créée et appliquée, une
liste de contrôle d’accès peut être modifiée à l’aide de ces numéros de séquence. Utilisez des numéros
de séquence pour supprimer ou ajouter des ACE spécifiques à divers endroits de la séquence. Si aucun
numéro de séquence n'est spécifié pour une nouvelle entrée, le routeur la place automatiquement au
bas de la liste et lui attribue un numéro de séquence approprié.

R1(config)#ip access-list standard ACL1


R1(config-std-nacl)#permit 192.168.1.0
R1(config-std-nacl)#permit 192.168.2.0
R1(config-std-nacl)#permit 192.168.3.0

Réalisation : Omar OUGHZAL Page 29 sur 72


CCNA Sécurité ISTA KHENIFRA

R1(config-std-nacl)#no 20
R1(config-std-nacl)#5 permit 192.168.1.6
R1(config-std-nacl)#do show ip access-list

Numéros de séquence et ACL standard


Sur les listes d'accès standard, Cisco IOS applique une logique interne à la configuration des ACE et à
la vérification des ACL. Les instructions de l'hôte (celles avec des adresses IPv4 spécifiques) sont
répertoriées en premier, mais pas nécessairement dans l'ordre dans lequel elles ont été entrées.
Premièrement, l'IOS place les déclarations de l'hôte dans un ordre particulier déterminé par une
fonction de hachage spéciale. L'ordre résultant optimise la recherche d'une entrée de la liste de
contrôle d'accès hôte. Ce n'est pas nécessairement dans l'ordre des adresses IPv4.

Anti spoofing avec ACL


Il existe de nombreuses classes d'adresses IP bien connues qui ne doivent jamais être considérées
comme des adresses IP source pour le trafic entrant dans le réseau d'une entreprise :

• Toutes les adresses zéros


• Adresses de diffusion
• Adresses des hôtes locaux (127.0.0.0/8)
• Adresses privées réservées (RFC 1918)
• Plage d'adresses de multidiffusion IP (224.0.0.0/4)

R1(config)#ip access-list extended AntiSpooping


R1(config-ext-nacl)#deny ip host 0.0.0.0 any
R1(config-ext-nacl)#deny ip 127.0.0.0 0.255.255.255 any
R1(config-ext-nacl)#deny ip 10.0.0.0 0.255.255.255 any
R1(config-ext-nacl)#deny ip 172.16.0.0 0.0.255.255 any
R1(config-ext-nacl)#deny ip 192.168.0.0 0.0.0.255 any
R1(config-ext-nacl)#deny ip 224.0.0.0 15.255.255.255 any
R1(config-ext-nacl)#deny ip host 255.255.255.255 any

Les ACL IPv6


La fonctionnalité ACL dans IPv6 est similaire à celle des ACL dans IPv4. Cependant, il n'y a pas
d'équivalent aux ACL standard IPv4 et toutes les ACL IPv6 doivent être configurées avec un nom. Les
listes de contrôle d'accès IPv6 permettent le filtrage en fonction des adresses de source et de
destination transférées entrantes et sortantes vers une interface spécifique. Ils prennent également en
charge le filtrage du trafic basé sur les en-têtes d'option IPv6 et les informations de type de protocole
de couche supérieure facultatives pour une granularité de contrôle plus fine, similaire aux ACL
étendues d'IPv4.

R1(config)#ipv6 access-list ACLv6


R1(config-ipv6-acl)#permit 2001:db8:1:1::/64 any
R1(config-ipv6-acl)#permit icmp any any nd-na
R1(config-ipv6-acl)#permit icmp any any nd-ns
R1(config-ipv6-acl)#deny ipv6 any any
R1(config-ipv6-acl)#exit
R1(config)#interface G0/0
R1(config-if)#ipv6 traffic-filter ACLv6 in

Réalisation : Omar OUGHZAL Page 30 sur 72


CCNA Sécurité ISTA KHENIFRA

Sécuriser les réseaux avec des pare-feu

Définition de Pare-feu
Un pare-feu est un système, ou un groupe de systèmes, qui impose une politique de contrôle d'accès
entre des réseaux. Tous les pare-feu partagent certaines propriétés communes :

• Les pare-feu résistent aux attaques réseau.


• Les pare-feu représentent le seul point de transit entre les réseaux d'entreprises internes et les
réseaux externes, car tout le trafic passe par le pare-feu.
• Les pares-feux appliquent la politique de contrôle d'accès.

Il y a plusieurs avantages à utiliser un pare-feu dans un réseau :

• Il empêche les utilisateurs non fiables d'accéder aux hôtes, aux ressources et aux applications
sensibles.
• Il assainit le flux de protocoles pour empêcher l'exploitation des failles.
• Il bloque les données malveillantes provenant des serveurs et des clients.
• Il simplifie la gestion de la sécurité en confiant la majeure partie du contrôle d'accès réseau à
quelques pare-feu sur le réseau.

Les pare-feu présentent également certaines limites :

• Un pare-feu mal configuré peut avoir des conséquences graves pour le réseau. Il peut par
exemple constituer un point de défaillance unique.
• Les données de nombreuses applications ne peuvent pas traverser les pare-feu en toute
sécurité.
• Les utilisateurs peuvent rechercher proactivement des façons de contourner le pare-feu afin de
recevoir des données bloquées, ce qui expose le réseau à des attaques potentielles.
• Les performances du réseau peuvent baisser.
• Le trafic non autorisé peut être placé en tunnel ou masqué comme trafic légitime à travers le
pare-feu.

Les types de pare-feu


Il est important de comprendre les différents types de pare-feu et leurs capacités spécifiques afin
d'utiliser le bon pare-feu pour chaque situation.

• Pare-feu de filtrage de paquets (stateless - sans état) : il s'agit généralement d'un routeur
ayant la possibilité de filtrer une partie du contenu des paquets, par exemple les informations
de la couche 3 et parfois de la couche 4, d'après un ensemble de règles configurées.
• Pare-feu « stateful » : un pare-feu d'inspection « stateful » autorise ou bloque le trafic selon
l'état, le port et le protocole. Il surveille toute l'activité, de l'ouverture d'une connexion jusqu'à
sa fermeture. Les décisions de filtrage sont prises selon les règles définies par l'administrateur
ainsi que selon le contexte, ce qui implique d'utiliser les informations des connexions
précédentes et celles des paquets appartenant à la même connexion.
• Pare-feu de la passerelle d'applications (pare-feu proxy) : filtre les informations au niveau
des couches 3, 4, 5 et 7 du modèle de référence OSI. La majeure partie du contrôle et du
filtrage des pare-feu est effectuée par le logiciel. Lorsqu'un client a besoin d'accéder à un
serveur distant, il se connecte à un serveur proxy (mandataire). Le serveur proxy se connecte

Réalisation : Omar OUGHZAL Page 31 sur 72


CCNA Sécurité ISTA KHENIFRA

au serveur distant au nom du client. De ce fait, le serveur ne voit qu'une connexion provenant
du serveur proxy.

Voici d'autres méthodes d'implémentation d'un pare-feu :

• Pare-feu d'hôte (serveur et personnel) : un PC ou serveur sur lequel s'exécute le logiciel de


pare-feu.
• Pare-feu transparent : filtre le trafic IP entre une paire d'interfaces reliées par un pont.
• Pare-feu hybride : combinaison des divers types de pare-feu. Par exemple, un pare-feu
d'inspection d'application combine un pare-feu dynamique (stateful) avec un pare-feu de
passerelle d'application.

Pare-feu de filtrage des paquets


Les pare-feu de filtrage de paquets font généralement partie d'un pare-feu de routeur, qui autorise ou
interdit le trafic en fonction des informations des couches 3 et 4. Il s'agit de pare-feu sans état qui
effectuent un examen de table de règles simple permettant de filtrer le trafic selon des critères
spécifiques, comme le montre la figure. Par exemple, les serveurs SMTP écoutent le port 25 par
défaut. Un administrateur peut configurer le pare-feu de filtrage de paquets pour bloquer le port 25 à
partir d'un poste de travail spécifique pour l'empêcher de diffuser un virus de messagerie.

L’utilisation d’un pare-feu de filtrage de paquets présente plusieurs avantages :

• Les filtres de paquets implémentent des ensembles de règles simples d'autorisation ou de


refus.
• Les filtres de paquets ont un impact faible sur les performances du réseau.
• Les filtres de paquets sont faciles à mettre en œuvre et sont pris en charge par la plupart des
routeurs.
• Les filtres de paquets fournissent un degré initial de sécurité au niveau de la couche réseau.
• Les filtres de paquets effectuent presque toutes les tâches d’un pare-feu haut de gamme à un
coût bien moindre.

L'utilisation d'un pare-feu à filtrage de paquets présente plusieurs inconvénients :

• Les filtres de paquets sont susceptibles d'usurpation d'adresse IP. Les pirates peuvent envoyer
des paquets arbitraires répondant aux critères de la liste de contrôle d'accès et transiter par le
filtre.
• Les filtres de paquets ne filtrent pas de manière fiable les paquets fragmentés. Étant donné
que les paquets IP fragmentés portent l'en-tête TCP dans le premier fragment et que les filtres
de paquets filtrent les informations d'en-tête TCP, tous les fragments postérieurs au premier
fragment sont transmis de manière inconditionnelle. Les décisions d'utiliser des filtres de
paquets supposent que le filtre du premier fragment applique avec précision la politique.

Réalisation : Omar OUGHZAL Page 32 sur 72


CCNA Sécurité ISTA KHENIFRA

• Les filtres de paquets utilisent des listes de contrôle d'accès complexes, qui peuvent être
difficiles à mettre en œuvre et à gérer.
• Les filtres de paquets ne peuvent pas filtrer dynamiquement certains services. Par exemple, les
sessions qui utilisent des négociations de port dynamiques sont difficiles à filtrer sans ouvrir
l'accès à toute une gamme de ports.
• Les filtres de paquets sont sans état. Ils examinent chaque paquet individuellement plutôt que
dans le contexte de l'état d'une connexion.

Pare-feu dynamiques (stateful)


Les pare-feu dynamiques (stateful) représentent les technologies de pare-feu les plus polyvalentes et
les plus courantes actuellement utilisées. Les pare-feu dynamiques effectuent un filtrage dynamique
des paquets à l'aide d'informations de connexion mises à jour dans une table d'états. Le filtrage
dynamique est une architecture de pare-feu classée au niveau de la couche réseau. Il analyse également
le trafic au niveau des couches OSI 4 et 5,

L’utilisation d’un pare-feu dynamique dans un réseau présente plusieurs avantages :

• Les pare-feu à états sont souvent utilisés comme moyen de défense principal en filtrant le
trafic indésirable, inutile ou indésirable.
• Les pare-feu à états renforcent le filtrage des paquets en fournissant un contrôle plus strict de
la sécurité.
• Les pare-feu avec état améliorent les performances sur les filtres de paquets ou les serveurs
proxy.
• Les pare-feu stateful se défendent contre l'usurpation d'identité et les attaques par déni de
service en déterminant si les paquets appartiennent à une connexion existante ou proviennent
d'une source non autorisée.
• Les pare-feu avec état fournissent plus d'informations de journal qu'un pare-feu à filtrage de
paquets.

Les pare-feu avec état présentent également certaines limitations :

• Les pare-feu avec état ne peuvent pas empêcher les attaques de la couche application car ils
n'examinent pas le contenu réel de la connexion HTTP.
• Tous les protocoles ne sont pas à état. Par exemple, UDP et ICMP ne génèrent pas
d'informations de connexion pour une table d'état et n'obtiennent donc pas autant de support
pour le filtrage.
• Il est difficile de suivre les connexions qui utilisent la négociation de port dynamique.
Certaines applications ouvrent plusieurs connexions. Cela nécessite une toute nouvelle gamme
de ports qui doivent être ouverts pour permettre cette deuxième connexion.
• Les pare-feu avec état ne prennent pas en charge l'authentification des utilisateurs.

Pare-feu de nouvelle génération


Les pare-feu de prochaine génération vont au-delà des pare-feu dynamiques en fournissant :

• Les mêmes fonctions qu'un pare-feu standard telles que l'inspection « stateful »
• La prévention des intrusions intégrée
• La reconnaissance et le contrôle des applications pour détecter et bloquer celles qui présentent
un risque
• Des voies d'évolution afin d'inclure les futurs flux d'informations

Réalisation : Omar OUGHZAL Page 33 sur 72


CCNA Sécurité ISTA KHENIFRA

• Des techniques pour faire face à l'évolution des menaces pour la sécurité

Contrôle d'accès basé sur le contexte (CBAC)


Le pare-feu classique de Cisco IOS, anciennement connu sous le nom de contrôle d'accès basé sur le
contexte (CBAC), est une fonctionnalité de pare-feu avec état ajoutée à Cisco IOS avant la version
12.0. Le pare-feu classique offre quatre fonctions principales : filtrage du trafic, inspection du trafic,
détection d'intrusion et génération d'audits et d'alertes.

Opération de pare-feu classique


1. Lorsque le trafic est généré pour la première fois et passe par le routeur. Si la liste de contrôle
d'accès autorise la connexion, les règles d'inspection du pare-feu classique sont examinées.
2. Selon les règles d'inspection de pare-feu classique, le logiciel Cisco IOS peut inspecter la
connexion. Si le trafic n'est pas inspecté, le paquet est autorisé à passer et aucune autre
information n'est collectée. Sinon, la connexion passe à l'étape suivante.
3. Les informations de connexion sont comparées aux entrées de la table d'état. Si la connexion
n'existe pas actuellement, l'entrée est ajoutée. S'il existe, le minuteur d'inactivité de la
connexion est réinitialisé.
4. Si une nouvelle entrée est ajoutée, une entrée ACL dynamique est ajoutée pour autoriser le
trafic de retour faisant partie de la même connexion SSH. Cette ouverture temporaire n'est
active que tant que la session est ouverte. Ces entrées ACL dynamiques ne sont pas
enregistrées dans la NVRAM.
5. Une fois la session terminée, les informations dynamiques de la table d'état et l'entrée de la
liste de contrôle d'accès dynamique sont supprimées.

Configuration du pare-feu classique


• Étape 1 : Choisissez les interfaces internes et externes.
• Étape 2 : Configurez les ACL pour chaque interface
• Étape 3 : Définir les règles d'inspection
• Étape 4 : Appliquer une règle d'inspection à une interface

R1(config)#ip inspect name INSPECTOUT tcp


R1(config)#ip inspect name INSPECTOUT udp
R1(config)#ip inspect name INSPECTOUT icmp
R1(config)#interface f0/1
R1(config-if)#ip inspect INSPECTOUT out

Zones démilitarisées
Une zone démilitarisée (DMZ) est une conception de pare-feu comportant généralement une interface
interne connectée au réseau privé, une interface externe connectée au réseau public et une interface
DMZ :

• Le trafic provenant du réseau privé est inspecté lorsqu’il se dirige vers le réseau public ou le
réseau DMZ. Ce trafic est autorisé avec peu ou pas de restriction. Le trafic inspecté qui revient
du réseau DMZ ou public vers le réseau privé est autorisé.
• Le trafic en provenance du réseau DMZ et se dirigeant vers le réseau privé est généralement
bloqué.

Réalisation : Omar OUGHZAL Page 34 sur 72


CCNA Sécurité ISTA KHENIFRA

• Le trafic en provenance du réseau DMZ et se dirigeant vers le réseau public est autorisé de
manière sélective en fonction des exigences de service.
• Le trafic en provenance du réseau public et se dirigeant vers la zone démilitarisée est autorisé
et inspecté de manière sélective.
• Le trafic en provenance du réseau public et se dirigeant vers le réseau privé est bloqué.

Pare-feu de stratégie basé sur des zones (Zone-based Policy Firewall)


Les ZPF utilisent le concept de zones pour offrir une flexibilité supplémentaire. Une zone est un
groupe d'une ou plusieurs interfaces ayant des fonctions ou des fonctionnalités similaires. Par défaut,
le trafic entre les interfaces d'une même zone n'est soumis à aucune politique et passe librement.
Cependant, tout le trafic de zone à zone est bloqué. Pour autoriser le trafic entre les zones, une
stratégie autorisant ou inspectant le trafic doit être configurée.

Configuration ZPF
• Étape 1 : Créez les zones
• Étape 2 : Identifiez le trafic avec une class-map
• Étape 3 : Définissez une action avec une policy-map
• Étape 4 : Identifiez une paire de zones et associez-la à une policy-map
• Étape 5 : Attribuez des zones aux interfaces appropriées.

R1(config)#!Etape 1 : creer les zones


R1(config)#zone security Private
R1(config-sec-zone)#exit
R1(config)#zone security Public
R1(config-sec-zone)#exit
R1(config)#zone security DMZ
R1(config-sec-zone)#exit
R1(config)#!Etape 2 : Identifiez le trafic avec une class-map
R1(config)#class-map type inspect match-any Nom-Classe
R1(config-cmap)#match access-group 30
R1(config-cmap)#match protocol tcp
R1(config-cmap)#match protocol icmp
R1(config-cmap)#match protocol doma
R1(config-cmap)#match protocol ssh
R1(config-cmap)#match class-map NomClass
R1(config-cmap)#exit
R1(config)#!Etape 3 : Definissez une action avec une policy-map
R1(config)#policy-map type inspect Nom-policy
R1(config-pmap)#class type inspect Nom-Classe
R1(config-pmap-c)#inspect
R1(config-pmap-c)#exit
R1(config)#!Etape 4 : Identifiez une paire de zones et associez-la à une policy-map
R1(config)#zone-pair security Private-Public source Private destination Public
R1(config-sec-zone-pair)#service-policy type inspect Nom-policy
R1(config-sec-zone-pair)#exit
R1(config)#!Etape 5 : Attribuez des zones aux interfaces appropriees
R1(config)#interface g0/0
R1(config-if)#zone-member security Private

Réalisation : Omar OUGHZAL Page 35 sur 72


CCNA Sécurité ISTA KHENIFRA

R1(config-if)#exit
R1(config)#interface g0/1
R1(config-if)#zone-member security Public
R1(config-if)#exit
R1(config)#interface g0/2
R1(config-if)#zone-member security DMZ

Vérifier la configuration ZPF


R1#show run | begin class-map
R1#show policy-map type inspect zone-pair sessions
R1#show class-map type inspect
R1#show zone security
R1#show policy-map type inspect

Considérations sur la configuration ZPF


• Aucun filtrage n'est appliqué pour le trafic intra-zone.
• Une seule zone est autorisée par interface.
• Aucune configuration de pare-feu de pare-feu classique et de stratégie basée sur la zone sur la
même interface.
• Si un seul membre de zone est attribué, tout le trafic est supprimé.
• Seul le trafic explicitement autorisé est transféré entre les zones.
• Le trafic vers la zone auto n'est pas filtré.

Réalisation : Omar OUGHZAL Page 36 sur 72


CCNA Sécurité ISTA KHENIFRA

Chapitre 05 : Implémentation de la prévention des intrusions


CCNA Security

Caractéristiques d’IPS et IDS

Attaques de Zero-Day
Une attaque Zero-Day, parfois appelée menace Zero-Day, est une attaque informatique qui tente
d'exploiter des vulnérabilités logicielles inconnues ou non divulguées par l'éditeur du logiciel.

Dispositifs de prévention et de détection des intrusions


Un changement de paradigme de l'architecture réseau est nécessaire pour se défendre contre les
attaques qui évoluent rapidement. Il doit inclure des systèmes de détection et de prévention rentables,
tels que les systèmes de détection d'intrusion (IDS) ou les systèmes de prévention d'intrusion (IPS.

Les technologies IDS et IPS partagent plusieurs caractéristiques :

• Les deux solutions sont déployées comme des capteurs.


• Les deux solutions utilisent des signatures pour détecter les modèles d'utilisation abusive dans
le trafic réseau.
• Les deux peuvent détecter des comportements atomiques (un paquet) ou composites (plusieurs
paquets).

Avantages et inconvénients d'IDS et IPS


Avantages d’IDS :
• Aucune incidence Sur le réseau (latence, gigue)
• Aucune incidence Sur le réseau en cas de panne du capteur
• Aucune incidence Sur le réseau en cas de surcharge du capteur

Inconvénients d'IDS :
• Les mesures d'intervention n'arrêtent pas les paquets déclencheurs
• Le bon réglage est requis pour les mesures d'intervention
• Plus vulnérable aux techniques de contournement des défenses du réseau

Avantages d’IPS :
• Arrête les paquets déclencheurs
• Peut utiliser des techniques de normalisation des flux

Inconvénients d'IDS :
• Les problèmes de capteur peuvent avoir une incidence Sur le trafic réseau
• La surcharge du capteur affecte le réseau
• Une certaine incidence Sur le réseau (latence, gigue)

Types d'IPS
Il existe deux types principaux de systèmes de prévention des intrusions :
• L'IPS d'hôte (HIPS) : est un logiciel installé sur un seul hôte pour surveiller et analyser toute
activité suspecte. L'un des avantages significatifs des HIPS est qu'ils peuvent surveiller et

Réalisation : Omar OUGHZAL Page 37 sur 72


CCNA Sécurité ISTA KHENIFRA

protéger les processus du système d'exploitation et les processus système critiques qui sont
propres à l'hôte concerné.
• Un IPS en réseau : peut-être implémenté en utilisant un dispositif IPS dédié ou non. Les
implémentations d'IPS en réseau sont un élément essentiel de la prévention des intrusions.

Modes de déploiement
• Mode promiscue (promiscuous mode) : les paquets ne traversent pas le capteur. Il analyse
une copie du trafic surveillé, pas le paquet effectivement transféré.
• Mode en ligne (inline mode) : place l'IPS directement dans le flux de trafic et ralentit les taux
de transfert de paquets en ajoutant du temps de latence. Le mode en ligne permet au capteur
d'arrêter les attaques en arrêtant le trafic malveillant avant qu'il n'atteigne la cible visée.

Mise en miroir des ports


La mise en miroir du port est une fonctionnalité qui permet à un commutateur de dupliquer des copies
du trafic qui le traverse, puis d'envoyer les données depuis un port équipé d'un système de surveillance
du réseau. Le trafic d'origine est transmis de la manière habituelle.

S1(config)#! Configurer SPAN (Switched Port Analyzer) sur le Switch


S1(config)#monitor session 1 source interface f0/4
S1(config)#monitor session 1 source interface f0/3
S1(config)#monitor session 1 destination interface f0/1
S1(config)#monitor session 2 destination interface f0/5
S1(config)#monitor session 2 source interface f0/6
S1(config)#monitor session 2 source interface f0/7
NB : Remote SPAN (RSPAN) peut être utilisé lorsque l'analyseur de paquets ou l'IDS est sur un
commutateur différent de celui du trafic surveillé. RSPAN étend SPAN en permettant la surveillance à
distance de plusieurs commutateurs sur le réseau. Le trafic de chaque session RSPAN est acheminé sur
un VLAN RSPAN spécifié par l'utilisateur et dédié (pour cette session RSPAN) dans tous les
commutateurs participants.

Attributs de signature
Le réseau doit pouvoir identifier le trafic malveillant entrant afin de l'arrêter. Heureusement, le trafic
malveillant affiche des caractéristiques distinctes ou ‘’signatures’’.

Une signature est un ensemble de règles qu'un IDS et un IPS utilisent pour détecter une activité
d'intrusion typique, telle qu'une attaque par déni de service. Ces signatures identifient de manière
unique des vers, des virus, des anomalies de protocole ou du trafic malveillant spécifiques.

Les signatures ont trois attributs distinctifs :

• Type
• Déclencheur (alarme)
• Action

Types de signature
• Signature atomique : est le type de signature le plus simple. Il consiste en un seul paquet,
une seule activité ou un seul événement examiné pour déterminer s'il correspond à une
signature configurée. Si tel est le cas, une alarme est déclenchée et une action de signature est
effectuée.

Réalisation : Omar OUGHZAL Page 38 sur 72


CCNA Sécurité ISTA KHENIFRA

• Signature composite : est également appelée signature avec état. Ce type de signature
identifie une séquence d'opérations réparties sur plusieurs hôtes sur une période de temps
arbitraire. Contrairement aux signatures atomiques, les propriétés avec état des signatures
composites nécessitent généralement plusieurs données pour correspondre à une signature
d'attaque

Fichier de signature
Le fichier de signature contient un paquet de signatures réseau. Il s’agit d’une mise à jour de la base
de données de signatures résidant dans un produit Cisco doté de fonctions IPS ou IDS. Cette base de
données de signatures est utilisée par les solutions IPS ou IDS pour comparer le trafic réseau aux
modèles de données de la bibliothèque de fichiers de signatures.

Micromoteurs Signature (SME : Signature Micro-Engines)


Pour rendre l'analyse des signatures plus efficace, le logiciel Cisco IOS s'appuie sur des micromoteurs
de signature (SME), qui classent les signatures communes en groupes. Le logiciel Cisco IOS peut
alors rechercher plusieurs signatures en fonction des caractéristiques du groupe, au lieu d'une à la fois.

Les SME disponibles varient en fonction de la plate-forme, de la version de Cisco IOS et de la version
du fichier de signature. Cisco IOS définit cinq micromoteurs :

• Atomic : Signatures qui examinent des paquets simples, tels que ICMP et UDP
• Service : Signatures qui examinent les nombreux services attaqués
• String : Signatures utilisant des modèles basés sur des expressions régulières pour détecter
les intrusions
• Multi-chaînes : Prend en charge la correspondance de modèles flexible et les signatures de
laboratoires de tendances
• Autre : Moteur interne qui gère les signatures diverses

Alarme Signature
Le cœur de toute signature IPS est l’alarme de signature, souvent appelée déclencheur de signature.
Considérons un système de sécurité à domicile. Le mécanisme de déclenchement d’une alarme
antivol peut être un détecteur de mouvement qui détecte le mouvement d’un individu entrant dans une
pièce protégée par une alarme.

Le déclencheur de signature pour un capteur IPS peut être tout ce qui peut signaler de manière fiable
une intrusion ou une violation des règles de sécurité. Un système IPS basé sur le réseau peut
déclencher une action de signature s'il détecte un paquet avec une charge utile contenant une chaîne
spécifique allant à un port spécifique. Un système IPS basé sur l'hôte peut déclencher une action de
signature lorsqu'un appel de fonction spécifique est appelé. Tout ce qui peut signaler de manière
fiable une intrusion ou une violation des règles de sécurité peut être utilisé comme mécanisme de
déclenchement.

Les capteurs Cisco IDS et IPS peuvent utiliser quatre types de déclencheurs de signature :

• Détection à base de modèle (Pattern-based) : également appelée détection basée sur une
signature, est le mécanisme de déclenchement le plus simple. Il recherche un motif spécifique
et prédéfini. Un capteur IDS ou IPS basé sur une signature compare le trafic réseau à une base
d'attaques connues et déclenche une alarme ou empêche la communication si une
correspondance est trouvée.

Réalisation : Omar OUGHZAL Page 39 sur 72


CCNA Sécurité ISTA KHENIFRA

• Détection à base de l’anomalie (Anomaly-based) : également connue sous le nom de


détection basée sur les profils, implique d’abord de définir un profil de ce qui est considéré
comme normal pour le réseau ou l’hôte. Ce profil normal peut être appris en surveillant
l'activité sur le réseau ou des applications spécifiques sur l'hôte sur une période donnée. Il
peut également être basé sur une spécification définie, telle qu'une RFC. Après avoir défini
l'activité normale, la signature déclenche une action si une activité excessive se produit au-
delà d'un seuil spécifié qui n'est pas inclus dans le profil normal.
• Détection à base de stratégie (Policy-based) : également appelée détection basée sur le
comportement, est similaire à la détection basée sur un modèle. Cependant, au lieu d'essayer
de définir des modèles spécifiques, l'administrateur définit des comportements suspects en
fonction de l'analyse historique.
• Détection à base de pot de miel (Honey pot-based) : utilise un serveur factice pour attirer
les attaques. L’approche Honey Pot vise à détourner les attaques des véritables périphériques
réseau. En organisant différents types de vulnérabilités sur le serveur Honey Pot, les
administrateurs peuvent analyser les types d'attaques entrants et les schémas de trafic
malveillants. Ils peuvent ensuite utiliser cette analyse pour ajuster les signatures de leurs
capteurs afin de détecter de nouveaux types de trafic réseau malveillant. Les systèmes de pots
à miel sont rarement utilisés dans les environnements de production.

Mécanismes de déclenchement d'alarme


Les mécanismes de déclenchement peuvent générer quatre types des alarmes :

• Vrai positif : décrit une situation dans laquelle un système d'intrusion génère une alarme en
réponse à un trafic d'attaque connu.
• Faux positif : se produit lorsqu'un système d'intrusion génère une alarme après le traitement
du trafic utilisateur normal qui n'aurait pas dû déclencher une alarme.
• Vrai négatif : décrit une situation dans laquelle le trafic réseau normal ne génère pas
d'alarme.
• Faux négatif : survient lorsqu'un système d'intrusion ne génère pas d'alarme après le
traitement du trafic d'attaque que le système d'intrusion est configuré pour détecter.

Actions de signature
Lorsqu'une signature détecte l'activité pour laquelle elle est configurée, la signature déclenche une ou
plusieurs actions. Plusieurs catégories d'actions peuvent être invoquées :

• Deny attacker inline : termine les paquets en provenance de l'adresse IP de l'attaquant pour
une période spécifiée.
• Deny connection inline : termine le paquet actuel et les futurs paquets appartenant à ce flux
TCP.
• Deny packet inline : Termine le paquet qui a déclenché l’alerte.
• Log attacker packets : démarre la journalisation des paquets qui contiennent l'adresse IP de
l'attaquant.
• Log pair packets : démarre la journalisation des paquets qui contiennent à la fois l’adresse IP
de l’attaquant et l’adresse IP de la victime.
• Log victim packets : démarre la journalisation sur les paquets qui contiennent l'adresse IP de
la victime.
• Produce alert : démarre la journalisation des événements en tant qu'alerte.

Réalisation : Omar OUGHZAL Page 40 sur 72


CCNA Sécurité ISTA KHENIFRA

• Produce verbose Alert : démarre la journalisation des événements en tant qu'alerte,


toutefois, il comprend également une copie des paquets qui ont déclenché l'alerte.

Certains capteurs peuvent s’appuyer sur un autre élément réseau pour bloquer le trafic de l'attaquant à
un moment donné dans le réseau. Ce périphérique est appelé un « périphérique de blocage » et
pourrait être un routeur IOS à l'aide des ACL, un commutateur à l’aide VACL, etc.

• Request block connection : Cette action provoque l’envoie une requête à « un périphérique
bloquant » pour bloquer cette connexion.
• Request block host : envoie une requête à un « périphérique bloquant » pour bloquer l’hôte
de l'attaquant.
• Request SNMP trap : envoie une notification SNMP et une alerte au journal d'événements.

Considérations de surveillance
Les quatre facteurs à prendre en compte lors de la mise en œuvre d'une stratégie de surveillance :

• Méthode de gestion : Les capteurs IPS peuvent être gérés individuellement ou de manière
centralisée.
• Corrélation d'événements : fait référence au processus de corrélation d'attaques et d'autres
événements se produisant simultanément à différents points d'un réseau.
• Personnel de sécurité : Les périphériques IPS ont tendance à générer de nombreuses alertes
et autres événements lors du traitement du trafic réseau. Les grandes entreprises ont besoin
d'un personnel de sécurité approprié pour analyser cette activité et déterminer dans quelle
mesure l'IPS protège le réseau.
• Plan de Gestion des incidents : Si un système est compromis sur un réseau, un plan de
réponse doit être en place. Le système compromis devrait être rétabli dans l'état où il se
trouvait avant l'attaque. Il faut déterminer si le système compromis a entraîné une perte de
propriété intellectuelle ou la compromission d'autres systèmes sur le réseau.

Secure Device Event Exchange


Lorsqu'une signature d'attaque est détectée, la fonction IPS de Cisco IOS peut envoyer un message
syslog ou une alarme au format SDEE (Secure Device Event Exchange).

Le protocole SDEE a été développé pour améliorer la communication des événements générés par les
dispositifs de sécurité. Il communique principalement les événements IDS, mais le protocole se veut
extensible et permet d'inclure des types d'événements supplémentaires.

Exemple de message SDEE :

%IPS-4-SIGNATURE:Sig:1107 Subsig:0 Sev:2 RFC1918 address [192.168.121.1:137 -


>192.168.121.255:137]

Cisco Global Correlation


En plus de la maintenance des packs de signatures, Cisco IPS inclut une fonctionnalité de sécurité
appelée Cisco Global Correlation. Grâce à la corrélation globale, les périphériques Cisco IPS
reçoivent des mises à jour régulières des menaces à partir d'une base de données centralisée des
menaces de Cisco, appelée Cisco SensorBase Network. Le réseau Cisco SensorBase contient des
informations détaillées en temps réel sur les menaces connues sur Internet. Les objectifs de la
corrélation globale Cisco sont les suivants :

Réalisation : Omar OUGHZAL Page 41 sur 72


CCNA Sécurité ISTA KHENIFRA

• Traiter intelligemment les alertes pour améliorer l'efficacité


• Améliorer la protection contre les sites malveillants connus
• Partage des données de télémétrie avec le réseau SensorBase pour améliorer la visibilité des
alertes et des actions du capteur à l'échelle mondiale
• Simplifier les paramètres de configuration
• Traitement automatique des téléchargements d'informations de sécurité

NB : La corrélation globale Cisco est disponible pour les appliances Cisco IPS 4300 et 4500, ainsi
que pour les modules Cisco ASA 5500-X et ISR G2 IPS.

Configuration IOS IPS

Implémenter IOS IPS


Plusieurs étapes sont nécessaires pour utiliser la CLI de Cisco IOS afin de travailler avec les
signatures au format IOS IPS 5.x. La version 12.4 (10) ou antérieure de Cisco IOS utilisait des
signatures au format IPS 4.x et certaines commandes IPS ont été modifiées.

• Étape 1 : Téléchargez les fichiers IOS IPS.


▪ IOS-Sxxx-CLI.pkg : Le dernier package de signature.
▪ realm-cisco.pub.key.txt : Clé de chiffrement publique utilisée par IOS IPS.
• Étape 2 : Créez un répertoire de configuration IOS IPS dans Flash.

R1#cd flash:
R1#mkdir IPSDIR
• Étape 3 : Configurez une clé de cryptage IOS IPS.

Copiez le contenu du fichier realm-cisco.pub.key.txt puis collez-le dans le mode configuration


globale :
R1(config)#crypto key pubkey-chain rsa
R1(config-pubkey-chain)#named-key realm-cisco.pub signature
R1(config-pubkey-key)#key-string
Enter a public key as a hexidecimal number ....
R1(config-pubkey)#$64886 F70D0101 01050003 82010F00 3082010A 02820101
R1(config-pubkey)#$C7A24 5097A975 206BE3A2 06FBA13F 6F12CB5B 4E441F16
R1(config-pubkey)#$BE27F 37FDD9C8 11FC7AF7 DCDD81D9 43CDABC3 6007D128
R1(config-pubkey)#$FADC1 359C189E F30AF10A C0EFB624 7E0764BF 3E53053E
R1(config-pubkey)#$8AF03 DED7A5B8 9479039D 20F30663 9AC64B93 C0112A35
R1(config-pubkey)#$AE74C FA9E481D F65875D6 85EAF974 6D9CC8E3 F0B08B85
R1(config-pubkey)#$189FF CC189CB9 69C46F9C A84DFBA5 7A0AF99E AD768C36
R1(config-pubkey)#$3FB1F 9FB7B3CB 5539E1D1 9693CCBB 551F78D2 892356AE
R1(config-pubkey)#$A4F4D 87BFCA3B BFF668E9 689782A5 CF31CB6E B4B094D3
R1(config-pubkey)#F3020301 0001
R1(config-pubkey)#quit
R1(config-pubkey-key)#exit
R1(config-pubkey-chain)#exit
• Étape 4 : Activez IOS IPS.

Réalisation : Omar OUGHZAL Page 42 sur 72


CCNA Sécurité ISTA KHENIFRA

R1(config)# ! Identifiez le nom de la règle IPS et spécifiez l'emplacement


R1(config)#ip ips name IOS_IPS
R1(config)#ip ips config location flash:/IPSDIR
R1(config)#! Activer la notification d'événement SDEE et de journalisation
R1(config)#ip http server
R1(config)#ip ips notify SDEE
R1(config)#ip ips notify log
R1(config)#! Configurer les catégories des signatures
R1(config)#ip ips signature-category
R1(config-ips-category)#category all
R1(config-ips-category-action)#retired true
R1(config-ips-category-action)#exit
R1(config-ips-category)#category ios_ips basic
R1(config-ips-category-action)#retired false
R1(config-ips-category-action)#exit
R1(config-ips-category)#exit
R1(config)#! Appliquez la règle IPS à l’interface souhaitée et spécifiez la direction
R1(config)#interface G0/0
R1(config-if)#ip ips IOS_IPS in
R1(config-if)#ip ips IOS_IPS out
• Étape 5 : Chargez le package de signature IOS IPS sur le routeur.

R1#cd IPSDIR
R1# copy tftp://172.16.0.188/IOS-S1027-CLI.pkg idconf
NB : le paramètre idconf permet de vérifier que le package de signature est correctement compilé

Modification des signatures IPS Cisco IOS


Cisco IOS peut être utilisée pour retirer ou supprimer le retrait de signatures individuelles ou d'un
groupe de signatures appartenant à une catégorie de signatures. Lorsqu'un groupe de signatures est
retiré ou non sélectionné, toutes les signatures de cette catégorie sont retirées ou non supprimées.

R2(config)#ip ips signature-definition


R2(config-sigdef)#signature 6130 10
R2(config-sigdef-sig)#status
R2(config-sigdef-sig-status)#retired true
R2(config-sigdef-sig-status)#exit
R2(config-sigdef-sig)#exit
R2(config-sigdef)#exit

Modifier les actions de signature


Vous pouvez également utiliser l'IOS CLI pour modifier les actions de signature pour une signature
ou un groupe de signatures en fonction de catégories de signatures. Pour modifier une action, la
commande event-action doit être utilisée en mode Action de la catégorie IPS ou en mode engine de
définition de signature.

R2(config)#ip ips signature-category


R2(config-ips-category)#category ios_ips basic
R2(config-ips-category-action)#! Génère un message d'alarme

Réalisation : Omar OUGHZAL Page 43 sur 72


CCNA Sécurité ISTA KHENIFRA

R2(config-ips-category-action)#event-action produce-alert
R2(config-ips-category-action)#! Créez une ACL qui refuse tout le trafic de l'adresse IP
considérée comme la source de l'attaque par le système IPS de Cisco
R2(config-ips-category-action)#event-action Deny-Attacker-Inline
R2(config-ips-category-action)#! Supprimer le paquet et tous les futurs paquets de ce flux TCP.
R2(config-ips-category-action)#event-action Deny-Connection-Inline
R2(config-ips-category-action)#! Ne pas transmettre le paquet (en ligne uniquement).
R2(config-ips-category-action)#event-action Deny-Packet-Inline
R2(config-ips-category-action)#! Envoi des réinitialisations TCP pour mettre fin au flux TCP
R2(config-ips-category-action)#event-action Reset-TCP-Connection

Vérifier IOS IPS


Une fois l'IPS implémenté, il est nécessaire de vérifier la configuration pour garantir un
fonctionnement correct. Plusieurs commandes show peuvent être utilisées pour vérifier la
configuration d'IOS IPS :

• show ip ips all: affiche toutes les données de configuration IPS. La sortie peut être longue en
fonction de la configuration IPS.
• show ip ips configuration: affiche des données de configuration supplémentaires qui ne sont
pas affichées avec la commande show running-config.
• show ip ips interfaces: affiche les données de configuration de l'interface. La sortie affiche
les règles entrantes et sortantes appliquées à des interfaces spécifiques.
• show ip ips signatures : vérifie la configuration de la signature. La commande peut
également être utilisée avec le mot clé detail pour fournir une sortie plus explicite.
• show ip ips statistics: affiche le nombre de paquets audités et le nombre d'alarmes envoyées.
Le mot clé facultatif reset réinitialise la sortie pour refléter les dernières statistiques.

NB : Utilisez la commande clear ip ips configuration pour désactiver IPS, supprimer toutes les
entrées de configuration IPS et libérer les ressources dynamiques. La commande clear ip ips
statistics réinitialise les statistiques sur les paquets analysés et les alarmes envoyées.

Journaliser les alertes IPS


Pour spécifier la méthode de notification des événements, utilisez la commande ip ips notify. Le mot
clé log envoie des messages au format syslog. Le mot-clé sdee envoie des messages au format
SDEE.

R2(config)#logging 172.16.0.100
R2(config)#logging on
R2(config)#ip ips notify log
R2(config)#ip http secure-server
R2(config)#ip ips notify SDEE
R2(config)#ip sdee events 500

Réalisation : Omar OUGHZAL Page 44 sur 72


CCNA Sécurité ISTA KHENIFRA

Chapitre 06 : Sécuriser le réseau local


CCNA Security

Sécurisation des périphériques terminaux

Présentation de la sécurité des périphériques terminaux


Avant de sécuriser l’infrastructure réseau, l’objectif initial doit être la sécurité du point final. Les hôtes
doivent être protégés contre les virus, les chevaux de Troie, les vers et autres menaces de sécurité. La
stratégie de Cisco en matière de sécurité des points de terminaison repose sur :

• Advanced Malware Protection (AMP) : technologie permettant de protéger les terminaux et


les réseaux plus efficacement que la protection traditionnelle contre les programmes
malveillants basée sur l'hôte. La solution AMP peut permettre la détection et le blocage des
programmes malveillants, l'analyse continue et l'alerte rétrospective avec :
▪ Réputation de fichier : Analysez les fichiers en ligne et bloquez ou appliquez des
stratégies
▪ Sandboxing de fichier : Analysez les fichiers inconnus pour comprendre le
comportement réel des fichiers
▪ Retrospection de fichiers : Poursuivre l'analyse des fichiers en fonction de
l'évolution des niveaux de menace.
• Cisco Network Admission Control (NAC):
• Cisco Email Security Appliance (ESA):

Les attaques de la couche 2

Catégories d'attaque des commutateurs


La sécurité n’est aussi forte que le maillon le plus faible du système et la couche 2 est considérée
comme ce maillon le plus faible. Aujourd'hui, avec le BYOD et des attaques plus sophistiquées, nos
réseaux locaux sont devenus plus vulnérables à la pénétration.

Les attaques contre l’infrastructure LAN de couche 2 sont :

• Attaques de table CAM (Content Addressable Memory) : Inclut les attaques par
débordement de table CAM (également appelée inondation d’adresses MAC).
• Attaques VLAN : Inclut les attaques par saut de VLAN et les attaques par double marquage
VLAN. Il inclut également des attaques entre des périphériques d’un même VLAN.
• Attaques DHCP : Inclut les attaques de famine (Starvation) et d'usurpation de DHCP.
• Attaques ARP : Inclut les attaques par usurpation d’ARP et d’empoisonnement par ARP.
• Attaques d’usurpation d’adresses : Inclut des attaques par adresse MAC et usurpation
d'adresse IP.
• Attaques STP : Inclut les attaques de manipulation du protocole Spanning Tree.

Les solutions Cisco permettant d'atténuer les attaques de couche 2 :

Réalisation : Omar OUGHZAL Page 45 sur 72


CCNA Sécurité ISTA KHENIFRA

• Port Security : La sécurité des ports empêche de nombreux types d'attaques, notamment les
attaques de débordement de table CAM et les attaques de privation de DHCP.
• DHCP Snooping: La surveillance DHCP empêche la famine (starvation) DHCP et les
attaques d'usurpation DHCP.
• Dynamic ARP inspection (DAI) : L'inspection dynamique ARP empêche l'usurpation ARP et
les attaques par empoisonnement ARP.
• IP Source Guard (IPSG) : IP Source Guard empêche les attaques d'usurpation d'adresse
MAC et IP.

Attaque de la table CAM


Toutes les tables CAM ont une taille fixe et, par conséquent, un commutateur peut manquer de
ressources pour stocker des adresses MAC. Les attaques de débordement de table CAM (également
appelées attaques de débordement d'adresses MAC) tirent parti de cette limitation en bombardant le
commutateur avec de fausses adresses MAC source jusqu'à ce que la table d'adresses MAC du
commutateur soit pleine.

Si un nombre suffisant d'entrées est entré dans la table CAM avant l'expiration des entrées plus
anciennes, la table est remplie au point qu'aucune nouvelle entrée ne peut être acceptée. Lorsque cela
se produit, le commutateur considère le cadre comme une monodiffusion inconnue et commence à
saturer tout le trafic entrant vers tous les ports sans faire référence à la table CAM. Le commutateur,
par essence, agit comme un hub. En conséquence, l’attaquant peut capturer toutes les images envoyées
d’un hôte à un autre.

Contre-mesure pour les attaques de table CAM


La méthode la plus simple et la plus efficace pour prévenir les attaques par débordement de table
CAM consiste à activer la sécurité des ports. La sécurité des ports permet à un administrateur de
spécifier de manière statique les adresses MAC d'un port ou de permettre au commutateur d'apprendre
dynamiquement un nombre limité d'adresses MAC. En limitant à un le nombre d'adresses MAC
autorisées sur un port, la sécurité du port peut être utilisée pour contrôler l'expansion non autorisée du
réseau.

La sécurité des ports


Pour activer la sécurité des ports, utilisez la commande switchport port-security sur un port d'accès.

SW1(config)#interface GigabitEthernet 1/1


SW1(config-if)#switchport port-security
Command rejected: GigabitEthernet1/1 is a dynamic port.
SW1(config-if)#switchport mode access
SW1(config-if)#switchport port-security

Activation des options de sécurité du port


SW1(config-if)#! Configurer le nombre maximum d’adresses MAC
SW1(config-if)#switchport port-security maximum 3
SW1(config-if)#! Entrer manuellement les adresses MAC
SW1(config-if)#switchport port-security mac-address AAAA.1111.1111
SW1(config-if)#! Activer l’apprentissage des adresses connectés (Ajoute dynamiquement)

Réalisation : Omar OUGHZAL Page 46 sur 72


CCNA Sécurité ISTA KHENIFRA

SW1(config-if)#switchport port-security mac-address sticky


SW1#show port-security address

Violations de la sécurité des ports


Si une adresse MAC d'un périphérique connecté au port diffère de la liste des adresses sécurisées, une
violation de port se produit et le port passe à l'état d'erreur désactivée. Une violation de sécurité est
créée lorsqu'une station dont l'adresse MAC ne figure pas dans la table d'adresses tente d'accéder à
l'interface lorsque la table est pleine.

Le comportement d'un commutateur dépend de la violation configurée. Il existe trois modes de


violation de la sécurité :

• Protect: C'est le moins sûr des modes de violation de sécurité. Lorsque le nombre d'adresses
MAC sécurisées atteint la limite autorisée sur le port, les paquets dont l'adresse source est
inconnue sont supprimés jusqu'à ce qu'un nombre suffisant d'adresses MAC sécurisées soient
supprimés ou que le nombre d'adresses maximum autorisées soit augmenté. Il n'y a aucune
notification qu'une violation de sécurité s'est produite.
• Restrict: Lorsque le nombre d'adresses MAC sécurisées atteint la limite autorisée sur le port,
les paquets dont l'adresse source est inconnue sont supprimés jusqu'à ce qu'un nombre
suffisant d'adresses MAC sécurisées soient supprimés ou que le nombre d'adresses maximum
autorisées soit augmenté. Dans ce mode, une notification indique qu'une violation de sécurité
s'est produite.
• Shutdown (Par défaut): une violation de sécurité du port provoque la désactivation
immédiate de l'interface et désactive le voyant du port. Il incrémente le compteur de
violations. Lorsqu'un port sécurisé est à l'état d'erreur désactivée, il peut être sorti de cet état
en entrant les commandes de mode de configuration d'arrêt et d'absence de l'interface. Plus
important encore, le port doit être réactivé manuellement par un administrateur.

SW1(config-if)#switchport port-security violation protect


SW1(config-if)#switchport port-security violation restrict
SW1(config-if)#switchport port-security violation shutdown

Pour réactiver un port désactivant en cas d'erreur, réactivez manuellement le port désactivé en entrant
les commandes de configuration d'interface shutdown et no shutdown.

Sinon, le commutateur peut être configuré pour réactiver automatiquement un port à erreur
désactivée :

SW1(config)#errdisable recovery cause psecure-violation


SW1(config)#errdisable recovery interval 120

Vieillissement (Aging) de la sécurité de port


Le vieillissement de la sécurité des ports peut être utilisé pour définir la durée de vieillissement des
adresses sécurisées statiques et dynamiques sur un port. Deux types de vieillissement sont pris en
charge par port :

• Absolut : Les adresses sécurisées sur le port sont supprimées après le délai d'expiration
spécifié.

Réalisation : Omar OUGHZAL Page 47 sur 72


CCNA Sécurité ISTA KHENIFRA

• Inactivité : Les adresses sécurisées sur le port ne sont supprimées que si elles sont inactives
pendant la période de vieillissement spécifiée.

SW1(config-if)#switchport port-security aging time 20


SW1(config-if)#switchport port-security aging type absolute
SW1(config-if)#switchport port-security aging type inactivity

Les attaques par saut de VLAN


Une attaque par saut de VLAN permet au trafic d'un autre VLAN de voir le trafic d'un autre VLAN
sans l'aide d'un routeur. Dans une attaque par saut de réseau local (VLAN) de base, l'attaquant tire
parti de la fonctionnalité de port de partage automatique activée par défaut sur la plupart des ports de
commutateur. L'attaquant du réseau configure un hôte pour usurper l'identité d'un commutateur afin
qu'il utilise la signalisation 802.1Q et la signalisation DTP (Dynamic Trunking Protocol) propre à
Cisco sur la jonction avec le commutateur de connexion. En cas de succès et si le commutateur établit
un lien de jonction avec l'hôte, l'attaquant peut accéder à tous les réseaux locaux virtuels du
commutateur et passer (autrement dit, envoyer et recevoir) du trafic sur tous les VLAN.

Une attaque par saut de VLAN peut être lancée de deux manières :

• Usurper les messages DTP de l'hôte attaquant pour que le commutateur passe en mode de
partage des ressources. À partir de là, l'attaquant peut envoyer du trafic étiqueté avec le VLAN
cible et le commutateur envoie ensuite les paquets à la destination.
• Introduire un commutateur non autorisé et activation de la jonction. L’attaquant peut alors
accéder à tous les VLAN du commutateur victime à partir du commutateur non autorisé.

Attaque double-étiquetage de VLAN

Ce type d’attaque est unidirectionnel et ne fonctionne que lorsque l’attaquant est connecté à un port
résidant sur le même réseau local virtuel que le VLAN natif du port principal. L'idée est que le double
marquage permet à l'attaquant d'envoyer des données à des hôtes ou à des serveurs d'un VLAN qui
seraient sinon bloqués par un type de configuration de contrôle d'accès. Vraisemblablement, le trafic
de retour sera également autorisé, donnant ainsi à l'attaquant la possibilité de communiquer avec des
périphériques situés sur le VLAN normalement bloqué.

Atténuation des attaques par sauts de VLAN


Le meilleur moyen de prévenir les attaques de base de sauts VLAN :

SW1(config)#interface range F0/0 -20


SW1(config-if)#! Désactiver les négociations DTP (auto trunking) sur les ports non trunking
SW1(config-if)#switchport mode access
SW1(config)#interface F0/24
SW1(config-if)#! Activer manuellement le trunk
SW1(config-if)#switchport trunk encapsulation dot1q
SW1(config-if)#switchport mode trunk
SW1(config-if)#! Désactivez DTP et empêchez la génération de trames DTP.

Réalisation : Omar OUGHZAL Page 48 sur 72


CCNA Sécurité ISTA KHENIFRA

SW1(config-if)#switchport nonegotiate
SW1(config-if)#! Changez le VLAN natif en un VLAN dédié.
SW1(config-if)#switchport trunk native vlan 999
SW1(config)#interface range F0/20 -23
SW1(config-if)#! Désactiver les ports non utilisés
SW1(config-if)#Shutdown

Private VLAN (PVLAN)


Les VLANs sont des domaines de diffusion. Toutefois, dans certaines situations, il peut être utile de
ne pas respecter cette règle et d’autoriser uniquement la connectivité L2 minimale requise au sein du
VLAN.

Les PVLAN fournissent une isolation de couche 2 entre les ports d'un même domaine de diffusion. Il
existe trois types de ports PVLAN :

• Promiscues : Un port promiscues peut parler à tout le monde. Il peut communiquer avec
toutes les interfaces, y compris les ports isolés et de communauté d'un PVLAN.
• Isolé : Un port isolé ne peut communiquer qu'avec des ports promiscues. Un port isolé
possède une séparation complète de la couche 2 par rapport aux autres ports du même
PVLAN, mais pas des ports proches. Les PVLAN bloquent tout le trafic vers des ports isolés,
à l'exception du trafic provenant de ports proches. Le trafic provenant d'un port isolé est
uniquement acheminé vers des ports proches.
• Communauté : Les ports de la communauté peuvent parler à d'autres ports de la communauté
et à la promiscuité. Ces interfaces sont séparées de la couche 2 de toutes les autres interfaces
des autres communautés ou des ports isolés de leur réseau PVLAN.

switch(config)# vlan 5
switch(config-vlan)# private-vlan primary
switch(config-vlan)# exit
switch(config)# vlan 100
switch(config-vlan)# private-vlan community
switch(config-vlan)# exit
switch(config)# vlan 109
switch(config-vlan)# private-vlan isolated
switch(config)# vlan 5
switch(config-vlan)# private-vlan association 100-103, 109
switch# configure terminal
switch(config)# interface ethernet 1/12
switch(config-if)# switchport mode private-vlan host
switch(config-if)# switchport private-vlan host-association 5 101
switch# configure terminal
switch(config)# interface ethernet 1/2
switch(config-if)# switchport mode private-vlan promiscuous
switch(config-if)# switchport private-vlan mapping 5 109

Attaque d'usurpation DHCP

Réalisation : Omar OUGHZAL Page 49 sur 72


CCNA Sécurité ISTA KHENIFRA

Une attaque d'usurpation de DHCP se produit lorsqu'un serveur DHCP non autorisé est connecté au
réseau et fournit de faux paramètres de configuration IP aux clients légitimes. Un serveur non autorisé
peut fournir diverses informations trompeuses :

• Mauvaise passerelle par défaut : Attacker fournit une passerelle non valide ou l'adresse IP
de son hôte pour créer une attaque par interception. Cela peut ne pas être détecté car l'intrus
intercepte le flux de données sur le réseau.
• Mauvais serveur DNS : L'attaquant fournit une adresse de serveur DNS incorrecte
renvoyant l'utilisateur vers un site Web néfaste.
• Adresse IP incorrecte : Attacker fournit une adresse IP de passerelle par défaut non valide et
crée une attaque par déni de service sur le client DHCP.

Attaque de Starvation DHCP


Une autre attaque DHCP est l’attaque de famine DHCP. Le but de cette attaque est de créer un DoS
pour connecter les clients. Les attaques de famine DHCP nécessitent un outil d’attaque tel que
Gobbler. Gobbler a la capacité d’examiner l’ensemble des adresses IP louées et d’essayer de toutes les
louer. Plus précisément, il crée des messages de découverte DHCP avec de fausses adresses MAC

Atténuer les attaques DHCP


Il est facile d'atténuer les attaques de famine DHCP en utilisant la sécurité des ports. Cependant,
l'atténuation des attaques d'usurpation DHCP nécessite davantage de protection.

Les attaques d'usurpation DHCP peuvent être atténuées à l'aide de DHCP Snooping sur les ports
sécurisés

DHCP Snooping crée et gère une base de données de liaison de surveillance DHCP que le
commutateur peut utiliser pour filtrer les messages DHCP provenant de sources non fiables. La table
de liaison de surveillance DHCP inclut l'adresse MAC du client, l'adresse IP, la durée du bail DHCP,
le type de liaison, le numéro de VLAN et des informations d'interface.

. La surveillance DHCP reconnaît deux types de ports :

• Ports DHCP approuvés (Trusted) : Seuls les ports connectés aux serveurs DHCP en amont
doivent être approuvés. Ces ports sont censés répondre avec une offre DHCP et des messages
DHCP Ack. Les ports approuvés doivent être explicitement identifiés dans la configuration.
• Ports non approuvés (Untrusted) : Ces ports se connectent à des hôtes qui ne devraient pas
fournir de messages au serveur DHCP. Par défaut, tous les ports de commutateur ne sont pas
fiables.

S1(config)#ip dhcp snooping


S1(config)#interface f0/1
S1(config-if)#!interface connecte au serveur DHCP ou à un autre switching
S1(config-if)#ip dhcp snooping trust
S1(config-if)#exit
S1(config)#interface range f0/2-24
S1(config-if-range)#ip dhcp snooping limit rate 6
S1(config)# ip source binding 001f.28db.0013 vlan 10 172.16.0.100 interface F0/3
S1(config)# do show ip dhcp binding dynamic

Réalisation : Omar OUGHZAL Page 50 sur 72


CCNA Sécurité ISTA KHENIFRA

S1(config)# do show ip source binding


S1(config-if-range)#end
S1#show ip dhcp snooping
S1#show ip dhcp snooping binding

Attaque d'empoisonnement ARP


L'attaquant hôte lance une attaque par empoisonnement ARP dans le but d'utiliser l'usurpation
d'identité ARP pour rediriger le trafic. Un attaquant peut envoyer un message ARP gratuitous
contenant une adresse MAC usurpée à un commutateur, qui mettra alors sa table CAM à jour. Par
conséquent, l'hôte de l'attaquant peut prétendre être le propriétaire de l'adresse IP / MAC de son choix.

Atténuer les attaques ARP


Pour éviter l'usurpation ou l'empoisonnement d'ARP, un commutateur doit s'assurer que seules les
demandes et réponses ARP valides sont relayées.

Dynamic ARP inspection (DAI) : aide à prévenir de telles attaques en ne relayant pas les réponses
ARP non valides ou gratuites à d'autres ports du même VLAN. L'inspection ARP dynamique
intercepte toutes les demandes ARP et toutes les réponses sur les ports non approuvés. Chaque paquet
intercepté est vérifié pour une liaison valide IP-MAC. Les réponses ARP provenant de périphériques
non valides sont soit abandonnées, soit consignées par le commutateur à des fins d'audit, afin d'éviter
les attaques par empoisonnement ARP. DAI peut également être limité en débit pour limiter le nombre
de paquets ARP, et l'interface peut être désactivée par erreur si le débit est dépassé.

DAI peut également être configuré pour vérifier les adresses MAC et IP de destination ou de source :

• Destination MAC : Vérifie l'adresse MAC de destination dans l'en-tête Ethernet par rapport à
l'adresse MAC cible dans le corps du protocole ARP.
• MAC source : Vérifie l'adresse MAC source de l'en-tête Ethernet par rapport à l'adresse MAC
de l'expéditeur dans le corps du protocole ARP.
• Adresse IP : Vérifie le corps d'ARP pour les adresses IP non valides et inattendues, y compris
les adresses 0.0.0.0, 255.255.255.255 et toutes les adresses de multidiffusion IP.

SW1(config)#ip dhcp snooping


SW1(config)#ip dhcp snooping vlan 10
SW1(config)#ip arp inspection vlan 10
SW1(config)#interface F0/24
SW1(config-if)#ip dhcp snooping trust
SW1(config-if)#ip arp inspection trust
SW1(config-if)#exit
SW1(config)#ip arp inspection validate src-mac
SW1(config)#ip arp inspection validate dst-mac src-mac ip
SW1(config)#do show run | include validate

Attaques d'usurpation d'adresse


L'attaquant utilise une attaque d'usurpation d'adresse MAC pour modifier l'adresse MAC de son hôte
afin de correspondre à une autre adresse MAC connue d'un hôte cible. L'hôte attaquant envoie ensuite

Réalisation : Omar OUGHZAL Page 51 sur 72


CCNA Sécurité ISTA KHENIFRA

une trame avec la nouvelle adresse MAC configurée pour que le commutateur mette à jour son entrée
de table CAM et transmette les trames destinées à l'hôte cible à l'hôte attaquant.

Un attaquant utilise une attaque d'usurpation d'adresse IP, par exemple lorsqu'un PC indésirable pirate
une adresse IP valide d'un voisin ou utilise une adresse IP aléatoire.

Atténuation des attaques d'usurpation d'adresse


Pour vous protéger contre l'usurpation d'adresse MAC et IP, configurez la fonction de sécurité IP
Source Guard (IPSG). IPSG fonctionne comme DAI, mais il examine chaque paquet, pas seulement
les paquets ARP. Comme DAI, IPSG nécessite également que la surveillance DHCP soit activée.

SW1(config)#interface range F0/1-23


SW1(config-if)#ip verify source
SW1(config-if)#do show ip verify source

Attaques de manipulation STP


Les attaquants de réseau peuvent manipuler STP pour mener une attaque en usurpant le pont racine et
en modifiant la topologie d'un réseau. Les attaquants peuvent faire en sorte que leurs hôtes
apparaissent comme des ponts racine. Et par conséquent, capturez tout le trafic pour le domaine
commuté immédiat.

Atténuation des attaques STP


Pour atténuer les attaques de manipulation STP, utilisez les mécanismes de stabilité de Cisco STP pour
améliorer les performances globales des commutateurs et réduire le temps perdu lors des modifications
de topologie.

• PortFast : apporte immédiatement une interface configurée en tant que port d'accès ou de
ligne réseau à l'état de transfert à partir d'un état bloquant, en contournant les états d'écoute et
d'apprentissage. Appliquer à tous les ports des utilisateurs finaux.
• Protection BPDU - Une erreur de protection BPDU désactive immédiatement un port
recevant une unité BPDU. Généralement utilisé sur les ports activés par PortFast.
• Root Guard : La protection de la racine empêche un commutateur inapproprié de devenir le
pont racine. Root Guard limite les ports de commutation à partir desquels le pont racine peut
être négocié. Appliquer à tous les ports qui ne doivent pas devenir des ports racine.
• Loop Guard : La protection contre la boucle empêche les ports alternatifs ou racine de
devenir des ports désignés en raison d'une défaillance entraînant une liaison unidirectionnelle.
Appliquer à tous les ports qui sont ou peuvent devenir non désignés.

SW1(config)#interface gigabitEthernet 0/3


SW1(config-if)#switchport mode access
SW1(config-if)#spanning-tree portfast
SW1(config)#interface g0/1
SW1(config-if)#switchport mode trunk
SW1(config-if)#spanning-tree bpduguard enable
SW1(config-if)#spanning-tree guard root
SW1(config-if)#spanning-tree guard loop

Réalisation : Omar OUGHZAL Page 52 sur 72


CCNA Sécurité ISTA KHENIFRA

Chapitre 07 : Systèmes Cryptographiques


CCNA Security

Services de Cryptage

Sécurisation de la communication
Afin de garantir des communications sécurisées sur les réseaux publics et privés, vous devez avant
tout sécuriser vos appareils, notamment les routeurs, commutateurs, serveurs et hôtes.

Les communications sécurisées se décomposent en quatre éléments :

• La confidentialité des données : seuls les utilisateurs autorisés peuvent consulter les
données. Si le message est intercepté, il ne peut être déchiffré dans un délai raisonnable. La
confidentialité des données est implémentée à l'aide d'algorithmes de chiffrement symétrique
et asymétrique.
• L'intégrité des données : elle garantit que le message n'a pas été modifié. Toute modification
des données en transit est détectée. L'intégrité est assurée en implémentant Message Digest
version 5 (MD5) ou les algorithmes de hachage sécurisé Secure Hash Algorithm (SHA).
• L'authentification de l'origine : garantit qu'il ne s'agit pas d'un faux message et qu'il
provient réellement du propriétaire. De nombreux réseaux modernes garantissent
l'authentification avec des protocoles, par exemple le code HMAC (hash message
authentication code).
• La non-répudiation des données : garantit que l'expéditeur ne peut pas répudier ni réfuter la
validité d'un message envoyé. La non-répudiation repose sur le fait que seul l'expéditeur
dispose des caractéristiques uniques ou de la signature relative au traitement du message.

Cryptologie
La cryptologie est utilisée pour sécuriser les communications. La cryptologie est la science de la
création et du déchiffrement des codes secrets. La cryptologie combine deux disciplines distinctes :

• La cryptographie : correspond au développement et à l'utilisation des codes utilisés pour


communiquer en privé. Concrètement, il s'agit de la pratique et de l'étude des techniques de
sécurisation des communications. Auparavant, la cryptographie était synonyme de
chiffrement.
• Cryptanalyse : correspond au déchiffrement de ces codes. Concrètement, il s'agit de la
pratique et de l'étude de la détermination et de l'exploitation des faiblesses des techniques
cryptographiques.

Il existe une relation symbiotique entre les deux disciplines, car chacune d'entre elles vient renforcer
l'autre. Les entreprises de sécurité nationale emploient des spécialistes des deux disciplines et opposent
leur travail.

Cryptographie – Chiffrement
Au cours des siècles, un grand nombre de méthodes de cryptographie, d'appareils physiques et d'outils
ont été utilisés pour chiffrer et déchiffrer les textes :

Réalisation : Omar OUGHZAL Page 53 sur 72


• Scytale • Chiffre de Vigenère
• Chiffre de César • Machine Enigma
Chacune de ces méthodes de chiffrement utilise un algorithme spécifique, appelé « chiffre ». Un
chiffrement est un algorithme composé d'une série d'étapes bien définies que vous pouvez suivre pour
chiffrer et déchiffrer des messages.

Les types de chiffres utilisés au fil des ans :

• Chiffrement par substitution : les chiffres par substitution conservent la fréquence des
lettres du message original. On remplace une lettre par une autre.
• Chiffrement par transposition : avec le chiffrement par transposition, les lettres ne sont pas
remplacées, mais réorganisées.
• Chiffrements polyalphabétiques : sont fondés sur un mécanisme de substitution utilisant
plusieurs alphabets.

Cryptanalyse – Déchiffrement
Les cryptanalystes sont des personnes qui utilisent la cryptanalyse pour déchiffrer les codes secrets. La
description de l'échantillon de la figure souligne l'importance des cryptanalystes.

La cryptanalyse repose sur plusieurs méthodes :

• La méthode par force brute : le cryptanalyste essaie chaque clé possible en sachant que l'une
d'entre elles sera la bonne. Tous les algorithmes sont vulnérables à la force brute. Lorsque
chaque clé possible a été essayée, l'une d'entre elles doit fonctionner.
• Méthode par texte chiffré seul : le cryptanalyste dispose du texte chiffré de plusieurs
messages chiffrés, mais ne connaît pas le texte clair correspondant.
• Méthode par texte clair connu : le cryptanalyste dispose du texte chiffré de plusieurs
messages et des parties du texte clair correspondant au texte chiffré.
• Méthode par texte clair choisi : le cryptanalyste choisit les données que l'appareil de
chiffrement doit chiffrer et observe le texte chiffré généré.
• Méthode par texte chiffré choisi : le cryptanalyste peut choisir différents textes chiffrés à
déchiffrer et dispose du texte clair déchiffré.
• Méthode par rencontre au milieu : le cryptanalyste connaît une partie du texte clair et son
équivalent en texte chiffré.

Le secret est dans la clé


L'authentification, l'intégrité et la confidentialité des données sont implémentées de plusieurs façons,
en utilisant divers protocoles et algorithmes. Le choix du protocole et de l'algorithme varie selon le
niveau de sécurité requis pour atteindre les objectifs de la politique de sécurité du réseau.

Avec la technologie moderne, la sécurité du chiffrement dépend de la confidentialité des clés, et non
de l'algorithme.

Deux termes sont utilisés pour décrire les clés :

• Longueur de clé : il s'agit de la mesure de la clé, exprimée en bits (également connue comme
la taille de clé). Dans ce cours, nous utiliserons le terme « longueur de clé ».
CCNA Sécurité ISTA KHENIFRA

• Espace de clés : désigne le nombre de possibilités pouvant être générées par une longueur de
clé spécifique.

L'espace de clés augmente exponentiellement au fur et à mesure que la longueur de clé s'accroît.
L'espace de clés d'un algorithme est l'ensemble de toutes les valeurs de clé possibles. Une clé n bits
produit un espace de clés avec 2n valeurs de clé possibles

Les clés les plus longues sont les plus sécurisées. Cependant, elles consomment davantage de
ressources. Le choix d'une clé longue doit être avisé, car sa manipulation peut accroître la charge du
processeur des produits d'entrée de gamme.

Fonctions de hachage cryptographique


Le hash : est une fonction mathématique unidirectionnelle qui produit une représentation condensée
de longueur fixe (le hash). Le hash qui en résulte est parfois appelé le condensé de message, le
condensé ou l'empreinte numérique.

La fonction de hachage cryptographique permet de de contrôler et d'assurer l'intégrité des données et


de vérifier l'authentification.

Avec les fonctions de hachage, deux ensembles de données différents ne peuvent pas générer de hashs
identiques sur le plan informatique. Chaque fois que les données sont modifiées ou altérées, la valeur
de hash change également. C'est la raison pour laquelle les valeurs de hash cryptographiques sont
souvent désignées sous le nom d'empreintes numériques.

Opération de hachage cryptographique


Sur le plan mathématique, l'équation h = H(x) sert à expliquer comment fonctionne un algorithme de
hachage.

Une fonction de hash cryptographique doit posséder les propriétés suivantes :

• Il n'y a pas de limite de longueur pour le texte saisi.


• La longueur du résultat est fixe.
• H(x) est relativement facile à calculer pour toute valeur x.
• H(x) est unidirectionnel et irréversible.
• H(x) est libre de toute collision : deux valeurs d'entrée distinctes génèrent des valeurs de
hachage différentes.

Fonctions de hachage bien connues


Les fonctions de hachage sont utilisées pour garantir l'intégrité d'un message. Elles assurent que les
données n'ont pas été accidentellement ou intentionnellement modifiées.

Il existe trois fonctions de hachage principales :

• MD5 : développée par Ron Rivest et utilisée dans de nombreuses applications Internet, la
fonction unidirectionnelle MD5 génère un message de hachage de 128 bits. La fonction MD5
est considérée comme un algorithme obsolète qu'il convient d'éviter.
• SHA-1 : développée par NIST en 1994, elle est très similaire aux fonctions de hachage MD5.
Elle se décline en plusieurs versions. La fonction SHA-1 génère un message de 160 bits

Réalisation : Omar OUGHZAL Page 1 sur 72


CCNA Sécurité ISTA KHENIFRA

hachés et se révèle légèrement plus lent que la fonction MD5. Elle présente des défauts et
apparaît comme un algorithme obsolète.
• SHA-2 : développée par le NIST, elle inclut SHA-224 (224 bits), SHA-256 (256 bits), SHA-
384 (384 bits) et SHA-512 (512 bits). SHA-256, SHA-384 et SHA-512 s'inscrivent comme
des algorithmes nouvelle génération qu'il convient d'utiliser dès que possible.

Hash Message Authentication Code (HMAC)


Pour assurer l'authentification et l'intégrité, utilisez un code HMAC ou KHMAC (keyed-hash message
authentication code). Pour ce faire, le code HMAC utilise une clé secrète supplémentaire comme
entrée de la fonction de hachage.

HMAC = H(Message + Clé)

Seuls l'expéditeur et le récepteur connaissent la clé secrète, et le résultat de la fonction de hash dépend
à présent des données d'entrée et de la clé secrète. Seules les parties qui ont accès à cette clé secrète
peuvent calculer le condensé d'une fonction HMAC. Cette caractéristique bloque les attaques MITM et
fournit une authentification de l'origine des données.

Chiffrement
Deux classes de chiffrement permettent de garantir la confidentialité des données. Ces deux classes se
distinguent par leur mode d'utilisation des clés :

• Les algorithmes de chiffrement symétrique : utilisent la même clé pour chiffrer et déchiffrer
les données. Ils partent du principe que chacune des parties engagées dans la communication
connaît la clé pré-partagée.
▪ La même clé permet de chiffrer et de déchiffrer les données.
▪ Les clés sont courtes (entre et 256 bits)
▪ Plus rapide que le chiffrement asymétrique.
▪ Couramment utilisé pour le chiffrement des données en bloc, comme pour le trafic
VPN.
• Les algorithmes de chiffrement asymétrique : utilisent des clés différentes pour chiffrer et
pour déchiffrer les données. Ils partent du principe que les deux parties engagées dans la
communication n'ont pas encore partagé de secret et doivent mettre en place une méthode
sécurisée pour ce faire. Ces algorithmes consomment énormément de ressources et leur
exécution est plus lente.
▪ Différentes clés servent à chiffrer et à déchiffrer les données.
▪ Les clés sont longues (entre 512 et 096 bits).
▪ Le processus consomme davantage de ressources de calcul et est donc plus lent que le
chiffrement symétrique.
▪ Couramment utilisé pour les échanges rapides de données, tels que l'utilisation du
protocole HTTPS pour accéder à vos données bancaires.

Chiffrement symétrique
Les algorithmes de chiffrement symétrique utilisent la même clé pré-partagée pour chiffrer et
déchiffrer les données. La clé pré-partagée (ou « clé secrète ») est connue par l'expéditeur et le
récepteur.

Réalisation : Omar OUGHZAL Page 2 sur 72


CCNA Sécurité ISTA KHENIFRA

Les algorithmes de chiffrement sont souvent classés comme suit :

• Chiffrement par blocs : transforme un bloc de longueur fixe de texte clair en un bloc
commun de texte chiffré de 64 ou 128 bits. Le chiffrement par bloc commun comprend les
chiffrements DES et AES avec une taille de bloc respective de 64 et 128 bits.
• Chiffrement de flux : chiffre un texte en clair, à raison d'un bit/octet à la fois. Le chiffrement
de flux correspond à un chiffrement par bloc avec une taille de bloc d'un seul octet ou bit. Le
chiffrement de flux est généralement plus rapide que le chiffrement par bloc, car les données
sont chiffrées en continu. Les algorithmes RC4 et A5 sont utilisés pour chiffrer les
communications de téléphones cellulaires GSM et constituent des exemples de chiffrement de
flux. L'algorithme DES peut également être utilisé en mode de chiffrement de flux.

Les algorithmes de chiffrement symétriques courants :

• Data Encryption Standard (DES) : il s'agit d'un algorithme de chiffrement symétrique


obsolète. Il peut être utilisé en mode de chiffrement de flux, mais fonctionne habituellement
en mode bloc pour chiffrer les données dans une taille de bloc de 64 bits.
• 3DES (Triple DES) : il s'agit d'une version plus récente de l'algorithme DES qui répète le
processus de celui-ci à trois reprises. Il consomme davantage de ressources informatiques que
l'algorithme DES. L'algorithme de base a été éprouvé sur le terrain depuis plus de 35 ans ; il
est considéré comme ultra fiable lorsqu'il est implémenté avec des clés de très courte durée.
• Advanced Encryption Standard (AES) : basé sur l'algorithme de Rijndael, cet algorithme de
chiffrement symétrique est populaire et recommandé. Il propose neuf combinaisons de
longueur de clé et de bloc en utilisant une clé de longueur variable (de 128, 192 ou 256 bits)
pour chiffrer des blocs de données de 128, 192 ou 256 bits de long. AES est un algorithme
sécurisé et plus efficace que l'algorithme 3DES.
• Software-Optimized Encryption Algorithm (SEAL) : SEAL est un algorithme de
chiffrement symétrique qui offre une alternative rapide aux algorithmes DES, 3DES et AES. Il
s'agit d'un chiffrement de flux qui utilise une clé de 160 bits. L'algorithme SEAL sollicite
moins le CPU que les autres algorithmes basés sur des logiciels ; néanmoins, il n'est toujours
pas considéré comme éprouvé.
• Algorithmes de la série Rivest Cipher (RC) : (y compris les algorithmes RC2, RC4, RC5 et
RC6) : algorithmes développés par Ron Rivest. Bien que plusieurs variantes aient été
développées, celle de l'algorithme RC4 est la plus répandue. RC4 est un algorithme de
chiffrement de flux utilisé pour sécuriser le trafic web avec les protocoles SSL et TLS.

Algorithmes de chiffrement asymétriques


Les algorithmes asymétriques (ou « algorithmes à clé publique ») sont conçus de sorte que la clé
utilisée pour le chiffrement (Public) diffère de la clé utilisée pour le déchiffrement (Privée). La clé de
déchiffrement ne peut être déduite de la clé de chiffrement dans un délai raisonnable, et inversement.

Le chiffrement asymétrique peut utiliser des longueurs de clé entre 512 à 4 096 bits. Là où les
longueurs de clé supérieures ou égales à 1 024 bits peuvent s'entendre comme fiables, les longueurs de
clé plus courtes sont considérées comme non fiables.

Exemples de protocoles qui utilisent des algorithmes à clé asymétrique :

• Internet Key Exchange (IKE) : il s'agit d'une composante fondamentale du VPN IPSec.

Réalisation : Omar OUGHZAL Page 3 sur 72


CCNA Sécurité ISTA KHENIFRA

• Secure Socket Layer (SSL) : le protocole est maintenant implémenté comme standard TLS
de l'IETF.
• Secure Shell (SSH) : protocole qui assure une connexion à distance sécurisée aux appareils
réseau.
• Pretty Good Privacy (PGP) : il s'agit d'un programme informatique qui assure la
confidentialité et l'authentification du chiffrement. Il est souvent utilisé pour renforcer la
sécurité des communications par e-mail.

Les algorithmes asymétriques sont considérablement plus lents que les algorithmes symétriques. Leur
conception se base sur des problèmes informatiques, tels que la factorisation des nombres
extrêmement grands ou le calcul de logarithmes discrets de très grands nombres.

Parce qu'ils manquent de rapidité, les algorithmes asymétriques sont généralement utilisés par les
mécanismes cryptographiques à faible volume, tels que les signatures numériques et l'échange de clés.

• Diffie-Hellman (DH) : L'algorithme Diffie-Hellman est un algorithme à clé publique inventé


en 1976 par Whitfield Diffie et Martin Hellman. Cela permet à deux parties de s'entendre sur
une clé qu'elles peuvent utiliser pour chiffrer les messages qu'elles s'échangent. La sécurité de
cet algorithme repose sur l'hypothèse qu'il est facile d'élever un nombre à une certaine
puissance, mais qu'il est difficile de calculer quelle puissance a été utilisée étant donné le
nombre et les résultats.
• (Digital Signature Standard (DSS) et DSA (Digital Signature Algorithm) : La
spécification DSS a été créée par le NIST et son algorithme DSA est utilisé pour les signatures
numériques. DSA est un algorithme à clé publique basé sur le schéma de signature ElGamal.
La vitesse de création de la signature est similaire avec RSA, mais elle est 10 à 40 fois plus
lente pour la vérification.
• Algorithmes de chiffrement RSA : Développé par Ron Rivest, Adi Shamir et Leonard
Adleman au MIT en 1977. C'est un algorithme de cryptographie à clé publique qui
repose sur la difficulté actuelle de factoriser de très grands nombres. C'est le premier
algorithme connu qui convient à la signature et au chiffrement. Il constitue l'une des premières
grandes avancées dans la cryptographie à clé publique. Largement utilisé dans les protocoles
de commerce électronique, il est considéré comme étant sécurisé, car les clés qu'il utilise sont
suffisamment longues et il a recours à des implémentations à jour.
• EIGamal : Un algorithme de chiffrement asymétrique de cryptographie à clé publique qui
repose sur l'accord de clé Diffie-Hellman. Décrit par Taher ElGamal en 1984 et utilisé dans le
logiciel GNU Privacy Guard, le logiciel PGP et d'autres systèmes de cryptographie. Toutefois,
l'inconvénient du système ElGamal est qu'il rend le message chiffré très volumineux, environ
deux fois la taille du message d'origine. C'est pourquoi il n'est utilisé que pour les petits
messages tels que les clés secrètes.
• Techniques de courbe elliptique : La cryptographie sur les courbes elliptiques a été inventée
par Neil Koblitz et Victor Miller au milieu des années 1980. Permet d'adapter de nombreux
algorithmes de chiffrement, tels que Diffie-Hellman ou ElGamal. Le principal avantage de la
cryptographie sur les courbes elliptiques est que les clés peuvent être beaucoup plus petites.

Chiffrement asymétrique – Confidentialité


Les algorithmes asymétriques assurent la confidentialité sans partager de mot de passe au préalable. La
confidentialité des algorithmes asymétriques est garantie quand vous lancez le processus de
chiffrement avec la clé publique.

Réalisation : Omar OUGHZAL Page 4 sur 72


CCNA Sécurité ISTA KHENIFRA

Le processus peut être résumé à l'aide de la formule :

Clé publique (chiffrement) + Clé privée (déchiffrement) = Confidentialité

Là où la clé publique sert à chiffrer les données, la clé privée doit être utilisée pour les déchiffrer. Un
seul hôte possède la clé privée ; par conséquent, la confidentialité est assurée.

Si la clé privée est compromise, une autre paire de clés doit être générée pour remplacer la clé
compromise.

Chiffrement asymétrique – Authentification


L'authentification des algorithmes asymétriques est réalisée quand vous lancez le processus de
chiffrement avec la clé privée.

Le processus peut être résumé à l'aide de la formule :

Clé privée (chiffrer) + clé publique (déchiffrer) = Authentification

Là où la clé privée sert à chiffrer les données, la clé publique correspondante doit être utilisée pour les
déchiffrer. Un seul hôte possède la clé privée ; par conséquent, seul cet hôte peut avoir chiffré le
message, authentifiant ainsi l'expéditeur.

Chiffrement asymétrique – Intégrité


L’intégrité des algorithmes asymétriques est réalisée quand vous lancez le processus de chiffrement du
hash avec la clé privée.

Le processus peut être résumé à l'aide de la formule :

Clé privée (chiffrer le Hash) + clé publique (déchiffrer le Hash) = Intégrité

Là où la clé privée pour chiffrer un hash du message, et la clé publique correspondante doit être
utilisée pour déchiffrer le hash du message.

L'échange de clés Diffie-Hellman


L'échange de clé DH (Diffie-Hellman) est un algorithme mathématique asymétrique qui permet à deux
ordinateurs de générer un secret partagé identique sans avoir communiqué auparavant. En réalité, la
nouvelle clé partagée n'est pas véritablement échangée entre l'émetteur et le récepteur. Comme les
deux parties connaissent la clé, elle peut cependant être utilisée par un algorithme de chiffrement pour
chiffrer le trafic entre les deux systèmes.

DH est couramment utilisé lorsque les données sont échangées à l'aide d'un VPN IPsec, lorsque les
données sont cryptées sur Internet à l'aide de SSL ou de TLS ou lorsque des données SSH sont
échangées.

Opération de l’algorithme Diffie-Hellman :

• Étape 1 : Pour commencer un échange DH, les deux parties doivent s’entendre sur deux
nombres non secrets. Le premier nombre G est un nombre de base, également appelé
générateur. Le deuxième nombre P est un nombre premier utilisé comme module. Ces

Réalisation : Omar OUGHZAL Page 5 sur 72


CCNA Sécurité ISTA KHENIFRA

nombres de base et premiers sont généralement publics et sont choisis dans un tableau de
valeurs connues.
• Étape 2 : chaque partie génère un numéro secret N1 et N2.
• Etape 3 : chaque partie calcule R1=GN1 mod P et R2=GN2 mod P
• Etape 4 : le résultat du calcul est échangé entre les deux parties
• Etape 5 : chaque partie calcule S1=R2N1 mod P et S2=R1N2 mod P et les deux parties
finissent par avoir le même résultat S1=S2

La sécurité de l'algorithme DH repose sur l'utilisation de nombres extrêmement grands dans ses
calculs. Par exemple, un nombre DH de 1 024 bits équivaut environ à un nombre décimal de 309
chiffres. En considérant qu'un milliard correspond à 10 chiffres décimaux (1 000 000 000), il est facile
de se représenter la complexité d'utiliser non pas un, mais plusieurs nombres décimaux de 309
chiffres.

Infrastructure à clé publique PKI (Public Key


Infrastructure)

Utilisation des signatures numériques


Les signatures numériques s'inscrivent comme une technique mathématique utilisée pour fournir trois
services de sécurité de base :

• Authenticité : Permet de garantir l'authenticité des données signées numériquement. Les


signatures numériques authentifient une source, prouvant que la partie signataire a vu et signé
les données en question.
• Intégrité : Permet de garantir l'intégrité des données signées numériquement. Les signatures
numériques garantissent que les données n'ont pas été modifiées depuis leur signature.
• Non-Répudiation : Non-répudiation de la transaction. Le destinataire peut envoyer les
données à un tiers, qui accepte la signature numérique comme preuve que l'échange de
données a eu lieu. La partie signataire ne peut réfuter d'avoir signé les données.

Les signatures numériques sont couramment utilisées dans les deux situations suivantes :

• Signature de code : elle est utilisée à des fins d'intégrité et d'authentification des données. La
signature de code permet de vérifier l'intégrité des fichiers exécutables téléchargés à partir du
site web d'un fournisseur. Elle utilise également des certificats numériques pour authentifier et
vérifier l'identité du site.
• Certificats numériques : ils sont semblables à une carte d'identité virtuelle et servent à
authentifier l'identité d'un système avec site web fournisseur et à établir une connexion
chiffrée pour l'échange de données confidentielles.

Trois algorithmes DSS (Digital Signature Standard) sont utilisés pour générer et vérifier les signatures
numériques :

• Digital Signature Algorithm (DSA) : l'algorithme DSA constitue le standard d'origine pour
la génération de paires de clés publiques et privées, comme pour la génération et la
vérification de signatures numériques.

Réalisation : Omar OUGHZAL Page 6 sur 72


CCNA Sécurité ISTA KHENIFRA

• Algorithme Rivest-Shamir-Adelman (RSA) : l'algorithme RSA est un algorithme


asymétrique couramment utilisé pour la génération et la vérification de signatures numériques.
• Elliptic Curve Digital Signature Algorithm (ECDSA) : l'algorithme ECDSA est une
nouvelle variante de l'algorithme DSA. Il assure l'authentification et la non-répudiation des
signatures numériques tout en offrant de nouveaux bénéfices en termes d'efficacité
informatique, de petites signatures et de bande passante minimale.

Signatures numériques de signature de code


Les signatures numériques sont couramment utilisées pour garantir l'authenticité et l'intégrité du code
logiciel. Les fichiers exécutables sont encapsulés dans une enveloppe signée numériquement, ce qui
permet à l'utilisateur final de vérifier la signature avant d'installer le logiciel.

La signature numérique du code offre plusieurs garanties sur le code :

• Le code est authentique et provient de l'éditeur.


• Le code n'a pas été modifié depuis qu'il a quitté l'éditeur de logiciels.
• C'est indéniablement l'éditeur qui a publié le code. Cela assure la non-répudiation de l'acte de
publication.

Signatures numériques de certificat numérique


Un certificat numérique est l'équivalent d'un passeport électronique. Il permet aux utilisateurs, hôtes et
entreprises d'échanger des informations sur Internet de manière sécurisée. Concrètement, un certificat
numérique permet d'authentifier et de vérifier que l'expéditeur d'un message est bien celui qu'il prétend
être. Les certificats numériques permettent également de garantir la confidentialité du destinataire en
lui permettant de chiffrer sa réponse.

Gestion de la clé publique


Le trafic Internet correspond au trafic entre les deux parties. Lorsqu'ils établissent une connexion
asymétrique entre deux hôtes, les hôtes échangent leurs informations de clé publique. Sur Internet, des
tiers de confiance valident l'authenticité de ces clés publiques à l'aide de certificats numériques. Ces
tiers effectuent un examen approfondi avant d'émettre les informations d'identification. Ces
informations d'identification (certificats numériques) sont particulièrement difficiles à falsifier. À
partir de ce moment-là, toutes les personnes qui font confiance au tiers acceptent simplement les
informations d'identification qu'il émet.

L'infrastructure de clé publique (PKI) constitue un exemple de système tiers de confiance appelé «
autorité de certification » (CA). L'autorité de certification propose des services semblables à ceux des
bureaux de délivrance de licences publiques. L'infrastructure à clé publique est le cadre utilisé pour
sécuriser les échanges d'informations entre les parties. Elle émet des certificats numériques qui
authentifient l'identité des entreprises et des utilisateurs. Ces certificats sont également utilisés pour
signer des messages afin de s'assurer que ceux-ci n'ont pas été falsifiés

L'infrastructure à clé publique


L'infrastructure PKI est nécessaire pour soutenir une distribution de grande envergure et
l'identification des clés de chiffrement publiques. Le cadre PKI favorise une relation de confiance
hautement évolutive.

Réalisation : Omar OUGHZAL Page 7 sur 72


CCNA Sécurité ISTA KHENIFRA

Il regroupe le matériel, les logiciels, les personnes, les politiques et les procédures nécessaires pour
créer, gérer, stocker, distribuer et révoquer des certificats numériques.

• Autorité de certification (CA) : est un tiers de confiance qui délivre des certificats PKI aux
individus et aux entités après avoir vérifié leur identité. Elle signe ces certificats à l'aide de sa
clé privée.
• Base de données de certificats : stocke tous les certificats approuvés par l'autorité de
certification.
• Banque de certificats : qui se trouve sur un ordinateur local, stocke les certificats délivrés et
les clés privées.
• Certificat : contiennent la clé publique d'une entité ou d'un individu, son but, l'autorité de
certification qui validé et émis le certificat, la plage de dates durant laquelle le certificat peut
être considéré comme valide et l'algorithme utilisé pour créer la signature.

Le système d'autorités PKI


De nombreux fournisseurs proposent leurs serveurs CA sous la forme d'un service managé ou d'un
produit pour utilisateur final. Il s'agit notamment de Symantec Group (VeriSign), Comodo, Go Daddy
Group, GlobalSign et de DigiCert.

Les entreprises peuvent également implémenter une infrastructure PKI privée à l'aide de Microsoft
Server ou d'Open SSL.

Les autorités de certification délivrent des certificats basés sur des classes déterminant le degré de
confiance d'un certificat :

• Classe 0 : Destinée à des fins de test sans aucune vérification


• Classe 1 : Destinée aux particuliers et est axée sur la vérification des e-mails.
• Classe 2 : Destinée aux entreprises exigeant la preuve de l'identité.
• Classe 3 : Destinée aux serveurs et logiciels pour lesquels une vérification indépendante de
l'identité et de l'autorité est effectuée par l'autorité de certification les ayant publiés.
• Classe 4 : Destinée aux transactions commerciales en ligne entre entreprises.
• Classe 5 : Destinée aux entreprises privées ou à la sécurité des administrations.

Public-Key Cryptography Standards (PKCS)


Les normes PKCS (Public-Key Cryptography Standards) constituent un autre ensemble important de
normes PKI. PKCS fait référence à un groupe de normes de cryptographie à clé publique conçues et
publiées par RSA Laboratories. PKCS fournit une interopérabilité de base des applications utilisant la
cryptographie à clé publique. PKCS définit les formats de bas niveau pour l'échange sécurisé de
données arbitraires, telles que des données cryptées ou des données signées.

• PKCS # 1 : RSA Cryptography Standard


• PKCS # 3 : Norme d'accord de clé DH
• PKCS # 5 : norme de cryptographie basée sur mot de passe
• PKCS # 6 : Syntaxe de certificat étendu standard
• PKCS # 7 : Norme de syntaxe des messages cryptographiques
• PKCS # 8 : Syntaxe standard d'informations de clé privée
• PKCS # 10 : Norme de syntaxe des demandes de certification

Réalisation : Omar OUGHZAL Page 8 sur 72


CCNA Sécurité ISTA KHENIFRA

• PKCS # 12 : Syntaxe standard d'échange d'informations personnelles


• PKCS # 13 : Standard de cryptographie à courbe elliptique
• PKCS # 15 : Norme de format d'informations de jeton cryptographique

Topologie PKI
Les infrastructures PKI peuvent présenter différentes topologies de confiance. La topologie PKI à
racine unique est la plus simple.

Sur les réseaux d'envergure, les autorités de certification de l'infrastructure PKI peuvent être réunies à
l'aide de deux architectures de base :

• Topologies CA cocertifiées : il s'agit d'un modèle peer-to-peer dans lequel chaque autorité de
certification établit des relations de confiance avec les autres autorités de certification au
travers de certificats CA transversaux. Les utilisateurs de chaque domaine CA sont également
assurés de pouvoir se faire mutuellement confiance. Cela garantit la redondance et élimine le
point de rupture unique.
• Topologies CA hiérarchiques : le plus haut CA est l'autorité de certification racine. Celle-ci
peut délivrer des certificats aux utilisateurs finaux et aux autorités de certification
subordonnées. Les autorités de certification subordonnées peuvent être créées pour divers(es)
unités organisationnelles, domaines ou communautés de confiance. L'autorité de certification
racine maintient une « communauté de confiance » en veillant à ce que chaque entité de la
hiérarchie se conforme à un ensemble minimal de pratiques. Les bénéfices de cette topologie
résident dans son évolutivité et sa facilité de gestion renforcées. Cette topologie est adaptée à
la plupart des grandes entreprises. Toutefois, déterminer la chaîne du processus de signature
peut être complexe.

Interopérabilité des différents fournisseurs d'infrastructure PKI


L'interopérabilité entre une infrastructure PKI et ses services d'assistance (protocoles LDAP,
Lightweight Directory Access Protocol, et X.500, p. ex.) revêt une importance particulière, car de
nombreux fournisseurs CA ont préféré proposer et implémenter des solutions propriétaires plutôt que
d'attendre la publication de normes.

Pour résoudre ce problème d'interopérabilité, l'IETF a publié une politique sur les certificats des
infrastructures à clé publique Internet X.509 et instauré un cadre sur les pratiques de certification
(RFC 2527). Le standard X.509 version 3 (X.509v3) définit le format d'un certificat numérique.

Réalisation : Omar OUGHZAL Page 9 sur 72


CCNA Sécurité ISTA KHENIFRA

Chapitre 08 : Implémentation de réseaux privés virtuels (VPN)


CCNA Security

Technologies VPN
Un VPN est un réseau privé créé via un tunnel sur un réseau public, généralement Internet. Au lieu
d'utiliser une connexion physique dédiée, un VPN utilise des connexions virtuelles routées via Internet
de l'organisation au site distant.

Types de VPN
Il existe deux types de réseaux privés virtuels :

• Site à site : est créé lorsque les périphériques situés des deux côtés de la connexion VPN
connaissent par avance la configuration VPN. Le VPN reste statique et les hôtes internes ne
savent pas qu'un VPN existe. Dans un VPN de site à site, les hôtes finaux envoient et
reçoivent le trafic TCP/IP normal par l'intermédiaire d'une « passerelle » VPN
• Accès à distance : est créé lorsque les informations sur le VPN ne sont pas configurées de
manière statique, mais qu'elles permettent au contraire des modifications dynamiques. Ce
VPN d'accès à distance peut également être activé et désactivé. Les VPN d'accès à distance
prennent en charge une architecture client-serveur, dans laquelle le client VPN (hôte distant)
obtient un accès sécurisé au réseau de l'entreprise par l'intermédiaire d'un périphérique de
serveur VPN à la périphérie du réseau.

Technologies IPsec

Introduction à IPsec
Le protocole IPsec est une norme IETF qui définit comment un VPN peut être configuré de manière
sécurisée à l'aide du protocole Internet (IP).

Les caractéristiques du protocole IPsec peuvent se résumer comme suit :

• Le protocole IPsec est un cadre de normes ouvertes qui est indépendant de l'algorithme.
• Le protocole IPsec permet la confidentialité, l'intégrité et l'authentification de la source des
données.
• IPsec agit comme la couche réseau, qui protège et authentifie les paquets IP.

Le protocole IP Security (IPsec) est un standard ouvert qui fournit les éléments suivants :

• Confidentialité : est fournie à l'aide d'algorithmes de chiffrement (DES, 3DES, AES, SEAL)
• Intégrité : garantit que les données arrivent inchangées à la destination à l'aide d'un
algorithme de hachage (MD5, SHA)
• Authentification : IPsec utilise Internet Key Exchange (IKE) pour authentifier les utilisateurs
et les périphériques pouvant établir des communications de manière indépendante. IKE utilise
plusieurs types d'authentification, notamment nom d'utilisateur et mot de passe, mot de passe à
usage unique, biométrie, clés pré-partagées (PSK) et certificats numériques utilisant (RSA).

Réalisation : Omar OUGHZAL Page 10 sur 72


CCNA Sécurité ISTA KHENIFRA

• Protection anti-reprise : la protection anti-reprise est la capacité à détecter et à rejeter des


paquets rediffusés, ce qui contribue à empêcher l'usurpation

Cadre IPsec

Protocol IPsec AH ESP AH +ESP

Confidentialité DES 3DES AES SEAL

Intégrité MD5 SHA

Authentification PSK RSA

Diffie-Hellman DH1 DH2 DH5 DH…

IPsec n'est lié à aucune règle spécifique pour les communications sécurisées. Cette flexibilité de la
structure permet à IPsec d’intégrer facilement de nouvelles technologies de sécurité sans mettre à jour
les normes IPsec existantes.

• Confidentialité : Le chiffrement permet de garantir la confidentialité du trafic VPN.


L’algorithme de chiffrement sélectionné doit de préférence correspondre au niveau de sécurité
souhaité : DES, 3DES ou AES.
• L'intégrité : garantit que le contenu n'a pas été modifié lors du transit. Implémenté par le
biais de l'utilisation d'algorithmes de hachage. Les choix possibles incluent les algorithmes
MD5 et SHA.
• Authentification : représente la manière selon laquelle les périphériques sont authentifiés à
chaque extrémité du tunnel VPN.
▪ PSK (Pre-Shared Key) : clé secrète devant être partagée entre les deux parties par le
biais d'un canal sécurisé avant son utilisation. Les clés PSK utilisent des algorithmes
symétriques.
▪ Signatures RSA : des certificats numériques sont échangés pour l'authentification des
homologues. Le périphérique local calcule un hachage et le chiffre avec sa clé privée
• Protocole IPsec : décrit les messages de sécurisation des communications, mais il se base sur
des algorithmes existants.
▪ AH (Authentication Header) : AH est le protocole approprié à utiliser lorsque la
confidentialité n'est pas requise ou autorisée. Il permet l'authentification et l'intégrité
des données des paquets IP qui sont transmis entre deux systèmes.
▪ ESP (Encapsulating Security Payload) : protocole de sécurité permettant la
confidentialité et l'authentification grâce au chiffrement du paquet IP. Le chiffrement
des paquets IP masque les données et l’identité de leur source et de leur destination.
• Groupe d'algorithmes DH : représente la manière selon laquelle une clé secrète partagée est
établie entre des homologues. Diverses options sont possibles, mais l'algorithme DH24 est
celui qui offre le plus de sécurité.

Le protocole IKE (Internet Key Exchange)

Réalisation : Omar OUGHZAL Page 11 sur 72


CCNA Sécurité ISTA KHENIFRA

Le protocole IKE (Internet Key Exchange) est une norme de protocole de gestion de clé. IKE est
utilisé conjointement avec la norme IPsec. IKE négocie automatiquement les associations de sécurité
IPsec et active les communications sécurisées IPsec. IKE améliore IPsec en ajoutant des
fonctionnalités et simplifie la configuration pour le standard IPsec. Sans IKE en place, la configuration
IPsec constituerait un processus de configuration manuel complexe qui n'évoluerait pas correctement.

Phases de négociation IKE


Phase 1: ISAKMP (Internet Security Association Key Management Protocol)

• L’objectif est d’établir une IKE SA (Security Associations)


• La phase peut être complétée en :
▪ Mode principal (Main Mode) : La négociation échange six messages entre pairs. Il
assure l’anonymat des paires à l’aide du chiffrement des derniers messages
▪ Mode agressif (Aggressive mode) : La négociation échange trois messages entre
pairs. Il est plus rapide mais ne présente pas les avantage du mode principal
• Deux pairs IPsec effectuent la négociation initiale des associations de sécurité (SA)
• Les négociations SA sont bidirectionnelles ; les données peuvent être envoyées et reçues en
utilisant la même clé de cryptage

Phase 2 : quick mode

• L’objectif est d’établir une IPsec SA


• Négocie les paramètres de sécurité IPsec, appelés IPsec transform sets.
• Renégociation périodique les SA IPsec pour assurer la sécurité.
• Effectue éventuellement un échange DH supplémentaire
• Les négociations des SA sont Unidirectionnelles

Implémentation de VPN IPsec site à site


La négociation VPN IPsec implique plusieurs étapes, notamment les phases 1 et 2 de la négociation
IKE :

• Etape 1 : déterminer le trafic qui doit passer par le tunnel VPN


• Etape 2 : Phase 1 de IKE commence. Les pairs IPsec négocient la politique établie de
l'association de sécurité IKE (SA)
• Etape 3 : Phase 2 de IKE commence. Les pairs IPSec utilisent le tunnel sécurisé authentifié
pour négocier IPsec SA transforme
• Etape 4 : Le tunnel IPsec est créé et les données sont transférées entre les homologues IPsec
en fonction des paramètres IPsec configurés.
• Etape 5 : Le tunnel IPsec se termine lorsque les SA IPSec sont supprimés ou lorsque leur
durée de vie expire

Certaines tâches de base doivent être terminées pour configurer un VPN IPsec de site à site :

• Tâche 1 : Vérifier que les ACL configurées sur l'interface sont compatibles avec la
configuration IPsec.

R1(config)#ip access-list extended ACL

Réalisation : Omar OUGHZAL Page 12 sur 72


CCNA Sécurité ISTA KHENIFRA

R1(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255


R1(config-ext-nacl)#Exit

• Tâche 2 : Créer une politique ISAKMP pour déterminer les paramètres ISAKMP qui seront
utilisés pour établir le tunnel

R1(config)#! Security Association IKE : phase 1


R1(config)#crypto isakmp policy 1
R1(config-isakmp)#!HAGLE
R1(config-isakmp)#Hash sha256
R1(config-isakmp)#!PSK
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#group 19
R1(config-isakmp)#lifetime 3600
R1(config-isakmp)#encryption aes 256
R1(config-isakmp)#Exit
R1(config)#!clé partagé
R1(config)#crypto isakmp key cisco address 172.16.1.2

• Tâche 3 : Définissez le jeu de transformations IPsec. La définition du jeu de transformations


définit les paramètres utilisés par le tunnel IPsec. L'ensemble peut inclure les algorithmes de
chiffrement et d'intégrité.

R1(config)#! encapsulation AH et/ou ESP : phase 2


R1(config)#crypto ipsec transform-set TRI esp-aes esp-sha256-hmac

• Tâche 4 : Créez et appliquez une Crypto Map qui La carte de chiffrement regroupe les
paramètres précédemment configurés et définit les périphériques homologues IPsec.

R1(config)#!créer MAP IPsec


R1(config)#crypto map TRI 1 ipsec-isakmp
R1(config-crypto-map)#!définir le trafic qui va passer par le tunnel VPN
R1(config-crypto-map)#match address ACL
R1(config-crypto-map)#set peer 172.16.1.2
R1(config-crypto-map)#set transform-set TRI

• Tâche 5 : appliquer la Crypto Map à l'interface sortante du périphérique VPN.

R1(config)#!lier MAP avec l'interface de sortie vers l'internet


R1(config)#interface g0/1
R1(config-if)#ip address 172.16.1.1
R1(config-if)# no shutdown
R1(config-if)#crypto map TRI

Réalisation : Omar OUGHZAL Page 13 sur 72


CCNA Sécurité ISTA KHENIFRA

Chapitre 09 : Implémentation de Cisco ASA


CCNA Security

Les pare-feu ASA (Adaptive Security Appliance)


Cisco ASA est un dispositif de sécurité combinant des fonctionnalités de pare-feu, d'antivirus, de
prévention des intrusions et de réseau privé virtuel (VPN). Il fournit une défense proactive contre les
menaces qui arrête les attaques avant qu'elles ne se propagent sur le réseau.

Modes de pare-feu routés et transparents


Il existe deux modes de fonctionnement de pare-feu disponibles sur les périphériques ASA :

• Mode routé : Deux interfaces ou plus séparent les réseaux de couche 3. L'ASA est considéré
comme un saut de routeur dans le réseau et peut effectuer un NAT entre des réseaux
connectés. Le mode routé prend en charge plusieurs interfaces. Chaque interface est sur un
sous-réseau différent et requiert une adresse IP sur ce sous-réseau. L'ASA applique la
politique aux flux lorsqu'ils transitent par le pare-feu.
• Mode transparent : Souvent désignée par le terme « coup de poing » ou « pare-feu furtif »,
l'ASA fonctionnant comme un périphérique de couche 2 et n'étant pas considéré comme un
saut de routeur, une adresse IP n'est assignée à l'ASA sur le réseau local qu'à des fins de
gestion. Ce mode est utile pour simplifier une configuration réseau ou lorsque l’adressage IP
existant ne peut pas être modifié. Toutefois, les inconvénients ne comprennent pas la prise en
charge des protocoles de routage dynamique, des VPN, de la qualité de service ou du relais
DHCP.

NB : Ce chapitre est consacré au mode routé.

Niveaux de sécurité ASA


L'ASA assigne des niveaux de sécurité pour distinguer les réseaux internes et externes. Les niveaux de
sécurité définissent le niveau de fiabilité d'une interface. Plus le niveau est élevé, plus l'interface est
fiable. Les niveaux de niveau de sécurité vont de 0 (non fiable) à 100 (très fiable). Chaque
interface opérationnelle doit avoir un nom et un niveau de sécurité.

• Lorsque le trafic passe d'une interface à niveau de sécurité supérieur à une interface à niveau
de sécurité inférieur, il est considéré comme du trafic sortant.
• Lorsque le trafic passant d'une interface avec un niveau de sécurité inférieur à une interface
avec un niveau de sécurité supérieur est considéré comme un trafic entrant.

Les niveaux de sécurité permettent de contrôler de nombreux aspects du trafic réseau :

• Accès réseau : Par défaut, il existe une autorisation implicite d'une interface de sécurité
supérieure à une interface de sécurité inférieure (sortante).
• Moteur d'inspection : Certains moteurs d'inspection d'applications dépendent du niveau de
sécurité. Lorsque les interfaces ont le même niveau de sécurité, l'ASA inspecte le trafic dans
un sens ou dans l'autre.

Réalisation : Omar OUGHZAL Page 14 sur 72


CCNA Sécurité ISTA KHENIFRA

• Filtrage d'application : Les filtres HTTP (S) et FTP ne s'appliquent qu'aux connexions
sortantes, d'un niveau supérieur à un niveau inférieur. Si la communication est activée pour
des interfaces avec le même niveau de sécurité, le trafic peut être filtré dans les deux sens.

La configuration du pare-feu ASA

ASA CLI Vs IOS CLI


Bien que la CLI ASA utilise plusieurs commandes similaires à CLI IOS, il existe également de
nombreuses commandes ASA différentes :

CLI IOS ASA CLI


Enable secret Password Enable password Password
Line Console 0
Password password Password password
login
Ip route Route outside
Show ip interface brief show interfaces ip brief
Show ip route Show route
Show vlan Show switch vlan
Show ip nat translations Show xlate
Copy running-config startup-config Write memory
Erase startup-config Write erase

Configuration des paramètres de base


Pour configurer les paramètres sur un ASA 5505, procédez comme suit :

1. Configurer les paramètres de gestion de base (nom d'hôte, nom de domaine et mot de passe
Enable, …)

ASA(config)# hostname ASA


ASA(config)# domain-name OFPPT.COM
ASA(config)# enable password cisco

2. Configurez les SVI) intérieur (Inside) et extérieur (Outside)

Il y a deux types d'interfaces qui doivent être configurés :


• Interfaces logiques de VLAN : Ces interfaces sont configurées avec les informations de
couche 3, notamment un nom, un niveau de sécurité et une adresse IP.
• Ports de commutateur physiques : il s'agit des ports de commutateur de couche 2
affectés aux interfaces logiques de VLAN.
ASA(config)# interface vlan 1
ASA(config-if)# nameif Inside
ASA(config-if)# security-level 100
ASA(config-if)# ip address 192.168.1.1 255.255.255.0
ASA(config-if)# no shutdown
ASA(config-if)# exit
ASA(config)# interface vlan 2
ASA(config-if)# nameif Outside

Réalisation : Omar OUGHZAL Page 15 sur 72


CCNA Sécurité ISTA KHENIFRA

ASA(config-if)# security-level 0
ASA(config-if)# ip address 192.168.2.1 255.255.255.0
ASA(config-if)# no shutdown
3. Affecter des ports de couche 2 aux VLANs

ASA(config)# interface e0/0


ASA(config-if)# switchport access vlan 1
ASA(config-if)# interface e0/1
ASA(config-if)# switchport access vlan 2
4. Activer l’accès Telnet, SSH, and HTTPS

ASA(config-if)#!Cnfiguration telnet
ASA(config)# passwd cisco
ASA(config)# ! n'accepté que les connections suivantes : 192.168.1.x vlan Inside
ASA(config)# telnet 192.168.1.0 255.255.255.0 inside
ASA(config)# username admin password cisco
ASA(config)# aaa authentication telnet console LOCAL
ASA(config)#!Configuration SSH
ASA(config)# domain-name ista.com
ASA(config)# crypto key generate rsa modulus 2048
ASA(config)# ssh 192.168.1.0 255.255.255.0 inside
ASA(config)# aaa authentication ssh console LOCAL
ASA(config)# ssh version 2
ASA(config)# ! Activer le serveur HTTP
ASA(config)# http server enable
ASA(config)# http 192.168.1.0 255.255.255.0 Inside
5. Configurer NTP

ASA(config)# ntp authenticate


ASA(config)# ntp trusted-key 1
ASA(config)# ntp authentication-key 1 md5 cisco
ASA(config)# ntp server 192.168.1.150 key 1 ! optionnelle
6. Configurer la route par défaut

ASA(config)# route Outside 0.0.0.0 0.0.0.0 192.168.1.200

Configuration de serveur DHCP


ASA(config)#!Configuration DHCP
ASA(config)# dhcpd address 192.168.1.10-192.168.1.30 inside
ASA(config)# dhcpd dns 208.67.222.222 208.67.220.220
ASA(config)# dhcpd lease 86400
ASA(config)# dhcpd enable inside

Introduction aux objets et aux groupes d'objets


Les objets sont créés et utilisés par l'ASA à la place d'une adresse IP en ligne dans une configuration
donnée. Un objet peut être défini avec une adresse IP particulière, un sous-réseau complet, une plage
d'adresses, un protocole, un port spécifique ou une plage de ports. L'objet peut ensuite être réutilisé
dans plusieurs configurations.

Réalisation : Omar OUGHZAL Page 16 sur 72


CCNA Sécurité ISTA KHENIFRA

L'avantage est que, lorsqu'un objet est modifié, la modification est automatiquement appliquée à toutes
les règles qui utilisent l'objet spécifié. Par conséquent, les objets facilitent la maintenance des
configurations.

ASA(config)# !Configuer les Objects


ASA(config)# object network PC1
ASA(config-network-object)# host 192.168.1.20
ASA(config-network-object)# exit
ASA(config)# object network Range1
ASA(config-network-object)# range 192.168.1.30 192.168.1.50
ASA(config-network-object)# exit
ASA(config)# object network Reaseau1
ASA(config-network-object)# subnet 192.168.1.64 255.255.255.240
ASA(config-network-object)# exit
ASA(config)# object service SSH1
ASA(config-service-object)# service tcp destination eq ssh
ASA(config-service-object)# exit
ASA(config)#!Configurer un groupe d'objet
ASA(config)# object-group network Reseaux
ASA(config-network-object-group)# network-object object PC1
ASA(config-network-object-group)# network-object host 192.168.1.22
ASA(config-network-object-group)# network-object 192.168.1.16 255.255.255.240
ASA(config-network-object-group)#exit
ASA(config)# object-group service Services1
ASA(config-service-object-group)# service-object object SSH1
ASA(config-service-object-group)# service-object tcp destination eq www
ASA(config-service-object-group)# port-object eq 23
ASA(config-service-object-group)# port-object range 1000 2000

Configuration des ACL


ASA(config)# access-list ACL-in extended permit ip any any
ASA(config)# access-group ACL-in in interface Outside
ASA(config)#! masque normal pas le masque générique
ASA(config)# access-list ACL2 standard permit 192.168.1.0 255.255.255.0
ASA(config)#! Appliquer une ACL
ASA(config)# access-group ACL1 in interface Inside

Configuration du service NAT


ASA(config)# object network Nat
ASA(config-network-object)# subnet 192.168.0.0 255.255.255.0
ASA(config-network-object)# nat (inside,outside) dynamic Net1
ASA(config-network-object)# exit
ASA(config)# show xlate

Configuration de AAA
ASA(config)#aaa-server TRI-T protocol tacacs+

Réalisation : Omar OUGHZAL Page 17 sur 72


CCNA Sécurité ISTA KHENIFRA

ASA(config)# aaa-server TRI-T (DMZ) host 192.168.10.10 ciscoKey


ASA(config)# aaa-server TRI-R protocol radius
ASA(config)# aaa-server TRI-R (DMZ) host 192.168.1.90 ciscoKey
ASA(config)# aaa authentication telnet console TRI-T LOCAL
ASA(config)# aaa authentication ssh console TRI-T LOCAL
ASA(config)# aaa authentication http console TRI-T LOCAL
ASA(config)# aaa authentication serial console TRI-T LOCAL

Réalisation : Omar OUGHZAL Page 18 sur 72

Vous aimerez peut-être aussi