29/03/2022 CCNA SEC

ESSENTIALS
Terminologies et définitions

Etablissements:
ECOLE SUPERIEURE MULTINATIONALE DE TE-
LECOMMUNICATIONS
 Révision CCNA SEC
Attaque d'inondation TCP SYN : inonder un hôte de requêtes SYN afin que l'hôte victime envoie
une réponse SYN-ACK, puis remplisse sa table de connexion

Attaque Ping of Death : spécifier qu'un segment est supérieur à 65 535 octets, ce qui correspond à la
taille maximale des paquets ; le système qui reçoit cette requête remplira sa mémoire tampon puis
plantera

Usurpation d'adresse IP : utilisez une adresse IP source différente de la véritable adresse IP source

Usurpation d'adresse MAC : utiliser une adresse MAC qui n'est pas la sienne

Usurpation d'application ou de service : ex : usurpation d'identité DHCP

- usurpation de serveur : avoir un serveur DHCP défectueux sur le réseau qui répond aux requêtes
avant le vrai serveur DHCP
- client spoofing : l'attaquant demande plusieurs requêtes DHCP et épuise le pool DHCP

Réflexion : type de type DoS comme l'attaque TCP SYN

Nécessite une petite réponse de la victime, mais plusieurs demandes ralentiront la demande

Amplification : Une petite demande mérite une grande réponse

attaque smurf : l'attaquant envoie des demandes d'écho ICMP à l'adresse de diffusion d'un réseau à
l'aide d'une adresse IP usurpée. le véritable hôte avec cette adresse IP recevra de nombreuses
réponses ICMP

Commande pour atténuer l'attaque de smurf : 1. Allez dans l'interface et tapez

pas de diffusion dirigée par IP

Commande monlist : renvoie l'adresse des 600 dernières machines avec lesquelles le serveur NTP a
interagi ; la réponse est BEAUCOUP plus grande que la demande envoyée

Ingénierie sociale : capitaliser sur les comportements attendus

c'est-à-dire - hameçonnage

Spear phishing : e-mails envoyés à des groupes plus restreints et ciblés

chasse à la baleine : comme le spear phishing mais pour des groupes plus importants

Pharming : compromet les noms pour envoyer les gens à la mauvaise adresse
c'est-à-dire ajouter une fausse entrée DNS afin que les gens soient dirigés vers un mauvais site

Point d'eau : sites compromettants qu'une personne visite régulièrement

vishing : identique au phishing mais pour les systèmes vocaux et téléphoniques

smishing : identique au phishing mais utilise les SMS

Deviner : saisissez manuellement les mots de passe ou utilisez un outil logiciel pour automatiser le
processus
Force brute : réalisée par des programmes informatiques appelés "casseurs de mots de passe"

attaques par dictionnaire : utilisez des listes de mots pour structurer les tentatives de connexion

attaque par mot de passe en ligne : l'attaquant tente à plusieurs reprises de se connecter ;
l'administrateur peut verrouiller automatiquement le compte après trop de mauvaises tentatives

attaque par mot de passe hors ligne : l'attaquant capture le mot de passe ou la forme cryptée du mot
de passe et le pirate peut faire plusieurs tentatives pour déchiffrer le mot de passe sans se faire
remarquer

Débordement de la mémoire tampon : l'attaquant insère une entrée plus grande que prévu et le
service acceptera l'entrée et la fera planter

Man in the middle attack : un système a la capacité de visualiser la communication entre deux
systèmes
nécessitent des attaques réussies contre le routage IP ou les protocoles (ARP, DNS, DHCP) et
entraînent une mauvaise direction du trafic

homme passif au milieu de l'attaque : l'attaquant vole des informations confidentielles

active man in the middle attack : les attaquants modifient les données en transit ou injectent leurs
propres données

virus : insère une copie de lui-même dans un autre programme et devient une partie de ce
programme. se propage d'un ordinateur à un autre
nécessite une aide humaine - comme l'insertion d'une clé USB

vers : similaires aux virus car ils se répliquent

cependant, ils sont autonomes et ne nécessitent pas de programme hôte pour s'exécuter ; entre dans
l'ordinateur via une vulnérabilité

chevaux de Troie : logiciels nuisibles qui semblent légitimes ; après son exécution, il peut
supprimer ou voler des fichiers, etc. ne pas se reproduire ou s'auto-répliquer

APT : un logiciel malveillant est utilisé ici ; attaques avancées

méthodologie:
1. compromis initial
2. augmentation des privilèges
3. reconnaissance interne
4. propagation latérale
5. achèvement de la mission

façons dont les données peuvent quitter l'organisation sans autorisation : pièces jointes aux e-mails
appareils non chiffrés
services de stockage en nuage
périphériques de stockage amovibles
contrôle d'accès inapproprié

sectools.org : interroge la communauté de la sécurité réseau pour connaître ses outils de sécurité
préférés
kali linux : contient plus de trois cents outils de sécurité dans une distribution Linux basée sur
Debian

metasploit : fournit aux ingénieurs un moyen de développer et de tester le code d'exploitation ;

abaissé le seuil d'expérience permettant aux attaquants novices d'effectuer des attaques
sophistiquées

Fonctionnalités NGFW : protection avancée contre les menaces et les logiciels malveillants
politiques basées sur la visibilité des applications plutôt que sur les ports ou les protocoles
Filtrage d'URL
fournir des indications exploitables de compromis pour identifier l'activité des logiciels malveillants
visibilité complète du réseau
réduire la complexité
s'intègre et s'interface en douceur avec d'autres solutions de sécurité

IPS : effectue une analyse approfondie du trafic réseau ; rechercher des signes de comportement
suspect ; peut compléter un pare-feu

inspection basée sur les signatures : examine les en-têtes de paquet ou les charges utiles de données
et compare les données à une base de données de signatures d'attaque connues

doit être continuellement mis à jour pour être efficace

Inspection basée sur les anomalies : agit en cas d'événement réseau en dehors du comportement
normal du réseau
deux types : détection d'anomalies statistiques et vérification de protocole

détection d'anomalies statistiques : observe le trafic réseau dans le temps et construit un modèle
statistique des modèles de trafic normaux

protocol verificaition : compare les protocoles standard utilisés et les compare à d'éventuelles
anomalies

inspection basée sur une politique : analyse les modèles et prend des mesures s'il détecte un
événement réseau en dehors d'une politique de trafic configurée

VPN : virtuel, privé, réseau ; transporte du trafic privé sur une infrastructure publique ou partagée ;
appliqué à la couche réseau du modèle OSI pour chiffrer le flux de trafic

chiffrement de lien : trame entière chiffrée entre deux appareils ; utilisé sur des appareils point à
point directement connectés

cryptage de la charge utile du paquet : seule la charge utile du paquet est cryptée, ce qui permet à ce
paquet d'être acheminé sur Internet

VPN de site à site : infrastructure WAN basée sur Internet pour connecter les succursales, les
bureaux à domicile et les sites de partenaires commerciaux à tout ou partie d'un réseau

VPN d'accès à distance : communications sécurisées pour l'accès à distance aux réseaux et aux
applications
- utiliser un logiciel client VPN
- ou un navigateur Web compatible SSL
Cisco email security appliance (ESA) : type de pare-feu surveillant le trafic SMTP pouvant
- bloquer les nouvelles attaques mixtes basées sur les e-mails
- contrôler ou chiffrer les e-mails sortants sensibles
- taux de capture de spam rapide et peu de faux positifs
- solution audiovisuelle zéro heure éprouvée

Appliance de sécurité Web Cisco (WSA) : accès Web sécurisé, sécurité du contenu et atténuation
des menaces pour les services Web
- protection MW avancée
- visibilité de l'application
- rapports
- mobilité sécurisée

sécurité des terminaux : réside sur les terminaux pour les protéger
trois sortes :
- fw personnel
- Commutateur AV
-Logiciel AS

fw personnel : protège uniquement l'appareil sur lequel ils sont installés

Logiciel AV : prévient et supprime les virus informatiques et autres types de logiciels malveillants

logiciel anti-espion : détecte et supprime les logiciels espions

les logiciels espions affichent des publicités et suivent les informations sur votre appareil sans votre
consentement

journalisation (syslog) : collecte les messages des appareils et les envoie à un serveur central
exécutant un démon syslog

les périphériques cisco peuvent envoyer des messages de journal à un service syslog de style unix

SIEM : technologie qui peut rendre la tâche de collecte et de corrélation des logs beaucoup plus
facile

ALE = (AV*EF)*ARO : ALE = espérance de perte annualisée

VA = valeur de l'actif
EF = facteur d'exposition
SLE = AV*EF = espérance de perte unique
ARO = taux d'occurrence annualisé

PCI DSS : norme de sécurité des données de l'industrie des cartes de paiement
standard pour gérer les cartes de crédit

SOX : sarbanes-oxley
protéger les actionnaires et le grand public des erreurs comptables et des pratiques frauduleuses
dans l'entreprise

FISMA : loi fédérale sur la gestion de la sécurité de l'information

renforcer la sécurité informatique et réseau du gouvernement américain en exigeant des audits
annuels
GLBA : loi gramm-leach-bliley
les entreprises doivent dire à leurs clients quel type de données elles prévoient de partager avec qui
et donner aux clients la possibilité de se retirer

LPRPDE : loi sur la protection des renseignements personnels et les documents électroniques
loi canadienne sur la confidentialité des données

Directive sur la protection des données : réglemente le traitement des données personnelles au sein
de l'UE

bâle II : deuxième des accords de bâle qui sont des recommandations sur les lois et réglementations
bancaires

DMCA : loi sur le droit d'auteur du millénaire numérique

contrôler l'accès aux œuvres protégées par le droit d'auteur

Loi sur la sphère de sécurité : le transfert de données ne peut avoir lieu que s'il existe une
détermination de processus et de garanties de confidentialité adéquats en place

zone intérieure : réseau privé ; seule l'organisation peut y accéder

extérieur : réseau public ; ne contrôle pas l'organisation

DMZ : services appartenant à l'organisation, mais des personnes extérieures peuvent y accéder
Cisco ESA est généralement déployé dans la DMZ

intranet : réseau contrôlé par l'organisation

extranet : réseau sous le contrôle d'une autre organisation mais il existe un certain degré de
confiance entre eux ; connectivité spéciale comme VPN

Internet : Internet public

plan de données : possibilité de formater les données

plan de contrôle : possibilité de router les données

BGP, OSPF, EIGRP

plan de gestion : capacité à gérer ; le trafic envoyé aux appareils qui est utilisé pour configurer et
surveiller
SSH, SNMP, FTP

sécurisation du plan de gestion : AAA pour contrôler ce que les administrateurs peuvent faire
ACL utilisées pour limiter les adresses IP autorisées à se connecter à l'appareil
Utiliser SSH au lieu de telnet
HTTPS au lieu de HTTP
SNMPv3

Sécuriser le plan de contrôle : valider les pairs de routage et empêcher la falsification des données
de routage partagées entre les routeurs
CoPP et CPPr facilitent le contrôle du trafic envoyé au processeur de routage pour éviter que le
processeur de routage ne soit submergé et n'affecte les performances du système

sécurisation du plan de données : dispositifs de sécurité réseau qui fournissent des services
spécialisés pour sécuriser le plan de données ; Pare-feu, IPS, VPN

Cipher : algorithme pour effectuer le chiffrement et le déchiffrement

chiffre de substitution : substituer une lettre à une autre

chiffrement polyalphabétique : basé sur la substitution, utilisant plusieurs alphabets de substitution

chiffres de transposition : réarrangez les lettres au lieu de les remplacer ; également connu sous le
nom de permutation

DES et 3DES l'utilisent dans le cadre de l'algorithme

tampon unique : chiffre vernam ; applique le XOR (ou exclusif) au texte en clair avec une clé

hachage : fonction mathématique à sens unique facile à calculer mais difficile à inverser
pu de données dans la fonction de hachage et le résultat est le hachage de longueur fixe (digest ou
empreinte digitale)
lorsque les mêmes données passent à nouveau par le hachage, les données sont identiques

deux parties peuvent utiliser une fonction de hachage et une clé secrète pour vérifier l'intégrité des
données

les plus courants : MD5, SHA-1, SHA-2

Somme de contrôle CRC : détecte les erreurs aléatoires dans les données numériques
généralement 32 bits

MD5 : algorithme de hachage ubiquitaire ; non recommandé pour les nouvelles applications

fonction à sens unique qui facilite le calcul d'un hachage à partir des données d'entrée données

résistant aux collisions

produit un résumé de 128 bits

SHA-1 : similaire à MD4

prend un message d'une longueur maximale de 2 ^ 64 mais

produit un résumé de 160 bits

SHA-2 : spécifie 6 SHA - SHA-224, 256, (longueur de message de 2^64) 384, 512/224, 512, 256
(longueur de message de 2^128)

chiffrer les données de la couche application : les messages électroniques avec PGP

chiffrer les données de la couche session : SSL ou TLS

chiffrer les données de la couche réseau : mode tunnel IPsec

crypter la couche de transport : mode de transport IPSEC

chiffrer la couche de liaison de données : MACsec

algorithme de chiffrement symétrique : utilise la même clé pour chiffrer et déchiffrer les données

cryptanalyse : casser les codes pour obtenir le sens des données chiffrées

attaque par force brute : l'attaquant essaie toutes les clés possibles avec l'algorithme de décryptage

attaque par texte chiffré uniquement : l'attaquant dispose du texte chiffré de plusieurs messages qui
ont été chiffrés à l'aide du même algorithme de chiffrement, mais l'attaquant ne sait pas quel est le
texte en clair

attaque de texte en clair connu : l'attaquant a accès au texte chiffré de plusieurs messages, mais sait
également quelque chose sur le texte en clair qui sous-tend le texte chiffré

attaque en texte clair choisi : l'attaquant choisit les données que le dispositif de chiffrement chiffre
et observe la sortie du texte chiffré

attaque par texte chiffré choisi : l'attaquant peut choisir un texte chiffré différent à déchiffrer et a
accès au texte clair déchiffré

attaque d'anniversaire : statistique élevée que deux individus partagent le même anniversaire...
répétant différentes entrées, la même sortie est attendue plusieurs fois

rencontre au milieu : attaque de texte en clair connu ; l'attaquant connaît une partie du texte en clair
et le texte chiffré correspondant

algorithmes de chiffrement symétriques : même clé utilisée pour chiffrer et déchiffrer

DES, 3DES, AES, IDEA, RC2/4/5/6, poisson-globe

4 - 256 bits de longueur

les protocoles qui chiffrent les données en bloc en temps réel comme SSH, SSL et IPSEC utiliseront
le chiffrement symétrique

Mode bloc : divise les données en blocs à chiffrer

BCE
Radio-Canada

ECB : bloc de code électronique

chaque bloc chiffré individuellement

CBC : chaînage de blocs de chiffrement

effectuer XOR d'abord puis ECB
DES : clé 56 bits

mode bloc

3DES : appliquer DES trois fois de suite à un bloc de texte en clair

pas:
1. le message est crypté à l'aide de la première clé de 56 bits (K1)
2. le message est déchiffré à l'aide de la deuxième clé de 56 bits (K2)
3. les données sont à nouveau cryptées à l'aide de la troisième clé de 56 bits (K3)

longueur de clé de 168 bits

AES : chiffrement par blocs itéré - le bloc d'entrée initial et la clé de chiffrement subissent plusieurs
cycles de transformation avant de produire une sortie

utilise des clés de longueur 128, 192, 256 pour chiffrer des blocs de 128 bits

la taille du bloc correspond à la taille de la clé choisie

RC4 : utilisé pour le trafic Web comme SSL/TLS

mode flux : crypte chaque bit individuel

algorithme de chiffrement asymétrique : utilisez une paire de clés pour le chiffrement et le

déchiffrement ; avoir une clé privée et une clé publique

plus lent que l'alogirthme symétrique

ex : RSA, DSA, ElGamal, courbe elliptique

RSA : le plus courant ; facile à comprendre et à mettre en œuvre

chaque entité a une clé publique et une clé privée

généralement changé après quelques mois

PGP : cryptage commun pour les e-mails

les deux parties génèrent des paires de clés publiques/privées et partagent des clés publiques entre
elles

le contenu des e-mails est crypté deux fois : une fois avec la clé privée de l'expéditeur et une autre
fois avec la clé publique du destinataire

chiffrer avec une clé privée personnelle et envoyer pour authentification

chiffrer avec la clé publique d'une autre personne pour la confidentialité

Processus de connexion SSHv1 : 1. le client se connecte au serveur et le serveur présente au client

sa clé publique
2. le client et le serveur négocient sur un algorithme de chiffrement symétrique mutuellement pris
en charge
3. le client construit une clé de session de la longueur appropriée pour prendre en charge
l'algorithme de chiffrement convenu. le client crypte la clé de session avec la clé publique du
serveur
4. le client envoie la clé de session cryptée au serveur ; le serveur déchiffre à l'aide de sa clé privée
5. maintenant, l'utilisateur peut s'authentifier et les informations d'identification et les données de
l'utilisateur sont protégées

Digital Signatures : Utilise le hachage et le cryptage asymétrique pour produire une signature
numérique

Pas
1. mettre doc texte clair à travers hash alg
2. cryptez ceci avec une clé privée
3. apposez cette signature à la fin du document en texte clair
4. envoyer au destinataire
5. le destinataire prendra le document en texte clair et le soumettra à l'algorithme de hachage
6. il prendra également la signature et déchiffrera avec la clé publique
7. il correspondra aux deux pour la vérification de l'authenticité

Signatures numériques RSA : basées sur une fonction de hachage et un algorithme à clé publique

processus de signature :
1. le signataire fait un hachage, l'empreinte digitale du document ; qui identifie de manière unique le
document et tous ses contenus
2. le signataire crypte le hachage avec uniquement la clé privée du signataire
3. le hachage crypté (signature) est ajouté au document

Processus de vérification
1. le vérificateur obtient la clé publique du signataire
2. le vérificateur déchiffre la signature à l'aide de la clé publique du signataire pour dévoiler la
valeur de hachage
3. le vérificateur effectue un hachage du document sans la signature et compare le hachage au
hachage de signature déchiffré ; si le hachage correspond, le document est authentique

SPA
SSA : le logiciel Cisco IOS est identifié par une extension à trois caractères dans le nom de l'image

premier S = confirme qu'il s'agit d'un logiciel signé numériquement

P = image de production ; S = image spéciale

Version de clé A+ ; quand la clé est changée, elle passe à B, C etc...

Commande qui vérifie l'intégrité de l'image : afficher l'authenticité du logiciel en cours d'exécution

ou afficher le flash du fichier d'authenticité du logiciel : (nom du fichier)

PKI : les entités s'inscrivent auprès d'une PKI et reçoivent des certificats d'identité signés par une
autorité de certification. L'ICP est utilisée pour s'assurer que la clé publique que vous recevez est
bien celle de la personne visée et non celle d'un pirate
exemple simple : le serveur fournit à CA sa clé publique, CA répond en lui donnant un certificat et
la signature numérique de CA ; le serveur envoie au client la clé publique qui est signée par l'AC, le
client vérifie l'empreinte numérique de l'AC

utilise le hachage et le cryptage asymétrique pour vérifier le certificat

important pour les VPN

Autorité de certification : tiers de confiance qui signe les clés publiques des entités dans un système
basé sur PKI

le système n'accepte le certificat numérique signé que s'il fait confiance à l'autorité de certification

un peu comme un permis de conduire que vous pouvez montrer à plusieurs endroits pour prouver
que vous êtes bien celui que vous prétendez être

certificat : document qui lie le nom de l'entité et sa clé publique qui a été signé par l'AC

étapes pour obtenir le certificat d'identité : 1. l'administrateur système s'inscrit auprès de la PKI
2. obtenir le certificat d'identité de l'AC
3. créer un CSR (demande de signature de certificat) contenant des informations d'identité associées
au système d'inscription
4. si la demande est approuvée, l'AC prendra les données d'identité du CSR et ajoutera les données
spécifiées par l'AC comme le numéro de série du certificat, les dates, l'algorithme de signature
5. si signera le certificat en hachant les données du certificat et en chiffrant le hachage avec sa clé
privée
6. certificat signé disponible via le système

certificat CA racine : systèmes qui doivent valider le certificat d'identité d'autres systèmes

protocoles de révocation de certificat : CRL

OCSP

CRL : - la liste des numéros de série de certificats révoqués est distribuée sous la forme d'un fichier
signé par l'autorité de certification et horodaté
- Les entités PKI interrogent le référentiel CRL pour recevoir la CRL actuelle
- fenêtre d'opportunité pour les attaquants alors que la nouvelle CRL n'est pas encore mise à jour

OCSP : - informations immédiatement transmises à la base de données

- peut interroger le serveur OCSP à tout moment pour vérifier la validité du certificat

SSL/TLS : utilisation la plus largement visible de l'authentification par les pairs basée sur des
certificats

utilise PKI pour authentifier les systèmes homologues et la cryptographie à clé publique

Étapes du tunnel VPN SSL : (entre le navigateur Web et le serveur)

1. l'utilisateur se connecte au port 443

2. le serveur répond avec un certificat d'identité signé contenant la clé publique du serveur
3. le logiciel utilisateur vérifie la signature ou l'identité de la clé publique
4, le logiciel utilisateur crée une clé secrète partagée
5. la clé secrète partagée est cryptée avec la clé publique du serveur et envoyée sur
6. Le chiffrement en bloc se produit à l'aide de la clé secrète partagée

composants de gestion des clés : procédures de vérification des clés

stockage des clés
mécanisme d'échange de clés sécurisé
révocation et destruction de clé

espace clé : ensemble de toutes les valeurs clés possibles

AAA : authentification, autorisation et comptabilité

authentification : l'utilisateur est invité à présenter son identité ; c'est-à-dire un mot de passe

peut être associé à un accès réseau et un accès administrateur

ex : utiliser un client VPN pour se connecter au réseau de l'entreprise à partir d'autres emplacements

comptabilité : enregistrement des détails de la transaction

base de données AAA locale : stockée sur des périphériques locaux dans la configuration
Facile
utilisé comme base de données AAA de secours

base de données AAA centralisée : stockée sur des serveurs AAA

évolutif

Bases de données AAA : utilisez une base de données locale sur des périphériques réseau
individuels

Stockage de données AAA directement dans la configuration de l'appareil

Protocoles AAA : RADIUS et TACACS

permettre aux périphériques réseau individuels de communiquer avec des ressources AAA
centralisées

RADIUS : utilisé dans de nombreuses technologies

UDP 1645 ou 1812 pour l'authentification et l'autorisation

1646 ou 1813 pour la comptabilité

chiffre uniquement le mot de passe

combine autorisation et authentification

utilisé pour l'accès des utilisateurs aux ressources du réseau

TACACS+ : port TCP 49

sépare AAA en processus individuels

associé à l'accès administrateur aux périphériques réseau

crypte toutes les communications entre le client et le serveur

Serveurs AAA : ressources centralisées pour AAA

Produits Cisco : ACS et ISE

consulte LDAP pour le référentiel d'ID utilisateur

consultera d'autres systèmes pour d'autres composants de la politique AAA

Cisco ACS : serveur AAA robuste qui offre à la fois TACAC+ et RADIUS dans un seul système

centraliser à la fois les politiques d'accès au réseau des utilisateurs et les politiques d'accès des
administrateurs des périphériques réseau sur un seul serveur

Cisco ISE : système de gestion des identités de nouvelle génération qui ajoute des fonctionnalités
comme profilage, évaluation de la posture et authentification Web centralisée

ne prend en charge que RADIUS

commande pour générer une paire de clés publique/privée sur un routeur : crypto key generate rsa
general-keys modulus 1024

activer SSH : 1. doit définir le nom d'hôte et le nom de domaine

- nom d'hôte ____
- nom de domaine ip _____
2. générer maintenant la paire de clés privée et publique
- la clé de chiffrement génère les clés générales rsa module 1024
3. définir une connexion locale
- nom d'utilisateur _____ secret _____
4. allez maintenant dans la configuration ssh vty
ligne vty 0 4
- connexion locale (utilisera la connexion qui a été définie dans 3 lorsque ssh dans l'appareil)
- transport input ssh (pour prendre en charge ssh comme seul protocole acceptable pour les lignes
vty) Si au lieu de ssh vous utilisez tout cela autorise telnet et qu'aucun n'autorise la connexion à
distance

> niveau privé-: mode utilisateur, mode niveau

# niveau privé : mode privilégié ; niveau 15

comment définir quelles commandes vous pouvez utiliser avec quel niveau de privilège : 1. donnez
un mot de passe secret au niveau 3
- activer le niveau secret 3 _________
2. définir ce que le niveau 3 peut utiliser
privilège exec (il s'agit du niveau actuel auquel se trouve la commande) niveau 3 show running-
config
privilège exec niveau 3 configurer le terminal
privilège configurer l'interface de niveau 3
interface privilège tous niveau 3 ip
implémenter AAA local : 1. aaa new-model (active aaa sur un appareil)
2. connexion d'authentification aaa {par défaut | nom-liste} method1 method 2 etc
- aaa authentification login local par défaut

spécifie une liste de méthodes d'autorisation

3. aaa autorisation exec {défaut | nom-liste} method1 method2 etc
- aaa autorisation exec par défaut local
spécifie comment un utilisateur est autorisé à se connecter au processus d'exécution de l'appareil

4. nom d'utilisateur (nom) privilège (niveau) secret (mot de passe)

vue de l'analyseur : spécifie un ensemble de commandes disponibles pour les administrateurs

travaillant avec une vue

la vue racine est nommée par défaut

configurer la vue de l'analyseur pour un groupe : 1. créer une vue de l'analyseur avec un nom
- vue de l'analyseur VPN-Admin
2. donnez-lui un mot de passe
- secret (mot de passe)
3. définir toutes les commandes que cette vue peut utiliser
les commandes exec incluent tous show
les commandes exec incluent toutes les cryptos de débogage
les commandes exec incluent tout pas de débogage

4. accédez à votre vue

activer la vue VPN-admin
afficher la vue de l'analyseur

activer la vue racine dans le périphérique Cisco : activer la vue racine

autorisation de vues à l'aide d'un AAA local : nom d'utilisateur (nom d'utilisateur) vue (nom de la
vue de l'analyseur) secret (mot de passe)

Processus d'authentification (TACAC) utilisant des serveurs centralisés : 1. le client établit une
connexion avec le routeur
2. le routeur défie l'utilisateur pour le nom d'utilisateur et le mot de passe
3. le client répond avec un nom d'utilisateur et un mot de passe
4. le routeur transmet le nom d'utilisateur et le mot de passe au serveur TACACS+
5. Le serveur TACACs+ consulte le LDAP
6. sur la base des informations du LDAP, le serveur TACACS+ informe le routeur que l'utilisateur
est authentifié
7. le routeur transmet les résultats de l'authentification au client

configurez le routeur pour définir un serveur TACACS+ : 1. enable aaa

- aaa nouveau modèle
2. définir le serveur tacacs et lui donner un nom
- serveur tacacs (nom du serveur)
3. indiquez l'adresse IP
adresse ipv6 (adresse IP)
4. définir la clé
clé (clé)

5. revenez maintenant en mode conf et définissez qui doit utiliser le serveur tacacs pour
l'authentification et l'autorisation
- groupe par défaut de connexion d'authentification aaa tacacs + local
- cela dit pour la connexion, utilisez le serveur tacacs ou la base de données locale comme solution
de repli pour vous authentifier
- aaa authentication exec groupe par défaut tacacs+ local
- pour le mode exec, vérifiez avec le serveur tacacs ou local
- commandes d'autorisation aaa 15 tacacs de groupe par défaut + local
- commandes de configuration d'autorisation aaa

cela se connectera au serveur tacacs lorsqu'un utilisateur se connecte et se déconnecte du mode exec
- aaa account exec default start-stop group tacacs+
- commandes de comptabilité aaa 15 tacacs de groupe d'arrêt uniquement par défaut +

préfixes du système de fichiers :

1. clignoter :
2. nvram :
3. système :
4. TFTP :
5. FTP :
6. scp :: 1. périphérique flash principal (flash0 :) mais flash : est son alias
2. nvram - configuration de démarrage
3. ram : configuration en cours d'exécution
4. fichier stocké sur le serveur TFTP
5. fichier stocké sur le serveur ftp
6. fichier stocké sur le serveur scp

exemple d'emplacement de fichier flash : flash:/c2900-universalk9-mz.SPA.153-1.T.bin

Exemple d'emplacement de fichier ftp : ftp://10.10.20.20/admin:Adm1nPwd/c2900-universalk9-

mz.SPA.154-1.T.bin

besoin d'un administrateur et d'un mot de passe pour se connecter au serveur

retour du fichier de configuration à l'aide de scp : copiez running-conf

scp://domain/admin:pw/name.txt

copiez le fichier de configuration du serveur scp : copiez scp://domain/admin:pw/name.txt startup-

config
recharger

copier le fichier de configuration du serveur scp sans avoir besoin de recharger : configure replace
scp://.....

utilisation de MD5 pour vérifier l'image IOS : vérifiez le nom du fichier et la somme de contrôle
MD5 sur cisco.com

allez dans le routeur et utilisez la commande de vérification pour comparer

- vérifier md5/ flash:/nom du fichier
images signées numériquement : chaîne de trois caractères dans le nom de l'image
1. S - spécifie l'image signée
2. P - image de production ; S - image spéciale
3. A - version clé; augmentera si les clés sont révoquées et renouvelées

vérifier le fichier signé numériquement : fichier d'authenticité du logiciel flash:/nom.bin

OU

afficher l'authenticité du logiciel en cours d'exécution

commandes bootset : image de démarrage sécurisée

configuration de démarrage sécurisée

image de démarrage sécurisée :

active et sécurise la configuration en cours d'exécution
impossible d'afficher le fichier de configuration à l'aide de la commande dir
impossible de supprimer ce fichier via cli

secure boot-config : copie la configuration en cours d'exécution dans une zone de stockage
sécurisée

chaque fois que vous mettez à jour le fichier en cours d'exécution, vous devez annuler cette
commande et refaire pour mettre à jour le fichier dans la zone de stockage

Numéro de strate NTP : numéro attribué à la hiérarchie

1 est l'appareil le plus fiable

Fonctionnement de l'authentification NTP : cela empêche un attaquant d'injecter de fausses mises à

jour

1. prendre la clé partagée NTP et la mise à jour NTP et les soumettre à un algorithme de hachage =
le résultat est HMAC
2. Envoyer le HMAC + NTP mis à jour (texte clair) au client
3. lorsque le client reçoit la mise à jour, il prend la mise à jour et la clé partagée et la met à travers
l'algorithme et prend le HMAC et le déchiffre pour voir s'ils correspondent

show clock detail : affiche le fuseau horaire dans lequel se trouve le routeur

show ntp associations : affiche le numéro de strate et les pairs

show ntp status : indique s'il est synchronisé, stratrum et avec quoi il est synchronisé

NTP : port UPD 123

NTPv3 : crypto-authentification
NTPc4 : ipv6, découverte dynamique des serveurs

comment définir le routeur comme maître : maître ntp

journal système : UDP 514

7 niveaux de gravité
0 -urgences
1 - alertes
2 - critique
3 - erreurs
4 - avertissement
5 - informatif
6 - débogage

exemple de configuration syslog : 1. définir la taille de journalisation

tampon de journalisation 4096 (octets)
2. pour réduire les frais généraux de journalisation localement
pas de console de journalisation
3. informations sur les pièges de journalisation
4. définir la source comme bouclage
bouclage de l'interface source de journalisation1
5. définir la destination
hôte de journalisation (ip)

définir un seuil pour la mémoire : processeur à faible filigrane sans mémoire

livré via SNMP

définir le seuil pour la mémoire io : mémoire libre io à faible filigrane

réserver de la mémoire pour s'assurer que les alertes peuvent être envoyées : réserve de mémoire
critique

définir le seuil du processeur en baisse et en hausse : traiter le seuil du processeur

netflow sept champs clés : source ip

adresse IP de destination
port source
port de destination
protocole de couche 3
Type de service
interface logique d'entrée

SNMP GET : récupère les informations de configuration et d'état

SNMP SET : définir les données de configuration sur MIB

SNMP TRAP : envoyer des messages non sollicités à une plate-forme de gestion de réseau

n'attend pas de réponse

SNMP INFORM : attend une réponse à un inform

SNMP
1. noAuthnoPriv
2. authNoPriv
3. authPriv : 1. no auth no priv : authentification avec un nom d'utilisateur
2. auth no priv : messages authentifiés avec MD5 ou SHA
3. auth et priv : messages authentifiés avec hachage et cryptés

désactivez http et configurez https pour la connexion à l'interface graphique : 1. pas de serveur ip
http
2. serveur sécurisé ip http
3. Authentification ip http {aaa | activer | local}
4. nom d'utilisateur ______ privilège _____ secret _______

l'enregistrer dans la configuration de démarrage générera une nouvelle paire de clés RSA et un
excellent certificat auto-signé (pas optimal)

Exemple de configuration SNMP : 1. définissez l'ID du moteur

- EngineID du serveur SNMP (24 caractères hexadécimaux)
2. créer une vue
- Interfaces VIEW-INT de vue SNMP incluses
3. créez un groupe snmp qui utilise sshv3, nécessite une authentification et une autorisation, qui est
en lecture seule et ajoutez-le à la vue
- groupe snmp-server (NOM DU GROUPE) v3 priv read VIEW-INT
4. créez un utilisateur et attribuez-le au groupe, assurez-vous qu'il utilise la v3, le hachage sha et le
cryptage
- utilisateur snmp-server (USERNAME) (GROUP NAME) v3 auth sha auth-pass priv aes128
secret123
4. Affectez un hôte à l'utilisateur SNMP
- snmp-server host (IP) version 3 priv (USERNAME)
5. configurer le serveur snmp pour informer
- snmp-server host 10.10.10.50 informe la version 3 priv (USERNAME)
6. activer informe
- snmp-server enable informe

composants de SNMP : 1. nœud de gestion

- Base d'informations de gestion : organise les données de configuration et d'état dans une structure
arborescente
- agent snmp
2. poste de gestion du réseau
- ex : Cisco ISE
- configuration de l'appareil, statistiques de santé
- mettre, obtenir

v3 remplace les chaînes de la communauté par l'ID du moteur

ID du moteur SNMP : 24 caractères hexadécimaux pour chaque système du domaine mgmt

appliquer la liste d'accès pour limiter l'accès ssh : 1. créer la liste d'accès
- liste d'accès 99 permis (ip) (sous-réseau)
2. allez dans vty config et appliquez
- ligne vty 0 4
-accès-classe 99 en

appliquer la liste d'accès pour l'accès http : 1. créer la liste d'accès

- liste d'accès 99 permis (ip) (sous-réseau)
2. appliquer à la configuration http
classe d'accès ip http 99

appliquer la liste d'accès pour l'accès SNMP : * peut être appliqué aux utilisateurs ou aux groupes
1. créer la liste d'accès
- liste d'accès 99 permis (ip) (sous-réseau)
2. l'appliquer à un groupe
- groupe snmp-server (NOM DU GROUPE) v3 accès en écriture privée (NOM DE LA VUE) 99
3. l'appliquer à un utilisateur
- utilisateur snmp-server (UTILISATEUR) (GROUPE) v3 auth sha auth-pass priv aes 128 secret123
99

que se passe-t-il lorsque vous utilisez activer le mot de passe secret : le système place la phrase de
sel et le secret via le hachage md5 pour obtenir un HMAC qui ne peut pas être inversé et il le stocke
dans le fichier de configuration

bannières
1. bannière du message du jour
2. bannière de connexion
3. bannière exec : 1. lorsque vous vous connectez à l'appareil
- bannière motd'...
2. lorsque vous vous connectez à l'appareil
- bannière login'....
3. lorsque vous vous connectez en mode exec
- bannière exec'....

plan de contrôle : matériel et logiciel sur un réseau prenant en charge le routage et la gestion

CoPP : contrôle du plan de contrôle

- les administrateurs spécifient les contrôles sur le trafic destiné au plan de contrôle (routage)
- empêche le trafic de faible priorité de submerger le système
- Autoriser, abandonner, limiter le trafic
- traite tout le trafic du plan de contrôle de la même manière

limitation : tout le trafic est contrôlé via 1 interface virtuelle

protection du plan de contrôle : granularité plus fine et complément du CoPP en divisant l'interface
virtuelle en 3 sous-interfaces
1. hôte : reçoit le trafic destiné au routeur
2. transit : reçoit le trafic du plan de données
3. CEF-exception : reçoit le trafic que le CEF ne peut pas gérer

configuration de la protection du plan de contrôle : configurée à l'aide de MWC (framework QoS

modulaire)
1. définir des classes de trafic en créant une liste d'accès
- permis de classe d'accès ip (NOM D'ACCÈS) (ip) (sous-réseau)
2. créer un mappage de classe et appliquer la liste d'accès au mappage de classe
- correspondance de la carte de classe (NOM DE LA CLASSE)
- correspond au nom du groupe d'accès (ACCESS NAME)
3. créer une politique pour contrôler le mappage de classe
- policy-map (NOM DE LA POLITIQUE)
- classe (NOM DE LA CLASSE)
- taux de police 200 pps
 - confirmer l'action transmettre
- dépasser la baisse d'action
4. appliquer la politique à une sous-interface du plan de contrôle
- hôte du plan de contrôle
- entrée de la politique de service (POLICY NAME)

Présentation de l'authentification du protocole de routage : .1. demander à router les voisins

2. valider l'identité en envoyant un hachage en texte clair qui est vérifié par le routeur

lorsqu'une nouvelle mise à jour est envoyée

1. mettre à jour avec la clé secrète partagée
2. parcourir le hachage (HMAC)
3. envoyer au routeur
4. le client reçoit la mise à jour et compare

Authentification de route OSPF : configuration sur les deux routeurs

1. définir le porte-clés et le nom
porte-clés clés OSPF
2. créer une clé
- clé 1
- chaîne de clé (STRING)
- algorithme cryptographique (algorithme de chiffrement)
- md5 ou hmac-sha-256
- accepter à vie
- envoyer à vie
- touche 2 (puis faire la même chose ci-dessous)
3. l'appliquer à une interface
-interface (INT)
- chaîne de clés d'authentification ip ospf (KEY CHAIN NAME)

Authentification de route EIGRP : configuration sur les deux routeurs

1. définir le porte-clés et le nom
- porte-clés clés EIGRP
2. créer des clés
- clé 1
- chaîne de clés (STRING)
3. appliquer à l'interface
- entier (INT)
- ip authentication key-chain eigrp (AS) keychain EIGRP-keys
- mode d'authentification ip eigrp (AS) md5

1 est le numéro autonome configuré sur le routeur

configurer une interface passive : pour que les routeurs ne donnent pas de mises à jour de routage à
certaines interfaces

1. allez dans la configuration OSPF/EIGRP

- routeur ospf (NUM)
- routeur eigrp (NUM)
2. configurer l'interface passive
interface passive (INT)
configuration vlan : 1. créer des vlans
- vlan (numéro)
- nom nom)
2. allez dans l'interface et assignez des ports au vlan
- entier (INT)
- vlan d'accès switchport (NUM)

peut également être répertorié comme coffre

configurer un svi (switched virtual int) sur un vlan : int vlan (NUM)
adresse IP (IP) (SOUS-RÉSEAU)

configurer le port trunk sur un switch : 1. allez dans l'interface

- entier (INT)
2. définissez-le pour utiliser 802.1q
- Encap de coffre switchport dot1q
3. le définir comme un truc
- tronc en mode switchport
4. possibilité de changer de vlan natif
switchport trunk natif vlan (NUM)

canal de port : liez plusieurs ports physiques pour créer un port logique afin de résoudre les
problèmes de bande passante/goulot d'étranglement

augmenter la bande passante disponible sur un lien

configurer un port trunk sur un routeur : 1. définir une sous-interface (une pour chaque vlan)
- entier g0/0.X
2. configurez l'encapsulation comme dot1q et spécifiez le vlan
- encapsulation dot1q 20
3. donnez-lui une adresse IP (passerelle par défaut pour les vlans
- adresse IP SOUS-RÉSEAU IP

protocole de tronc dynamique : lorsque vous connectez un commutateur, il a automatiquement

accès à tous les vlans en tant que lien de tronc pour faciliter la connectivité réseau

désactivez dtp : accédez au port principal

switchport non négocié

Attaque vlan à double marquage : un attaquant marque une deuxième balise vlan sur le segment et
celle-ci est acheminée vers le mauvais vlan

comment empêcher les attaques par saut de double étiquetage : désactivez dtp sur tous les ports ;
assurez-vous de changer le vlan natif du tronc différent du vlan de l'utilisateur

mode de port de commutateur par défaut : mode de port de commutateur dynamique automatique

CDP : envoie des annonces toutes les 60 secondes à leurs voisins

1. désactiver cdp dans la configuration globale

- pas d'exécution cdp
2. désactiver cdp sur les interfaces
- pas d'activation cdp

liste de contrôle d'accès standard numérotée : autorisation de liste d'accès 1 (IP) (SUBNET)

l'appliquer à une interface

-groupe d'accès ip 1 dans

liste d'accès standard nommée : norme de liste d'accès ip (NOM)

- Autoriser l'adresse IP de l'hôte
- autoriser le SOUS-RÉSEAU IP

l'appliquer à une interface

- NOM du groupe d'accès IP entrée/sortie

liste de contrôle d'accès numérotée étendue : liste d'accès (NUM) (permis/refuser) (protocole)
(source) (dest) (eq/neq/gt/lt) (port de destination) (options telles que log)

- égal, non égal, supérieur à, inférieur à

alors vous devez l'appliquer à une interface

- nombre d'entrées/sorties de groupe d'accès IP

ACL standard étendue : liste d'accès étendue (nom)

(autoriser/refuser) (protocole) (IP et sous-réseau ou hôte) (dest) (opérateur booléen) (port num)
(options telles que log)

RACL : router ACL pour contrôler le trafic entre les vlans ; peut également être mis en œuvre sur
les commutateurs

PACL : contrôler le trafic entrant dans une interface de couche 2

PACL sortant NON pris en charge
vous pouvez appliquer un ip ACL et un PACl par interface
deux types:
1. MAC PACL : filtre les paquets d'un type non pris en charge en fonction des champs de la trame
Ethernet ; liste d'accès MAC uniquement nommée
2. IP PACL : traffic sur les ports de couche 2 sur les adresses IP de couche 3

Exemple de configuration IP PACL : 1. créer ip pacl

- liste d'accès IP étendue (NOM)
2. créer des règles
- Autoriser l'hôte IP (IP)
3. l'appliquer à une interface
- entier (INT)
- groupe d'accès IP (NOM) dans

Exemple de configuration MAC PACL : 1. créer le MAC PACL

- liste d'accès mac étendue (NOM)
2. créer des règles pour les adresses MAC
- autoriser l'hôte 0000.0000.0000 tout
3. appliquer l'interface
- entrée/sortie du groupe d'accès mac (NOM)

VACL : liste de contrôle d'accès vlan

trafic entrant sortant et à l'intérieur d'une ACL

comme une ACL appliquée à l'ensemble du commutateur

options : transférer, déposer, rediriger

Exemple de configuration VACL : 1. créer l'exemple VACL

- liste d'accès IP étendue (NOM)-
2. définir le trafic
- autoriser tcp n'importe quel eq 443
- autoriser udp tout
3. définir l'action à entreprendre sur le trafic à l'aide d'une carte
- carte d'accès vlan (NOM DE LA CARTE)
- correspond à l'adresse IP (VACL NAME)
- action en avant
4. appliquer le VACL à certains VLAN
- filtre vlan (MAP NAME) vlan-list (VLAN NUM)

Usurpation d'adresse MAC : table CAM inexacte

Le pirate peut voir la table et enverra une trame avec le MAC source inexact et le commutateur
l'ajoutera à la table au lieu de la véritable source/port

macof : commutateur d'inondation avec des trames imprécises pour remplir la table MAC

Empoisonnement du cache ARP : réponse à une requête ARP avec l'adresse IP d'un pirate
informatique ; maintenant les trames sont envoyées à la mauvaise destination

Sécurité des ports : atténuer le débordement CAM

Action de sécurité du port : Portect : abandonner le paquet

restreindre : abandonner le paquet et envoyer un trap SNMP et un message syslog
shutdown : err-disable, abandonne le paquet, envoie une interruption SNMP et un message syslog

Configuration de la sécurité des ports

1. activer la fonction
2. Adresses max
3. action en contravention
4. apprentissage dynamique
5. temps de vieillissement : accédez à l'interface
-int (INT)
1. sécurité du port switchport
2. max de sécurité de port switchport (NUM)
3. arrêt de la violation de la sécurité du port switchport
4. switchport port-security mac-address sticky
5. temps de vieillissement de la sécurité du port switchport 120

afficher la sécurité des ports : afficher la sécurité des ports

ou afficher port-sec int (INT)

ou afficher l'adresse de sécurité du port

vlan privé : segmentez le vlan (un sous-réseau entier/vlan principal) en vlan privés plus petits (vlan
secondaire) pour conserver l'espace d'adressage

port promiscueux : connecté à un routeur ou à un pare-feu ; les ports communautaires et les ports
isolés communiquent à l'aide de cette passerelle par défaut ; port d'accès ; vlan primaire

port isolé : port d'accès ; le port isolé ne peut communiquer qu'avec lui-même et le port promiscuité

port communautaire : port d'accès multiple connecté via des ports de promiscuité

port protégé (pvlan edge) : plus facile à configurer que pVLAN

atténue l'empoisonnement ARP et les attaques de serveur à serveur
pas de ports communautaires

aller dans l'interface

- switchport protégé

attaque par proxy pvlan : l'attaquant a la destination IP du serveur mais l'adresse mac de destination
du routeur entre ; lorsque le paquet arrive au routeur, il supprime l'adresse mac de l'attaquant et met
la sienne afin qu'il puisse maintenant communiquer avec le serveur sur un port isolé différent

résoudre ce problème en configurant des listes d'accès

STP : évite les boucles en sélectionnant l'itinéraire optimal et en désactivant les chemins sous-
optimaux ; répondre aux échecs de route

Attaques STP : l'attaquant modifiera la route de manière à ce qu'il apparaisse comme un pont racine
avec une priorité plus élevée ; maintenant le trafic passe par le système de l'attaquant

portfast : à utiliser uniquement pour les ports d'accès/d'extrémité ; ne pas utiliser entre les
commutateurs, sinon cela pourrait créer une boucle SPT
transition entre bloquer et avancer
destiné à minimiser le temps qu'un port d'accès doit attendre que SPT converge

1. configuration de l'interface
- aller dans la configuration
- portfast spanning-tree
2. configuration globale
- Spanning-tree portfast par défaut
- puis désactivez les interfaces que vous ne voulez pas

BDPU : paquets hello envoyés par SPT à tous les appareils configurables

bpdu guard : activer sur toutes les interfaces configurées portfast ; désactive un port en cas de
violation

1. configuration de l'interface
- activer bpdugard spanning-tree
2. ou activer globalement
- spanning-tree portfast bpdugard par défaut
- puis désactivez les interfaces que vous ne voulez pas

root guard : empêche un commutateur de devenir un pont racine

limite les ports de commutation où être un pont peut être négocié
- mode d'interface
- racine de garde spanning-tree

Processus DHCP (DORA) : 1. découverte diffusée par le client

2. offre par serveur
3. requête renvoyée au serveur
4. accusé de réception envoyé au client

Usurpation du serveur DHCP : 1. le client envoie une diffusion

2. l'attaquant envoie une offre
3. le client accepte l'offre
4. l'attaquant envoie un accusé de réception
5. Le serveur DHCP légitime répond trop tard

DHCP Starvation : l'attaquant épuise le serveur DHCP en envoyant de fausses adresses MAC

limiter le nombre d'appareils pouvant se connecter au port à l'aide de la sécurité du port

DHCP Snooping : filtre les messages DHCP non approuvés et crée une table de surveillance

chaque port de couche d'accès doit être étiqueté comme approuvé ou non approuvé

tout port directement connecté au serveur est approuvé ; tout le reste n'est pas fiable

Configuration de la surveillance DHCP : 1. activez globalement la surveillance DHCP et stockez-la

dans un fichier
espionnage dhcp ip
flash de base de données d'espionnage ip dhcp :/
2. l'activer explicitement pour certains vlans
ip dhcp snopping vlan x-x
3. par défaut pour stocker dans la ram donc faut le déplacer pour flasher
ip dhcp snooping base de données flash:/dhcpsnoop
4. configurez maintenant l'interface comme approuvée ou non approuvée
- aller dans l'interface
- confiance d'espionnage ip dhcp
5. pour les non fiables, configurez une limite de débit dans l'interface
- taux limite d'espionnage ip dhcp 10

show ip dhcp espionnage

expédier la base de données DHCP
expédier la liaison de base de données DHCP

Inspection ARP dynamique : valide toutes les requêtes ARP ; associe chaque port comme approuvé
ou non approuvé

de confiance = transmettre les paquets, pas de contrôle

untrusted = vérifie la bonne liaison MAC à IP ; puis baisse ou avance
utilise la table de liaison de surveillance DHCP

Configuration DAI : 1. Créer la liste d'accès ARP

liste d'accès arp (NOM)
2. définir les appariements IP statique vers MAC
- Autoriser l'hôte ip (IP) hôte mac (MAC)
3. configuration globale pour appliquer DAI
- inspection ip arp vlan 10
- filtre d'inspection ip arp (nom de la liste ARP) vlan 10

pare-feu avec état : tant que la session suit certaines règles, la connexion reste active

ex: ftp utilise le port 21 mais si des données sont demandées, il choisit un port aléatoire que les
filtres de paquets n'aiment pas et bloqueront. cependant, avec un pare-feu avec état, il reconnaît qu'il
s'agit d'un comportement normal et autorise la connexion

serveur proxy : point de terminaison de couche 3

passerelle de la couche application
coupler avec un pare-feu avec état afin que le trafic Web via le pare-feu soit transmis au proxy

le client envoie une requête http au proxy et le proxy reconditionne la requête au serveur Web ; le
serveur Web répond au proxy, puis le proxy le renvoie au client

pare-feu de nouvelle génération : filtrage d'URL, visibilité et contrôle des applications (par
exemple, reconnaissance d'un jeu sur Facebook), sensibilité au contexte, IPS, protection avancée
contre les logiciels malveillants

modèle fw télétravailleur: 5506

succursale fw modèle: 5512, 5515

modèle de fw de bord Internet: 5516

modèle de logiciel de campus : 5545, 5525, 5555

Modèle DC fw: 5585

1. asav5
2. asav10
3. asav30 : 1. 2 G de mémoire et 100 M de débit
2. 2 G de mémoire et 1 G de débit
3. 8 G de mémoire et 2 G de débit

Fonctionnalités du pare-feu ASA : inspection dynamique des paquets ; inspection approfondie des
paquets, routage IP, IPv6, multidiffusion, fonctionnalité serveur/client DHCP, services AIC
(inspection et contrôle des applications), NAT

Déploiement ASA en mode routé : prend en charge les protocoles de routage tels que RIP, OSPF,
EIGRP, BGP
mode transparent : également appelé mode pont, capacité à fonctionner comme un périphérique de
pont de couche 2 sécurisé ; invisible pour les deux parties mais possède toujours une adresse IP de
gestion pour l'appareil ; pas besoin de réadresser le réseau

contexte multiple : plusieurs pare-feu virtuels dans un pare-feu

basculement actif/en attente : un fw en place, l'autre est en attente à chaud si le premier échoue ;
Connexion Ethernet entre deux appareils

basculement actif/actif : les deux appliances traitent le trafic deux liaisons entre les appareils

clustering : plusieurs ASA dans un périphérique logique ; redondance et augmente le débit

CCL - lien de contrôle de cluster utilisé pour que les nœuds partagent des informations

nœud maître, nœuds esclaves

redondance d'interface : associe deux interfaces physiques pour que la redondance agisse comme
une seule ; utilise l'adresse mac de la première interface pour les deux ; impossible de configurer s'il
y a déjà un nom sur une interface

config de redondance d'interface : 1. config globale

- interface redondante 1
2. définir les interfaces pour qu'elles soient redondantes
- membre-int (INT)
- membre-int (INT)

contextes de sécurité : le contexte d'administration est créé en premier et est utilisé pour accéder à
d'autres contextes

cinq modes de configuration : 1. Moniteur ROM - mise à jour de l'image

2. exécutable de l'utilisateur
3. privilège exécutif
4. configuration globale
5. modes de configuration spécifiques

configurer telnet pour l'accès CLI : telnet (IP) (SUBNET) à l'intérieur

délai telnet (min)

configurer le niveau de sécurité : aller dans l'interface

- niveau de sécurité ______

configurer SSH pour l'accès CLI : 1. générer une paire de clés

la clé de chiffrement génère le module rsa 1024
2. authentification locale
aaa authentification ssh console locale
3. créer des noms d'utilisateur et des mots de passe
nom d'utilisateur (US) mot de passe (PW)
3. configurer l'accès SSH
ssh (IP) (SOUS-RÉSEAU) à l'intérieur
délai d'attente ssh 30
ssh version 2
configurez SSH pour l'accès ASDM : 1. activez le serveur HTTP
activer le serveur http
2. définir qui peut accéder
http (IP) (SOUS-RÉSEAU) à l'intérieur
3. définir l'accès ssh
ssh (IP) (sous-réseau) à l'intérieur
4. créer des noms d'utilisateur
nom d'utilisateur (Us) mot de passe (pw) privé crypté 15
5. authentification via local
aaa authentification http console locale
aaa authentification ssh console locale

afficher la table nat : afficher xlate

affichez les configurations nat : affichez nat

Cadre de politique modulaire : 1. cartes de classe - définissez la classe de trafic qui sera mise en
correspondance
2. policy map - quelle action effectuer sur la classe de trafic
3. politique de service - appliquez la politique à une interface ou globalement sur l'asa

créer un objet réseau : réseau d'objets ______

sous-réseau (réseau) (sous-réseau)
hôte (IP)

fonctionnalités de pare-feu basées sur la zone : inspection dynamique, inspection des applications,
filtrage d'URL, paramètres de connexion par politique, pare-feu transparent, routage et transfert
virtuels

paire de zones : trafic entrant vers sortant

définir la source à la destination

langage de politique de classification commun (C3PL) : pour les pare-feu de zone

- class map : définissez la classe de trafic qui sera mise en correspondance
- carte des politiques : définir quelle action effectuer sur la classe de trafic
- politique de service : appliquez la politique à une paire de zones (ceci est différent du MPF des
ASA)

1. définir la zone
2. définir des paires de zones
3. définir la carte de classe
4. définir des cartes de politique
5. appliquez les cartes de stratégie aux paires de zones à l'aide de la commande de stratégie de
service
6. affecter l'interface aux zones

options de carte de stratégie pour le pare-feu basé sur la zone : inspecter

pass - uniquement unidirectionnel car ne suit pas la table d'état
drop (et éventuellement log)

Configuration C3PL : 1. définir une classe qui correspond au protocole tcp

- le type de carte de classe inspecte les services de correspondance de n'importe quel priv-pub
- correspondre au protocole TCP

2. définir une autre carte de classe qui associe une liste d'accès et inclure également la carte de
classe ci-dessus
- type de carte de classe inspecter match-all

Algorithmes de chiffrement IPSEC : DES, 3DES, SEAL, AES 128. 192. 256

Configurer des zones sur un firewall : 1. créer une zone et définir un nom
- sécurité de zone (NOM)
2. allez dans l'interface
- sécurité des membres de la zone (NOM)
3. créer une carte de classe qui correspondra à ftp, icmp, http
- type de carte de classe inspect match-any (nom de la carte)
- protocole de correspondance (prot)
4. créer une ACL étendue
- liste d'accès IP étendue (NOM)
- autoriser ip n'importe quel hôte (IP)
5. créer une carte de classe qui correspond à la carte de classe précédente ET acl
- type de carte de classe inspecter match-all (nom de la carte)
- match class-map (nom de la carte)
- correspond au groupe d'accès (nom de l'acl)
6. créer une carte de politique qui et lui appliquer la carte de classe
- inspection du type de carte de politique (nom de la carte de politique)
- inspection du type de classe (nom de la classe)
- inspecter
7. créer une paire de zones qui correspond à la carte de stratégie qui a été créée
- sécurité de la paire de zones (nom) source (zone source) destination (zone de destination)
- inspection du type de politique de service (nom de la politique)

Hachage IPSEC : HMAC

- MD5
- SHA 1
- SHA 2

Authentification d'origine IPSEC : clés pré-partagées

signatures RSA
nonces cryptés rsa
signature ECDSA

Protection anti-rejeu IPSEC : fenêtre coulissante - utilise des numéros de séquence dans une fenêtre
qui glisse afin que les numéros de séquence inférieurs qui ne se trouvent pas dans cette fenêtre
soient ignorés

clé de gestion : IKE

Diffie Hellman
courbe elliptique diffie hellman

IKE : authentifie un ordinateur homologue et génère une clé

négocie SA (accord entre deux pairs)
génération et actualisation automatiques des clés
Négociation de tunnel IKE phase 1 : Mode principal : utilise les trois ci-dessous
1. Politique IKE
2. Diffie barreur
3. authentification par les pairs
mode agressif : utilise seulement 2 négociations

accord sur la politique du mode principal : 5 éléments

- chiffrement
- authentification
- Groupe DH
-durée de vie
-méthode de hachage

un pair l'envoie à l'autre pour trouver quelque chose qui correspond

configuration :

stratégie (NUM)
- chiffrement ___
- authentification ___
- Groupe DH _____
durée de vie _____
- hachage ______

Échange DH en mode principal : les pairs partagent des nonces publics, puis des nonces privés de
l'ordinateur

Authentification homologue en mode principal : - PSK

- Signatures RSA : utilise un certificat signé numériquement géré par CA
- Nonces cryptés RSA
- ECDSA

Configuration de la politique ISAKMP : politique crypto isakmp (priorité - la plus basse est la plus
importante)
- encr ____
- hachage _____
- authentification ____
- grouper ____
- durée de vie ____

afficher la politique crypto isakmp

AH (Protocole IPSEC 51) : - authentification de l'origine

- intégrité des données et anti-rejeu par hachage
- pas de cryptage
- ajoute une balise AH entre l'en-tête et les données
- moins commun des deux protocoles

Protocole ESP IPSEC 50 : - authentification d'origine

- intégrité des données/anti-rejeu par hachage
- chiffrement
- ajoute un en-tête, un tailer et un tailer d'authentification, puis des cryptages

deux types:

1. mode tunnel : les adresses IP source et de destination réelles sont encapsulées puis cryptées et
ajoutent un autre en-tête avec la source et la destination du pair vpn
2. mode de transport
- chiffre uniquement la charge utile d'origine ; la source et la destination réelles sont entièrement
disponibles, il faut donc ajouter un routage gre pour couvrir cela avec une adresse de pair vpn

IKE Phase 2 : mode rapide uniquement

- négociation des ensembles de transformations de sécurité IPsec (hachage et algorithmes) AH ou
ESP HMAC
établit des SA ipsec
Cryptage de la charge utile à l'aide d'ESP
- mode tunnel : transport ou tunnel
- un dans chaque direction pour protéger les paquets
renégocie périodiquement les SA IPsec
DH supplémentaire

Configuration IPSEC : CONFIG GLOBALE

1. nommez un jeu de transformations avec l'algorithme de chiffrement et de hachage

- jeu de transformation crypto ipsec (NOM) esp-aes esp-sha-hmac
2. définissez maintenant votre mode tunnel (soit tunnel - par défaut, soit transport)
- mode tunnel

CRÉER ACL À APPLIQUER À CRYPTO MAP

1. créer l'acl pour définir le trafic qui passera par le tunnel
- access-list (num) permit ip (source IP) (wildcard) (dest ip) (wildcard)

CONFIGURER LA CRYPTO CARTE

1. configurer la carte cryptographique
- crypto map (NAME) (ACL NUM) ipsec-isakmp <-- indique au routeur d'utiliser IKE pour établir
SA
2. appliquer l'acl à la crypto map
- adresse de correspondance (ACL NUM ou NAME)
3. transformer la carte
- set transform-set (nom du jeu de transformations)
4. définir le pair vpn IPSEC
- définir le pair (PEER ADDRESS)
5. définir la durée de vie
- définir la durée de vie de l'association de sécurité en secondes 86400

cryptographie suite B : utilise 4 algorithmes

1. AES 128 ou 256
2. hachage utilisant SHA-2
3. signatures numériques avec l'ECDSA en utilisant des courbes avec 256 et 284
4. échange de clés, pré-partagées ou dynamiques via ECDH

IKE v2 : non
gestion de la génération de clés étendues
simplicité et interopérabilité
détection des pairs morts, traversée NAT, contact initial
moins de frais généraux, latence réduite
délai SA réduit, relais plus rapide
crée SA sans utiliser de phases
- les pairs établissent des canaux
- échange d'authentification
- enfant SA si besoin

Protocoles et ports IPSEC : phase 1 isakmp - UDP500

phase i non isakmp - UDP4500 (traversée nat)
phase 2 ESP - 50
phase 2 AH - 51

autoriser le trafic iskmp : liste d'accès (NUM) autoriser l'hôte udp (IP SOURCE) hôte (IP DEST) eq
isakmp

autoriser le trafic non iskmp : liste d'accès (NUM) autoriser l'hôte udp (IP SOURCE) hôte (IP
DEST) eq non500-isakmp

autoriser ESP : liste d'accès (NUM) autoriser esp hôte (SOURCE IP) hôte (DEST IP)

autoriser AH : liste d'accès (NUM) autoriser hôte AH (IP SOURCE) hôte (IP DEST)

créer des stratégies isakmp phase 1 : stratégie crypto isakmp (numéro de priorité)
chiffrement ___
authentification ___
grouper ___
durée de vie ____
hachage ____

si vous utilisez des clés pré-partagées pour l'authentification, alors : crypto isakmp key (secret key)
address (peer address)

faites ceci sur chaque routeur

ce qui est inclus dans le jeu de transformation : 1. authentification de l'intégrité de la charge utile :
AH ou ESP HMAC
2. cryptage : ESP
3. mode tunnel : tunnel ou transport

config set de transformation : en mode de configuration globale...

crypto ipsec transform-set (NAME) (algorithme de chiffrement) (algorithme HMAC)

esp-aes esp-sha-hmac

puis mode tunnel ou mode transport

crypto acl config : access-list (numéro de liste) permit/deny (protocole) (source) (wildcard)
(destination) (destination wildcard)
configuration de la carte de chiffrement : carte de chiffrement (nom) (numéro de séquence) ipsec-
isakmp
- adresse de correspondance (numéro ACL)
- ensemble de transformation (nom de l'ensemble)
- définir le pair (adresse de pair) par défaut
- définir le pair (adresse du pair)
- définir les secondes de durée de vie des associations de sécurité ______

pour l'activer, vous devez passer en mode de configuration de l'interface

- carte cryptographique (NOM DE LA CARTE)

pour se connecter à plusieurs sites, le nom de la carte reste le même mais le numéro de séquence
doit être différent, puis configurez tout sous la configuration de la carte crypto, puis vous appliquez
toute la carte crypto à l'interface ; un seul nom de cryptomap peut être utilisé par interface

Étapes de configuration du tunnel SSL : 1. messages hello envoyés entre le serveur et le client pour
négocier des paramètres tels que l'authentification et l'algorithme de cryptage. RSA ou DH sera
utilisé pour l'échange de clés
2. certificat de serveur et échange de clés : le serveur envoie un certificat à son client
3. le client envoie le certificat ; HMAC est utilisé pour protéger
4. le transfert de données commence par l'échange des clés de session

processus VPN SSL anyconnect : 1. le client valide le certificat d'ASA

2. L'ASA valide le client avec une base de données locale de nom d'utilisateur/mot de passe
3. ASA applique les règles de comptabilisation/d'autorisation à la session
4. le point de terminaison crée une interface de tunnel spéciale et lui attribue une adresse IP à partir
d'un pool
5. le tunnel est créé sur la base de la politique de tunneling fractionné

Modes anyconnect : 1. autonome : n'a pas besoin d'utiliser un navigateur si anyconnect est installé
en permanence côté client ; ouvrez simplement anyconnect et entrez un mot de passe
2. weblaunch : l'utilisateur accède au navigateur et entre les informations d'identification et un
groupe

Composants anyconnect : 1. asa sur le site de l'entreprise

2. AC (interne ou externe)
3. Serveur AAA ou base de données d'authentification locale
4. DHCP/DNS pour attribuer une adresse IP au client
5. Politique d'accès qui fonctionne avec le serveur AAA

Authentification du serveur VPN SSL : ASA crée un certificat auto-signé à envoyer au client, mais
il est recommandé que vous disposiez d'un serveur CA dédié et que ce serveur envoie des certificats
au client

Authentification du client VPN SSL : les utilisateurs choisissent le profil de connexion

si aucun n'est choisi, ils sont affectés au groupe vpn Web par défaut
l'utilisateur saisit ses informations d'identification

Affectation d'adresse IP SSl : 1. créez un pool d'adresses IP locales sur l'ASA et affectez le pool à un
profil de connexion - bon si tout le monde a un profil de connexion
2. créer un pool local et l'attribuer à une stratégie de groupe ; bon si vous avez besoin de différencier
plusieurs groupes d'utilisateurs
3. IP attribuée au compte d'utilisateur dans la base de données locale

sources d'attribution d'ip : local ASA, DHCP, RADIUS

Déploiement VPN SSL : 1. installez l'image du client anyconnect

2. activez le vpn SSL d'anyconnect sur les ASA
3. définir le pool d'adresses IP
4. configurer NAT pour l'accès client VPN
5. modifiez le groupe par défaut pour créer une politique personnalisée
6. modifiez le profil de connexion par défaut pour créer un profil personnalisé

Composants VPN sans client de Cisco : 1. Utilisation d'un navigateur Web et tunnels d'applications
Web
2. SSL/TLS crypte le trafic
3. le trafic va à l'ASA qui agit en tant que procuration, déchiffre le trafic

cas d'utilisation de ssl sans client : 1. partenaires commerciaux

2. borne Internet
3. appareils non gérés

méthodes d'accès vpn ssl sans client : 1. portail Web de base vers les ressources Web
2. plug-ins d'application pour l'accès aux applications - RDP, Telnet, citrix, VNC, SSH ; télécharger
un plug-in java et accéder à un serveur interne qui exécute cette application
3. tunnels intelligents pour l'accès aux applications : comme la redirection de port

authentification du serveur dans le vpn ssl sans client : 1. certificat auto-signé du serveur
2. certificat signé en troisième partie
3.

authentification côté client dans un vpn ssl sans client : les utilisateurs choisissent un profil de
connexion dans une liste déroulante ; default = defaultwebvpngroup
utilise la base de données AAA locale pour s'authentifier

contrôle d'accès de base pour le VPN ssl sans client : utilisez acls pour autoriser/refuser l'accès aux
URL accessibles via le VPN SSL

entrée d'URL vpn ssl sans client et signets : 1. les utilisateurs se voient présenter un portail Web
après authentification
2. peut accéder à HTTP/HTTPS, CIFS et FTP

tâches de configuration de VPN SSL sans client de base : 1. activer la terminaison du trafic SSL
VPN sur l'interface ASA
2. configurer l'authentification du serveur
3. configurer les méthodes d'authentification des utilisateurs
4. configurer la stratégie de groupe pour les utilisateurs
5. facultatif - créez des listes de signets pour que les utilisateurs accèdent rapidement aux
applications dont ils ont besoin
6. facultatif - désactiver la saisie d'URL et l'accès au partage de fichiers
7. facultatif - configurer les acl Web

IPS : détection d'anomalies ; détection basée sur des règles ; se trouve derrière le pare-feu
techniques d'évasion : fragmentation des paquets
attaques par injection
expressions de chaîne alternatives

Cisco firesight/firepower : protection IPS au-delà des fonctionnalités IPS normales ; fonctionne
avec FMC - centre de gestion de la puissance de feu

détecter, apprendre, s'adapter, agir

protection contre la puissance de feu avant une attaque : liste noire à partir d'adresses IP spécifiques
protection avancée contre les logiciels malveillants

deux produits de protection avancée contre les logiciels malveillants : produit pour endpoint :
connecteurs que vous installez sur les terminaux ; utilise le paradigme de point de terminaison basé
sur le cloud

produit réseau : utilise des appliances basées sur la puissance de feu pour détecter les logiciels
malveillants ; utilise sha 256

puissance de feu lors d'une attaque : SNORT - analyse du trafic en temps réel

options de déploiement firepower : mode passif : reçoit une copie du trafic réseau pendant que le
trafic d'origine passe par le réseau

mode en ligne : dispositif de détection placé au milieu du trafic ; supprime le trafic malveillant
avant qu'il n'atteigne la cible visée

emplacements pour mettre des capteurs dans un réseau : à l'extérieur : nombre d'alarmes trop élevé
et ASA peut protéger contre le trafic
DMZ : peut s'asseoir ici. cependant parce que c'est déjà vulnérable, les professions de l'informatique
le surveilleront donc pas super nécessaire
à l'intérieur : meilleur endroit pour le capteur

mode passif : le commutateur utilise le port SPAN ou la prise réseau pour envoyer une copie du
trafic à l'IPS ; plus d'un système IDS

un robinet réseau se placera entre le routeur et le commutateur contrairement à un port SPAN et

utilise une paire d'interfaces

mode en ligne : en ligne avec le trafic ; service plus fort et arrêtera le trafic ; entre le routeur et le
commutateur ou configurez-le pour agir comme un commutateur multiport

Composants Cisco AMP : 1. Nuage Cisco Collective Security Intelligence : les moteurs de détection
et d'analyse résident
2. connecteur client : s'exécute sur les terminaux et communique avec le cloud pour envoyer des
informations
3. Cisco AMP pour mobile : installer sur les appareils mobiles
4. Cisco AMP pour Mac
5. AMP pour les réseaux : option en puissance de feu

Responsabilités du cloud AMP : 1. publication de détection

2. publication de données à grande échelle
3. prise de décision effectuée en temps réel
4. rapports

Options de déploiement ESA : 1. sur site dans une DMZ

2. birtual avec cisco UCS ou cicso ESAV
3. hybride : sécurité des e-mails basée sur le cloud pour les appels entrants et sur site ESA pour les
appels sortants

filtrage du spam : 1. filtrage basé sur la réputation : repose sur le fait de savoir si le serveur est un
expéditeur de spam ; fournir une première couche de défense en examinant l'adresse IP source du
serveur de messagerie et en la comparant aux données téléchargées à partir de SenderBase
-1 et +1 = accepté
-1 et -3 = acceptés, les e-mails supplémentaires sont limités
-10 et -3 = bloqué

2. filtrage basé sur le contexte : inspectez l'intégralité du message électronique

approche de lutte contre les logiciels malveillants/virus : 1. filtres anti-épidémies téléchargés depuis
SenderBase ; liste des serveurs de messagerie malveillants connus
2. signatures antivirus pour analyser les e-mails mis en quarantaine
3. analyse les e-mails sortants pour fournir une protection AV

AMP : 1. réputation des fichiers : examen de l'empreinte digitale de chaque fichier

2. sandboxing de fichiers : analysez les fichiers inconnus
3. rétrospection des fichiers : fichiers qui transitent mais sont ensuite considérés comme une menace

traitement du courrier entrant : 1. prévention des menaces avec filtres de réputation

2. application de la politique avec des filtres de messages
3. détection de spam avec antispam et moteur d'analyse contextuelle adaptative
4. détection de virus avec sophos ou mcafee antivirus
5. filtres de contenu
6. filtres d'épidémie

traitement du courrier sortant : contrôlé par la politique de courrier sortant

- les filtres antispam, les filtres de contenu et les filtres anti-épidémies sont désactivés par défaut
- fonction dlp supplémentaire
- filtrage de réputation non utilisé

flux de trafic avec WSA : 1. l'utilisateur lance une requête Web

2. le pare-feu redirige vers WSA
3. WSA vérifie la demande et répond par un refus si la politique est violée
4. WSA initie une nouvelle connexion au Web si la demande est acceptée
5. le serveur Web répond avec le contenu qui est envoyé au WSA
6. WSA vérifie le contenu pour le matériel et transmet le contenu à l'utilisateur si aucun problème
n'est trouvé

fonctionnalités de WSA : filtres d'URL pour l'application de la politique d'utilisation acceptable

défense approfondie contre les logiciels malveillants multicouches et multifournisseurs
application de la sécurité des données
capacités complètes de gestion et de création de rapports

cisco cws (cloud web security) : redirige le trafic (HTTP/HTTPS) vers les serveurs CWS
administré à l'aide du portail Web du centre de numérisation CWS ; ancien nom:
numérisation sécurisée

compléments facultatifs
- Connecteur ASA
- Connecteur ISR G2 - redirige le trafic de la succursale vers le cloud
- cisco anyconnect - connectez en toute sécurité les utilisateurs itinérants
- appareil de sécurité Web

Fonctionnalités de Cisco CWS : Filtrage d'URL

visibilité et contrôle des applications
rapports
avantages

les architectures réseau modulaires (architecture SAFE) : - permettent une défense en profondeur en
utilisant les produits cisco ; plusieurs couches de protection ; les composants ont des rôles
fonctionnels ; infrastructure réseau divisée en modules fonctionnels
- disponibilité et résilience du service
- conformité réglementaire
- viser l'efficacité opérationnelle
- implémentations auditables
- partage d'informations et collaboration à l'échelle mondiale

l'architecture de sécurité se compose généralement des produits/technologies suivants : sécurité des

terminaux, sécurité du réseau, sécurité du contenu et des applications

problèmes dans un réseau central d'entreprise : interruptions de service, accès non autorisés,
divulgation et modification de données

problèmes dans un réseau de campus d'entreprise : interruption de service, accès non autorisé,
divulgation et modification de données, abus de réseau, fuite de données, vol d'identité et fraude

problèmes au niveau d'un DC intranet : accès non autorisé ; interruption des services, perte et
modification de données

émet une périphérie Internet d'entreprise : DOS, logiciels malveillants, intrusion dans le réseau,
accès non autorisé, courrier indésirable et virus, hameçonnage Web, virus, logiciels espions,
attaques de la couche application, vol d'identité, fraude, fuite de données

Problèmes WAN : activités malveillantes des clients de succursales telles que les logiciels
malveillants, les chevaux de Troie, les botnets, etc.
Menaces de transit WAN telles que les attaques de l'homme du milieu
attaques d'infrastructure, DOS, attaques non autorisées, etc.

menaces du cloud computing : API et interface d'accès utilisateur non sécurisées, initiés
malveillants chez les fournisseurs de cloud, technologies partagées, perte de données, détournement
de compte ou de service, risque inconnu, attaques DOS

cisco ISE (identity services engine) : plate-forme centralisée de politique basée sur l'identité ;
combine AAA dans une appliance unifiée pour devenir le point unique pour la gestion, la
surveillance et le dépannage des politiques
RAYON; l'authentification va des terminaux aux périphériques d'accès réseau à Cisco ISE qui
utilise IEEE802.1X, le contournement d'authentification Mac ou l'authentification Web ; les
informations d'identification de l'utilisateur vont de NAD à cisco ISE via radius et il consulte
généralement AD

- contrôle d'accès centralisé

- une plus grande visibilité
- appliquer les politiques de sécurité d'extrémité
- implémenter la segmentation logique du réseau
- simplifier l'accès des invités
- rationaliser le BYOD
- partager des données contextuelles approfondies avec un réseau de partenaires tiers

Composants 802.1X : fournit un contrôle et une autorisation d'accès au port basés sur
l'authentification

1. suppliant : agent ou service s'exécutant sur l'appareil qui demande l'accès au réseau
2. authentificateur : contrôle l'accès physique au réseau en fonction de l'état d'authentification du
client ; intermédiaire entre le client et le serveur d'authentification
3. serveur d'authentification : authentification du client ; valide l'identité et notifie le commutateur si
le client peut accéder au réseau (cisco ISE)

fonctionnalités d'autorisation
- Affectation VLAn
- Affectation ACL
- accès basé sur le temps
- accès au groupe de sécurité

Gestion des appareils mobiles MDM : assurez-vous que les normes sec sont mises en œuvre sur les
appareils mobiles

EAP-TLS : nécessite un certificat côté client sur l'appareil ; si le certificat appartient à l'entreprise,
un accès plus privilégié est accordé

trustSEC : simplifie le provisionnement et la gestion de l'accès sécurisé aux services et applications

réseau ; définit les politiques à l'aide de groupements de politiques logiques

Caractéristiques:
1. classification : attribution d'un onglet de groupe de sécurité à une adresse IP, qui peut être
effectuée à l'aide d'IEEE802.1X, d'un contournement d'authentification MAC ou d'une
authentification Web
2. transport : les mappages de groupe suivent le trafic sur le réseau ; peut se faire via le protocole
SGT eXchange (SXP) ; intégré dans l'en-tête de trame Ethernet
3. application : mise en œuvre des décisions d'autorisation ou de refus en fonction de la source et de
la destination des SGT

MACSEC : fournit des communications sécurisées sur des réseaux locaux câblés ; chaque paquet
sur le câble est crypté à l'aide d'une clé symétrique ; lorsqu'il est utilisé avec des SGT, il fournit une
protection pour l'étiquette ainsi que les données contenues dans la charge utile de la trame

Classification SGT : tag 16 bits qui représente le rôle unique de la source de trafic
balisage dynamique avec authentification 802.1x, MAB ou Web

le marquage statique peut être configuré pour le NAD

transport SGT en ligne : pour deux périphériques configurés pour cisco trustsec

intégré dans l'en-tête des métadonnées

Type d'éther de métadonnées 0x8909

Type d'éther MACsec 0x88E5

Protocole d'échange SGT : protocole de plan de contrôle qui permet les mappages IP vers SGT
lorsqu'ils ne sont pas compatibles
utilise TCP 64999 lors de l'établissement d'une connexion
désigner des appareils comme haut-parleur ou auditeur

SGACL : contrôlez les politiques d'accès en fonction de la source et de la destination SGT

SGFW : Cisco ASA applique la stratégie trustsec