Académique Documents
Professionnel Documents
Culture Documents
Ecole : ensak
qui ont mis tout en œuvre pour que mon stage se déroule dans
Mme. rawya .
Pour finir , je mentionne que durant ces deux mois de stage ,le
voulu me témoigner n’ont pas été perdus. Ils m’ont donné envie
03 virtualisation
c. Les exceptions
3.Modèle de transport
a. Modèle OSI
b. Modèle TCP/IP
4,L’adresse IPv4
5.L’adresse IPv6
6. IPv6 et IPv4
7. Dns
8. VLAN
10. NAT
a. types du nat
b. Implémentation du NAT
c. Problèmes inhérents
d. Bénéfices du NAT
requises:
f.2.Étapes pour configurer le NAT statique sur les appareils Cisco via CLI
1.Vulnérabilités
2. Menaces
3. Attaques
4. Risques
7. HSRP
a.Configuration du routeur 1
b.Configuration du tracking
8. Cryptographie
1.notions:
a.isolateur
b. Hyperviseur de type
c. Hyperviseur de type
3.proxmox
pourquoi utiliser proxmox
a.LXC
b.KVM
<!--argon2I -->
protocole IP. Actuellement, elle est mondialement utilisée dans sa version 4, une
255, séparés par des points. De ce fait, l’adresse IP la plus basse est 0.0.0.0 et la plus
sur Internet. Les protocoles IP sont au niveau 3 dans le modèle OSI. Les protocoles IP
paquets, est une technique utilisée pour le transfert de données informatiques dans
les circuits virtuels (données transmises avec connexions connues dans le réseau).
Internet est un réseau informatique mondial accessible au public. Il s'agit d'un
le podcasting, la téléconférence.
Les ports sont des numéro dans chaque paquet IP qui permet de savoir à tel ou
de ports en plus des adresses IP (On l'appelle UDP/IP car il fonctionne au dessus d'IP).
Chaque adresse IP appartient à une classe qui correspond à une plage d’adresses
fait d’avoir des classes d’adresses permet d’adapter l’adressage selon la taille du réseau
publiques).
publiques).
l’IETF).
que l’on peut utiliser dans un réseau local (LAN) c'est-à-dire dans le réseau de votre
pas être utilisées sur internet (car elles ne peuvent pas être routées sur internet), les
hôtes qui les utilisent sont visibles uniquement dans votre réseau local. Les classes A,
globale.
utilisées dans un réseau local mais uniquement sur internet. Les routeurs (par
exemple : votre box) disposent d’une adresse IP publique côté internet, ce qui rend
votre box visible sur internet (elle répondra au ping). Mais aussi, lorsque vous accédez
à un site web vous utilisez l’adresse publique du serveur web.
Une adresse IP publique est unique dans le monde, ce qui n’est pas le cas des
adresses privées qui doivent être unique dans un même réseau local mais pas au
niveau planétaire étant donné que ces adresses ne peuvent pas être routées sur
internet.
C qui ne font pas partie de la plage d’adresses privées de ces classes ou des exceptions
de la classe A.
- Le réseau 127.0.0.0 est réservé pour les tests de boucle locale avec
- Le réseau 0.0.0.0 est lui aussi réservé (et utilisé notamment pour définir une
3.Modèle de transport
façon sommaire comment l’information est transmise, en tous les cas quels sont les
principes qui ont été retenus. Les modèles d’architecture réseau sont composés de
couches, relativement indépendantes les unes des autres. On part des applications
est plus rapide, s’il y a une erreur ou une perte, il n’y a pas tout le message à renvoyer,
Pour uniformiser les protocoles utilisés lors des communications entre les
OSI n’est pas une architecture réseau, car il ne décrit pas explicitement les protocoles
mis en jeu. Elle précise seulement le rôle de chaque couche. Ce modèle est composé de
7 couches
couche réseau. • Fractionne les données en trame • Transmet ces trames • Gère les
reçues de la couche physique . • Contrôle de flux pour éviter un trop grand afflux de
messages sont découpés en unités plus petites (but : Ne pas engorger le réseau), de les
entre les données entre les différentes applications. Elle crypte, reformate,
compresse…
donc des services via des protocoles (messagerie, accès au web…). Quelques
présente que 4 (ou 5) couches , et dont les débuts (université de Berkeley en 74 sous
Unix) ont été couronnés de succès. L’avènement d’internet lui assurera de devenir le
modèle retenu.
Les principes qui ont conduit à ces 7 couches sont les suivants :
une couche doit être créée lorsqu’un nouveau niveau d’abstraction est
nécessaire,
le nombre de couches doit être tel qu’il n’y ait pas cohabitation de
la gestion des échanges entre systèmes informatiques. Par ailleurs, les couches 1 à 3
interviennent entre machines voisines, et non entre les machines d’extrémité qui
peuvent être séparées par plusieurs routeurs. Les couches 4 à 7 sont au contraire des
La chose la plus frappante à propos du modèle OSI est que c’est peut-être la
pas le modèle qui a su s’imposer. Les spécialistes qui ont analysé cet échec en ont
Le modèle OSI était idéalement placé par rapport à la recherche, mais hélas, le
modèle TCP/IP était déjà en phase d’investissement prononcé (lorsque le modèle OSI
est sorti, les universités américaines utilisaient déjà largement TCP/IP avec un certain
Le modèle OSI est peut-être trop complet et trop complexe. La distance entre
modèle : les couches session et présentation sont fort peu utilisées et à l’inverse les
OSI est en fait trop complexe pour pouvoir être proprement et efficacement
un rôle bien déterminé à chaque couche ainsi complétée. Ce modèle est également
efficace.
La plus grosse critique que l’on peut faire au modèle est qu’il n’est pas du tout
effectués sont en désaccord avec la façon dont les ordinateurs et les logiciels
signaler les événements, et sur des langages de programmation de haut niveau, cela
Cela tient tout simplement du fait que le modèle est relativement complexe, et
Berkeley (BSD) était gratuite et relativement efficace. Historiquement, les gens ont
A l’inverse, TCP/IP est venu d’Unix et a été tout de suite utilisé, qui plus est par
des centres de recherches et les universités, c’est-à-dire les premiers a avoir utilisé les
balancé par une implémentation rapide et efficace, et une utilisation dans un milieu
propice à sa propagation.
modèle en 1994, OSI a clairement perdu la guerre face à TCP/IP. Seuls quelques
Le modèle OSI restera cependant encore longtemps dans les mémoires pour
plusieurs raisons. C’est d’abord l’un des premiers grands efforts en matière de
faire avec TCP/IP, mais aussi le WAP, l’UMTS etc. ce qu’il devait faire avec OSI, à savoir
proposer des normalisations dès le départ. OSI marquera aussi les mémoires pour une
autre raison : même si c’est TCP/IP qui est concrètement utilisé, les gens ont tendance
et utilisent OSI comme le modèle réseau de référence actuel. En fait, TCP/IP et OSI ont
des structures très proches, et c’est surtout l’effort de normalisation d’OSI qui a
différents.
Quand vous envoyez un paquet IP sur Internet, il passe par des dizaines d'ordinateurs.
Ça peut être gênant : imaginez un ordre de débit sur votre compte bancaire arrivant
Même si le paquet arrive à destination, rien ne vous permet de savoir si le paquet est
Comment faire pour envoyer la photo JPEG du petit dernier qui fait 62000 octets ? (la
de découper les gros paquets de données en paquets plus petits pour que IP les
accepte
de numéroter les paquets, et à la réception de vérifier qu'ils sont tous bien arrivés,
de redemander les paquets manquants et de les réassembler avant de les donner aux
logiciels. Des accusés de réception sont envoyés pour prévenir l'expéditeur que les
Par exemple, pour envoyer le message "Salut, comment ça va ?", voilà ce que fait TCP
"Salut, comment ça va ?" à partir des 3 paquets IP reçus et le donne au logiciel qui est
Avec TCP/IP, on peut maintenant communiquer de façon fiable entre logiciels situés
recevoir des pages HTML, des images GIF, JPG et toutes sortes d'autres données.
FTP est un protocole qui permet d'envoyer et recevoir des fichiers. Il utilise également
TCP/IP.
Votre logiciel de courrier électronique utilise les protocoles SMTP et POP3 pour
envoyer et recevoir des emails. SMTP et POP3 utilisent eux aussi TCP/IP.
Votre navigateur (et d'autres logiciels) utilisent le protocole DNS pour trouver
Il existe ainsi des centaines de protocoles différents qui utilisent TCP/IP ou UDP/IP.
L'avantage de TCP sur UDP est que TCP permet des communications fiables.
L'inconvénient est qu'il nécessite une négociation ("Bonjour, prêt à communiquer ?"
faire autorité.
Elle est en fait composée de deux couches : Physique et
câbles, ondes… La couche liaison spécifie le moyen utilisé pour acheminer les données
Lorsque deux terminaux communiquent entre eux via ce protocole, aucun chemin
pour le transfert des données n'est établi à l'avance : il est dit que le protocole est «
non orienté connexion ». Ainsi les paquets envoyés peuvent arriver dans le désordre
car ils n’auront pas suivi la même route. C’est le protocole transport qui se chargera de
OSI. Les protocoles utilisés à ce niveau sont TCP et UDP. TCP est fiable, acheminant
sans erreur les paquets à destination, utilisant des services d’acquittement, de gestion
du temps d’attente… UDP est non fiable mais plus rapide. Il est utilisé dans les liaisons
voix IP, où l’on prèfére perdre quelques données qu’attendre. Utilisé aussi pour le
réseaux n’utilisent que très peu, ou pas , les couches session et présentation. Cette
couche regroupe toute les protocoles de haut niveau (FTP, SMTP, HTTP, DNS…). Cette
L’adresse IP IPv4 est codée en décimale sur 4 octets dont chacun peut avoir un
numéro compris entre 0 à 255. Chaque octet est séparé par un point (ex. :
192.168.10.1). L’adresse IP IPv4 est le protocole qu’on utilise aujourd’hui. C’est ce qui
5.L’adresse IPv6
Ce type d’Internet Protocole est assez récent par rapport à l’IPv4. C’est une
version améliorée de l’IPv4. Elle n’est plus codée en décimale en 4 octets, mais en
hexadécimal sur 16 octets dont 8 parties telles que chaque partie est sur 2 octets. Au
lieu d’un point comme séparation, les 8 parties de l’adresse IPv6 sont séparées par
6. IPv6 et IPv4
La grande différence entre l’IPv4 et l’IPv6 est le nombre d’adresses IP. Celui de
l’IPv6 est beaucoup plus nombreux par rapport à celui de l’IPv4. C’est ce qui permet
de mettre au point un réseau encore plus vaste. L’adresse IPv4 a été créée en 1981 et
sa taille est de 32 bits. Quant à l’IPv6, elle a été créée en 1990 et sa taille est de 128
bits.
protocole IPv4 par IPv6 sur internet. Vu que les deux adresses ne sont compatibles, la
communication entre un hôte qui dispose d’une adresse IPv6 et d’un autre utilisant
l’IPv4 est donc impossible. Afin de permettre l’échange entre les deux, il existe deux
7. Dns
IP propre. Cependant, les utilisateurs ne veulent pas travailler avec des adresses
plus explicites (appelées adresses FQDN pour Fully Qualified Domain Name) du
type www.ensa.uit.ac.ma Ainsi, il est possible d'associer des noms en langage courant
aux adresses numériques grâce à un système appelé DNS (Domain Name System).
Donc le DNS (Domain Name System) est un service permettant d'établir une
correspondance entre un nom de domaine et une adresse IP. Il s'agit donc d'un
système essentiel à Internet afin de ne pas avoir à saisir des adresses IP à longueur de
temps.
Ce système propose :
noms.
♯ L'espace de noms
il s'appuie sur une structure arborescente dans laquelle sont définis des domaines de
niveau supérieurs (appelés TLD, pour Top Level Domains), rattachés à un noeud
nom de domaine : chaque noeud de l'arbre. Chaque noeud possède une étiquette (en
L'ensemble des noms de domaine constitue ainsi un arbre inversé où chaque noeud
L'extrémité d'une branche est appelée hôte, et correspond à une machine ou une
entité du réseau. Le nom d'hôte qui lui est attribué doit être unique dans le domaine
arborescence, séparées par des points, et terminé par un point final, est appelé
adresse FQDN (Fully Qualified Domain Name, soit Nom de Domaine Totalement
Qualifié).
maximale d'un nom FQDN est de 255 caractères. L'adresse FQDN permet de repérer
primaire » (primary domain name server), ainsi qu'un serveur de noms secondaire
Chaque serveur de nom est déclaré dans à un serveur de nom de domaine de niveau
les domaines. Le système de nom est une architecture distribuée, où chaque entité est
Les serveurs correspondant aux domaines de plus haut niveau (TLD) sont appelés
« serveurs de noms racine ». Il en existe treize, répartis sur la planète, possédant les
noms « a.root-servers.net » à « m.root-servers.net ».
Chaque ordinateur doit être configuré avec l'adresse d'une machine capable de
transformer n'importe quel nom en une adresse IP. Cette machine est appelée Domain
Name Server. Pas de panique: lorsque vous vous connectez à internet, le fournisseur
L'adresse IP d'un second Domain Name Server (secondary Domain Name Server) doit
Le serveur le plus répandu s'appelle BIND (Berkeley Internet Name Domain). Il s'agit
d'un logiciel libre disponible sous les systèmes UNIX, développé initialement par
Systems Consortium).
Une requête est ainsi envoyée au premier serveur de noms (appelé « serveur de nom
l'application, dans le cas contraire il interroge un serveur racine (dans notre cas un
serveur racine correspondant au TLD « .net »). Le serveur de nom racine renvoie une
liste de serveurs de noms faisant autorité sur le domaine (dans le cas présent les
Le serveur de noms primaire faisant autorité sur le domaine va alors être interrogé et
cas www).
enregistrements de chaque domaine possèdent une durée de vie, appelée TTL (Time
connaître la date de péremption des informations et ainsi savoir s'il est nécessaire ou
non de la revérifier.
Nom de domaine : le nom de domaine doit être un nom FQDN, c'est-à-dire être
terminé par un point. Si le point est omis, le nom de domaine est relatif, c'est-à-dire
Type : une valeur sur 16 bits spécifiant le type de ressource décrit par
une adresse IP. Par ailleurs il peut exister plusieurs enregistrements A, correspondant
Il est particulièrement utile pour fournir des noms alternatifs correspondant aux
serveur de courrier sortant interroge le serveur de nom ayant autorité sur le domaine
afin d'obtenir l'enregistrement MX. Il peut exister plusieurs MX par domaine, afin de
l'enregistrement MX permet de définir une priorité avec une valeur pouvant aller de 0
à 65 535 :
8. VLAN
Un VLAN (Virtual Local Area Network ou Virtual LAN, en français Réseau Local Virtuel)
physique.
En effet dans un réseau local la communication entre les différentes machines est
régie par l'architecture physique. Grâce aux réseaux virtuels (VLANs) il est possible de
auquel il s'effectue :
Un VLAN de niveau 1 (aussi appelés VLAN par port, en anglais Port-Based VLAN)
Un VLAN de niveau 2 (également appelé VLAN MAC, VLAN par adresse IEEE ou en
anglais MAC Address-Based VLAN) consiste à définir un réseau virtuel en fonction des
adresses MAC des stations. Ce type de VLAN est beaucoup plus souple que le VLAN par
Le VLAN par sous-réseau (en anglais Network Address-Based VLAN) associe des sous-
réseaux selon l'adresse IP source des datagrammes. Ce type de solution apporte une
Le VLAN par protocole (en anglais Protocol-Based VLAN) permet de créer un réseau
virtuel par type de protocole (par exemple TCP/IP, IPX, AppleTalk, etc.), regroupant
ainsi toutes les machines utilisant le même protocole au sein d'un même réseau.
Gain en sécurité car les informations sont encapsulées dans un niveau supplémentaire
et éventuellement analysées
Switch(config)#vlan 2
Switch(config)#vlan 3
On a maintenant creee les vlan mais le plus important est d’aasigner les ports
Switch(config)#int fa0/0
Switch(config)#int fa0/1
9. Routage inter-vlan
Il se peut qu’un besoin de communication se fasse entre les deux groupes de travail. Il
est alors possible de faire communiquer deux Vlans sans pour autant compromettre
leur sécurité.
Pour cela nous utilisons un routeur relié à un des deux switchs. Nous appelons ce type
intermédiaire d'un seul lien physique router et faire transiter un ensemble de VLAN.
On aurait également pu mettre en place un switch de niveau trois qui aurai été capable
Plusieurs Vlans peuvent avoir pour passerelle un même port physique du routeur qui
port du routeur selon les Vlans à router et ainsi créer une multitude de passerelles
Nous allons donc créer nos interface virtuelles sur le port Fa0/0 de notre routeur. Il
faut tout d'abord absolument activer l'interface physique pour que les interfaces
Router#enable
Router#configuration terminal
Router(config)#interface fa0/0
Router(config-if)#no shutdown
Router(config-if)#exit
physique fa0/0),nous dirons que ce port virtuel sur la passerelle des postes du VLAN
20 :
Router(config)#interface fa0/0.1
Router(config-subif)#encapsulation dot1Q 20
Router(config-subif)#exit
Nous faisons pareil pour l'interface fa0/0.2 et les postes du réseau du vlan 30
Router(config)#interface fa0/0.2
Router(config-subif)#encapsulation dot1Q 30
Router(config-subif)#no shutdown
Router(config-subif)#exit
trame 802.1q indique que les trames sont étiquetées pour contenir le numéro de vlan
permet donc d'encapsuler une trame pour transiter sur le vlan 30 si elle est destinée à
celui ci. Le routeur a besoin de cette information par exemple quand il voit une trame
venant du vlan 20 (étiquetée vlan 20) qui souhaite se diriger sur le vlan 30. Il change
donc à ce moment la son étiquetage 802.1q pour que les switchs puissent
correctement acheminé la trame vers le ou les postes du vlan 30. N'oublions pas notre
switch ! Il faut également mettre le port fa0/24 de notre "Switch2" (qui fait la liaison
avec le routeur) en mode trunk pour que lui aussi puisse acheminer toutes les VLANs
vers et depuis le routeur :
Switch(config)#interface fa0/24
Switch(config-if)#no shutdown
Switch(config-if)#exit
10. NAT
courant est de permettre à des machines disposant d'adresses privées qui font partie
avec le reste d'Internet en utilisant vers l'extérieur des adresses externes publiques,
uniques et routables.
Ainsi, il est possible de faire correspondre une seule adresse externe publique visible
sur Internet à toutes les adresses d'un réseau privé, afin de pallier l'épuisement des
adresses IPv4.
La fonction NAT dans un routeur de service intégré (ISR) traduit une adresse IP
Ce procédé est très largement utilisé par les box internet (ou modem routeur) des
fournisseurs d’accès pour cacher les ordinateurs personnels derrière une seule
identification publique. Il est également utilisé de façon similaire dans des réseaux
privés virtuels.
NAT permet à un seul appareil, tel qu'un routeur, d'agir comme un agent entre
Internet (ou réseau public) et un réseau local (ou réseau privé), ce qui signifie qu'une
seule adresse IP unique est requise pour représenter un groupe entier d'ordinateurs à
publiques.
Traduction d'adresse de port (PAT) - une adresse IP publique est utilisée pour tous les
périphériques internes, mais un port différent est attribué à chaque adresse IP privée.
sont stockées dans une table sous forme de paires (adresse interne, adresse externe).
Lorsqu'une trame est émise depuis une adresse interne vers l'extérieur, elle traverse le
routeur NAT qui remplace, dans l'en-tête du paquet TCP/IP, l'adresse de l'émetteur
correspondant à cette connexion doit être routée vers l'adresse interne. Aussi, on peut
réutiliser une entrée dans la table de correspondance du NAT si aucun trafic avec ces
Voici par exemple une table de NAT simplifiée. On supposera qu'une entrée pourra
être réclamée si la traduction n'a pas été utilisée depuis plus de 3 600 secondes.
La première ligne indique que la machine interne, possédant l'adresse IP 10.101.10.20
est traduite en 193.48.100.174 quand elle converse avec le monde extérieur. Elle n'a
pas émis de paquet depuis 1 200 secondes, mais la limite étant 3 600, cette entrée
dans la table lui est toujours assignée. La seconde machine est restée inactive pendant
plus de 3 600 secondes, elle est peut-être éteinte, une autre machine peut reprendre
cette entrée (en modifiant la première colonne puisqu'elle n'aura pas la même IP
Bien que certaines applications s'en accommodent sans difficulté, le NAT n'est pas
Les communications entre postes qui se situent derrière des NAT posent un
problème quand un NAT est traversé, car il n'est pas possible pour un hôte qui reçoit
La traversée d'un NAT empêche alors plus d'une session sortante par adresse
publique.
rsh et rlogin utilisent un socket initié par le serveur vers le client pour l'erreur
standard.
l'adresse IP de l'hôte source dans un paquet, ou des numéros de ports. Cette adresse
n'étant pas valide après avoir traversé le routeur NAT, elle ne peut être utilisée par la
machine destinataire. Ces protocoles sont dits « passant difficilement les pare-feu »,
car ils échangent au niveau applicatif (FTP) des informations du niveau IP (échange
Les adresses internes peuvent être choisies parmi les adresses définies dans la RFC
1918. Ainsi plusieurs sites peuvent avoir le même adressage interne et communiquer
entre eux en utilisant ce mécanisme. Étant donné que les adresses internes sont
à saturation.
On peut avoir moins d'adresses dans l'ensemble des adresses externes que ce qu'on a
ceci un bail). Plus précisément, si une entrée dans la table des traductions n'est pas
cette entrée peut-être réutilisée : une autre machine avec une adresse interne va
On estime parfois que le NAT apporte un bénéfice du point de vue de la sécurité car
les adresses internes sont dissimulées. La sécurité des équipements derrière un NAT
n'est cependant pas supérieure à celle qu'un pare-feu à états peut fournir
inside
outside
3. Configurer une ACL contenant une liste des adresses source internes qui
seront traduites
activation.
Router#configure terminal
Entrez les commandes de configuration, une par ligne. Terminez avec CNTL / Z.
Router(config)#
Router(config)#interface fa0/0
Router(config-if)#exit
Router(config)#interface eth0/0/0
Router(config-if)#exit
5. Configurez une ACL contenant une liste des adresses source internes qui
seront traduites.
réseau 192.168.0.0/24.
adresses spécifiées dans la liste d'accès 1 dans le pool d'adresses globales appelé
MY_POOL.
Router(config)#exit
Router#
configuration NAT.
de la commande ci-dessous
Router#write memory
Router#
Le NAT statique n'est pas souvent utilisé car il nécessite une adresse IP publique
PUBLIC_IP
outside
activation.
Router#configure terminal
Entrez les commandes de configuration, une par ligne. Terminez avec CNTL / Z.
Router(config)#
Router(config)#interface fa0/0
Router(config-if)#exit
Router(config)#interface fa0/1
Router(config-if)#exit
Router(config)#exit
Router#
configuration NAT.
8. Copiez la configuration en cours dans la configuration de démarrage à l'aide
de la commande ci-dessous
Router#write memory
Router#
1. Vulnérabilités
Tous les actifs d’un système d’information peuvent faire l’objet de vulnérabilités, soit
d’une faiblesse qui pourrait compromettre un critère de sécurité défini comme l’accès
Un exploit est une charge informatique ou un outil qui permet d’“exploiter” une
2. Menaces
Une menace est l’action probable qu’une personne malveillante puisse mener grâce à
un “exploit” contre une faiblesse en vue d’atteindre à sa sécurité. Une menace est une
# Code malveillant
# Perte de service
# Stagiaire malintentionné
3. Attaques
Une attaque est l’action malveillante destinée à porter atteinte à la sécurité d’un bien.
d’une vulnérabilité.
4. Risques
Une fois les objectifs de sécurisation déterminés, les risques d’attaque pesant sur
vulnérabilités.
Le niveau global de sécurité des systèmes d’information est défini par le niveau de
d’occurrence).
Attaque de reconnaissance
Eavesdropping attack
Malwares
Vulnérabilités des mots de passe
Attaques IP
Attaques TCP
Vulnérabilités humaines
Attaque de reconnaissance
Eavesdropping attack
Types de Malwares
comportements sociaux.
Pharming : Utilise des services légitimes pour envoyer des utilisateurs vers un site
compromis.
d’adresses MAC non autorisées sur le port, une action est prise.
Switchport-Port Security permet donc de contrôler au plus bas niveau les accès au
réseau. Elle fait partie de l’arsenal disponible pour contrer des attaques de bas niveau
# BPDU Guard
# DHCP Snooping
Une seule adresse MAC est apprise dynamiquement et elle la seule autorisée.
(config)#interface G0/1
(config-if)#switchport port-security
Une “Violation” est une action prise en cas de non-respect d’une règle port-security.
Mode protect : dès que la “violation” est constatée, le port arrête de transférer le trafic
Mode restrict : dès que la “violation” est constatée, le port arrête de transférer le trafic
Mode shutdown : dès que la “violation” est constatée, le port passe en état err-
Diagnostic :
#show port-security
#show running-config
“continuité de service” implémenté dans les routeurs Cisco pour la gestion des “liens
de secours”.
virtuel à partir de 2 (ou plus) routeurs physiques : un “actif” et l'autre (ou les autres)
“en attente” (ou ”standby”) en fonction des priorités accordées à chacun de ces
routeurs.
HSRP est un protocole propriétaire aux équipements Cisco et il n'est pas activé par
défaut.
Les communications HSRP entre les routeurs participant au routeur virtuel se font par
l'envoi de paquets Multicast (224.0.0.2) vers le port 1985 des routeurs concernés.
le protocole HSRP utilise pour authentifier les requêtes un mot de passe qui transite
en clair sur le réseau (même principe que les noms de communauté SNMP - Simple
En effet, bien que les messages HSPR sont de type Multicast, les paquets de type
Unicast sont acceptés et traités par HSRP. Les paquets HSRP, ayant pour adresse de
contraintes de sécurité liées au trafic Multicast (le trafic Multicast peut être parfois
(11.2.x, 12.1.x), le port 1985 relatif au protocole HSRP était ouvert même si HSRP
Pour une sécurité plus optimale, Cisco propose d'utiliser IPSec ou un autre protocole :
De son côté Cisco a prévu deux types d'amélioration pour son protocole HSRP :
relatifs à HSRP
HSRP (Hot Standby Routing Protocol) est un protocole propriétaire crée par
Cisco et très utilisé aujourd’hui dans nos LAN. De ce protocole est dérivé VRRP
(Virtual Router Redundancy Protocol), normalisé et utilisé chez la plupart des autres
apparaît.
redondance.
Le PC1 veut envoyer une requête sur Internet. R1 et R2 sont donc capables de router
sa demande. Nous allons voir la configuration nécessaire afin que R1 soit le routeur
problèmes.
Les interfaces Serial 0/0 des routeurs sont pour les liens vers Internet et les
Il faut de toute façon affecter une adresse IP physique réelle à chacune des interfaces
R1(config-if)#standby 1 ip 192.168.0.1
R1(config-if)#standby 1 preempt
Le denier paramètre “preempt” permet d’accélérer le processus d’élection. Le routeur
avec la plus haute priorité sera élu, même si un nouveau routeur avec une priorité plus
R2(config-if)#standby 1 ip 192.168.0.1
R2(config-if)#standby 1 preempt
La priorité n’est pas définie ici, en effet par défaut elle est à 100. Donc R1 avec sa
Les requêtes du PC1 seront donc envoyées vers R1 de façon transparente. Si jamais R1
devient inactif, la requête sera redirigée alors vers R2 sans aucun changement de
configuration.
Notre configuration est valide mais qu’arrive-t-il si le lien du Serial 0/0 du R1 est
coupé ?
Le HSRP restera identique car le routeur lui-même n’est pas tombé ou le lien vers le
LAN !!
Le décrément est, par défaut, de 10 par interface surveillée mais ce nombre peut être
surveillée devient inactive elle sera, par défaut, réduite de 10. Sa priorité passera donc
à 95.
La priorité HSRP de R2 étant, par défaut, de 100, R2 deviendra donc actif à la place de
R1 !
Routeur 1 :
10) :
Routeur 1 :
Malgré que Le protocole HSRP est très répandu avec du matériel Cisco sur les LAN. Vu
qu’il permet une souplesse de configuration sur tous les matériels Cisco, y compris
En effet, le protocole HSRP utilise pour authentifier les requêtes un mot de passe qui
transite en clair sur le réseau (même principe que les noms de communauté SNMP -
Au-delà de cette faiblesse, il existe aussi un problème dans la gestion des adresses IP
par HSRP. En effet, bien que les messages HSPR sont de type Multicast, les paquets de
type Unicast sont acceptés et traités par HSRP. Cela signifie que les paquets HSRP,
ayant pour adresse de destination celle du routeur, seront traités par ce dernier sans
s'affranchissant des contraintes de sécurité liées au trafic Multicast (le trafic Multicast
8. Cryptographie
inintelligibles sans une action spécifique. Le verbe crypter est parfois utilisé mais on
La cryptologie est essentiellement basée sur l'arithmétique : Il s'agit dans le cas d'un
chiffres (sous forme de bits dans le cas de l'informatique car le fonctionnement des
ordinateurs est basé sur le binaire), puis ensuite de faire des calculs sur ces chiffres
pour :
d'une part les modifier de telle façon à les rendre incompréhensibles. Le résultat
anglais ciphertext) par opposition au message initial, appelé message en clair (en
anglais plaintext) ;
Environment ou VE).
1. Notions
# couche
......d'abstraction
.
............matérielle et/ou logicielle ;
# syst
....è.
me
..d'exploitation
..............h.
ô.
.te.(installé directement sur le matériel) ;
# syst
....è.
mes
.d'exploitation
.. .
.............(ou applications, ou encore ensemble d'applications)
« virtualisé(s) » ou « invité(s) » ;
# partitionnement
............... , isolation et/ou partage des ressources physiques et/ou
logicielles ;
# .
images
..... manipulables
............ : démarrage, arrêt, gel, clonage, sauvegarde et
une autre ;
# .
ré.
seau
....virtuel
.
......: réseau purement logiciel, interne à la machine hôte, entre
n’était pas conçue pour ça. Cette solution est très performante, du fait du peu
d'overhead (temps passé par un système à ne rien faire d'autre que se gérer),
plusieurs formes.
de Microsoft et qui
exemple). Actuellement
l’hyperviseur est la
méthode de virtualisation
d'infrastructure la plus
données.
Par exemple : Citrix Xen Server (libre), VMware vSphere (anciennement VMware
virtualise ou/et émule le matériel pour les OS invités, ces derniers croient
dialoguer directement avec ledit matériel. Cette solution est très comparable à
le microprocesseur, la mémoire
Cette solution isole bien les OS invités, mais elle a un coût en performance. Ce
coût peut être très élevé si le processeur doit être émulé, comme cela est le cas
OS hétérogènes sur une même machine grâce à une isolation complète. Les
échanges entre les machines se font via les canaux standards de communication
d’échange permet d’émuler des cartes réseaux virtuelles sur une seule carte
réseau réelle.
libre basée sur l'hyperviseur Linux KVM, et offre aussi une solution de containers
avec LXC. C'est une solution de virtualisation de type "bare metal". La base du
VMware.
L’outil propose une interface Web, accessible après l’installation sur votre
version 3 (GNU AGPL, v3). Cela signifie que vous pouvez librement visualiser,
modifier et supprimer le code source, et distribuer votre propre version, tant que
réseau privé entre les machines virtuelles. Des options VLANsont également
disponibles.
ultérieur. Bien sûr, il est également possible pour les utilisateurs de télécharger
✓ Sauvegarde planifiée : une interface utilisateur est fournie aux utilisateurs afin
supportées :
KVM. Elles sont toutes les deux excellentes, mais Il existe quelques
fonctionner. Pour cette raison, certaines fonctionnalités sont limitées, telles que :
✓ Peut être plus performant que KVM car il n’y a pas de surcharge d’hyperviseur.
✓ Étant donné que les frais généraux sont inférieurs, le coût global
fonctionnalités qui ne sont pas prises en charge, comme dans le cas de LXC. Les
serveurs KVM exécutent leur propre système d’exploitation, avec son propre
Proxmox VE »
En installation actuellement :
Apres des simple configuration , tel que nom adresse ip , passerelle …
Pour finir, vous aurez à l’écran un rappel de l’URL d’accès à l’interface
Reboot » :
Vous pouvez maintenant vous connecter à votre serveur via votre navigateur en
utilisant l’URL notée précédemment avec le port 8006. Une fois sur l’interface, il
faudra vous authentifier avec le mot de passe root en sélectionnant « Linux PAM
Installation du protocol ssh, après la vérification. ssh n'est pas encore installer tu
On va commencer par
ne peut se permettre
IP régulièrement:
le serveur DHCPv4 il
on se rend dans le
gestionnaire de serveur,
fonctionnalités »:
sur « Suivant ».
Une fenêtre vous expliquant le rôle d’un serveur DHCP apparaîtra, cliquez sur
« Suivant ».
Vous pouvez maintenant installer les rôles Serveur DHCP, cliquez sur « Installer »:
Pour pouvoir
configurer notre
serveur DHCP, on se
rend dans
le gestionnaire de
Cliquez sur
« Gestionnaire
DHCP »:
Dans cette fenêtre on clique droit sur IPv4 puis on va définir une nouvelle
étendue:
On définit un nom à l’entendue, dans notre cadre d’étude nous avons définit le
nom « PPEIPv4-SDIS29 »:
serveur DHCP):
Puis on définit la durée du bail:
compromettant. C’est pour ça que nous allons voir comment mettre en place une
Pour le Load Balancing, les deux serveurs DHCP fonctionnent en même temps et
l’administrateur).
La première chose à faire est d’installer le rôle DHCP sur notre deuxième serveur
DHCP:
Inutile de configurer une étendue sur votre second serveur DHCP,
redondance nous
Balancing.
allons utiliser le
mode Failover:
Après avoir configuré notre basculement nous allons maintenant voir si ça
fonctionne.
On éteint le serveur DHCP Maître afin de voir si l’esclave va prendre le relais, une
fois le serveur éteint on peut voir que le serveur esclave a bien reçu la
/release et
un ipconfig/renew afin
configuration IP.
Passons maintenant a linux : problèmes réseau et assurer des
Par défaut wireshark est déjà installe fonctionnement des réseaux que
dans kali linux , on est censée de l’ouvrir d’analyser du trafic sous le microscope
Wireshark est un logiciel open source s’agit d’un puissant outil de capture de
d’analyse des protocoles réseau créé paquets. Pour rester du côté lumineux
développeurs gère aujourd’hui cet outil vous avez l’autorisation d’inspecter les
protocole ou type.
capture :
adresse IP donnée
Pour inspecter le contenu d'une
choisissez Suivre le flux TCP. Une fenêtre Pour résumé , il suffit de taper le
résultats apparut .
informations d'identification
échéant.
Dans le cadre du sécurité réseau , on développe un site web qui a comme but la criptographie .
Donc il a pour rôle ; crypter le text donnée en différents forme selon le choix de l’utilisateur ,
<body>
<form action="<?php echo $_SERVER['PHP_SELF']; ?>" method="post">
<p>donner le text a chiffrer en sha256 </p>
<input type="text" name="texto1" placeholder="le text ">
<button type="submit" name="btn1">chiffrer le text </button>
</form>
</body>
</html>
<?php
if(isset($_POST['btn1'])):
$text = $_POST['texto1'];
$textsha256 = hash('sha256',$text);
echo "<h4>en SHA256: $textsha256</h4>";
endif;
?>
<!-- pr sha512 -->
<?php
if(isset($_POST['btn3'])):
$text = $_POST['texto3'];
$textsha512 = hash('sha512',$text);
echo "<h4>en SHA512: $textsha512</h4>";
endif;
?>
<!-- base64 (shit alt a) -->
<?php
if(isset($_POST['btn4'])):
$text = $_POST['texto4'];
$textBase64 = base64_encode($text);
echo "<h4>en Base64: $textBase64</h4>";
endif;
?>
<!-- Bcrypt -->
<?php
if(isset($_POST['btn5'])):
$text = $_POST['texto5'];
$textBcrypt = password_hash($text,PASSWORD_DEFAULT);
echo "<h4>Em Bcrypt: $textBcrypt</h4>";
endif;
?>
<!--argon2I -->
<?php
if(isset($_POST['btn6'])):
$text = $_POST['texto6'];
$textARGON2I = password_hash($text,PASSWORD_ARGON2I);
echo "<h4>en ARGON2I: $textARGON2I</h4>";
endif;
?>
Le résultat est :
En Bcrypt :
En sha256 :
En md5 :
En aron21 :