CCNA Security 1 PDF

ROYAUME DU MAROC
Office de la Formation Professionnelle et de la Promotion

du Travail
DIRECTION RECHERCHE ET INGENIERIE DE FORMATION
ISTA SIDI MOMEN
Notions de la Sécurité
Informatique et Réseaux
Support de cours & Aide-Mémoire V 2.0

Réaliser par Rachid Bouzakri (rachid.1994.rb@gmail.com)
Ce document constitue le support de Cours de Module Notions en sécurité informatique destiné aux Stagiaires de la
deuxième année TRI et TMSIR de l’ISTA SIDI MOMEN de CASABLANCA.
1
SOMMAIRE:
I.Chapitre 1 : Les concepts de base de la sécurité des réseaux

II.Chapitre 2 : La sécurisation des périphériques réseau
III.Chapitre 3 : La Supervision d’un réseau informatique
IV.Chapitre 4 : Sécurisation de l'accès de gestion avec AAA
V.Chapitre 5 : Utiliser les pare-feu
VI.Chapitre 6 : Mettre en œuvre la prévention des intrusions IPS
VII.Chapitre 7 : Sécuriser un réseau local
VIII.Chapitre 8 : La cryptographie
IX.Chapitre 9 : Les VPN IPsec
X.Chapitre 10 : Étudier les pare-feu évolués
Aide Mémoire Commande CCNA Security
I. Chapitre 1 : Les concepts de base de la sécurité des réseaux
1. Introduction
La sécurité réseau est une branche de l'informatique qui consiste à sécuriser tous les éléments
d’un réseau informatique pour empêcher : l'accès non autorisé, le vol de données, l'utilisation
abusive d’une connexion réseau, la modification des données, etc. Elle vise donc à impliquer
des méthodes et des mécanismes de défense proactifs pour protéger un réseau contre les
menaces externes et internes.
1.1. Les objectifs principaux de la sécurité d’un réseau
r i
Les trois objectifs principaux de la sécurité d’un réseau sont :
ak
 La confidentialité : consiste à protéger les données, enregistrées ou en circulation,
d’un réseau informatique des personnes non autorisées.
uz
 L’intégrité : vise à maintenir et à assurer la fiabilité ( l'exactitude et la cohérence( des
données. Les données reçues par un destinataire doivent être identique aux données
Bo
envoyées par l'expéditeur.
 La disponibilité : vise à s'assurer que les données ou les services du réseau sont,
continuellement, à la portée des utilisateurs.id
1.2. Terminologies
ch
a. Terminologie générale
Ra
 Une ressource: tout objet ayant une valeur pour une organisation et qui doit être
protégée.
 Une vulnérabilité: C’est une faiblesse d'un système qui pourrait être exploitée par une
menace.
ar
 Une menace : Un danger potentiel pour une ressource ou pour la fonctionnalité du

réseau.
rP
 Une attaque: C’est une action prise par un attaquant pour nuire à une ressource.
 Un risque: c’est la possibilité de la perte, l’altération, la destruction ou autres
conséquences négatives de la ressource d'une organisation. Le risque peut naître d'une
ise
seule ou plusieurs menaces ou de l'exploitation d’une vulnérabilité.

Risque = Une Ressource + Menace + Vulnérabilité
 Une contre-mesure: Une protection qui atténue une menace potentielle ou un risque
al
Ré
b. Type de pirates
On distingue différents types de pirates existent dans le domaine informatique, dont on peut
citer :
 Les Hackers : sont classé comme « des passionnés des réseaux ». Ils veulent
seulement comprendre le fonctionnement des systèmes informatiques et tester à la fois
leurs connaissances et leurs outils et.
2
 Les « chapeaux blancs »: ce sont des personnes effectuant des audits de sécurité pour
les organisations à un but lucratifs.
 Les « chapeaux bleus » : ce sont des testeurs de bogues pour assurer le bon
fonctionnement des applications.
 Les Crackers : ce sont des criminels informatiques dont leur but principal est de
profiter par une destruction ou la mise hors service des systèmes informatiques ou par
le vol de données (personnels, codes sources, code d’activation,…) pour demander
une somme d’argent. Ils sont parfois appelés «Chapeau noir et chapeau gris».
 Les script-kiddies : ce sont des personnes, avec peu d'habileté dans le domaine
informatique, qui agissent uniquement via des logiciels préétablis dans le but de
réaliser un gain financier.
i
Hacktivistes Se sont des hackers dont la motivation est principalement idéologique.
r

ak
c. Les codes malveillants
uz
Les points suivants mettent en évidence les types courants de code malveillant (Malware) qui
peuvent être utilisé par les pirates:
Bo
 Virus: c’est un programme qui s'attache à un logiciel pour exécuter une fonction
spécifique non souhaitée sur un ordinateur. La plupart des virus nécessitent une
activation par l'utilisateu. Cependant, ils peuvent être mis en état de vieil pendant une
id
période prolongée comme ils peuvent également être programmés pour éviter la
détection.
ch
 Worms: ce sont des programmes autonomes qui exploitent des vulnérabilités connues
dans le but de ralentir un réseau. Ils ne nécessitent pas l'activation de l'utilisateur et ils
se dupliquent et tente d'infecter d'autres hôtes dans le réseau.
Ra
 Spyware : ce sont des logiciels espions qui sont généralement utilisés dans le but
d’influencer l’utilisateur pour acheter certaine produits ou services. Les spywares, en
générale, ne se propagent pas automatiquement, mais ils s’installent sans autorisation.
ar
Ils sont programmé pour :

 recueillir des informations personnelles sur les utilisateurs ;
rP
 surveiller l'activité de navigation sur le Web pour détecter les caprices de

l’utilisateur ;
 la redirection des requêtes HTTP vers des sites de publicité préétablies.
ise
.
 Adware : se réfère à tout logiciel qui affiche des publicités, sans l’autorisation de
l'utilisateur parfois sous la forme de publicités pop-up.
al
 Scaryware se réfère à une classe de logiciels utilisés pour de convaincre les

utilisateurs que leurs systèmes sont infectés par des virus et leur proposer une solution
Ré
dans le but de vendre des logiciels.
2. Les types de sécurité réseaux

On distingue trois catégories de sécurité réseaux :
2.1. La sécurité physique

La sécurité physique concerne tous les aspects liés à l'environnement dans lequel les
ressources sont installées. Elle peut inclure :
3
 La sécurité physique des salles de serveurs, des périphériques réseau, … ;
 La prévention des accidents et des incendies ;
 Les systèmes de l’alimentation ininterrompue ;
 La surveillance vidéo, etc.
2.2. La sécurité logique

La sécurité logique fait référence à la mise en œuvre d'un système de contrôle d'accès, par
logiciel, pour sécuriser les ressources. Elle peut inclure :
 L’application d’une stratégie de sécurité fiable pour les mots de passe ;
 L’instauration d’un modèle d’accès s'appuyant sur l'authentification, l'autorisation et
r i
la traçabilité ;
ak
 La configuration correcte des pare-feu de réseau ;
 L’installation des IPS (systèmes de prévention d'intrusion),
 L’utilisation des VPN (réseau privé virtuel), etc.
uz
2.3. La sécurité administrative
Bo
La sécurité administrative permet d’assurer le contrôle interne d’une organisation à l’aide
d’un manuel des procédures. Elle peut inclure :
 Prévenir les erreurs et les fraudes ;

id
Définir les responsabilités respectives des différents intervenants ou opérateurs ;
 Protéger l’intégrité des biens et des ressources de l’entreprise ;
ch
 Assurer l’enregistrement de toutes les opérations concernant la manipulation du
matériel ;
Gérer rationnellement les biens de l’entreprise ;
Ra

 Assurer une gestion efficace et efficiente des activités ;
3. Les principaux risques liés à la sécurité logique du réseau

ar
3.1. Les différents types d'attaques réseau

rP
a. Les attaques de reconnaissance
Une attaque de reconnaissance ou « attaque passive » a pour objectif de regrouper des

ise
informations sur le réseau cible pour déceler toutes les vulnérabilités. Cette attaque utilise, en
général, les méthodes de base suivantes :
al
 Un balayage de «ping » : l'attaquant envoie des paquets « ping » à une plage

d'adresses IP pour identifier les ordinateurs présents dans un réseau.
Ré
 Le balayage de port: l'attaquant procède à une analyse de port (TCP et UDP) permet
de découvrir les services s'exécutant sur un ordinateur cible.
 Un capture de paquets (Sniffing) : le capture de paquets permet de capturer les
données (généralement des trames Ethernet) qui circulent sur le réseau en vue
d’identifier des adresse MAC, des adresses IP ou des numéros de ports utilisé dans le
réseau cible. Cette attaque peut viser loin pour essayer de de découvrir des noms
d’utilisateur ou des mots de passe. Les logiciels de capture de paquets les plus
couramment utilisé sont wireshark et cpdump.
4
b. Les attaques de mot de passe
L'objectif de ces attaques est de découvrir les noms d'utilisateurs et les mots de passe pour
accéder à diverses ressources. On distingue deux méthodes souvent utilisées dans ce type
d’attaque :
 L’attaque par une liste de mot : cette méthode se base sur une liste de mots ou de
phrases souvent utilisés comme mots de passes.
 L’attaque par force brute : cette méthode essaie toutes les combinaisons possibles
de lettres, de chiffres ou de symboles pour détecter le mot de passe d’un utilisateur.
c. Les attaques d’accès
r i
ak
Ces attaques ont pour objectif d’essayer de pirater des informations sensibles sur éléments
réseaux. Les méthodes suivantes sont courantes pour effectuer une attaque d'accès
uz
 Le Phishing : le phishing est une tentative de pirater des informations sensibles
(généralement des informations financières comme les détails de carte de crédit
Bo
userid/Password etc), en envoyant des e-mails non sollicités avec des URL truqué.
 Le Pharming est une autre attaque de réseau visant à rediriger le trafic d'un site Web
vers un autre site Web.
 L’attaque de «Man-in-the-middle »: un attaquant se place entre deux éléments
id
réseaux pour essayer de tirer profit des données échangées. Cette attaque se base, entre
autre sur, les méthodes suivantes :
ch
 L’usurpation d’identité (Spoofing): C’est une pratique dans laquelle la
communication est envoyée à partir d'une source inconnue déguisé en source fiable
Ra
du récepteur. Elle permet de tromper un firewall, un service TCP, un serveur

d’authentification, etc. L’usurpation d’identité : peut avoir lieu à différents niveaux
: Une Adresse MAC, Une adresse IP, Un port TCP/UDP, Un nom de domaine
DNS
ar
 Le détournement de session (hijacking): l'attaquant pirate une session entre un

hôte et un serveur pour obtenir un accès, non autorisé, à ce services. Cette attaque
rP
s’appuie sur le « spoofing »

ise
al
Ré
 Les attaques mélangées : Les attaques mélangées combinent les caractéristiques des
virus, des vers, et d'autres logiciels pour collecter des informations sur les utilisateurs.
d. Les attaques de réseau contre la disponibilité
Les attaques DoS, ou attaques par déni de service, consistent à rendre indisponible un service
de diverses manières. Ces attaques se distinguent principalement en deux catégories :
5
 les dénis de service par saturation, qui consistent à submerger une machine de
fausses requêtes afin qu’elle soit incapable de répondre aux requêtes réelles ;
 et les dénis de service par exploitation de vulnérabilités, qui consistent à exploiter
une faille du système distant afin de le rendre indisponible.
Les attaques DDoS (Distributed déni de service attaques) est un type d'attaque « Dos »,
provenant de nombreux ordinateurs connectés, contrôlés par les hackers, qui attaquent de
différentes régions géographiques.
Le principe de ces attaques se base, entre autre sur, les méthodes suivantes :
r i
 L’attaque SYN flood : un l'attaquant envoie de nombreux paquets TCP-SYN pour
ak
lancer une connexion «TCP », sans envoyer un message « SYN-ACK ».
 L’attaque ICMP flood un l'attaquant envoie de nombreux faux paquets ICMP vers
l'ordinateur cible..
uz
e. Les attaques rapprochée
Bo
Une attaque rapprochée est un type d'attaque où l'attaquant est physiquement proche du
système cible. L’attaquant exploite l’avantages d'être physiquement proche des appareils
cibles pour, par exemple, réinitialiser un routeur, démarrer un serveur avec un CD, etc.
id
f. Les attaques de relation d'approbation
ch
Un attaquant lors du son contrôle d’une machine réseau, exploite la relation d'approbation
entre cette machine et les différents périphériques d'un réseau pour avoir plus de contrôle.
Ra
3.2. Les mesures de la sécurité réseau

ar
Pour apporter une meilleure sécurité à un réseau d'entreprise, Il est recommandé de

rP
 La séparation des ressources : Les ressources réseau d'entreprise et les différentes

données de sensibilité doivent être localisées dans différentes zones de sécurité.
ise
L'accès aux réseaux d'entreprise et aux bases de données doit être assuré par des
mécanismes hautement contrôlés.
 La protection en profondeur: Les dispositifs de sécurité de réseau devront être
al
employés dans les différents endroits du réseau d'entreprise.

 La règle du «moindre privilège »: Seul le niveau minimal d'accès requis pour
Ré
effectuer une tâche doit être assigné à chaque utilisateur.

 La protection adéquate: les mécanismes de protection doivent être installés de façon
fiable et efficace dans tout le niveau du réseau.
 La restriction de la consultation des informations: seules les informations
nécessaires à l'achèvement d'une tâche doivent être fournies à un employé.
 La séparation des tâches et la rotation des emplois: la séparation des tâches et la
rotation des emplois contribuent à une meilleure mise en œuvre des politiques de
sécurité des entreprises et à la réduction des vulnérabilités.
6
3.3. Les mesures d’audit de vulnérabilités
L’audit d’un réseau informatique doit comporter les cinq catégories suivantes:
 Les mesures préventive : incluent l’instauration des précautions afin d’empêcher
l’exploitation d’une vulnérabilité, et ce par l'utilisation d'un pare-feu, de verrous
physiques et d'une stratégie administratifs de sécurité
 Les mesures détective : incluent la récupération de toutes les informations sur une
intrusion dans le réseau ou dans un système et ce à l'aide des journaux système, les
systèmes de prévention des intrusions (IPS) et les caméras surveillance.
 Les mesures correctives: incluent la détermination de la cause d'une violation de la
sécurité, puis l’atténuation de ces effets et ce par la mise à jour des virus ou des IPS
r i
 Les mesures de récupération: permettent la récupération d’un système après un
ak
incident.
 Les mesures de dissuasion: permettent le découragement des personne qui tentent de
violer la sécurité du réseau.
uz
Bo
id
ch
Ra
ar
rP
ise
al
Ré
7
II. Chapitre 2 : La sécurisation des périphériques réseau
1. Les types de trafic
Cisco a classifié les différents types de trafic réseau comme des « plans » de communication.
Elle en a défini trois : le plan de gestion, le plan de contrôle et le plan de données.
 Le plan de gestion: inclut le trafic utilisé par un administrateur réseau pour configurer
les périphériques réseau. Il se compose généralement du trafic des protocoles tels que
Telnet, SSH ou SNMP.
 Le plan de contrôle: inclut le trafic que les périphériques réseau s’échangent entre
eux pour la découverte ou/et la configuration automatique du réseau, tels que, par
r i
exemple, le trafic des mises à jour des protocoles de routage ou du protocole ARP.
ak
 Le plan de données: c’est le trafic réel des utilisateurs finaux dans le réseau.
Dans ce qui suit, nous allons nous focaliser sur les contre-mesures à entreprendre pour
sécuriser.
uz
2. La sécurisation du plan de gestion
Bo
La sécurisation de plan gestion comprend, entre autres, les éléments suivants:
 L’application d'une stratégie de mot de passe sécurisée.

id
La sécurisation de l’accès console, vty et et auxiliaires.
 La sécurisation et l’archivage des configurations.
ch
 L’activation de la journalisation pour enregistrer toutes les modifications.
 L’utilisation du protocole NTP (Network Time Protocol) pour synchroniser les
Ra
horloges, car il peut identifier l'ordre dans lequel une attaque spécifiée s'est produite.
3. La sécurisation des mots de passe

ar
Il faut prendre en compte ce qui suit à l'esprit lors de l'application d'une stratégie de mot de
passe:
rP
 Changer souvent les mots de passe.

 Inclure, dans les mots de passe, des caractères alphanumériques, des majuscules, des
minuscules, des symboles, et des espaces.
ise
 Ne pas utiliser de mots de passe facile à détecter.

 Crypter tous les mots de passe.
 Définir un minimum de 10 caractères pour les mots de passes
al
Router(config)# service password-encryption Cryptez tous les mots de passe

Ré
Router(config)# security passwords Appliquer une longueur minimale pour

min-length length tous les nouveaux mots de passe. Les mots
de passe existants ne sont pas affectés.
La longueur peut être de 1 à 16. Dix
caractères ou plus sont recommandés.
Router(config)# enable algorithm-type Crypter le mot de passe du mode privilégié

{md5|scrypt|sha256|} secret password à l'aide de message de l’algorithme MD5
8
4. L’implémentation des restrictions de connexion
 La configuration des retards entre les tentatives de connexion successives
 La configuration des paramètres de connexion
login block-for X attempts Y within Z Cette commande permet de bloquer l’accès
i
pendant « X »secondes après « Y » essaie
r
d’accès dans 'z' secondes
ak
Il est possible de définir une ACL pour
Login quiet-mode access-class{acl- autoriser les tentatives de connexion lorsque
uz
name|acl-number} l'accès de connexion est bloqué par login
block-for ou Il peut être utile en situation
Bo
d'urgence.
Login delay second Configurer un délai entre les tentatives
successives de connexion.
id
Cette commande ajoute une entrée sur le
journal d’évènement chaque fois qu'une
login on-failure log [evry login]
ch
tentative de connexion a échoué. Cette
commande peut être personnalisée.
Ra
Cette commande ajoute une entrée sur le

login on-success log [evry login] journal d’évènement chaque fois qu'une
tentative de connexion a réussi.
ar
5. La sécurisation de l’accès par les lignes console, VTY et auxiliaire

rP
 La sécurisation de l’accès par la ligne console et la désactivation de la ligne auxiliaire

ise
Router(config)# username name

Créer une base de données d’utilisateurs
al
privilege level secret password

locaux et crypter leurs mots de passe.
Ré
Router(config)# line vty 0 4
9
Router(config-line)# login local
Réglez l'intervalle d'inactivité à une valeur.
Router(config-line)#exec-timeout minutes
La valeur par défaut est 10 minutes.
seconds
Router(config-line)# line aux 0 Accéder au mode « line auxiliaire ».

Router(config-line)# no exec Désactiver le port auxiliaire.
 La sécurisation de l'accès vty avec ssh
r i
Router(config)# ip ssh version [1|2] Il est recommandé d’utiliser la version 2
ak
Définir le nombre de secondes à attendre
pour que le client SSH réponde pendant la
uz
Router(config)# ip ssh time-out seconds
phase de négociation. La valeur par défaut
est 120 secondes.
Bo
Router(config)# ip ssh authentication- Limitez le nombre de tentatives de
retries integer connexion. La valeur par défaut est 3.
Router(config)# login block-for seconds id
Sécuriser la connexion vty.
attempts tries within Seconds
Router(config-line)# transport input ssh Autoriser uniquement les sessions SSH.
ch
Router(config-line)# access-class Appliquez une ACL pour contrôler l’accès à
ACL-number la ligne vty.
Ra
6. L’attribution des rôles administratifs

ar
6.1. Les niveaux de privilèges du système IOS

rP
Les niveaux de privilège déterminent les personnes autorisé à se connecter à un éléments et

son niveau d’accès. Par défaut, les routeurs Cisco ont trois niveaux de privilèges: « zéro »,
ise
« utilisateur » et « privilégié »
 L'accès au niveau zéro : ne permet que cinq commandes: logout, enable, disable,
help, et exit.
al
 Le niveau utilisateur (niveau 1) : fournit un accès en lecture seule très limité au

routeur,
Ré
 Le niveau privilégié (niveau 15) : fournit un contrôle complet sur le routeur.

Pour offrir plus souplesse, les routeurs Cisco peuvent être configurés pour utiliser 16 niveaux
différents de privilèges de 0 à 15.
10
6.2. Configurer un niveau de privilège
Router(config)# privilege mode { level level Autoriser l’utilisation d’une commande à un

command | reset command } niveau de privilège personnalisé.
Router(config)# enable secret level level Permettre d’assignez un mot de passe au
password niveau de privilège personnalisé.
Router> enable level Accéder au niveau de privilège personnalisé.
r i
 Exemple d’utilisation
ak
l’autorisation d’utiliser la commande
R1(config)# privilege exec level 5 ping
« ping » au niveau de privilège 5
uz
l’autorisation d’utiliser la commande
R1(config)# privilege exec level 5 reload
« reload » au niveau de privilège 5
Bo
Configuration d’un mot de passe Enable
R1(config)# enable secret level 5 tri
pour entrer au niveau 5.
L’accès de l'utilisateur avec le niveau de
privilège 5.
R1> enable 5
id
En plus des commandes régulières du niveau
ch
Password: 1, l'utilisateur de niveau 5 peut également
utiliser les commandes « ping » et
« reload ».
Ra
R1# show privilege

La Vérification du niveau de privilège.
Current privilege level is 5
ar
 Remarque
rP
Lorsqu’on définit une commande sur un niveau de privilège, toutes les commandes dont la
syntaxe est un sous-ensemble de cette commande sont également définies à ce niveau. Par
exemple, si on définit la commande "show ip route" au niveau 10, les commandes "show" et
ise
" show ip" sont automatiquement définies sur le niveau de privilège 10, sauf si vous les
définissez individuellement à des niveaux différents.
al
6.3. Définir un niveau de privilèges par utilisateur

Ré
Il est recommandé de configurer pour chaque utilisateur un niveau de privilège associé. Cela
est possible par les commandes :
Router(config)#username user1 privilege 5 secret 0000
Router(config)#username user2 privilege 12 secret 0000
11
6.4. Définir un niveau de privilège pour de l’accès des lignes console,
VTY et auxiliaire
Les lignes (con, aux, vty) par défaut sont affectées au niveau de privilèges 1. Pour modifier le
niveau de privilège par défaut du port aux, on procède comme suit:
R1(config)# line console 0 Accéder au port console (ou auxiliaire)
R1(config-line)#privilege level 4 Définir un niveau de privilège pour utiliser
ce mode.
R1(config)# line vty 0 4 Accéder au mode VTY.
i
Définir un niveau de privilège pour utiliser
r
R1(config-line)#privilege level 10
ak
ce mode.
uz
6.5. Sécuriser l’accès à l’aide de la gestion de « vues »
Bo
a. Présentation
Bien que les utilisateurs puissent contrôler l'accès CLI via les niveaux de privilège ces
fonctions ne fournissent pas aux administrateurs réseau un niveau plus détaillé. Les vues CLI
id
offrent une capacité de contrôle d'accès plus détaillée améliorant ainsi la sécurité.
b. Configurer une vue
ch
R1(config)# parser view SHOWVIEW Créer une vue nommée « ShowView »
Ra
R1(config-view)# secret cisco123 Assignez une mot de passe à la vue.

R1(config-view)# commands exec include Cette vue peut utiliser tous les commandes
show du mode EXEC privilégié.
ar
R1(config-view)# commands exec include Cette vue peut utiliser la commande « ping »
ping du mode EXEC privilégié.
rP
R1# enable view SHOWVIEW Se connecter à la vue ShowView pour la

Password: vérifier.
ise
c. Configurer une super-vue

al
Ré
Router(config)# parser view view-name Créer une Super-vue en mode de

Superview configuration globale.
Une Super-vue ne peut contenir que d'autres
vues. Une SuperView ne peut pas contenir de
commandes.
Router(config-view)# secret password Assigner un mot de passe à la Super-vue.
Router(config-view)# view view-name Affecter une vue existante à la SuperView.
Des vues multiples peuvent être assignées à
une SuperView
Router# username U1 view view-name
Router# enable view view-name Se connecter à la Super-vue pour la vérifier
R1#show parser view all 12Afficher la liste des vues
d. Remarques
 Un modèle « AAA » doit d'abord être activé (voir chapitre 4).

 Le compte de l’utilisateur peut être sur la base locale ou sur « serveur AAA » externe
 Le niveau de l’accès d’une « vue » a la priorité sur le niveau de « privilège ».
 L'utilisateur est placé sur son niveau de privilège si aucun niveau de «vue » ne lui a été
attribué.
 Une seule «vue » peut être configuré pour un utilisateur.
 Dans la configuration des « vues », les noms et les mots de passe sont sensibles à la
casse.
i
6.6. La sécurisation des fichiers de configuration et du système IOS
r
ak
Le système Cisco IOS offre la possibilité de créer des copies de l’image IOS ou/et du fichier
de configuration. En effet, il les archive sous un format nommées « bootset » protégé contre
uz
la suppression.
Sécuriser l'image IOS en le cachant en Flash.
R1(config)# secure boot-image
Il ne peut être vu qu’en mode ROMMON
Bo
Prendre le fichier configuration en cour et
l'archiver en toute sécurité dans la mémoire
R1(config)# secure boot-config
Flash. Il ne peut être vu qu’en mode
id
ROMMON.
Afficher l'état de l’archivage de l'image de
ch
R1# show secure bootset
Cisco IOS et du fichier de configuration.
Ra
Pour restaurer les fichiers principal à partir d'une archive sécurisée après un incident (par un
effacement de la NVRAM ou un formatage du flash), on procède comme suit :
Router#reload
ar
Redémarrer le routeur
Proceed with reload? [confirm]
rP
Entrez dans le mode ROMMON et affichez

rommon 1 > dir flash:
les fichiers bootset disponible.
rommon 2 > boot c1841-advipservicesk9- Démarrez le routeur à l'aide de l'image
ise
mz.124-20.T1.bin répertoriée.
Router(config)#secure boot-config Restaurez la configuration sécurisée à
al
restore flash:.runcfg-20120701-090211.ar l'archive trouvée dans Flash

Ré
6.7. Utilisation des fonctionnalités de sécurité automatisées

a. Présentation
Autosecure est un scripte de configuration de sécurité simple qui désactive les services
système non essentiels et permet de configurer le niveau de sécurité recommandé. La
commande Autosecure démarre un assistant en ligne de commande de la même façon lors
l'utilisation du programme d'installation pour configurer un routeur.
b. Configuration
13
Ré
al
ise
rP
ar
14
Ra
ch
id
Bo
uz
ak
ri
III. Chapitre 3 : La Supervision d’un réseau informatique
1. Présentation
Le plan de gestion inclut le trafic des protocoles de la surveillance du réseau en l’occurrence
les protocoles SysLog et SNMP. L’utilisation du protocole NTP permet de synchronisés
l’heure des éléments réseau assurant la fiabilité des données des éléments supervisé.
2. Implémenter un serveur NTP

2.1. Présentation du NTP
r i
Le protocole NTP (Network Time Protocol ou NTP) permet de synchroniser l'horloge locale
ak
d’un élément réseau informatique avec celle d'un serveur de référence (un serveur de temps
public sur Internet ou avec une source de temps interne).
uz
2.2. Fonctionnement du NTP
Bo
a. Les différents niveaux NTP
Il existe des serveurs NTP de différents niveaux (strates) qui correspondent à différentes
précisions. Les horloges atomiques forment la strate 0, et sont directement reliées aux
id
serveurs de strate 1, qui ne sont eux-mêmes accessibles qu'à des serveurs de strates 2 ou 3,
certains de ces serveurs étant librement accessibles.
ch
Ra
ar
rP
ise
b. Les modes de communication de NTP
Pour synchroniser l'horloge un client peut utiliser plusieurs modes :

al
 Le mode client/serveur : Le client se synchronise sur l’heure du serveur.

 Le mode symétrique : La priorité est donnée au poste qui a la plus courte distance de
Ré
synchronisation.
 Le mode multicast : Permet au client d’obtenir une réponse de plusieurs serveurs.
2.3. Configuration du protocole NTP
a. Configure un routeur maitre NTP
Configurez le routeur pour qu'il soit le maître

Router(config)# ntp master stratum NTP.
Le nombre de strates est optionnel et est le
15
nombre de tronçons éloignés d'une source de
temps faisant autorité, comme une horloge
atomique.
Router(config)# ntp authenticate Activer l'authentification NTP
Router(config)# ntp authentication-key Définissez la clé et le mot de passe NTP et
key-number md5 key-value cryptez-le à l'aide de MD5.
Identifiez la clé de confiance sur le maître.
Pour synchroniser, un client NTP doit fournir
Router(config)# ntp trusted-key key-number
la clé de confiance et le mot de passe
i
appropriés.
r
ak
b. Configurer un client NTP
uz
Client(config)# ntp server ntp-server- Définir le routeur maitre NTP auquel le
address client va se synchroniser.
Bo
Client(config)# ntp authentication-key Définissez la clé et le mot de passe NTP et
keynumber md5 key-value cryptez-la à l'aide de MD5.
Client(config)# ntp trusted-key key-number
id
Identifier la clé de confiance sur le maître.
ch
3. Implémenter un serveur SysLog
Ra
3.1. Présentation du SysLog
 Le protocole SysLog est utilisé pour recueillir les messages de journalisation générés
ar
par un équipement ou une application. Ces messages sont parfois la seule manière
d’obtenir des éclaircissements sur le dysfonctionnement d’un équipement.
rP
 Les destinations classiques des messages SysLog sont les suivantes :

 Les lignes de console
 Les lignes de terminal
ise
 Un serveur SysLog
al
Ré
 Un serveur SysLog permet d’assurer les tâches suivantes :
16
 Centraliser tous les fichiers journaux de différents équipements du
réseau : routeurs, commutateurs, serveurs, etc.
 Archiver les journaux dans un lieu fiable où ils peuvent être traités.
 Effectuer des recherches et des tris sur les journaux pour faciliter leur
analyse.
r i
ak
uz
3.2. Fonctionnement du Syslog
Bo
a. Les niveaux de gravité SysLog
Un niveau de gravité indique la nature d’un message d’erreur. On distingue huit niveaux de
id
gravité, de 0 à 7 avec le niveau 0 (zéro) étant le plus critique et le niveau 7 le moins critique.
ch
Code Gravité Mot-clé Description
0 Emergency emerg (panic) Système inutilisable.
Ra
1 Alert Alert Une intervention immédiate est nécessaire.

2 Critical Crit Erreur critique pour le système.
ar
3 Error err (error) Erreur de fonctionnement.

rP
warn Avertissement (une erreur peut intervenir si

4 Warning
(warning) aucune action n'est prise).
5 Notice Notice Événement normal méritant d'être signalé.
ise
6 Informational Info Pour information.

al
7 Debugging Debug Message de mise au point.

Ré
b. Le format d’un message SysLog
Un journal au format SysLog comporte dans l'ordre les informations suivantes :
17
Seq no:timestamp%FACILTY-SEVERITY-MNEMONIC: message
 Seq no : indique le numéro d’ordre de l’événement, cette information
apparait seulement si la commande service sequence-numbers a été
exécutée.
 timestamp : indique la date et l’heure de l’événement. cette information
apparait uniquement si la commande service timestamps a été exécutée.
 FACILTY : indique le composant, protocole ou le processus qui a
généré le message, exemples SYS pour le système d'exploitation, IF
pour une interface, etc.
 SEVERITY : Un nombre, entre 0 et 7, qui indique l'importance de
i
l’événement signalée.
r
ak
 MNEMONIC : un code identifiant le message SysLog.
 message : Une description de l'événement qui a déclenché le message
SysLog
uz
Exemple :
Bo
39345: May 22 13:56:35.811: %LINEPROTO-5-UPDOWN: Line protocol on Interface
Serial0/0/1, changed state to down id
 seq no: 39345
 Timestamp: May 22 13:56:35.811
ch
 FACILTY: LINEPROTO
 SEVERITY level: 5 (notification)
Ra
 MNEMONIC: UPDOWN
 message text: Line protocol on Interface Serial0/0/1, changed state to
down
ar
c. Configurer un client SysLog

rP
Router(config)# service timestamps Activer les horodatages sur les messages de

log datetime msec débogage et de journalisation.
ise
Router(config)# logging host [ ip-address | Identifiez l'adresse du serveur Syslog ou son

hostname ] nom d'hôte.
al
Limiter les messages connectés aux serveurs

syslog en fonction de la gravité.
Ré
Router(config)# logging trap level

La valeur par défaut est 0 – 6.
Activer l’envoie des messages pour la

Router(config)# logging on
journalisation. La valeur est « on » par défaut
Afficher l'état de journalisation et le contenu
Router# show logging du tampon de journalisation système
standard.
18
4. Implémenter le protocole SNMP
4.1. Présentation du SNMP
 Le protocole SNMP (Simple Network Management Protocol) permet de superviser,

diagnostiquer et gérer, les équipements réseau à distance.
 Les buts du protocole SNMP peuvent être résumés comme suit :
 surveiller les performances du réseau et connaître l'état global des
équipements (actif, inactif, partiellement opérationnel, engorgement
réseau...) ;
i
 détecter les problèmes sur le réseau et gérer les évènements
r
exceptionnels (perte d'un lien réseau, arrêt brutal d'un équipement...) ;
ak
 agir sur la configuration des équipements.
 Le protocole SNMP réagit sur la couche application du modèle OSI et utilise le
uz
protocole UDP sur le port 162.
 Un grand nombre de logiciels utilisent SNMP pour produire des graphes rendant
Bo
compte de l'évolution des réseaux ou des systèmes informatiques (Centreon,
NetCrunch 5, MRTG, Cacti, Shinken, Nagios, Zabbix).
4.2. Fonctionnement du SNMP id

a. Les composants d’un système SNMP
ch
Ra
ar
rP
Un système SNMP se compose de trois éléments :

ise
 Le gestionnaire SNMP : (Network Management System – NMS) : est

un logiciel qui s'exécute sur la station de l'administrateur réseau (dans la
plupart des cas, un ordinateur) pour surveiller le réseau.
al
 L'agent SNMP : est un logiciel qui s'exécute sur le périphérique réseau

/(routeur, commutateur, serveur...) permettant sa supervision.
Ré
 La base d’information et de gestion (MIB) : est un ensemble de

collection d'objets gérés par l’agent SNMP. Chacune de ces collections
contient un certain nombre de variables qui peuvent être consulté ou
modifiés par le gestionnaire SNMP.
b. La structure de la base d’information de management
La structure de la MIB est hiérarchique : chaque information possède un identifiant (OID),

une suite de chiffres séparés par des points, qui l'identifie de façon unique. Par exemple,
19
1.3.6.1.2.1.2.2.1.2 est l'object identifier ifDescr qui est la chaîne de caractères décrivant une
interface réseau (comme Ethernet0 sur un routeur Cisco).
Une des MIB les plus connues est MIB-II, décrite dans le RFC 1213.
r i
ak
uz
Bo
c. Les différentes versions de SNMP
id
SNMP a plusieurs versions, mais il existe trois versions principales : SNMP version 1,
SNMP version 2c et SNMP version 3.
ch
 SNMPv1
Ra
C’est la version originale et il est recommandé de ne pas l’utiliser sur un réseau suite à des
lacunes de sécurité.
 SNMPv2c
ar
Elle présente une mise à jour de protocole initial et offre quelques améliorations. Cependant,
la sécurité qu'il fournit se base sur la chaîne de communauté uniquement qui est juste un mot
rP
de passe en texte clair (sans cryptage) vulnérables aux attaques des pirates.
Il existe deux types de chaînes de communauté dans SNMPv2c :
 Lecture seule (RO) : cette option donne accès en mode lecture seule
ise
pour les objets MIB. Cette une option plus sûre et recommandé.
 Lecture-écriture (RW) : donne un accès en mode lecture et écriture
pour les objets de la MIB. Cette méthode permet le gestionnaire SNMP
al
pour modifier la configuration d’un élément réseau.

Ré
 SNMPv3
Elle apporte des améliorations significatives pour remédier aux faiblesses de sécurité existant
dans les versions antérieures. Le concept de chaîne de communauté a été abandonné en
mettant en place trois nouvelles fonctionnalités principales :
 L’intégrité : il permet de s’assurer qu'un paquet n'a pas été modifié.
 L’authentification : il permet de s’assurer que le message provient
d'une source valide sur le réseau, en utilisant un mot de passe se basant
sur les algorithmes de HMAC-MD5 ou HMAC-SHA.
20
 Cryptage (chiffrement) : il permet de crypter le contenu d'un paquet
avec la méthode DES pour crypter.
Remarque : Bien que SNMPv3 offre une meilleure sécurité la version SNMPv2c reste encore
plus fréquente être utilisée.
d. Les messages SNMP
Les opérations suivantes sont disponibles sur toutes les versions SNMP :
Recherche d’informations :
i

r
 GET : elle permet d’extraire une valeur d’un élément de la MIB.
ak
 GetNext : elle permet de récupérer la valeur suivante de l’élément MIB.
 GetBulk : (à partir de SNMPv2c) cette opération est utilisée par le
uz
gestionnaire SNMP pour récupérer efficacement de grandes quantités de
données de l'agent SNMP.
Bo
 Envoie d’informations
SNMP fournit également des opérations de notifications (déroutements) différentes qui

id
peuvent être utilisées par le protocole SNMP pour avertir le gestionnaire SNMP d'un
événement important :
ch
 Trap : cette notification est utilisée pour envoyer un message sans
accusé de réception de l'agent SNMP au gestionnaire SNMP (NMS),
Ra
lorsqu’une condition programmé réseau est remplie (….).

 Informer : cette notification a été introduite dans SNMPv2c pour
remédier le problème d’accusé de réception lors de l’utilisation de Trap.
le gestionnaire SNMP peut maintenant reconnaître que le message a été
ar
bien reçu.
rP
 Modification de valeurs :
ise
 SET : elle permet de définir une valeur d'un élément MIB.
e. Configuration du SNMP
al
community Configurer l'identifiant de la « communauté »

Ré
Router(config)#snmp-server
[tri] [ro] et son niveau d'accès (lecture seule ou
lecture/écriture).
Router(config)#snmp-server enable traps
Activer une «traps » SNMP.
[nom de traps]
Router(config)#snmp-server host [@ IP
Superviser votre équipement.
Gestionnaire SNMP] [nom_community]
Router#show snmp Vérifier de la configuration SNMP.
21
IV. Chapitre 4 : Sécurisation de l'accès de gestion avec AAA
1. Présentation
AAA est une stratégie de sécurité implémenté dans certains routeurs Cisco qui réalise trois
fonctions : l'authentification, l'autorisation, et la traçabilité (en anglais : Authentication,
Authorization, Accounting/Auditing). Avec :
 Authentication : consiste à déterminer si l’utilisateur ou l’équipement est bien celui
qu’il prêtant être, cela ce fait grâce à une authentification nom d’utilisateur/ mot de
passe, ou grâce à un certificat.
 Authorization : consiste à déterminer les droits de l’utilisateur sur les différentes
r i
ressources.
ak
 Accounting : consiste à de garder des informations sur l’utilisation des ressources par
l’utilisateur.
Les utilisateurs AAA peuvent être créés sur une base locale, sur le routeur ou le commutateur,
uz
comme ils peuvent être créés sur un serveur externe ce qui a pour avantage de centraliser la
configuration de l’accès.
Bo
2. L’authentification AAA
2.1. L’authentification AAA locale
id
 L’authentification locale permet une gestion simple et rapide des comptes
ch
d’utilisateurs. Cependant, il s’avère inefficace lorsque le nombre d’utilisateur devient
plus grand.
Ra
ar
rP
 Le processus de l’authentification locale peut être résumé comme suit :

ise
1. L'utilisateur établit une connexion avec le routeur.

2. Le routeur invite l'utilisateur à un saisir un nom d'utilisateur et un mot de passe, et
l'authentification de l'utilisateur est validé à partir d’une base de données locale.
al
 Pour configurer un routeur pour utiliser l’authentification AAA locale, on procède

Ré
comme suit :
Router(config)# username username Créer un utilisateur à la base de données
privilege level secret password locale et lui attribuer un mot de passe.
Router(config)# aaa new-model Créer un nouveau modèle AAA.
Définir la méthode d'authentification à
Router(config)# aaa authentication login {
utiliser lors de l'accès aux lignes console, vty
default | list-name } { method1 [ method2
ou aux. la méthode d'authentification inclue
...]}
local, local-case et Enable.
22
Remplacer le message « Username:» par un
Router(config)# aaa authentication autre massage. Si ce dernier contient des
username-prompt text-string espaces, ils doivent être entourés par un
double guillemet.
Router(config)# aaa authentication Remplacer le message « Password » par un
password-prompt text-string autre texte.
Sécurisez les comptes AAA en verrouillant
les comptes qui ont dépassé le nombre
r i
Router(config)# aaa local authentication maximal de tentatives d'échec prédéfini.
ak
attempts max-fail number Le compte reste verrouillé jusqu'à ce qu'il
soit activé par un administrateur à l'aide de la
commande : aaa local user lockout
uz
Bo
2.2. L’authentification AAA basée sur un serveur
 Les utilisateurs AAA peuvent résider sur un serveur externe. Il est possible d’utiliser
id
deux types de serveurs en se basant sur les protocoles Radius ou Tacacs+ :
 Le protocole Radius : est un protocole ouvert basé sur de L’UDP.
 Le protocole Tacacs+ : est un protocole propriétaire basé sur du TCP.
ch
 La différence entre les deux protocoles incluent :
Ra
TACACS+ RADIUS
Protocole TCP : port 49 UDP : port 1645 ou 1812
Cryptage de la totalité des Cryptage seulement du mot de
Cryptage
ar
informations passe
Les stratégies AAA sont Combine l’authentification et
Architecture AAA
rP
indépendantes la traçabilité
Challenge / Réponse Bidirectionnel Unidirectionnel
Propriété Cisco system Open source
ise
 Avec les stratégies AAA, il est possible d’intégrer les utilisateurs de la base « Active
al
Directory » pour profiter d’une gestion centralisée.

 L’authentification par serveur peut être résumée comme suit:
Ré
23
i
1. L'utilisateur établit une connexion avec le routeur.
r
2. Le routeur lui invite à saisir un nom d'utilisateur et un mot de passe.
ak
3. Le routeur passe les identifient de l’utilisateur vers un serveur.
4. Le serveur valide les données.
uz
 Pour configurer un routeur pour utiliser l’authentification AAA sur serveur, on
procède comme suit :
Bo
R1(config)# tacacs-server host { host-name Configurer l’adresse IP (ou le nom) du
| host-ip-address } [ key string ] [ port [ serveur TACACS +. Les autres paramètres
integer ]] [ single-connection ] [ timeout sont optionnels.
[ seconds ]]
id
R1(config)# radius-server host { host-name Configurer l’adresse IP (ou le nom) du
ch
| host-ip-address } [ auth-port port-number ] serveur RADIUS. Les autres paramètres sont
[ acct-port port-number ] [ key password ] optionnels.
Ra
 Facultativement, des serveurs peuvent être regroupés pour accélérer le processus

l’authentification des utilisateurs.
ar
Router(config)# aaa group server radius Grouper des hôtes de serveur RADIUS
group-name existants et les utiliser pour un service
rP
particulier
Router(config-sg-radius)# server ip-address Configurez l'adresse IP du serveur RADIUS
ise
[ auth-port port-number ] [ acct-port pour le serveur de groupe.

port-number ]
Router(config)# aaa group server tacacs+ Regroupez les hôtes TACACS + Server
al
group-name existants et utilisez-les pour un service

particulier.
Ré
Router(config-sg-tacacs+)# server server-ip Configurez l'adresse IP du serveur

TACACS+ pour le serveur de groupe.
3. Les autorisations AAA

Les stratégies d'autorisation AAA définissent les paramètres d'accès pour un utilisateur sur un
routeur ou dans un réseau.
24
Router(config)# aaa authorization { exec Définit la stratégie d'autorisation à utiliser
| network | commands level } { default | lors de l'accès aux modes suivants:
list-name } { method1 [ method2 ...]}  exec permet d’autoriser un utilisateur
à exécuter un une commande dans ce
mode.
 network permet d’autoriser les
requêtes d’accès liées au réseau, tel
que PPP.
 commands permet de définir les
commandes autorisées pour un niveau
i
de privilège spécifique.
r
ak
uz
4. La traçabilité AAA
Les méthodes de la traçabilité définissent les éléments à garder la trace de leurs activités sur le
Bo
journal d’évènement.
AAA prend en charge six différents types de traçabilité: system, network, exec, commands,
connection et ressource: id
Router(config)# aaa accounting { system | Définir la méthode de traçabilité à utiliser
network | exec | commands level } { default pour un service spécifique. Il maintient le
ch
suivi des services demandés :
| list-name } { start-stop | wait-start |
stop-only | none } [ method1 [ method2 ]]  system garde une trace de toutes les
Ra
actions effectuées au niveau du

système.
 network garde une trace de toutes les
actions effectuées au niveau réseau
ar
tel que PPP.

 exec garde une trace de toutes les
rP
actions effectuées au niveau “exec”.

 commands effectuent le suivi de
toutes les commandes à un niveau de
ise
privilège spécifique.
al
Ré
25
V. Chapitre 5 : Utiliser les pare-feu
1. Présentation d’un pare-feu

Un pare-feu est généralement un système ou un périphérique placé entre un réseau fiable et un
autre non fiable. L’objectif principal de son implémentation est de filtrer et d’empêcher le
trafic indésirable de traverser la limite du pare-feu. Pour ce faire, un pare feu doit assurer les
recommandations suivantes :
 Être résistant aux attaques.
 Être le seul point de transit entre deux réseaux.
 Assurer l’application de la stratégie de contrôle d'accès de l'organisation.
r i
2. Les types de pare-feu
ak
Il existe différents types de pare-feu, y compris les suivants
uz
 Pare-feu NAT: permet de cacher une adresses IP privé en la traduisant à une adresse
IP public.
 Pare-feu de filtrage de paquets : permet de filtrer les paquets de la couche 3 ou 4 du
Bo
modèle OSI. Ce type de pare-feu reste simple à configurer mais également vulnérable
aux attaques par usurpation d'identité.
 Pare-feu de filtrage de paquet avec état : assure la même fonction que les pare-feu
id
de filtrage de paquets, mais conserve également le suivi de l'état des connexions
réseau (c'est-à-dire les numéros de séquence TCP et UDP) ce qui le rend plus sécurisé.
Pare-feu applicatif (pare-feu proxy) : C’est, généralement, un serveur qui assure ce
ch

type de filtrage des informations situées aux couches 3, 4, 5 et 7.
Ra
3. L’implémentation d’un pare-feu

Les meilleures pratiques pour l’implémentation d’un pare-feu incluent:
 Mettre le pare-feu aux limites de sécurité pour séparer les différents domaines de
ar
communication.
 Ne permettre que le trafic des services nécessaires.
rP
 Surveiller les journaux de pare-feu.

 Implémentez une variété de technologies de pare-feu pour fournir un contrôle d'accès
multicouche complet.
ise
 Ne pas s’appuyer exclusivement sur un pare-feu pour la sécurité.

 S’assurer que l'accès physique au pare-feu est contrôlé.
 Pratiquer la gestion du changement pour les modifications de configuration de pare-
al
feu.
Ré
4. Les différentes stratégies d’un pare-feu

Les règles d'accès sont généralement implémentées à l'aide des listes de contrôle d'accès
(ACL). Lorsque vous définissez des règles d'accès, vous pouvez utiliser plusieurs critères
comme point de départ:
 Les règles basées sur le contrôle de service : Détermine les types de services qui
peuvent être consultés, en trafic entrants ou sortants. Le pare-feu peut filtrer le
trafic en fonction de l'adresse IP et du numéro de port TCP.
 Les règles basées sur le contrôle de la direction : Détermine la direction dans
laquelle les requêtes vers un service spécifique peuvent être initié et autorisées.
26
 Les règles basées sur le contrôle de comportement : Contrôle la façon avec
laquelle des services spécifiques seront utilisés. Par exemple, le pare-feu peut des
contrôler les e-mails pour éliminer les spam.
5. Les pare-feu à base d’ACL

5.1. Présentation
Une liste de contrôle d'accès est un ensemble séquentiel d'instructions d'autorisation ou de
refus qui s'appliquent aux adresses ou aux protocoles de couche supérieure. Les listes de
contrôle d'accès permettent de contrôler le trafic entrant ou sortant d'un réseau. Des listes de
i
contrôle d'accès peuvent être configurées pour tous les protocoles réseau routés.
r
ak
5.2. L’emplacement des ACL
Les ACL peuvent être implémentées dans deux directions
uz
 Les ACLs entrantes : les paquets entrants sont traités avant d'être routés vers
l'interface de sortie. Les listes de contrôle d'accès entrantes sont idéales pour filtrer les
Bo
paquets lorsque le réseau relié à une interface d'entrée est la seule source des paquets
devant être inspectés.
 Les ACLs sortantes : les paquets entrants sont acheminés vers l'interface de sortie,
id
puis traités par le biais de la liste de contrôle d'accès sortante. Les listes de contrôle
d'accès sortantes sont particulièrement efficaces lorsqu'un même filtre est appliqué aux
ch
paquets provenant de plusieurs interfaces d'entrée avant de quitter la même interface
de sortie.
Ra
5.3. Les ACL IPv4
 Les routeurs prennent en charge deux types d'ACL IPv4

 Les ACL Standard :
ar
 Filtre les paquets IP en se basant uniquement sur l'adresse IP source.

 Peuvent être numérotées ou nommées.
rP
 Les plages de nombres valides comprennent 1 – 99 et 1300 – 1999.

 Les ACL Etendues :
 Filtre les paquets IP se basant sur les adresses IP source et destination, les ports
ise
UDP et TCP source et destination, et les types de messages ICMP, etc.

 Peuvent être numérotées ou nommées.
 Les plages de nombre valides comprennent 100 – 199 et 2000 – 2699.
al
Ré
 Pour configurer Les ACL Standard on procède comme suit :

R1(config)# access-list number Créer une ACL Standard numéroté
[deny|permit] source [masque
générique]
R1(config)# ip access-list standard Créer une ACL Standard nommée
nom_ACL
R1(Config-if)# ip access-group [ number Activer une ACL sur une interface
| name [ in | out ] ]
 Pour configurer Les ACL Etendues on procède comme suit :
27
R1Config)# access-list number { deny | Créer une ACL Etendue numérotée.
permit } protocol source [masque
générique] destination [masque
générique]
R1(config)# ip access-list extended Créer une ACL Etendue nommée
nom_ACL
R1 (config-if)# ip access-group Activer une ACL sur une interface.
{number|name} {in|out}
i
5.4. Les ACL IPv6
r
ak
 Les listes de contrôle d'accès IPv6 sont semblables aux listes de contrôle d'accès IPv4,
avec quelques particularités présentées comme suit :
uz
Listes de contrôle d'accès IPv4 Listes de contrôle d'accès IPv6
Bo
Standard Nommées uniquement
Numérotées Fonctionnent comme les listes de contrôle
Nommées d'accès ACL IPv4 étendues
id
Étendues
Numérotées
ch
Nommées
L’utilisation du masque générique Aucun masque générique
Ra
La commande ip access-group permet IPv6 utilise la commande ipv6 traffic-filter

d'appliquer une liste de contrôle d'accès IPv4 pour effectuer la même tâche sur les
à une interface IPv4 interfaces IPv6
ar
il existe une instruction implicite deny any permit icmp any any nd-na
ou deny any any
rP
permit icmp any any nd-ns
 Pour configurer Les ACL IPv6 on procède comme suit :

ise
R1(config)# ipv6 access-list nom_ACL Création de l’ACL de IPv6

al
R1(config-ipv6-acl)# {deny|permit} Configuration d’une ACL IPv6

protocole ipv6-source/CIDR
Ré
[{eq|neq|gt|lt|range} port] ipv6-

destination/CIDR [{eq|neq|gt|lt|range}
port]
R1(config)#interface type numéro Activation d'une ACL sur une interface

R1(config-if)#ipv6 traffic-filte nom_ACL
{in|out}
28
5.5. Recommandation sur les ACL
Il est important de prendre en compte les points suivants lors de l’implémentation des ACL:
 Les instructions dans une ACL sont traitées dans un ordre séquentiel, il est important
de prendre en compte l'ordre de leur positionnement.
 Les instructions les plus spécifiques doivent être placées dans les premières lignes
dans une ACL.
 Les nouvelles instructions dans une ACL existant sont ajoutées par défaut aux
dernières lignes.
 Il faut s’assurer que la dernière instruction est un refus de tous autres trafics non
i
spécifié.
r
ak
 Une seule ACL est autorisée par interface, par protocole ou par direction.
 Les paquets générés par le routeur ne sont pas traité par les ACL sortantes.
 Les ACL standards doivent être placées le plus près possible de la destination.
uz
 Les ACL étendues doivent être placées le plus près possible de la source.
Bo
6. Les pare-feu à base de zones
6.1. Présentation id
Un ZPF (Cisco IOS zone de pare-feu) est une solution de pare-feu basé sur un routeur IOS. Il
ch
permet de protéger un réseau contre les menaces externes en se basant le regroupement des
interfaces sous forme de zones, et de spécifier quel type de trafic peut passer d’une zone à une
autre. Les avantages à utiliser cette solution incluent notamment la simplicité de définir les
Ra
stratégies d’accès.
ar
rP
ise
al
6.2. Les règles appliquées au le trafic interzones

Ré
En ce qui suit des règles qui régissent le comportement d’un ZPF lors de l’acheminement de
trafic :
 Une zone de sécurité doit être créée avant de pouvoir lui affecter des interfaces.
29
 Une interface peut être affectée à une seule zone de sécurité.
 Par défaut, le trafic est autorisé entre les interfaces membres de la même zone.
 Pour autoriser le trafic entre deux de zones, une stratégie de sécurité doit être
préconfigurée. Trois actions peuvent être prises:
 Pass: Le trafic est autorisé à transiter d’une zone à l’autre.
 Inspect: Autoriser le trafic et inspecter le trafic retour.
 Drop: Supprimer le trafic.
 Tout le trafic vers une interface de routeur (la zone « self zone ») est autorisé jusqu'à
ce qu’il soit explicitement refusé.
r i
ak
6.3. Terminologie
Les stratégies d'accès de ZPF sont effectuées à l'aide de trois composant essentiels :
uz
 Class Map: permet d’identifier le trafic en fonction de certains critères.
 Policy Map : permet d’appliquer une stratégie « Class map » créé précédemment.
Bo
 Service Policy : permet définir où appliquer la «Policy Map» créé précédemment.
6.4. Configuration d’un ZPF id

Pour configurer un ZFW, il est possible de suivre la séquence des étapes suivantes :
ch
1. Créer les zones.
2. Créer les Classe-Map pour identifier le trafic autorisé.
3. Créer les Policy-Maps pour appliquer les Classe-Map.
Ra
4. Définir les paires de zones.

5. Appliquer les mappages de stratégie aux paires de zones
6. Affecter des interfaces aux zones.
ar
1. Créer les zones.

rP
Router(config)# zone security zone-name Créer une zone de sécurité

ise
Router(config)# class-map type inspect { Créer une Class-Map et définir ces options.
match-any | match-all } class-map-name match-any : Les paquets doivent répondre à
l'un des critères de correspondance.
al
match-all : Les paquets doivent répondre à

tous les critères de de correspondance.
Ré
Router(config-cmap)# match protocol Définir les critères de correspondance sur la

protocol base d'un Protocole.
3. Créer les Policy-Maps pour appliquer les Classe-Map.
Router(config)# policy-map type inspect
Créer une Policy-Map et définir ces options
policy-map-name
Router(config-pmap)# class type inspect Relier-la avec une (ou plusieurs) Class-Map
class-map-name
30
Router(config-pmap-c)#{drop | inspect | Définir l’action à entreprendre.
pass }
Router(config)# zone-pair security zone- Créer une paire de zones qui permet
pair-name source { source-zonename | self | d’appliquer une stratégie « Policy-Map »
default } destination { destination-zone- unidirectionnelle entre les deux zones.
name | self | default }
Router(config-sec-zone-pair)# service-policy Appliquer la stratégie « Policy-Map » à la
type inspect policymap-name paire de zones
r i
ak
6. Affecter des interfaces aux zones.
Router(config)# interface type number Attachez une interface à une zone de sécurité
uz
Router(config-if)# zone-member security spécifiée.
zone-name
Bo
id
ch
Ra
ar
rP
ise
al
Ré
31
VI. Chapitre 6 : Mettre en œuvre la prévention des intrusions IPS
1. Présentation de l’IDS et de l’IPS

 Un capteur est un dispositif réseau qui analyse le trafic réseau, pour le classifier,
selon des règles préétablit, comme étant normal ou malveillant.
 Un système de détection d'intrusion IDS (Intrusion Detection System) est un
capteur capable d’analyser les paquets circulant sur un ou plusieurs lien(s) réseau dans
le but de détecter les activités suspectes. Son rôle se limite seulement de pouvoir
signaler à l'administrateur système toute trace d'activité anormale sur un hôte ou sur le
réseau. Il ne permet pas d’empêcher les tentatives d’intrusions.
i
 Un système de prévention d'intrusion IPS (Intrusion Prevention System) est un
r
capteur capable de détecter et d’empêcher toutes les attaques potentielles sur un hôte
ak
ou sur le réseau.
 Le tableau suivant présente quelques caractéristiques des deux capteurs IDS et IPS :
uz
IDS IPS
Bo
Tous les paquets sont traités
Reçois seulement une copie des
Le traitement des par le système avant
paquets originaux pour le
paquets. d’atteindre le réseau ou
traitement.
id l’hôte.
Ajoute un peu de retard au
ch
Aucun délai n’est ajouté au trafic
L’impact sur la latence. trafic avant de le transmettre
d'origine.
vers le réseau.
Ra
L’impact causé si le Tout le trafic passant à

système est hors Aucun impact négatif. travers le système pourrait
service. être affecté négativement.
ar
Un IPS peut protéger le trafic

La capacité de protéger Pas de protection contre le trafic
en fonction d'un ensemble de
le réseau. malveillant.
rP
règles préétablit.
ise
Remarque : Dans ce qui suit, on va se limiter à l’étude des capteurs IPS
2. Les types des IPS

al
En fonction de son emplacement dans un réseau, les IPS peuvent être placés pour protégé un
Ré
hôte (IPS-Hôte) ou tout le réseau (IPS-Réseau). Chaque type possède ses propres avantages et
inconvénients
Avantages Inconvénients
IPS-Hôte  Permet de protéger un hôte spécifique.  Dépend du système
 Permet de protéger le système d'exploitation
d'exploitation et les applications.  Doit être installé sur tous
les hôtes.
IPS-Réseau  Une solution moins couteuse.  Impossible d'examiner le
 indépendant du système d'exploitation. trafic chiffré.
32
3. Les modes de déploiement de l’IPS
Un IPS peut être déployé en deux modes :
 En mode promiscuité : l’IPS se limite à analyser le trafic réseau (c.à.d. aux tâches
d’un IDS).
 En mode Inline : le trafic est dirigé vers l’IPS pour être analyser. L’IPS bloque une
partie de ce trafic selon des paramètres préconfiguré.
4. Les types d'alarmes

Les attaques sur un réseau peuvent générer quatre types d'alarmes codifiés comme suit:
i
Une alarme déclenchée par une intrusion qui a eu lieu et qui été
r
Vrais positive
détecté par l’IPS.
ak
Vrais négative Aucune intrusion n’a eu lieu et aucune action n'est prise par l’IPS.
uz
Une alarme déclenchée par un trafic normal ou une action non
Faux positive
significative.
Bo
Faux négative Aucune alarme n'est déclenchée lorsque une intrusion a eu lieu.
A noter que les alarmes «Faux positive » doivent être réglées et les alarmes « Faux négative »
doivent être corrigées. id
5. La détection du trafic malveillant
ch
5.1. Les modes de détection
Ra
Un IPS peut détecter le trafic malveillant en utilisant plusieurs modes y compris : la détection
à base de signatures, à base de stratégies, à base d’anomalies, à base de la réputation.
5.2. La détection à base de signatures

ar
a. Définition d’une signature

rP
Une signature est un ensemble de règles configuré sur un système IPS qui permettent de
détecter des intrusions. Cisco a regroupé les signatures, ayant des caractéristiques similaires,
ise
en catégorie pour faciliter leurs gestions ainsi que leurs analyses.
b. Les types de signatures

al
. On distingue deux types de signature dans les sytémes:

Ré
 Atomique : une tentative faite pour accéder à un port spécifique sur un hôte spécifique,
et le contenu malveillant est dans un seul paquet.
 Composite : une séquence d'opérations distribuées sur plusieurs hôtes sur une période
arbitraire.
c. La détection à base de signatures
La détection à base de signature est généralement le moyen le plus utilisé pour identifier le
trafic malveillant dans les systèmes IPS/IDS Cisco
 Les avantages :
33
 Facile à configurer et à mettre en œuvre.
 Par défaut, un IPS dispose de plusieurs signatures préinstallé.
 D’autres signatures supplémentaires peuvent être téléchargé et implémenté pour
pallier aux nouveaux types attaques.
 Les inconvénients :
 Ne permet pas de détecter les attaques en dehors des règles prédéfinies.
 Peut générer des alarmes de type « Faux positifs ».
 Les signatures doivent être mises à jour périodiquement.
5.3. Les autres modes de détection du trafic malveillant
r i
a. La détection à base de stratégies
ak
Les stratégies sont créées et configurées sur l’IPS en fonction de la stratégie de la sécurité
réseau. Tout trafic détecté en dehors de cette stratégie générera une alarme et/ou sera
uz
supprimé.
 Les avantages :
Bo
 Simple, fiable et très personnalisable.
 Ne permet que le trafic basé sur la la stratégie de la sécurité réseau qui pourrait
empêcher les attaques inconnues.. id
 La stratégie doit être créée manuellement.
ch
 Difficile à s’appliquer dans le cas des grands réseaux.
b. La détection à base d'anomalies

Ra
L’IPS recherche généralement le trafic réseau qui dévie de la norme. Un référentiel statistique
doit être élaboré pour définir le comportement normal du trafic réseau.
ar
 Les avantages :
 Peut détecter les nouveaux types d’attaques.
rP
 Difficile de normaliser avec précision le trafic des réseaux extrêmement grands.
 Peut provoquer des alarmes « Faux positifs » lors d’un changement significatif du
ise
trafic réseau valide.
c. La détection à base de la réputation

al
Cette technique se base sur la réputation des certaines caractéristiques du trafic réseau tels que
les adresses IP, les URL, les domaines DNS (Domain Name System) entre autres pour
Ré
détecter le trafic malveillant.

 Les avantages :
 Profite sur l'expérience de d'autres systèmes déjà existants.
 Considéré comme un système d'alerte précoce.
 Nécessite des mises à jour continues notamment à partir de la base de données
centralisée des menaces de Cisco.
34
6. Les micro-moteurs de signatures
Un micro-moteur de signature est un composant d'un capteur IPS (ou IDS) qui prend en
charge une catégorie de signatures. Toutes les signatures d'un micro-moteur de signature sont
scannées en parallèle, ce qui augmente l'efficacité et la fluidité des données.
Un micro-moteur de signature effectue les opérations suivantes:
 Affecte à une catégorie de signatures un ensemble de plages ou de valeurs acceptables
 Utilise la mémoire du routeur pour compiler, charger et fusionner des signatures
Cisco a défini plusieurs catégories de signatures utilisées par ces micro-moteurs y compris :
Type signature utilisé dans le Description
r i
micro-moteur
ak
Atomic Permet d’inspecter des paquets simples.
Service Permet d’inspecter si un service est attaqué.
uz
Permet d’inspecter les paquets, de plusieurs protocoles, en
String spécifiant une expression qui doit être vérifiée pour
Bo
déclencher la signature
Permet d’inspecter des paquets en spécifiant une série
Multi-string d'expression qui doivent être vérifiée pour déclencher la
id
signature.
A noter que d’autres signatures existent, utilisé par les micro-moteurs, pour permettent
ch
d’inspecter d’autres types de trafic.
7. Les niveaux de gravité des signatures

Ra
Chaque signature de la base de données de signatures IPS a un niveau de gravité associé. Cela
permet de configurer un IPS pour qu'il prenne différentes actions en fonction de la gravité
détectée. Une signature peut être associée à quatre niveaux gravités :
ar
rP
Niveaux de gravité Description

L'activité qui déclenche la signature n'est pas considérée comme une
Information menace immédiate, mais les informations fournies sont des
ise
informations utiles
Une activité de réseau anormale est détectée qui pourrait être perçue
Faible
al
comme malveillante, mais une menace immédiate n'est pas susceptible

Une activité de réseau anormale est détectée qui pourrait être perçue
Ré
Moyen
comme malveillante, et une menace immédiate est probable.
Les attaques qui sont utilisées pour accéder ou provoquer une attaque
Haute de déni de service (dos) sont détectées, et une menace immédiate est
extrêmement probable.
8. Surveillance et gestion des alarmes et alertes

Les alertes générées par un IPS sont généralement envoyées vers un système de surveillance
en temps réel pour analyser, afficher et archiver les informations. La surveillance et la gestion
35
des événements peuvent être hébergées sur un serveur unique ou sur des serveurs distincts
pour des déploiements plus importants. Plusieurs protocoles sont disponibles pour la
génération d'alarmes, notamment SDEE (Security Device Event Exchange), syslog et SNMP
r i
ak
uz
9. La liste des actions à prendre lors d’une attaque
Lorsqu'un capteur IPS détecte une activité malveillante, il peut choisir l'une des actions
Bo
suivantes :
termine les paquets en provenance de l'adresse IP de
Deny attacker inline
l'attaquant pour une période spécifiée.
id
termine le paquet actuel et les futurs paquets appartenant à ce
Deny connection inline
flux TCP.
ch
Deny packet inline termine le paquet qui a déclenché l'alerte.
démarre la journalisation des paquets qui contiennent l'adresse
Ra
Log attacker packets

IP de l'attaquant.
démarre la journalisation des paquets qui contiennent à la fois
Log pair packets
l’adresse IP de l’attaquant et l’adresse IP de la victime.
ar
démarre la journalisation sur les paquets qui contiennent

Log victim packets
rP
l'adresse IP de la victime.
Produce alert démarre la journalisation des événements en tant qu'alerte.
ise
démarre la journalisation des événements en tant qu'alerte,

Produce verbose Alert toutefois, il comprend également une copie des paquets qui ont
déclenché l'alerte.
al
Certains capteurs peuvent s’appuyer sur un autre élément

réseau pour bloquer le trafic de l'attaquant à un moment donné
Ré
dans le réseau. Ce périphérique est appelé un « périphérique

Request block connection de blocage » et pourrait être un routeur IOS à l'aide des ACL,
un commutateur à l’aide VACL, etc.
Cette action provoque l’envoie une requête à « un
périphérique bloquant » pour bloquer cette connexion.
envoie une requête à un « périphérique bloquant » pour
Request block host
bloquer l’hôte de l'attaquant.
envoie une notification SNMP et une alerte au journal
Request SNMP trap
d'événements.
36
Reset TCP connection envoie les réinitialiser et terminer une connexion TCP.
10. Configuration de l'IPS IOS

Pour configurer un IPS de base à l'aide des commandes CLI on procède comme suit:
 Créer un répertoire de configuration IPS iOS dans Flash.
r i
Router# mkdir flash: dir-name Créer un répertoire de configuration
ak
 Copier le package des signatures IPS dans la mémoire Flash.
uz
Router# copy ftp://myuser:my-pass@ftp- Copier le package de signature à partir d'un
server/IOS-Sxxx-CLI.pkg flash: dir-name serveur FTP vers le répertoire en Flash.
Bo
idconf
Router# copy tftp://tftp-server/IOS-Sxxx- Copier le package de signature à partir de
CLI.pkg flash: dir-name idconf signature d'un serveur TFTP vers le
id
répertoire en Flash.
ch
Router# copy usbflash0:/IOS-S xxx - Copier le package de signature à partir de
CLI.pkg flash: dir-name idconf signature d’une USB vers le répertoire en
Flash.
Ra
 Configurer la clé de cryptage IPS.

 Ouvrer le fichier texte « realm-cisco.pub.signature.txt » et sélectionnez tout son
ar
contenu.
rP
ise
al
Ré
 Copier le texte et le coller en mode de configuration globale.

 Utiliser la commande show running-config pour s’assurer de l’utilisation de la clé
RSA.
37
 Créer une règle IPS et spécifiez l'emplacement du fichier de signature IPS.
Router(config)# ip ips name ips-name [list Créer un nom pour la règle IPS.
acl ] NB : L’utilisation de l’option ACL est
facultative. Il permet de filtrer le trafic qui
sera analysé.
Router(config)# ip ips config location Spécifier l'emplacement du fichier de
flash: dirname signature IPS.
r i
 Activer le protocole SDEE et la journalisation.
ak
Router(config)# ip http server Activer le serveur http (requis lors de
uz
l’utilisation de SDEE).
Router(config)# ip ips notify sdee Activer la notification d'événement SDEE.
Bo
Router(config)# ip ips notify log Activer la journalisation.
 Modifier les catégories de signatures. id

Le paramétrage des signatures par catégorie
ch
Router(config)# ip ips signature-category Entrez dans le mode de configuration des
catégories des signatures IPS.
Ra
Router(config-ips-category)# category { all Spécifiez la catégorie de signature à

| ios_ips [ basic | advanced ]} modifier.
Router(config-ips-categoryaction)# retired Indiquer si une signature ou une catégorie de
ar
{ false | true } signature doit être chargée ou non dans la

mémoire du routeur.
rP
 true : retire, de la mémoire, toutes les

signatures au sein de cette catégorie.
 false : compile la catégorie de
ise
signature en mémoire et l’utiliser

pour analyser le trafic.
al
Router(config-ips-categoryaction)# event- Modifier les actions à entreprendre pour une

action action catégorie de signature spécifiée. Les actions
Ré
incluent les suivantes:

 deny-attacker-inline
38
 deny-connection-inline
 deny-packet-inline
 produce-alert
 reset-tcp-connection
Router(config-ips-categoryaction)# (facultatif) Modifier le degré de gravité d'une
alert-severity { high | medium | low | alerte pour une signature ou une catégorie de
informational } signature spécifique.
 Activer les règle IPS sur une interface.
r i
Appliquez la règle IPS à une interface souhaitée et spécifiez la direction:
ak
Router(config-if)# ip ips ips-name { in | out Appliquez la règle IPS à une interface. Le
} routeur charge les signatures et construit les
moteurs de signature lorsque
uz
IPS est appliqué à la première interface:
IN inspecte uniquement le trafic entrant.
Bo
OUT inspecte uniquement le trafic sortant.
id
ch
11. Les pratiques recommandées
Ra
Les meilleures pratiques pour l’implémentation les IPS incluent:

 Implémenter les IPS pour analyser le trafic envoyé vers les éléments critiques du
réseau, tels que les serveurs, les routeurs, etc.,
Reconfigurer, lorsqu’il est nécessaire, vos IPS pour prendre en compte les
ar

changements du flux ou de la topologie
 Il est recommandé de s’offrir des dispositifs dédiés pour les tâches d’un IPS au lieu
rP
d’utiliser des IPS basés sur des modules ou sur les fonctionnalités du système IOS.
 Utiliser des mises à jour automatisées des signatures au lieu de les appliquer
manuellement.
ise
 Profitez de la corrélation globale pour améliorer votre résistance aux éventuelles

attaques.
 Utiliser une combinaison de technologies de détection d’intrusion cela refoncra la
al
sécurité
Ré
39
VII. Chapitre 7 : Sécuriser un réseau local
1. Présentation
Un réseau LAN, composé généralement d’un ou plusieurs commutateurs couche 2, peut faire
objet de plusieurs types d'attaques se basant sur des éventuelles lacunes concernant la couche
2. Un attaquant peut tenter d’interrompre, copier, rediriger ou compromettre la transmission
de données de couche 2 et par conséquent affecté tout type de protocoles utilisés sur les
couches supérieures.
2. Les types d’attaques sur la couche 2
r i
On se qui suit nous allons traiter nombreuses menaces de sécurité visant la couche 2 du
ak
modèle OSI et aborder les contre-mesures contre ces risques. Cela entre dans le cadre de la
sécurisation du « plan de donnée »
uz
2.1. Les attaques d’inondation d'adresse MAC
 Présentation de l’attaque :
Bo
Un attaquant se relie à un port de commutateur et inonde ce dernier avec un très grand nombre
de trames avec des fausses adresses MAC source. Une fois la table de commutation est
saturée, le commutateur réagit comme un concentrateur. L'attaquant sera en mesure de
id
capturer des données sensibles à partir du réseau.
 Contremesures
ch
La fonctionnalité « sécurité du ports » est une contremesure qui permet d’empêcher les
attaques « d'inondation d'adresse de MAC »
Ra
Switch(config-if)# switchport mode access Activer la sécurité des ports et attribuez

Switch(config-if)# switchport port-security l'adresse MAC actuelle au port.
Les valeurs par défaut de la sécurité de port
ar
sont les suivantes:

 Une seule adresse MAC peut être
attribuée.
rP
 L'action de violation est réglée sur la

désactivation du port.
ise
Switch(config-if)# switchport port-security Définir le nombre maximal d'adresses MAC

maximum value sécurisées pour l'interface.
al
Switch(config-if)# switchport port-security Affecter manuellement les adresses MAC qui

mac-address mac-address peuvent se connecter à ce port.
Ré
Switch(config-if)# switchport port-security Configurer l'action à prendre lorsque le

violation { protect | restrict | shutdown nombre d'adresses MAC a dépassé le
|shutdown vlan } maximum prédéfini.
Switch(config)# errdisable recovery Configurer la période de désactivation d’un
interval seconds port.
40
2.2. L'attaque par usurpation d'adresse MAC (ARP spoofing)
L'attaque d'usurpation d'adresse MAC consiste à envoyer des faux messages ARP à l'intérieur
d'un réseau local, dans le but de dévier et d'intercepter le trafic réseau.
 Contremesures
La fonctionnalité « DAI » est utilisée pour empêcher les attaques d'usurpation ARP. Elle
permet de vérifier le mappage entre les adresses IPv4 et les adresses MAC. En cas d’une
anomalie, émanant d’un port non fiable, les paquets ARP usurpés seront ignorés.
switch(config)#ip arp inspection vlan vlan activer l'inspection ARP dynamique (DAI)
r i
sur un VLAN spécifique.
ak
switch(config)#interface g0/0 configurer un port comme port fiable.
switch(config-if)#ip arp inspection trust
uz
2.3. L’attaque DHCP Starvation
Bo
L’attaque « DHCP Starvation » consiste à diffuser un grand nombre de requête DHCP, avec
des adresses Mac source usurpées. Une fois le nombre d'adresses IP disponibles dans le
id
serveur DHCP est épuisé, l’attaquant peut introduire son serveur DHCP pour répondre aux
nouvelles demandes DHCP du réseau. L'attaquant peut désormais capturer des données
ch
sensibles en utilisant l’attaque « man-in-the-middle».
 Contremesures
Ra
La fonctionnalité « DHCP snooping » est utilisée pour empêcher ce type d’attaques en

filtrant les messages DHCP non fiables.
S1(config)#ip dhcp snooping activer la fonctionnalité « DHCP snooping »
ar
sur tous les VLAN.

S1(config)#ip dhcp snooping vlan vlan activer la fonctionnalité « DHCP snooping »
rP
sur un VLAN spécifique.

S1(config)#interface g0/0 configurer un port fiable.
ise
S1(config-if)#ip dhcp snooping trust

S1#show ip dhcp snooping afficher la configuration « DHCP
snooping »
al
2.4. L’attaque par saut de VLAN

Ré
L’attaque par saut de VLAN consiste à se connecter à un VLAN particulier et tenter d’accéder
au trafic réseau appartenant à d'autres VLAN. En utilisant l'attaque de saut de VLAN, un
attaquant peut capter le trafic réseau d'un autre VLAN ou d'envoyer des donner d'un VLAN à
un autre.
On distingue deux types d'attaques de saut de VLAN à savoir : l'attaque par « usurpation de
commutation » et l'attaque par « double étiquetage ».
41
a. L'attaque par « usurpation de commutateur »
 Présentation du protocole DTP :

DTP est protocole utilisé pour créer dynamiquement des liaisons agrégées (trunk) entre deux
commutateurs. Il peut être configuré en trois modes : «Dynamic Desirable», «Dynamic
Auto» ou «Trunk».
 Présentation de l’attaque:
Cette attaque consiste à se connecter à une interface d’un commutateur et générer des
messages DTP, à partir d’un programme, pour créer une liaison «trunk » entre son ordinateur
et le commutateur. L'attaquant peut désormais capturer les données de tous les autres VLAN.
r i
Cette attaque peut aussi se produire par l’introduction d’un «commutateur usurpé » configuré
ak
à utiliser le protocole DTP.
 Contremesures
uz
Les fonctionnalités suivantes sont utilisées pour empêcher ce type d’attaque:
S1(config)#interface range gigabitethernet Configurer les ports d’un commutateur
Bo
0/0 - 20 connectés aux hôtes comme des ports
S1(config-if-range)#switchport mode access d'accès.
S1(config-if)# switchport mode trunk Activer
id explicitement les liaisons
d’agrégation.
S1(config-if)# switchport nonegotiate Désactivez DTP et empêcher les messages
ch
DTP d'être générées.
S1(config)#interface range gigabitethernet Affecter les ports inutilisés à un VLAN dédié
Ra
0/26 - 32 et les désactiver.

S1(config-if)# switchport access vlan
Vlan
ar
S1(config-if)# shutdown
rP
b. L'attaque par « double-tagging».

ise
Cette attaque consiste à se connecter à une interface qui appartient au VLAN natif sur un port
«trunk», et envoyer une trame en positionnant deux fois les champs relatifs aux VLAN dans
al
une trame Ethernet.

Une attaque par « double-tagging » se déroule en trois étapes :
Ré
1. L’attaquant génère et envoie une trame 802.1Q, marquée de deux étiquettes, au

commutateur.
 La première étiquette porte le VLAN natif du port « trunk ».
 La deuxième étiquette est le VLAN du hôte cible.
VLAN Natif VLAN Cible
2. Lorsque la trame arrive sur le commutateur 1, ce dernier va supprimer l'étiquette du VLAN

natif. La trame du l’attaquant ne contient dorénavant que l'étiquette du VLAN de l’hôte cible.
VLAN Cible
42
3. Lorsque la trame arrive sur le commutateur 2. Il l’envoie sur le port de l’hôte cible.
r i
ak
uz
Remarque : Ce type d'attaque est unidirectionnel et ne fonctionne que si le pirate est connecté
Bo
à un port se trouvant dans le même VLAN que le VLAN natif du port trunk.
 Contremesures
La fonctionnalité « native vlan» est utilisée pour empêcher ce type d’attaque.
id
Switch(config-if)# switchport trunk native Créer un VLAN dédié pour le trafic du
vlan vlan VLAN natif séparé du trafic utilisateurs.
ch
Ra
2.5. Les attaques à base du protocole STP
 Présentation du protocole STP :

ar
STP est un protocole réseau qui permet de créer une topologie réseau sans boucle, en bloquant
certaines chemins dans les réseaux LAN constitués de plusieurs commutateurs. Son
rP
fonctionnement peut être résumé par :

 La sélection d’un commutateur « pont racine » pour chaque VLAN.
 La définition des « ports racines » qui permettent l’interconnexion entre le
ise
commutateur « racine » et les autres commutateurs.

 La définition des ports autorisés à transmettre les données.
 Le blocage de certains ports sur les commutateurs.
al
Ré
Cette attaque consiste à introduire un «commutateur usurpé » qui va tenter de se placer

comme « le pont racine » par l’envoie des faux messages « PDU » contenant un «BID»
minime. Cela aura comme effet la modification de la topologie de STP et le changement des
rôles des ports. L’attaquant pourra dorénavant profiter des ports, qui ont été bloqué avant,
pour capter la totalité du trafic.
 Contremesures
La fonctionnalité «Root Guard» est utilisée pour empêcher ce type d’attaque :
S1(config-if)# spanning-tree guard root protéger le remplacement du « pont racine »
d'origine par un autre commutateur.
43
Remarque :
« BPDU Guard » et « Root Guard » sont similaires, mais leur impact est différent.
 BPDU Guard désactive le port lors de la réception BPDU si l’option « PortFast »
est activé sur le port. Vous devez réactiver manuellement le port ou configurer un
temps de désactivation.
 Root Guard permet aux messages BPDU de traverser un port pour maintenir la
topologie STP sauf si un autre commutateur tente de devenir le « pont racine ». La
réactivation du port se fait dès que l’autre commutateur cesse ces tentatives.
3. Meilleures pratiques de sécurité pour protéger la couche 2
r i
Les meilleures pratiques pour protéger la couche 2, par type d’attaque, incluent :
ak
Type de l’attaque Description Contremesures
uz
 L'inondation d’adresse  Utilisez la sécurité de port
Les attaques par MAC. pour les ports d'accès.
 Configurer La fonctionnalité
Bo
adresse MAC  L’usurpation d'adresse
MAC. « DAI ».
 Configurer PortFast.
La modification de laid  Configurer BPDU guard.
Les attaques du STP topologie STP.  Configurer root guard
ch
 Désactiver le DTP sur les
ports d'accès.
 Configurer explicitement les
Ra
ports «trunk»
 L’exploitation du protocole  Utilisez toujours un VLAN
Les attaques par saut DTP. natif dédié.
VLAN  L'attaque par « double-
ar
 Désactivez tous les ports

tagging ». inutilisés et placez-les dans
un VLAN inutilisé.
rP
 Eviter l'utilisation du
VLAN 1
ise
al
Ré
44
VIII. Chapitre 8 : La cryptographie
1. Notions de base de la cryptographie

1.1. Définition
La cryptographie est une discipline qui permet de protéger des messages jugés confidentiel.
En effet, si le message est intercepté, par une personne non autorisé, il devrait être
incompréhensible et difficile à déchiffré.
Les quatre buts de la cryptographie :
i
 L’authentification : consiste à s’assurer de l'identité de la source et de la destination
r
avant de commencer un échange de données.
ak
 L’intégrité : consiste à s’assurer que les données envoyées n’ont pas été modifiées
lors de la transmission.
La confidentialité : consiste à s’assurer que seules les personnes autorisées peuvent
uz

consulter les données.
 La non-répudiation : consiste s'assurer qu'un message transmis entre deux personnes,
Bo
ne peut être remis en cause par l'une des deux parties.
1.2. Terminologie id
 Texte clair : désigne toutes données que l’on souhaite transmettre avant modification.
Un texte clair peut inclure des textes, images, vidéos, son, etc.
ch
 Chiffrement : consiste à transformer un texte clair à des données incompréhensible.
 Texte chiffré : désigne le texte obtenu après l’application de l'algorithme de
chiffrement sur le texte clair. Appelé également cryptogramme.
Ra
 Déchiffrement : consiste à restituer le texte clair à partir du texte chiffré.

 Chiffre : désigne une suite d'opérations effectuée pour le cryptage et le décryptage des
données.
ar
 Clef : désigne un paramètre permettant le chiffrement et déchiffrement des données.

 cryptanalyse : désigne l’ensemble des techniques et méthodes utilisées pour tenter de
rP
retrouver le texte en clair à partir du texte crypté.
En d’autres termes, aucun secret ne doit résider dans l’algorithme mais plutôt dans la clé. Sans
ise
celle-ci, il doit être impossible de retrouver le texte clair à partir du texte chiffré
al
Ré
45
1.3. La cryptographie classique
Les méthodes courantes utilisées par les algorithmes de chiffrement sont les suivantes:
La substitution
■ La substitution mono-alphabétique: consiste à remplacer un caractère par un autre. Ce
type de cryptage demande que
 Deux lettres distinctes doivent être chiffrées en deux signes différents pour éviter
l’ambiguïté lors du déchiffrement.
 Une même lettre aura toujours le même signe lors de son chiffrement.
Exemple :
i
Crypter le texte « ISTA SIDI MOMEN » en utilisant le
r
Le chiffre de César : fondé sur un simple décalage de lettres.
ak
Le chiffre Atbash : fondé sur l’écriture de l'alphabet en sens contraire
Pour le rendre plus difficile, nous aurions pu décaler plus qu'un simple caractère et ne choisir
uz
que certaines lettres à remplacer. La méthode exacte de substitution pourrait être désignée
comme la clé.
Bo
■ La substitution poly-alphabétique: consiste à remplacer un caractère par une autre choisie
d’une façon dynamique, déterminé par la clé de cryptage, et non plus d’une manière fixe.
Exemple
Soit à crypter le mot « ABCABD » avec la clé « 123 » qui indique que le premier caractère
id
sera décalé d'une position, le second de 2 et le troisième de 3 positions, etc. cela donnera le
résultat suivant « BDFBDG »
ch
■ La transposition: cette option utilise de nombreuses options différentes, y compris le
réarrangement de l'ordre des lettres suivant des règles bien définies.
Ra
Exemple
Soit à crypter le texte « ISTA SIDI MOMEN » avec la clé « 7514263 » en utilisant le cryp-
tage par transposition. Pour ce faire, on crée un tableau de la façon suivante :
ar
 la première ligne est constituée par les valeurs de la clé;

 on complète ensuite le tableau en le remplissant avec les lettres du message à chiffrer.
rP
On écrit sur chaque ligne autant de lettres que de lettres dans la clé. Eventuellement, la
dernière ligne n'est pas complète.
ise
7 5 1 4 2 6 3
B
al
I S T A B A
T I Z I M I
Ré
Le résultat est la concaténation des caractères en suivant l’ordre des colonnes de 1 à 7 :

TZBM BAIS IAII T
Remarque : la clé de cryptage peut, dans des cas, être définit comme une série de caractères.
Dans ce cas, chaque caractère sera associé à une valeur numérique et la procédure précédente
sera désormais appliquée.
■Le cryptage par Masque jetable (One-time pads): également appelé chiffre de
« Vernam », est un algorithme de cryptographie qui rajouta la notion de la clé aléatoire. En
effet, il consiste à combiner le message en clair avec une clé présentant les caractéristiques
très suivantes :
46
 La clé doit être une suite de caractères au moins aussi longue que le message à chiffrer.
 Les caractères composant la clé doivent être choisis de façon totalement aléatoire.
 Chaque clé ne doit être utilisée qu'une seule fois.
1.4. La cryptographie moderne
Le Chiffrement par blocs (block cipher)

Le Chiffrement par blocs consiste à découper les données en blocs, de taille généralement fixe
(entre 32 et 512 bits), qui sont ensuite chiffrés les uns après les autres. L’idée générale du
i
chiffrement par blocs peut être résumée comme suit :
r
1. Remplacer les caractères par un code binaire
ak
2. Découper cette chaîne en blocs de longueur donnée
3. Chiffrer un bloc bit par bit en se basant sur une clef.
uz
4. Recommencer éventuellement un certain nombre de fois l’opération 3.
5. Passer au bloc suivant.
Bo
Une liste non-exhaustive des algorithmes de chiffrements par bloc inclut :
 Digital Encryption Standard (DES)
 Advanced Encryption Standard (AES) id
 Triple Digital Encryption Standard (3DES)
 Blowfish
ch
 International Data Encryption Algorithm (IDEA)
Remarque : Le chiffrement par blocs peut, dans certain cas, compléter par des remplissages
Ra
lorsqu’il n'y a pas suffisamment de données pour créer un bloc. Cela peut entraîner une tache
additionnelle lors de traitement des données réelles.
ar
Le Chiffrement par flux (stream cipher)

Le chiffrement par flux consiste à agir en continu sur les données sans l’obligation de
rassembler un bloc de données pour commencer l’opération. Ce type de chiffrement est
rP
souvent utilisé pour les communications en temps réel puisqu’il a la particularité d’être plus
rapide. Une liste non-exhaustive de chiffrements par bloc inclut les normes RC4 et SEAL.
ise
1.5. Chiffrement symétrique et asymétrique

al
a. Chiffrement symétrique
Ré
Dans le chiffrement symétrique, la même clé est utilisée pour le chiffrement et le

déchiffrement d’où l’obligation que celle-ci reste confidentielle.
47
Exemple de des algorithmes de chiffrements symétrique :
 DES
 3DES
 AES
 IDEA
 RC2, RC4, RC5, RC6
 Blowfish
Les algorithmes de cryptage symétriques sont les plus utilisés pour la protection des données
car il offre un temps rapide pour le traitement et un niveau de sécurité assez élevé en présence
d’une clé d’une grande taille. Cependant son vulnérabilité réside sur la méthode pour
i
échanger de la clé partagée.
r
ak
b. Chiffrement asymétrique
uz
Dans le chiffrement asymétrique (ou chiffrement à clés publiques), une clé différente est
utilisée à la fois pour chiffrer et déchiffrer les données, et il est impossible de générer une clé
Bo
à partir de l’autre.
id
ch
Ra
Les algorithmes à chiffrement asymétrique incluent les suivants:

RSA: nommé suite à ses créateurs : Rivest, Shamir et Adleman.
ar

 DH: DH (Diffie-Hellman) est un algorithme à chiffrement asymétrique qui permet à
deux hôtes d'échanger des clés secrètes partagées sur un réseau non fiable. Ce
rP
protocole est souvent combiné avec des algorithmes symétriques tels que 3DES et
AES.
 DSA: l'algorithme de signature numérique développé par l'Agence de sécurité
ise
nationale des États-Unis.
Les algorithmes asymétriques sont plus lents comparé aux algorithmes symétriques. Elles sont
al
généralement utilisées dans les cas de chiffrement à faible volume, tels que les signatures
numériques et l'échange de clés.
Ré
1.6. Les fonctions de hachage

Les fonctions de hachage sont des fonctions à sens unique utilisées pour assurer des données.
En effet, une fonction de hachage traite un bloc de données, qui peut être de très grande taille
ou de nature diversifiée, pour renvoyer une petite valeur de hachage, nommé « l'empreinte
numérique » (message digest), de taille fixe.
48
Une fonction de hachage est caractérisée par les propriétés suivantes :
 il est impossible de construire un message à partir de sa valeur de hachage.
 La modification d’un message donne lieu systématiquement à une autre valeur de
hachage.
 il est impossible de trouver deux messages différents ayant la même valeur de hachage.
Les types de hachage les plus utilisés incluent les suivants:
 MD5: permet de créer des empreintes numériques de taille 128-bit.
 SHA-1: permet de créer des empreintes numériques de taille 160-bit.
 SHA-2: permet de créer des empreintes numériques de taille entre 224 bits et 512 bits.
i
1.7. Les codes HMAC
r
ak
Les codes HMAC (Hash-based Message Authentication Code) combinent les fonctions de
hachage existantes et avec une clé secrète partagée, utilisé comme entrée de la fonction de
uz
hachage, pour fournir l'assurance de l'authentification ainsi que de l'intégrité des données.
La société « Cisco » utilise deux fonctions HMAC :
Bo
 HMAC-MD5 à clé partagée, basé sur l'algorithme de hachage MD5
 HMAC-SHA-1 à clé partagée, basé sur l'algorithme de hachage SHA-1
1.8. Les signatures numériques

id
Présentation
ch
La signature numérique permet de s’assurer l'intégrité d'un document électronique et d'en
authentifier l'auteur. Elle est caractérisée par les propriétés suivantes:
Ra
 Elle ne peut pas être falsifiée.

 Elle fait partie du document signé et ne peut pas être déplacée sur un autre document.
 Un document signé ne peut plus être modifié.
ar
Une signature numérique fournit trois fonctions de sécurité

 L’authenticité des données signées numériquement : L'identité du signataire a été
rP
approuvée de manière certaine.

 Intégrité des données signées numériquement : Les signatures numériques garantissent
que le document est resté intact depuis son envoie.
ise
 La non-répudiation : Le signataire ne peut pas répudier qu'elle a signé le document.
Fonctionnement
al
Le fonctionnement processus de validation d’une signature peut être résumé comme suit :
Ré
Soit un message signé qui va être envoyé de A à B
Etape 1 : Signature
1. La première personne « A » va générer une clé privée Kpr et une clé publique Kpb.
49
2. Elle va créer une empreinte numérique unique du document grâce à une fonction de
hachage H.
3. Elle crypte l’empreinte numérique avec sa clé privée Kpr.
4. Elle envoie les éléments suivants au destinataire « B » :
- Le document signé.
- La clé publique Kpb.
- l’empreinte numérique cryptée.
- La fonction H
Etape 2 : Verification
i
1. la deuxième personne « B » va déchiffrer l’empreinte numérique en utilisant la clé
r
publique Kpb.
ak
2. Elle va calculer l’empreinte numérique du document signé en utilisant la fonction de
hachage H.
uz
3. Elle compare l'empreinte générée par le document et celle déchiffrée précédemment par la
clé publique Kpb.
Bo
4. Si les deux empreintes sont identiques, la signature est validée.
id
ch
Ra
ar
rP
ise
1.9. La gestion des clés

Il existe deux approches de gestion des associations de sécurité. La plus simple est la gestion
al
manuelle, qui consiste à laisser les individus configurer manuellement chaque équipement de
sécurité avec les paramètres appropriés et notamment les clés. Si cette approche s'avère
Ré
relativement pratique dans un environnement statique et de petite taille, elle ne convient plus
pour un réseau de taille importante. De plus, cette méthode implique une définition totalement
statique des associations de sécurité et un non-renouvellement des clés.
La seconde approche est la gestion automatique des associations de sécurité au moyen d'un
protocole appelé ISAKMP (Internet Security Association and Key Management Protocol)
définit dans le RFC 2408 qui fournit un cadre générique pour la négociation, la modification
et la destruction des SA, ainsi que pour le format de leurs attributs. Comme le montre la See
50
Architecture d'ISAKMP et IKE, ISAKMP est indépendant du protocole d'échange de clés et
du protocole pour lequel on souhaite négocier une association.
Ainsi, dans le cadre de la standardisation IPsec, ISAKMP est associé en partie aux protocoles
d'échanges de clés SKEME et Oakley pour donner un protocole final du nom de Internet Key
Exchange ou IKE [RFC 2409]. Ce protocole couvre pour le moment uniquement les situations
d'unicast, mais l'IETF travaille à définir une distribution de clés multicast.
Par exemple, un logiciel spécialisé calcule très rapidement le résultat de {\displaystyle
25488756^{1521}} {\displaystyle 25488756^{1521}} (un nombre énorme, à 193 chiffres) ;
par contre, il lui est impossible de retrouver {\displaystyle 25488756^{1521}} {\displaystyle
i
25488756^{1521}} à partir de ce nombre dans une durée raisonnable. C'est le problème du
r
calcul du logarithme discret. Aujourd'hui, on recommande d'utiliser des nombres de 300
ak
chiffres, élevés à des puissances de 100 chiffres, ce qui est bien plus solide.
uz
DH (en référence à Diffie et Hellman) est une méthode pour créer une clé secrète commune
entre un émetteur et un destinataire dans un réseau sans recourir à un canal sécurisé pour
l'échange des clés secrètes.
Bo
e de Diffie-Hellman. Ils font des actions en parallèle, que l'on décrit dans le tableau suivant :
Alice id Bob
Alice et Bob choisissent ensemble un grand nombre premier p et un entier a tel
Étape 1 :
que 1≤a≤p−1. Cet échange n'a pas besoin d'être sécurisé.
ch
Étape 2 : Alice choisit secrètement x1. Bob choisit secrètement x2.
Alice
Ra
Bob
Étape 3 : calcule y1=ax1 (modp)y1=ax1 (m
calcule y2=ax2 (modp)y2=ax2 (modp).
odp).
Alice et Bob s'échangent les valeurs de y1 et y2. Cet échange n'a pas besoin
ar
Étape 4 :
d'être sécurisé.
Alice Bob
rP
calcule yx12=(ax2)x1=ax1x2 (mo calcule yx21=(ax1)x2=ax1x2 (modp)y1x2

Étape 5 : dp)y2x1=(ax2)x1=ax1x2 (modp)e =(ax1)x2=ax1x2 (modp)et appelle ce
t appelle ce nombre KK, la clé nombre KK, la clé secrète à partager avec
ise
secrète à partager avec Bob. Alice.

al
À la fin du protocole, Alice et Bob sont donc en possession d'une même clé secrète K
Ré
2. La cryptographie par clé publique

2.1. Présentation
Les algorithmes asymétriques se basent sur une paire de clé (clé publique et clé privée) pour
le chiffrement et le déchiffrement de données. En effets, les deux clés sont capables de
chiffrer les données. Toutefois, la clé complémentaire est nécessaire pour leur déchiffrement.
51
Les algorithmes asymétriques sont basés sur des formules mathématiques complexes, et par
conséquent ils prennent plus de temps du le calcul comparé aux les algorithmes symétriques
La cryptographie asymétrique est utilisée pour accomplir la confidentialité et l'authentification.
2.2. Fonctionnement
La confidentialité = clé publique (chiffrer) + clé privée (déchiffrer)

 La clé publique est utilisée pour chiffrer; la clé privée correspondante
Confidentialité est utilisée pour déchiffrer.
i
 Étant donné que la clé privée n'est présente que sur un seul système, la
r
confidentialité est assurée avec ce processus.
ak
 Ce scénario est souvent utilisé pour l'échange de clés.
L’authentification = clé privée (chiffrer) + clé publique (déchiffrer)
uz
 La clé privée est utilisée pour chiffrer; la clé publique correspondante
Authentification est utilisée pour déchiffrer.
Bo
 Étant donné que la clé privée n'est présente que sur un seul système,
l'authentification est assurée lorsque sa clé publique décrypte le
Message. id
ch
Ra
La Confidentialité : seul A peut lire ce message

ar
rP
L’authentification : seul A peut avoir envoyé ce message

ise
2.3. Les infrastructures à clé publique

al
a. Présentation
Ré
Une infrastructure à clé publique (PKI) est un ensemble de service permettant d’assurer la
confidentialité, l'intégrité et l'authentification des données dans une entreprise et repose sur les
principes fondamentaux du cryptage asymétrique. Les solutions PKI sont basées sur des
certificats numériques et sur la garantie de tierce partie fiable.
b. Terminologies
Une autorité de certification  Une autorité de certification est un organisme fiable

(CA) qui permet de lier des clés publiques avec des
52
utilisateurs, des sociétés, des équipements, etc.
 Elle est chargée de signer et publier numériquement
ces clés publiques comme étant un garant de leur
authenticité.
 Une autorité de certification peut être un organisme
privé (par exemple, VeriSign) ou public.
Un Certificat  Un document électronique qui lie le nom d'un
utilisateur ou d'une organisation à une clé publique.
 Les certificats numériques sont signés numériquement
par une autorité de certification.
i
 Un certificat numérique contient, en plus de la clé
r
publique du concerné, des informations sur la durée de
ak
validité du certificat, l’algorithme de signature du
certificat, etc.
uz
La liste de révocation des  CRL est l'ensemble des certificats qui ne sont plus
certificats (CRL) valables.
Bo
 Cette liste est publiée par l’autorité de certification
relié ces certificat.
 Un certificat peut devenir invalide pour de
nombreuses : id
 l'expiration de la date de validité.
 la compromission de la clé privée associée au
ch
certificat.
 le changement d'au moins un champ inclus dans
Ra
le nom du détenteur du certificat.

 autres

ar
c. Les normes PKI

rP
Les normes PKI les plus utilisées incluent :

 X.509 : C’est une norme, bien connue créé par l’organisme ITU-T, qui définit un
ise
format standard de base pour les certificats à clé publique, les listes de révocation de
certificats (CRL), et les autres les attributs de certificat.
 Les normes cryptographiques à clé publique (PKCS) : Les standards de
al
cryptographie à clé publique PKCS, sont un ensemble de spécifications conçues par

les laboratoires « RSA » permettant l'implantation des techniques de cryptographie à
Ré
clé publique. les PKCS les plus adoptés par le milieu informatique incluent :
Standard Version Description
PKCS
PKCS#1 2.1 Standard de cryptographie RSA
PKCS#3 1.4 Standard d'échange de clés Diffie-Hellman
PKCS#5 2.0 Standard de chiffrement par mot de passe
PKCS#7 1.5 Standard de syntaxe de message cryptographique
PKCS#8 1.2 Standard de syntaxe d'information de clé privée
53
PKCS#10 1.7 Standard de requête de certificat
d. Les topologies PKI
Une infrastructure PKI peut être implémentée sous trois topologies :

 La topologie simple : dans cette topologie, une unique autorité de certification
(l'autorité de certification racine) est chargée d’émettre tous les certificats aux
utilisateurs finaux. Ce modèle a l'avantage d’être simplicité, mais présente les
inconvénients suivants:
 difficile à gérer une topologie à un grand environnement.
i
 demande une administration strictement centralisée.
r
 présente une vulnérabilité critique dans l'utilisation d'une clé privée à
ak
signature unique; Si cette clé est compromise ou volée, toute
l’infrastructure s'effondra.
uz
Bo
id
ch
 La topologie hiérarchique : dans cette topologie, une autorité de certification peut

Ra
délivrer directement des certificats aux utilisateurs finaux ou délégué cette tâche à des
autorités de certification subordonnées. Ces dernières peuvent, à leur tour, délivrer des
certificats aux utilisateurs finaux ou aux autres autorités de certification. Le principal
ar
avantage d'une topologie hiérarchique est l'évolutivité et la gestion simplifié.

rP
ise
al
Ré
 La topologie croisée : Dans cette topologie, plusieurs autorités de certification racine

établissent des relations d'approbation horizontalement, en validant mutuellement
leurs certificats.
54
i
On peut Utiliser le logiciel PGP et générer les paires de clés publiques et privées.
r
ak
uz
Bo
id
ch
Ra
ar
rP
ise
al
Ré
55
IX. Chapitre 9 : Les VPN IPsec
1. Les concepts, composants et fonctionnement d’IPsec

1.1. Les objectifs d’IPsec
IPSec est une architecture de sécurité, basée sur des normes standards, qui permet à deux
entités d'établir une communication sécurisée. Les objectifs du protocole IPsec peuvent être
résumés comme suit :
 La confidentialité: consiste à changer un texte clair en texte chiffré.
i
 L’intégrité des données: consiste à s’assurer, par le biais d’une fonction de hachage
r
ou par le code HMAC, que les données n'ont pas été modifiées lors leurs déplacement
ak
sur le réseau.
 L’authentification: consiste à authentifier les deux extrémités VPN à l'aide d’une clé
pré-partagées (PSK) ou d’une signature numériques.
uz
 La protection Antireplay: consiste à s’assurer qu’aucun paquet n’a été ajouté lors de
l’échange des données.
Bo
1.2. Les protocoles de bases d’IPsec
Les trois principaux composants d'IPSec sont les suivants :
id
 AH : C’est un protocole qui assure seulement l’intégrité des données et
l’authentification de la source. AH est approprié lorsque la confidentialité n’est pas
ch
requise ou n’est pas permise.
 ESP : il assure, en plus des fonctions réalisées par AH, la confidentialité des données.
Ra
C’est pour ces raisons que ce protocole est le plus largement employé.
 IKE : Le protocole IKE (Internet Key Exchange) est chargé de négocier la connexion,
avant qu'une transmission IPsec puisse être possible.
ar
1.3. Le cadre IPsec

rP
ise
al
Ré
56
1.4. L’association de sécurité IPSec
 Une association de sécurité (SA) IPSec est une structure de données qui permet de
spécifier les paramètres de sécurité associés à une communication.
 Chaque SA est identifiée de manière unique par :
 l'adresse de destination des paquets.
 le protocole de sécurité (AH ou ESP).
 l'identifiant de la SA : le SPI.
 Une SA est unidirectionnelle. il faut donc deux SA pour protéger les deux sens d'une
communication.
 L'ensemble des SA constitue La Security Policy Database (SPD).
r i
ak
1.5. Les modes IPsec
On distingue deux modes d'utilisation d'IPSec : le mode transport et le mode tunnel.
uz
 Le mode transport :
 Il fournit la protection des données du paquet cependant, les en-têtes IP
Bo
d'origine restent intacts.
 Il est utilisé pour créer une communication entre deux hôtes qui
supportent IPSec. id
 Le mode de transport IPSec est généralement combiné avec le protocole
GRE pour protéger le trafic.
ch
 Le mode tunnel :
 L'intégralité du paquet IP d'origine est protégée par IPSec.
Ra
 IPSec encapsule le paquet d'origine, le crypte, lui ajoute un nouvel en-

tête IP et l'envoie à l'autre côté du tunnel VPN.
 Le mode tunnel est le plus couramment utilisé entre des passerelles
ar
IPsec (routeurs Cisco ou pare-feu ASA).
2. Le protocole IKE
rP
2.1. Présentation
ise
IKE (Internet Key Exchange) est un protocole utilisé pour négocier dynamiquement les
paramètres de sécurité associés à une communication IPSec. A noter qu’une implémentation
IPsec peut supporter aussi la gestion manuelle de cet échange de paramètres. Cependant,
al
l’utilisation du protocole IKE est considérée comme étant plus sûre et plus rapide.
IKE est disponible sous deux versions. La version (IKEv2) présente plusieurs avantages qui
Ré
incluent, entre autres, la correction des vulnérabilités présentes dans IKEv1et l’utilisation
optimale de la bande passante.
IKE utilise le protocole UDP sous le port numéro 500.
2.2. Les composants d’IKE

IKE est la combinaison de trois protocoles en l’occurrence : ISAKMP, SKEME et Oakley.
Ces protocoles se regroupent pour assurer la négociation et l’établissement d’une
communication sécurisée.
57
 ISAKMP : permet de négocier les SA entre deux extrémités d’une communication
IPsec.
 Oakley : utilise l'algorithme Diffie-Hellman pour effectuer les échanges des clés entre
les des deux côtés de la connexion IPSec.
 SKEME : définit les techniques d'échange de clés qui assurent l’anonymat, et la non-
répudiation.
2.3. Les phases IKE v1

Le protocole IKE (v1et v2) fonctionne en deux phases principales pour créer un canal de
communication sécurisé entre les deux points IPSec. Cependant, les deux versions présentent
i
quelques changements en fonctionnement.
r
ak
uz
Bo
id
ch
En ce qui suit les détails du fonctionnement du IKEv1.
La Phase 1 :
Ra
Les caractéristiques de la phase 1 peuvent être résumées comme suit :
 Son objectif est d'établir une SA ISKMP (ou SA IKE). En effet, IKE négocie les
options de la sécurité de la communication, tels que l’algorithme de chiffrement, la
ar
fonction de hachage, la méthode d'authentification et le groupe relatif à Diffie-

Hellman.
rP
 Les négociations des SA sont bidirectionnelles

 Cette phase permet de produire trois clés. Deux seront utilisées pour protéger les
messages SA ISKMP et la troisième clés sert à produire deux autres clés utiles à la
ise
protection des échanges IPsec.

 Pour prouver son identité, l’émetteur envoie un hash de la clé associée à l’identité et
de tous les messages précédents. La clé de l’identité est soit un secret partagé ou une
al
paire de clés privée/publiques.

 La raison de générer plusieurs clés garantit la confidentialité des données même si la
Ré
clé partagé sera connu dans le future (ou la clé publique utilisée a été compromise),
étant donné que la clé de session est une combinaison de cette clé de l’identité, avec
une valeur aléatoire (nonce) et plusieurs autres valeurs difficile à prédire.
 Cette phase peut être établie en deux modes :

 Le mode principal (Main Mode) : il se compose de six messages. Il
assure l'anonymat des deux coté grâce au chiffrement des deux derniers
messages.
58
 Le mode agressif : il se compose seulement de trois de messages. Il
donc est plus rapide mais ne présente pas les avantages de mode principale.
La Phase 2 : les caractéristiques de la phase 2 peuvent être résumées comme suit
r i
 Son objectif est d'établir une SA IPSec.
ak
 Les négociations des SA sont unidirectionnelles
 Un mode est défini pour cette phase c’est le mode rapide (Quick Mode).
uz
Bo
id
Les principales différences entre la version 1 et 2 incluent :
ch
 Un échange de messages simplifié :
IKEv1 échange neuf messages (phase 1 = 6, phase 2 = 3).
Ra
IKEv2 échange six messages (phase 1 = 4, phase 2 = 2).

 La sécurité
ar
IKEv1 est sensible aux attaques par déni de service (DoS).

IKEv2 est plus à l'abri des attaques DoS parce qu'il ne traite une demande jusqu'à ce
rP
qu'elle identifie le demandeur.

ise
al
Ré
59
3. La configuration des VPN de site à site
3.1. Présentation
Un VPN site à site permet de relier deux réseaux LAN distants pour partager des ressources
via internet de manière sécurisée.
Un VPN de site à site est créé entre les deux côtés de la connexion VPN d’une manière
transparente pour les hôtes internes.
r i
ak
uz
Bo
3.2. Configuration du VPN IPsec
Les étapes à suivre :


id
Pour configurer un VPN site à site à l'aide des commandes CLI, il faut suivre les étapes
ch
suivantes:
Ra
1. Identifier le « trafic intéressant » en créant une ACL étendue.
2. Créer une stratégie IKE et configurer les paramètres requis pour de phase 1.
ar
3. Spécifier la clé partagée PSK et identifier l'adresse IP de l'autre cotée du tunnel VPN.
rP
4. Créer la stratégie IPSec requise pour la phase 2.
5. Créer la carte crypto et configurer les spécificités de la carte crypto.

ise
6. Appliquer la carte crypto à une interface.
7. Vérifier les paramètres du tunnel VPN.

al
N.B : certaines étapes peuvent être réalisées sans contrainte de l’ordre présenté ci-dessous.
Ré
 Exemple de configuration :
60
44.113.202.211 44.113.202.129
192.168.1.0/24
i
192.168.2.0/24
r
ak
1. Créez une ACL pour identifier le trafic intéressant:
uz
R1(config)# ip access-list extended VPN-ACL Créer une ACL étendue
R1(config-ext-nacl)# permit ip 192.168.1.0 0.0.0.255
Bo
Identifier le « trafic intéressant »
192.168.2.0 0.0.0.255
id
2. Créer une stratégie IKE et configurer les paramètres requis pour de phase 1.
ch
R1(config)# crypto isakmp policy 10 Créer la stratégie IKE.
Ra
R1(config-isakmp)# hash sha Définir la fonction de hachage.
R1(config-isakmp)# authentication pre-share Définir la méthode d’authentification.

ar
R1(config-isakmp)# group 5 Définir le groupe DH à utiliser.

rP
R1(config-isakmp)# lifetime 86400 Définir le temps de l'expiration IKE.
R1(config-isakmp)# encr aes 128 Définir le protocole de chiffrement.

ise
3. Spécifier la clé partagée (PSK) et identifiez l'adresse IP de l'autre cotée du tunnel VPN.
al
R1(config)# crypto isakmp key PassVPN Définir la clé partagée et l’adresse IP de

Ré
address 44.113.202.129 l’autre côté du tunnel VPN.
4. Créer la stratégie IPSec requise pour la phase 2.
R1(config)# crypto ipsec transform-set R1-to- Définir les paramètres de la

R2-SET esp-sha-hmac esp-aes 128 communication de la phase 2.
61
5. Créer la carte de cryptage et configurez les spécificités de la carte crypto.
R1(config)# crypto map R1-to-R2-MAP 10 ipsec- Créer une carte de cryptage relié à
isakmp la stratégie IKE numéro 10.
R1(config-crypto-map)# set transform-set R1-to-R2- Définir l’identifiant de la stratégie

SET IPSec requise pour la phase 2.
Définir l’adresse IP de l’autre

R1(config-crypto-map)# set peer 44.113.202.129
côté du tunnel VPN.
r i
Définir l’identifiant du l’ACL de
R1(config-crypto-map)# match address VPN-ACL
ak
trafic intéressant.
uz
6. Appliquer la carte de cryptage à une interface.
Bo
R1(config)# interface s0/0/0 Sélectionner une interface et appliquer la
R1(config-if)# crypto map R1-to-R2-MAP carte de cryptage.
id
ch
7. Vérifier les paramètres du tunnel VPN.
Afficher la configuration de la stratégie

Ra
R1# show crypto isakmp transform-set

IPSec requise pour la phase 2
Afficher la configuration de la carte de

R1# show crypto map
ar
cryptage
rP
R1# show crypto ipsec sa Afficher les tunnels IPSec établis

ise
al
Ré
62
X. Chapitre 10 : Étudier les pare-feu évolués
1. Les pare-feu Cisco ASA

1.1. Présentation
Cisco ASA (Adaptive Security Appliance) est un dispositif de sécurité qui combine un pare-
feu, un antivirus, un système de prévention des intrusions (IPS) et des fonctionnalités VPN. Il
offre ainsi une large gamme de technologies et de solutions pour une sécurité efficace du
réseau informatique.
i
1.2. Les modèles ASA
r
ak
 Il existe différents modèles ASA. Tous les modèles offrent des fonctionnalités
avancées de pare-feu et de VPN. La plus grande différence entre les modèles est le
uz
débit de trafic maximal géré par chaque modèle et le nombre et les types d'interfaces.
Le choix du modèle ASA dépendra des exigences d'une organisation, telles que le
débit, les connexions maximales par seconde et le budget de la société.
Bo
 Les équipements ASA prend également en charge les environnements du virtualisation.
Il exécute le même logiciel que le dispositif physique pour fournir les mêmes
fonctionnalités de sécurité. id
ch
Ra
ar
rP
N.B : dans ce qui suit de ce document nous allons nous limité à l’étude de modèle ASA 5505
ise
et sur les fonctionnalités du pare-feu.
1.3. Les modes d’utilisation des équipements ASA

al
 Le mode routeur :
Ré
 C’est le mode traditionnel de déploiement.

 Ce mode prend en charge plusieurs interfaces, et chaque interface se
trouve sur un sous-réseau différent avec une adresse IP distincte.
 L’ASA réagit comme un routeur dans le réseau et peut effectuer la
traduction d'adresses réseau (NAT) entre les réseaux connectés.
 Le mode transparent
 L'ASA fonctionne comme un élément de la couche 2.
 Ce mode ne prend pas en charge les protocoles de routage dynamiques,
les fonctionnalités VPN entre autres.
63
1.4. Une aperçu sur ASA 5505
 Vue frontal d’ASA 5505
r i
ak
uz
 Vue d’arrière d’ASA 5505
Bo
id
ch
Ra
ar
rP
1.5. Les niveaux de sécurité ASA

ASA attribue des niveaux de sécurité pour classer, par fiabilité, les différents segments d’un
ise
réseau. Les niveaux de sécurité ont les caractéristiques suivantes :

 Les numéros de niveau de sécurité varient entre 0 (non fiable) et 100 (très fiable).
 Plus le niveau est élevé, plus l'interface est fiable.
al
 Chaque interface activée d’ASA doit avoir un nom et un niveau de sécurité.

 Une interface nommée «inside» prend la valeur 100 et une interface nommée
Ré
«outside» prend la valeur 0.
64
r i
ak
1.6. La configuration d’ASA avec CLI
a. Présentation du CLI sur ASA
uz
 ASA 5505 peut être livré avec un système d’exploitation sous deux type de licence
« une licence de base » ou «une licence de sécurité plus ». Cette dernière prend en
Bo
charge plus de fonctionnalités.
 Le système d’exploitation intégré dans les équipements ASA offre une interface de
ligne de commande (CLI) qui a un aspect similaire à celui offert par l'IOS du routeur
id
Cisco. Cependant, de nombreuses commandes ASA sont différentes sur les deux
systèmes.
ch
Commande sur le système IOS Son équivalent sur l’ASA
Ra
enable secret password enable password password

line con 0
ar
password password passwd password

login
rP
ip route route outside

show ip interfaces brief show interfaces ip brief
ise
show ip route show route

show vlan show switch vlan
al
show ip nat translations show xlate

Ré
copy running-config startup-config write [ memory ]
b. Configuration des interfaces
 ASA 5510, possède deux types d’interfaces :

 Les interfaces routé (Interfaces logiques VLAN): Elles sont
directement configurées avec des adresses IP, tout comme un routeur. La
configuration se fait via une interface SVI (Switch Virtual interface).
 Les interfaces Ethernet couche 2 : Elles sont affectées aux interfaces
VLAN.
65
 Pour configurer une interface SVI sur ASA, on procède comme suit :
ciscoasa(config)# interface vlan vlan-id Créer un SVI
ciscoasa(config-if)# nameif { inside | outside | Attribuer un nom à l'interface SVI.
name }
ciscoasa(config-if)# security-level level Définir ou modifier le niveau de sécurité
SVI.
ciscoasa(config-if)# ip address ip-address Attribuer une adresse IP et un masque à
netmask l’interface SVI.
ciscoasa(config-if)# no forward interface vlan Empêcher l’acheminement du trafic
r i
vlan-id2 entre les deux VLANs.
ak
 Pour configurer une interface couche 2 sur ASA on procède comme suit :
ciscoasa(config)# interface interface/number Accéder à l’interface.
uz
ciscoasa(config-if)# switchport access vlan Affecter-le à un VLAN.
vlan-id
Bo
ciscoasa(config-if)# no shutdown Active l’interface.
c. Configuration du service DHCP

id
ch
Pour configurer le service DHCP sur ASA, on procède comme suit :
ciscoasa(config)# dhcpd address [ start-of- Définir le pool d'adresses IP à attribuer aux
Ra
pool ]-[ end-of-pool ] inside utilisateurs internes.

ciscoasa(config)# dhcpd domain domain- Configurer le nom de domaine.
name
ar
ciscoasa(config)# dhcpd dns dns-ip-address Configurer l’adresse IP de DNS.

ciscoasa(config)# dhcpd lease seconds Configure la durée du bail.
rP
ciscoasa(config)# dhcpd enable interface- Activer le service serveur DHCP sur

name l'interface spécifiée de l'ASA.
ise
d. Configuration des ACL

al
 De nombreuses similitudes existent entre les ACL ASA et les ACL IOS. Nous
Ré
pouvons résumée les principales déférences comme suit :

 Les ACL ASA utilisent un masque de réseau plutôt qu'un masque
générique.
 Les ACL ASA sont nommées plutôt que numérotées.
 par défaut, les niveaux de sécurité d'une interface applique le contrôle
d'accès sans qu’une ACL soit configurée.
 Pour configurer les ACL sur ASA, on procède comme suit :
ciscoasa(config)# access-list id extended { Créer une ACL étendue.
deny |permit } protocol { source_addr
66
source_mask } | any | host src_host |
interface src_if_name [ operator port [ port
]{ dest_addr dest_mask } | any | host
dst_host | interface dst_if_name [ operator
port [ port ]]}
ciscoasa(config)# access-group acl-id
Active rune ACL sur une interface.
{ in | out } interface interface-name
e. Configuration du service NAT
r i
 ASA prend en charge les types du NAT suivantes :
ak
 Le NAT dynamique : consiste à effectuer une traduction de plusieurs
adresses IP privées à plusieurs adresses IP publiques.
uz
 Le PAT dynamique : consiste à effectuer une traduction de plusieurs
adresses IP privées à une seule adresse IP publique.
Bo
 Le NAT statique : consiste à effectuer une traduction d’une seule
adresse IP privées à une seule adresse IP publique.
 Pour configurer le NAT dynamique sur ASA, on procède comme suit :
id
ciscoasa(config)# object network public-pool-obj Créer un objet réseau pour le pool
d'adresses IP public.
ch
ciscoasa(config-network-object)# {host ip_addr | Définir le pool d'adresses IP public à
subnet net_addr net_mask | range ip_addr_1 l'aide d'une adresse d’hôte, d'un sous-
Ra
ip_addr_2 } réseau ou d'une plage d'adresses IP.

ciscoasa(config)# object network private-pool-obj Créer un autre objet réseau pour le
pool d'adresses IP privée.
ar
ciscoasa(config-network-object)# { subnet Définir le pool d’adresses IP internes à

net_addr net_mask | range ip_addr_1 ip_ l'aide d'un sous-réseau ou d'une plage
rP
addr_2 } d'adresses.
ciscoasa(config-network-object)# nat ( real-ifc , Activer le NAT dynamique entre les

ise
mapped-ifc ) dynamic public-pool-object deux interfaces.
 Pour configurer le PAT dynamique sur ASA, on procède comme suit :

al
ciscoasa(config)# object network pat-obj- Créer un objet réseau pour le pool d’adresses
Ré
name IP internes.
ciscoasa(config-network-object)# { subnet Définir le pool d’adresses IP internes à l'aide
net_addr net_mask | range ip_addr_1 d'un sous-réseau ou d'une plage d'adresses.
ip_addr_2 }
ciscoasa(config-network-object)# nat ( real- Activer le PAT dynamique entre cette
ifc , mapped-ifc ) dynamic [ interface | ip- interface et l’interface publique.
address ]
 Pour configurer le NAT statique sur ASA, on procède comme suit :
67
ciscoasa(config)# object network static-nat- Créer un objet réseau pour l’adresse IP
obj-name interne.
ciscoasa(config-network-object)# host ip_addr Définir l’adresse IP interne de l’hôte.
ciscoasa(config-network-object)# nat ( real-ifc , Activer le NAT statique entre l’adresse IP
mapped-ifc ) static mapped-ip-addr interne et l’interface publique.
ciscoasa(config)# access-list acl-id extended Créez une ACL étendue pour permettre
permit ip any host inside_host aux utilisateurs externes d'accéder à
l'adresse IP interne.
r i
ciscoasa(config-if)# access-group acl-id Appliquer l’ACL sur l’interface adéquate.
ak
interface outside
uz
f. Configuration de AAA
 ASA peut être configuré pour s'authentifier à l'aide d'une base de données d’utilisateur
Bo
locale ou à partir d'un serveur externe ou en utilisant les deux méthodes.
 Pour activer l'authentification AAA pour l’accès au mode exec (privilège), http, SSH
ou Telnet, on procède comme suit : id
ciscoasa(config)# aaa authentication enable Activer l'authentification AAA pour l’accès
console LOCAL au mode EXEC à l'aide de la base de données
ch
locale.
ciscoasa(config)# aaa authentication http Activer l'authentification AAA pour l’accès
Ra
console LOCAL http à l'aide de la base de données locale.

ciscoasa(config)# aaa authentication ssh Activer l'authentification AAA pour l’accès
console LOCAL ssh à l'aide de la base de données locale.
ar
ciscoasa(config)# aaa authentication telnet Activer l'authentification AAA pour l’accès

console LOCAL telnet à l'aide de la base de données locale.
rP
 Pour activer l'authentification AAA à l'aide d’un serveur externe, on procède comme
suit :
ise
ciscoasa(config)# aaa-server server-tag Créer un groupe de serveurs TACACS + ou

protocol [ tacacs+ | radius } RADIUS.
ciscoasa(config-aaa-server-group)# aaa-
al
server server-tag [ (interfacename) ] host Définir les paramètres du serveur AAA.

{ server-ip | name } [ key ]
Ré
ciscoasa(config)# aaa authentication

Activer l'authentification AAA basée sur un
{ enable | http | ssh | telnet } console server-
serveur externe.
tag [ LOCAL ]
68
1.7. La configuration d’ASA avec ASDM
a. Présentation de ASDM
Le gestionnaire de périphériques de sécurité adaptative (ASDM) de Cisco est un outil GUI

basé sur Java qui facilite la configuration, la surveillance et le dépannage des systèmes ASA
de Cisco.
b. Utilisation de l’ASDM (voir TP)
2. Le pare-feu TMG 2010
r i
a. Présentation
ak
Forefront Threat Management Gateway (TMG) est un produit de la société Microsoft qui
permet de protéger les employées contre les menaces émanant principalement du Web.
uz
Cette solution intègre un firewall, un VPN, le filtrage Url et un IPS.
Forefront TMG est disponible en 2 versions : Enterprise et Standard le choix est relié selon
Bo
l’ampleur de l’infrastructure réseau à protégé.
b. Installation et configuration (voir TP)

id
ch
Ra
ar
rP
ise
al
Ré
69
Aide Mémoire Commande CCNA Security
Chapitre 2
Configurer le mot de passe type 9 (scrypt) , type 8 (sha256) ou type 5 (md5) :
R1(config)# enable algorithm-type {scrypt|sha256|md5} secret cisco12345 (Default
Privilege level is 15)
R1(config-line)# exec-timeout 5 0
R1(config-line)# login local
R1(config-line)# privilege level 15
R1(config)# service password-encryption

R1(config)# security passwords min-length 10
i
r
R1(config)# security authentication failure rate seuil log
ak
R1(config)# login block-for seconds attempts tries within seconds
R1(config)# login quiet-mode access-class acl_number or acl_name
R1(config)# login delay seconds (default 1 second)
uz
R1(config)# login on-success log [every login]
R1(config)# login on-failure log [every login]
Bo
R1(config)# privilege exec level 5 ping
R1(config)# enable algorithm-type scrypt secret level 5 cisco123
R1>enable [0–15]
id
R1(config)# banner [motd|LOGIN|EXEC] $Unauthorized access strictly prohibited!$
ch
R1(config)# username user01 algorithm-type scrypt secret user01pass
Ra
R1(config)# username admin privilege 15 algorithm-type scrypt secret cisco12345
R1(config)# crypto key generate rsa general-keys modulus 1024

R1(config)# crypto key zeroize rsa
ar
R1(config)# ip ssh version 2

R1(config)# ip ssh time-out 90
rP
R1(config)# ip ssh authentication-retries 2
CONFIGURE AN SCP SERVER ON R1

ise
R1(config)# aaa new-model

R1(config)# aaa authentication login default local
R1(config)# aaa authorization exec default local
al
R1(config)# ip scp server enable

R3# copy scp: flash:
Ré
R3# show flash
Configure Administrative Roles

R1# enable view (obligatoire pour configurer des views )
R1(config)# parser view admin1 (To delete a view no parser view viewname.)
R1(config-view)# secret admin1pass (MDP OBLIGATOIRE SINON ERREUR !)
R1(config-view)# commands exec include all show
R1(config-view)# commands exec include all config terminal
R1(config-view)# commands exec include all debug
R1(config-view)# end
R1(config)# parser view Admin SUPERVIEW

70
R1(config-view)# secret admin1pass
R1(config-view)# view admin1
Verify the admin1 view.
R1# enable view admin1
Password: admin1pass
R1# show parser view
Current view is ‘admin1’
(*) superview
R1(config)# secure boot-image

R1(config)# secure boot-config
R1# show secure bootset
r i
ak
R3# auto secure
uz
Chapitre 3
Bo
R1(config)# username user01 algorithm-type scrypt secret user01pass
R1(config)# line vty 0 4

R1(config-line)# login local (authentication local)
R1(config-line)# exit
id
ch
R1(config)# username Admin01 privilege 15 algorithm-type scrypt secret Admin01pass
(default privilege level is 1).
Ra
CONFIGURE AAA LOCAL AUTHENTICATION USING CISCO

R1(config)# aaa authentication login default local-case none
ar
None option requires no authentication

rP
Options for aaa authentication login methods:

Enable, local, local-case, none, group radius, group tacacs+, groupe nomGrp
ise
R1(config)# aaa authentication login TELNET_LINES local

R1(config)# line vty 0 4
R1(config-line)# login authentication TELNET_LINES
al
Ré
CONFIGURE AAA SERVER-BASED AUTHENTICATION USING RADIUS or TACACS+

R1(config)# aaa authentication login default group radius group tacacs+ local-case
none
no authentication in case of no connectivity to the server
R1(config)# radius server CCNAS

R1(config-radius-server)# address ipv4 192.168.1.3 auth-port 1812 acct-port 1813
R1(config-radius-server)# key WinRadius //shared key with the server.
R1(config-redius-server)# end
R1(config)# tacacs server ServerT

R1(config-server-tacacs)# address ipv4 192.168.1.3
R1(config-server-tacacs)# single-connection
71
R1(config-server-tacacs)# key TACACSPass
R1(config-server-tacacs)# exit
R1(config)#aaa authentication attempts max-fail 5

R1#show aaa local user lockout
R1#show aaa sessions
R1(config)# aaa authorization {network | exec | commands level} {default | list-name}

method1
R1(config)# aaa accounting {network | exec | connection} {default | list-name}
{start-stop | stop-only | none} method1.
r i
ak
R1(config)# aaa authorization exec default group tacacs+
R1(config)# aaa authorization network default group tacacs+
uz
R1(config)# aaa accounting exec default start-stop group tacacs+
R1(config)# aaa accounting network default start-stop group tacacs+
Bo
801.1X PORT-BASED NETWORK ACCESS CONTROL
EAP : Extensible Authentication Protocol.
EAPOL : EAP over LAN. id
S1(config)# aaa new-model
ch
S1(config)# radius server ccnas
S1(config-radius-server)# address ipv4 10.1.1.1 auth-port 1812 acct-port 1813
S1(config-radius-server)# key radius-password
Ra
S1(config-radius-server)# exit
S1(config)#aaa authentification dot1x default group radius
S1(config)# dot1x system-auth-control
ar
S1(config)#interface fa0/1
S1(config-if)# authentication port-control auto
rP
S1(config-if)# dot1x pae authenticator (PAE Port Access Entity)
Chapitre 4
ise
1. Créer les zones

R(config)# zone security INSIDE
R(config)# zone security CONFROOM
al
R(config)# zone security INTERNET

Ré
2. Identifier le traffic
R(config)# class-map type inspect [match-any | match-all] INSIDE_PROTOCOLS

R(config-cmap)# match [protocol tcp | access-group nACL | class-map-name nomClassMap]
R(config-cmap)# match protocol udp
R(config-cmap)# match protocol icmp
R(config)# class-map type inspect match-any CONFROOM_PROTOCOLS

R(config-cmap)# match protocol http
R(config-cmap)# match protocol https
R(config-cmap)# match protocol dns
3. Identifier une action avec policy map
R3(config)# policy-map type inspect INSIDE_TO_INTERNET

R3(config-pmap)# class type inspect INSIDE_PROTOCOLS
R3(config-pmap-c)# inspect 72
R3(config)# policy-map type inspect CONFROOM_TO_INTERNET
R3(config-pmap)# class type inspect CONFROOM_PROTOCOLS
R3(config-pmap-c)# { inspect | pass | drop }
4. Créer les paires de zones
R(config)# zone-pair security INSIDE_TO_INTERNET source INSIDE destination INTERNET

R(config)# zone-pair security CONFROOM_TO_INTERNET source CONFROOM destination INTERNET
5. Liéer une paire de zone à une policy map.

R(config)# zone-pair security INSIDE_TO_INTERNET
R(config-sec-zone-pair)# service-policy type inspect INSIDE_TO_INTERNET
R(config)# zone-pair security CONFROOM_TO_INTERNET
R(config-sec-zone-pair)# service-policy type inspect CONFROOM_TO_INTERNET
r i
6. Assigner les interfaces aux zones
ak
R(config)# interface g0/0
R(config-if)# zone-member security CONFROOM
R(config)# interface g0/1
uz
R(config-if)# zone-member security INSIDE
R(config)# interface s0/0/1
R(config-if)# zone-member security INTERNET
Bo
VERIFICATIONS
R# show policy-map type inspect [zone-pair [sessions]]id
R# show class-map type inspect
R# show zone security
R# show zone-pair security
ch
R# show ip inspect sessions
C3PL : Cisco Common Classification Policy Language : C3PL allows you to create traffic
Ra
policies based on events, conditions, and actions. SDM uses C3PL to create the policy
maps and class maps that the following help topics describe
ar
Chapitre 6
rP
Configure Secure Trunks and Access Ports
S1(config)# interface f0/5

ise
S1(config-if)# spanning-tree portfast

S1(config-if)# spanning-tree bpduguard enable
al
S1(config)# spanning-tree portfast default

S1(config)# spanning-tree portfast bpduguard
Ré
S2(config-if)# spanning-tree guard root (not root ports : connect to switches that
should not be the root bridge)
S2# show spanning-tree inconsistentports (ports currently receiving superior BPDUs

that should not be.)
S2(config)# spanning-tree loopguard default (on non root switchs)
S1(config-if)# switchport port-security (must be on access mode)

S1(config-if)# switchport port-security maximum 10
S1(config-if)# switchport port-security mac-address xxxx.xxxx.xxxx
S1(config-if)# switchport port-security mac-address sticky
S2(config-if)# switchport port-security
73 aging time 120 (2 Hours)
S1# show port-security
S1# show port-security interface f0/5
S1# show port-security address

S2(config-if)# switchport mode access
S2(config-if)# switchport port-security
S2(config-if)# switchport port-security maximum 3
S2(config-if)# switchport port-security violation [shutdown| restrict |
protect ]
r i
ak
PVLAN (protected ports) no traffic be forwarded between two ports on the same switch.
S1(config-if)# switchport protected
uz
S1(config-if)# interface f0/7
S1(config-if)# switchport protected
Bo
S1# show interfaces fa0/6 switchport
Configure IP DHCP Snooping

id
S1(config)# ip dhcp snooping (globally)
ch
S1(config)# ip dhcp snooping information option
S1(config)# ip dhcp snooping vlan 1,20 (for vlans 1 and 20).
Ra
S1(config)# interface f0/6 (max 10 requests authorized connected to client)

S1(config-if)# ip dhcp snooping limit rate 10
S1(config)# interface f0/5 (trusted interface, connected to dhcp server)
ar
S1(config-if)# ip dhcp snooping trust

rP
S1# show ip dhcp snooping

S1# show ip dhcp snooping binding
ise
Configuring Dynamic ARP Inspection
S1(config)# ip arp inspection vlan 10 (activate inspection for vlan 10).

al
S1(config)# ip arp inspection validate [dst-mac | ip | src-mac]

S1(config)#interface fa0/24 (trusted interface)
Ré
S1(config-if)# ip arp inspection trust
Configuring IP Source Guard (valider le lien entre le port, l’adresse IP et

l’adresse MAC pour chaque requête)
S1(config)#interface range fa0/1-2
S1(config-if)# ip verify source
Chapitre 8
Step 1: verify connectivity between R1 and R3
Step 2: Enable IKE (Internet Key Exchange) policies on R1 and R3.
ISAKMP : Internet Security Association and Key Management Protocol
R1(config)# crypto isakmp enable (enable IKE on R1)
R3(config)# crypto isakmp enable
74
R1(config)# crypto isakmp policy 10
R1(config-isakmp)# ?
authentication Set authentication method for protection suite
default Set a command to its defaults
encryption Set encryption algorithm for protection suite
exit Exit from ISAKMP protection suite configuration mode
group Set the Diffie-Hellman group
hash Set hash algorithm for protection suite
lifetime Set lifetime for ISAKMP security association
no Negate a command or set its defaults

R1(config-isakmp)# hash sha
i
authentication pre-share
r
R1(config-isakmp)#
group 14
ak
R1(config-isakmp)#
R1(config-isakmp)# lifetime 3600
R1(config-isakmp)# encryption aes 256
uz
R1(config-isakmp)# end
Bo
R3(config-isakmp)# hash sha
R3(config-isakmp)# authentication pre-share
R3(config-isakmp)# group 14
R3(config-isakmp)# lifetime 3600
id
R3(config-isakmp)# encryption aes 256
ch
R3(config-isakmp)# end
Ra
R1# show crypto isakmp policy
R1(config)# crypto isakmp key cisco123 address 10.2.2.1 (@ serial R3)

R3(config)# crypto isakmp key cisco123 address 10.1.1.1 (@ serial R1)
ar
Or hostname aulieu de Address.

rP
Configure the IPsec transform set and lifetime:

R1(config)# crypto ipsec transform-set 50 ?
ise
ah-md5-hmac AH-HMAC-MD5 transform

ah-sha-hmac AH-HMAC-SHA transform
comp-lzs IP Compression using the LZS compression algorithm
esp-3des ESP transform using 3DES(EDE) cipher (168 bits)
al
esp-aes ESP transform using AES cipher

esp-des ESP transform using DES cipher (56 bits)
Ré
esp-md5-hmac ESP transform using HMAC-MD5 auth

esp-null ESP transform w/o cipher
esp-seal ESP transform using SEAL cipher (160 bits)
esp-sha-hmac ESP transform using HMAC-SHA auth
R1(config)# crypto ipsec transform-set 50 esp-aes 256 esp-sha-hmac

R1(cfg-crypto-trans)# exit
R3(config)# crypto ipsec transform-set 50 esp-aes 256 esp-sha-hmac

R3(cfg-crypto-trans)# exit
R1(config)# crypto ipsec security-association lifetime seconds 1800

R3(config)# crypto ipsec security-association lifetime seconds 1800
75
Define interesting traffic.
R1(config)# access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.3.0
0.0.0.255
R3(config)# access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.1.0
0.0.0.255
Create and apply a crypto map.

R1(config)# crypto map CMAP 10 ipsec-isakmp
R1(config-crypto-map)# match address 101
R1(config-crypto-map)# set ?
r i
identity Identity restriction.
ip Interface Internet Protocol config commands
ak
isakmp-profile Specify isakmp Profile
nat Set NAT translation
peer Allowed Encryption/Decryption peer.
uz
pfs Specify pfs settings
reverse-route Reverse Route Injection.
security-association Security association parameters
transform-set Specify list of transform sets in priority order
Bo
R1(config-crypto-map)# set pfs group14
R1(config-crypto-map)# set transform-set 50
id
R1(config-crypto-map)# set security-association lifetime seconds 900
R1(config-crypto-map)# exit
ch
The same configuration for R3
R3(config)# crypto map CMAP 10 ipsec-isakmp
R3(config-crypto-map)# match address 101
Ra

R3(config-crypto-map)# set pfs group14
R3(config-crypto-map)# set transform-set 50
ar
R3(config-crypto-map)# set security-association lifetime seconds 900

R3(config-crypto-map)# exit
rP
Apply the crypto map to interfaces

R1(config)# interface S0/0/0
ise
R1(config-if)# crypto map CMAP

*Jan 28 04:09:09.150: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
R3(config)# interface S0/0/1

al
R3(config-if)# crypto map CMAP

Ré
*Jan 28 04:10:54.138: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
R1# show crypto ipsec transform-set

Transform set 50: { esp-256-aes esp-sha-hmac }
will negotiate = { Tunnel, },
Transform set #$!default_transform_set_1: { esp-aes esp-sha-hmac }
will negotiate = { Transport, },
Transform set #$!default_transform_set_0: { esp-3des esp-sha-hmac }
will negotiate = { Transport, },
R1# show crypto map

Crypto Map "CMAP" 10 ipsec-isakmp
Peer = 10.2.2.1
Extended IP access list 101
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
Current peer: 10.2.2.1
Security association lifetime:764608000 kilobytes/900 seconds
Responder-Only (Y/N): N
PFS (Y/N): Y
DH group: group14
Transform sets={
50: { esp-256-aes esp-sha-hmac } ,
}
Interfaces using crypto map CMAP:
Serial0/0/0
R1# show crypto isakmp sa

IPv4 Crypto ISAKMP SA
dst src state conn-id status
r i
IPv6 Crypto ISAKMP SA
ak
R1# show crypto ipsec sa
interface: Serial0/0/0
uz
Crypto map tag: CMAP, local addr 10.1.1.1
protected vrf: (none)
local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.3.0/255.255.255.0/0/0)
Bo
current_peer 10.2.2.1 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
id
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
ch
local crypto endpt.: 10.1.1.1, remote crypto endpt.: 10.2.2.1
path mtu 1500, ip mtu 1500, ip mtu idb Serial0/0/0
current outbound spi: 0x0(0)
Ra
PFS (Y/N): N, DH group: none

inbound esp sas:
inbound ah sas:
inbound pcp sas:
outbound esp sas:
ar
outbound ah sas:
outbound pcp sas:
rP
Chapitre 9
ciscoasa> enable
ise
Password: class (or press Enter if none set)

ciscoasa# show version
ciscoasa# show file system
al
ciscoasa# show flash

ciscoasa# show running-config
Ré
ciscoasa# copy run start
ciscoasa# conf t
ciscoasa(config)# configure factory-default
ciscoasa# write erase (erase startup-config)
ciscoasa# show start

ASA-Init(config)# hostname CCNAS-ASA
CCNAS-ASA(config)# domain-name ccnasecurity.com
CCNAS-ASA(config)# passwd cisco (for telnet)

77
CCNAS-ASA(config)# enable password class
CCNAS-ASA(config)# telnet 192.168.1.3 255.255.255.255 inside
CCNAS-ASA(config)# telnet timeout 3
CCNAS-ASA(config)# aaa authentication telnet console local
CCNAS-ASA(config)# clear configure telnet
CCNAS-ASA(config)# username med password motdepasse

CCNAS-ASA(config)# aaa authentication ssh console local
CCNAS-ASA(config)# crypto key generate rsa modulus 1024
CCNAS-ASA(config)# ssh 192.168.1.3 255.255.255.255 INSIDE
r i
CCNAS-ASA(config)# ssh 192.16.16.16 255.255.255.255 OUTSIDE
ak
CCNAS-ASA(config)# ssh timeout 3
CCNAS-ASA(config)# ssh version 2
CCNAS-ASA(config)# show ssh
uz
CCNAS-ASA(config)# clock set 19:09:00 april 19 2015
ntp authenticate
Bo
CCNAS-ASA(config)#
CCNAS-ASA(config)# ntp trusted-key 1
CCNAS-ASA(config)# ntp authentication-key 1 md5 cisco
CCNAS-ASA(config)# ntp server 192.168.1.1 id
CCNAS-ASA(config)# dhcpd address 192.16.1.1-192.16.41 INSIDE (MAX 32)
ch
CCNAS-ASA(config)# dhcpd lease 3600 ( seconds = 1h)
CCNAS-ASA(config)# dhcpd dns 8.8.8.8 4.4.4.4
dhcp enable inside
Ra
CCNAS-ASA(config)#
ciscoasa# show password encryption

Ciscoasa(config)# key config-key password-encryption newPass [oldPass]
ar
Ciscoasa(config)# password encryption aes

rP
CCNAS-ASA(config)# interface vlan 1

CCNAS-ASA(config-if)# nameif inside
CCNAS-ASA(config-if)# ip address 192.168.1.1 255.255.255.0
ise
CCNAS-ASA(config-if)# Ip address [dhcp [setroute] | pppoe [setroute]]

CCNAS-ASA(config-if)# security-level 100
al
CCNAS-ASA(config-if)# interface vlan 2

CCNAS-ASA(config-if)# nameif outside
Ré
INFO: Security level for "outside" set to 0 by default.
CCNAS-ASA(config-if)# ip address 209.165.200.226 255.255.255.248

CCNAS-ASA(config-if)# no shutdown
CCNAS-ASA(config)# interface e0/1

CCNAS-ASA(config-if)# switchport access vlan 1
CCNAS-ASA(config-if)# interface e0/0
CCNAS-ASA(config-if)# switchport access vlan 2
CCNAS-ASA(config)# show interface ip brief

78
CCNAS-ASA(config)# show ip address
CCNAS-ASA# show switch vlan
CCNAS-ASA# show run interface vlan 1
CCNAS-ASA(config)# object [network | service] NomObjet

Network : host, subnet or range.
Service : ah, eigrp, ospf, esp, gre, ip, tcp, udp, ipsec, ...
CCNAS-ASA(config-network-object)# range 192.19.1.2 192.19.1.20
CCNAS-ASA(config-service-object)# service tcp [source | destination] eq ftp
CCNAS-ASA(config)# show runnig-config object [network | service]
ASA(config)# object-group network admin
i
description machines des admins
r
ASA(config-network-object-group)#
network-object host 192.168.1.13
ak
ASA(config-network-object-group)# network-object subnet 192.16.2.0 255.255.255.0
uz
ASA(config)# object-group network AllHosts
ASA(config-network-object-group)# description toutes les machines
network-object 192.168.1.32 192.168.1.140
Bo
ASA(config-network-object-group)# group-object admin
CCNAS-ASA(config)# show runnig-config object-group

id
ASA(config)# object-group service Service1
ch
ASA(config-service-object-group)# service-object tcp destination eq www
ASA(config-service-object-group)# port-object eq smtp
port-object range 2000 2005
Ra
ASA(config-service-object-group)#
Les ACL ASA utilise le masque de sous réseau au lieu de masque générique.
ASA(config)# access-list ACL-IN extended permit tcp object-group NET-HOST object-
ar
group Servers object-group HTTP-SMTP.

ASA(config)# access-group ACL-IN in interface inside
rP
Configure asdm access to the ASA

CCNAS-ASA(config)# http server enable
ise
CCNAS-ASA(config)# http 192.168.1.0 255.255.255.0 inside
CCNAS-ASA(config)# route outside 0.0.0.0 0.0.0.0 209.165.200.225

al
CCNAS-ASA# show route

Ré
NAT & PAT

CCNAS-ASA(config)# object network public
CCNAS-ASA(config-network-object)# range 200.200.200.20 200.200.200.40
CCNAS-ASA(config)# object network INSIDE-NET
CCNAS-ASA(config-network-object)# subnet 192.168.1.0 255.255.255.0
CCNAS-ASA(config-network-object)# nat (inside,outside) dynamic public (NAT)
CCNAS-ASA(config-network-object)# nat (inside,outside) dynamic interface (PAT)
CCNAS-ASA(config-network-object)# nat (inside,outside) static 200.2.2.2 (statique)
CCNAS-ASA(config-network-object)# end
CCNAS-ASA(config)# policy-map global_policy

CCNAS-ASA(config-pmap)# class inspection_default
CCNAS-ASA# show run object 79

object network INSIDE-NET
subnet 192.168.1.0 255.255.255.0
CCNAS-ASA# show run nat

!
object network INSIDE-NET
nat (inside,outside) dynamic interface
CCNAS-ASA# show nat [detail]
Auto NAT Policies (Section 2)

1 (inside) to (outside) source dynamic INSIDE-NET interface
translate_hits = 4, untranslate_hits = 4
r i
CCNAS-ASA# show xlate (comme show ip nat translations)
ak
1 in use, 28 most used
Flags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twice
uz
ICMP PAT from inside:192.168.1.3/512 to outside:209.165.200.226/21469 flags ri idle 0:00:03
timeout 0:00:30
Bo
CCNAS-ASA(config)# aaa-server TACAS-SVR protocol [tacacs+ | radius ]
CCNAS-ASA(config-aaa-server-group)# aaa-server TACAS-SVR (dmz) host 192.168.1.1
CCNAS-ASA(config)# aaa authentication [http|enable|ssh|..] console TACAS-SVR local
MPF
id
Class Map -> Policy Map -> Activate policy
ch
CCNAS-ASA(config)# class-map Class-TFTP
CCNAS-ASA(config-cmap)# match access-list ACL_TFTP
Ra
CCNAS-ASA(config-cmap)# match port tcp eq http
CCNAS-ASA(config)# policy-map POLICY-TFTP

CCNAS-ASA(config-pmap)# class Class-TFTP
ar
CCNAS-ASA(config-pmap-c)# inspect tftp

rP
CCNAS-ASA(config)# service-policy POLICY-TFTP global
Fin.
ise
al
Ré
80

CCNA Security 1 PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

CCNA Security 1 PDF

Transféré par

Droits d'auteur :

Formats disponibles

ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion

ISTA SIDI MOMEN

Support de cours & Aide-Mémoire V 2.0

I.Chapitre 1 : Les concepts de base de la sécurité des réseaux

1.1. Les objectifs principaux de la sécurité d’un réseau

 Une menace : Un danger potentiel pour une ressource ou pour la fonctionnalité du

seule ou plusieurs menaces ou de l'exploitation d’une vulnérabilité.

Ils sont programmé pour :

 surveiller l'activité de navigation sur le Web pour détecter les caprices de

 Scaryware se réfère à une classe de logiciels utilisés pour de convaincre les

dans le but de vendre des logiciels.

2. Les types de sécurité réseaux

2.1. La sécurité physique

2.2. La sécurité logique

3. Les principaux risques liés à la sécurité logique du réseau

3.1. Les différents types d'attaques réseau

a. Les attaques de reconnaissance

Une attaque de reconnaissance ou « attaque passive » a pour objectif de regrouper des

 Un balayage de «ping » : l'attaquant envoie des paquets « ping » à une plage

c. Les attaques d’accès

du récepteur. Elle permet de tromper un firewall, un service TCP, un serveur

 Le détournement de session (hijacking): l'attaquant pirate une session entre un

s’appuie sur le « spoofing »

d. Les attaques de réseau contre la disponibilité

3.2. Les mesures de la sécurité réseau

Pour apporter une meilleure sécurité à un réseau d'entreprise, Il est recommandé de

 La séparation des ressources : Les ressources réseau d'entreprise et les différentes

employés dans les différents endroits du réseau d'entreprise.

effectuer une tâche doit être assigné à chaque utilisateur.

3. La sécurisation des mots de passe

 Changer souvent les mots de passe.

 Ne pas utiliser de mots de passe facile à détecter.

Router(config)# service password-encryption Cryptez tous les mots de passe

Router(config)# security passwords Appliquer une longueur minimale pour

Router(config)# enable algorithm-type Crypter le mot de passe du mode privilégié

 La configuration des paramètres de connexion

login block-for X attempts Y within Z Cette commande permet de bloquer l’accès

Cette commande ajoute une entrée sur le

5. La sécurisation de l’accès par les lignes console, VTY et auxiliaire

 La sécurisation de l’accès par la ligne console et la désactivation de la ligne auxiliaire

Router(config)# username name

privilege level secret password

Router(config)# line vty 0 4

Router(config-line)# line aux 0 Accéder au mode « line auxiliaire ».

 La sécurisation de l'accès vty avec ssh

6. L’attribution des rôles administratifs

6.1. Les niveaux de privilèges du système IOS

Les niveaux de privilège déterminent les personnes autorisé à se connecter à un éléments et

 Le niveau utilisateur (niveau 1) : fournit un accès en lecture seule très limité au

 Le niveau privilégié (niveau 15) : fournit un contrôle complet sur le routeur.

Router(config)# privilege mode { level level Autoriser l’utilisation d’une commande à un

R1# show privilege

6.3. Définir un niveau de privilèges par utilisateur

R1(config)# line vty 0 4 Accéder au mode VTY.

R1(config-view)# secret cisco123 Assignez une mot de passe à la vue.

R1# enable view SHOWVIEW Se connecter à la vue ShowView pour la

c. Configurer une super-vue

Router(config)# parser view view-name Créer une Super-vue en mode de

 Un modèle « AAA » doit d'abord être activé (voir chapitre 4).

Entrez dans le mode ROMMON et affichez

restore flash:.runcfg-20120701-090211.ar l'archive trouvée dans Flash

6.7. Utilisation des fonctionnalités de sécurité automatisées