Académique Documents
Professionnel Documents
Culture Documents
CCNA Security 1 PDF
CCNA Security 1 PDF
Notions de la Sécurité
Informatique et Réseaux
Ce document constitue le support de Cours de Module Notions en sécurité informatique destiné aux Stagiaires de la
deuxième année TRI et TMSIR de l’ISTA SIDI MOMEN de CASABLANCA.
1
SOMMAIRE:
1. Introduction
La sécurité réseau est une branche de l'informatique qui consiste à sécuriser tous les éléments
d’un réseau informatique pour empêcher : l'accès non autorisé, le vol de données, l'utilisation
abusive d’une connexion réseau, la modification des données, etc. Elle vise donc à impliquer
des méthodes et des mécanismes de défense proactifs pour protéger un réseau contre les
menaces externes et internes.
r i
Les trois objectifs principaux de la sécurité d’un réseau sont :
ak
La confidentialité : consiste à protéger les données, enregistrées ou en circulation,
d’un réseau informatique des personnes non autorisées.
uz
L’intégrité : vise à maintenir et à assurer la fiabilité ( l'exactitude et la cohérence( des
données. Les données reçues par un destinataire doivent être identique aux données
Bo
envoyées par l'expéditeur.
La disponibilité : vise à s'assurer que les données ou les services du réseau sont,
continuellement, à la portée des utilisateurs.id
1.2. Terminologies
ch
a. Terminologie générale
Ra
Une ressource: tout objet ayant une valeur pour une organisation et qui doit être
protégée.
Une vulnérabilité: C’est une faiblesse d'un système qui pourrait être exploitée par une
menace.
ar
Une attaque: C’est une action prise par un attaquant pour nuire à une ressource.
Un risque: c’est la possibilité de la perte, l’altération, la destruction ou autres
conséquences négatives de la ressource d'une organisation. Le risque peut naître d'une
ise
b. Type de pirates
On distingue différents types de pirates existent dans le domaine informatique, dont on peut
citer :
Les Hackers : sont classé comme « des passionnés des réseaux ». Ils veulent
seulement comprendre le fonctionnement des systèmes informatiques et tester à la fois
leurs connaissances et leurs outils et.
2
Les « chapeaux blancs »: ce sont des personnes effectuant des audits de sécurité pour
les organisations à un but lucratifs.
Les « chapeaux bleus » : ce sont des testeurs de bogues pour assurer le bon
fonctionnement des applications.
Les Crackers : ce sont des criminels informatiques dont leur but principal est de
profiter par une destruction ou la mise hors service des systèmes informatiques ou par
le vol de données (personnels, codes sources, code d’activation,…) pour demander
une somme d’argent. Ils sont parfois appelés «Chapeau noir et chapeau gris».
Les script-kiddies : ce sont des personnes, avec peu d'habileté dans le domaine
informatique, qui agissent uniquement via des logiciels préétablis dans le but de
réaliser un gain financier.
i
Hacktivistes Se sont des hackers dont la motivation est principalement idéologique.
r
ak
c. Les codes malveillants
uz
Les points suivants mettent en évidence les types courants de code malveillant (Malware) qui
peuvent être utilisé par les pirates:
Bo
Virus: c’est un programme qui s'attache à un logiciel pour exécuter une fonction
spécifique non souhaitée sur un ordinateur. La plupart des virus nécessitent une
activation par l'utilisateu. Cependant, ils peuvent être mis en état de vieil pendant une
id
période prolongée comme ils peuvent également être programmés pour éviter la
détection.
ch
Worms: ce sont des programmes autonomes qui exploitent des vulnérabilités connues
dans le but de ralentir un réseau. Ils ne nécessitent pas l'activation de l'utilisateur et ils
se dupliquent et tente d'infecter d'autres hôtes dans le réseau.
Ra
Spyware : ce sont des logiciels espions qui sont généralement utilisés dans le but
d’influencer l’utilisateur pour acheter certaine produits ou services. Les spywares, en
générale, ne se propagent pas automatiquement, mais ils s’installent sans autorisation.
ar
.
Adware : se réfère à tout logiciel qui affiche des publicités, sans l’autorisation de
l'utilisateur parfois sous la forme de publicités pop-up.
al
3
La sécurité physique des salles de serveurs, des périphériques réseau, … ;
La prévention des accidents et des incendies ;
Les systèmes de l’alimentation ininterrompue ;
La surveillance vidéo, etc.
r i
la traçabilité ;
ak
La configuration correcte des pare-feu de réseau ;
L’installation des IPS (systèmes de prévention d'intrusion),
L’utilisation des VPN (réseau privé virtuel), etc.
uz
2.3. La sécurité administrative
Bo
La sécurité administrative permet d’assurer le contrôle interne d’une organisation à l’aide
d’un manuel des procédures. Elle peut inclure :
Prévenir les erreurs et les fraudes ;
id
Définir les responsabilités respectives des différents intervenants ou opérateurs ;
Protéger l’intégrité des biens et des ressources de l’entreprise ;
ch
Assurer l’enregistrement de toutes les opérations concernant la manipulation du
matériel ;
Gérer rationnellement les biens de l’entreprise ;
Ra
Assurer une gestion efficace et efficiente des activités ;
informations sur le réseau cible pour déceler toutes les vulnérabilités. Cette attaque utilise, en
général, les méthodes de base suivantes :
al
Le balayage de port: l'attaquant procède à une analyse de port (TCP et UDP) permet
de découvrir les services s'exécutant sur un ordinateur cible.
Un capture de paquets (Sniffing) : le capture de paquets permet de capturer les
données (généralement des trames Ethernet) qui circulent sur le réseau en vue
d’identifier des adresse MAC, des adresses IP ou des numéros de ports utilisé dans le
réseau cible. Cette attaque peut viser loin pour essayer de de découvrir des noms
d’utilisateur ou des mots de passe. Les logiciels de capture de paquets les plus
couramment utilisé sont wireshark et cpdump.
4
b. Les attaques de mot de passe
L'objectif de ces attaques est de découvrir les noms d'utilisateurs et les mots de passe pour
accéder à diverses ressources. On distingue deux méthodes souvent utilisées dans ce type
d’attaque :
L’attaque par une liste de mot : cette méthode se base sur une liste de mots ou de
phrases souvent utilisés comme mots de passes.
L’attaque par force brute : cette méthode essaie toutes les combinaisons possibles
de lettres, de chiffres ou de symboles pour détecter le mot de passe d’un utilisateur.
r i
ak
Ces attaques ont pour objectif d’essayer de pirater des informations sensibles sur éléments
réseaux. Les méthodes suivantes sont courantes pour effectuer une attaque d'accès
uz
Le Phishing : le phishing est une tentative de pirater des informations sensibles
(généralement des informations financières comme les détails de carte de crédit
Bo
userid/Password etc), en envoyant des e-mails non sollicités avec des URL truqué.
Le Pharming est une autre attaque de réseau visant à rediriger le trafic d'un site Web
vers un autre site Web.
L’attaque de «Man-in-the-middle »: un attaquant se place entre deux éléments
id
réseaux pour essayer de tirer profit des données échangées. Cette attaque se base, entre
autre sur, les méthodes suivantes :
ch
L’usurpation d’identité (Spoofing): C’est une pratique dans laquelle la
communication est envoyée à partir d'une source inconnue déguisé en source fiable
Ra
Les attaques mélangées : Les attaques mélangées combinent les caractéristiques des
virus, des vers, et d'autres logiciels pour collecter des informations sur les utilisateurs.
Les attaques DoS, ou attaques par déni de service, consistent à rendre indisponible un service
de diverses manières. Ces attaques se distinguent principalement en deux catégories :
5
les dénis de service par saturation, qui consistent à submerger une machine de
fausses requêtes afin qu’elle soit incapable de répondre aux requêtes réelles ;
et les dénis de service par exploitation de vulnérabilités, qui consistent à exploiter
une faille du système distant afin de le rendre indisponible.
Les attaques DDoS (Distributed déni de service attaques) est un type d'attaque « Dos »,
provenant de nombreux ordinateurs connectés, contrôlés par les hackers, qui attaquent de
différentes régions géographiques.
Le principe de ces attaques se base, entre autre sur, les méthodes suivantes :
r i
L’attaque SYN flood : un l'attaquant envoie de nombreux paquets TCP-SYN pour
ak
lancer une connexion «TCP », sans envoyer un message « SYN-ACK ».
L’attaque ICMP flood un l'attaquant envoie de nombreux faux paquets ICMP vers
l'ordinateur cible..
uz
e. Les attaques rapprochée
Bo
Une attaque rapprochée est un type d'attaque où l'attaquant est physiquement proche du
système cible. L’attaquant exploite l’avantages d'être physiquement proche des appareils
cibles pour, par exemple, réinitialiser un routeur, démarrer un serveur avec un CD, etc.
id
f. Les attaques de relation d'approbation
ch
Un attaquant lors du son contrôle d’une machine réseau, exploite la relation d'approbation
entre cette machine et les différents périphériques d'un réseau pour avoir plus de contrôle.
Ra
L'accès aux réseaux d'entreprise et aux bases de données doit être assuré par des
mécanismes hautement contrôlés.
La protection en profondeur: Les dispositifs de sécurité de réseau devront être
al
6
3.3. Les mesures d’audit de vulnérabilités
L’audit d’un réseau informatique doit comporter les cinq catégories suivantes:
Les mesures préventive : incluent l’instauration des précautions afin d’empêcher
l’exploitation d’une vulnérabilité, et ce par l'utilisation d'un pare-feu, de verrous
physiques et d'une stratégie administratifs de sécurité
Les mesures détective : incluent la récupération de toutes les informations sur une
intrusion dans le réseau ou dans un système et ce à l'aide des journaux système, les
systèmes de prévention des intrusions (IPS) et les caméras surveillance.
Les mesures correctives: incluent la détermination de la cause d'une violation de la
sécurité, puis l’atténuation de ces effets et ce par la mise à jour des virus ou des IPS
r i
Les mesures de récupération: permettent la récupération d’un système après un
ak
incident.
Les mesures de dissuasion: permettent le découragement des personne qui tentent de
violer la sécurité du réseau.
uz
Bo
id
ch
Ra
ar
rP
ise
al
Ré
7
II. Chapitre 2 : La sécurisation des périphériques réseau
1. Les types de trafic
Cisco a classifié les différents types de trafic réseau comme des « plans » de communication.
Elle en a défini trois : le plan de gestion, le plan de contrôle et le plan de données.
Le plan de gestion: inclut le trafic utilisé par un administrateur réseau pour configurer
les périphériques réseau. Il se compose généralement du trafic des protocoles tels que
Telnet, SSH ou SNMP.
Le plan de contrôle: inclut le trafic que les périphériques réseau s’échangent entre
eux pour la découverte ou/et la configuration automatique du réseau, tels que, par
r i
exemple, le trafic des mises à jour des protocoles de routage ou du protocole ARP.
ak
Le plan de données: c’est le trafic réel des utilisateurs finaux dans le réseau.
Dans ce qui suit, nous allons nous focaliser sur les contre-mesures à entreprendre pour
sécuriser.
uz
2. La sécurisation du plan de gestion
Bo
La sécurisation de plan gestion comprend, entre autres, les éléments suivants:
L’application d'une stratégie de mot de passe sécurisée.
id
La sécurisation de l’accès console, vty et et auxiliaires.
La sécurisation et l’archivage des configurations.
ch
L’activation de la journalisation pour enregistrer toutes les modifications.
L’utilisation du protocole NTP (Network Time Protocol) pour synchroniser les
Ra
horloges, car il peut identifier l'ordre dans lequel une attaque spécifiée s'est produite.
Il faut prendre en compte ce qui suit à l'esprit lors de l'application d'une stratégie de mot de
passe:
rP
8
4. L’implémentation des restrictions de connexion
La configuration des retards entre les tentatives de connexion successives
i
pendant « X »secondes après « Y » essaie
r
d’accès dans 'z' secondes
ak
Il est possible de définir une ACL pour
Login quiet-mode access-class{acl- autoriser les tentatives de connexion lorsque
uz
name|acl-number} l'accès de connexion est bloqué par login
block-for ou Il peut être utile en situation
Bo
d'urgence.
Login delay second Configurer un délai entre les tentatives
successives de connexion.
id
Cette commande ajoute une entrée sur le
journal d’évènement chaque fois qu'une
login on-failure log [evry login]
ch
tentative de connexion a échoué. Cette
commande peut être personnalisée.
Ra
9
Router(config-line)# login local
Réglez l'intervalle d'inactivité à une valeur.
Router(config-line)#exec-timeout minutes
La valeur par défaut est 10 minutes.
seconds
r i
Router(config)# ip ssh version [1|2] Il est recommandé d’utiliser la version 2
ak
Définir le nombre de secondes à attendre
pour que le client SSH réponde pendant la
uz
Router(config)# ip ssh time-out seconds
phase de négociation. La valeur par défaut
est 120 secondes.
Bo
Router(config)# ip ssh authentication- Limitez le nombre de tentatives de
retries integer connexion. La valeur par défaut est 3.
Router(config)# login block-for seconds id
Sécuriser la connexion vty.
attempts tries within Seconds
Router(config-line)# transport input ssh Autoriser uniquement les sessions SSH.
ch
Router(config-line)# access-class Appliquez une ACL pour contrôler l’accès à
ACL-number la ligne vty.
Ra
« utilisateur » et « privilégié »
L'accès au niveau zéro : ne permet que cinq commandes: logout, enable, disable,
help, et exit.
al
10
6.2. Configurer un niveau de privilège
r i
Exemple d’utilisation
ak
l’autorisation d’utiliser la commande
R1(config)# privilege exec level 5 ping
« ping » au niveau de privilège 5
uz
l’autorisation d’utiliser la commande
R1(config)# privilege exec level 5 reload
« reload » au niveau de privilège 5
Bo
Configuration d’un mot de passe Enable
R1(config)# enable secret level 5 tri
pour entrer au niveau 5.
L’accès de l'utilisateur avec le niveau de
privilège 5.
R1> enable 5
id
En plus des commandes régulières du niveau
ch
Password: 1, l'utilisateur de niveau 5 peut également
utiliser les commandes « ping » et
« reload ».
Ra
Remarque
rP
Lorsqu’on définit une commande sur un niveau de privilège, toutes les commandes dont la
syntaxe est un sous-ensemble de cette commande sont également définies à ce niveau. Par
exemple, si on définit la commande "show ip route" au niveau 10, les commandes "show" et
ise
" show ip" sont automatiquement définies sur le niveau de privilège 10, sauf si vous les
définissez individuellement à des niveaux différents.
al
Il est recommandé de configurer pour chaque utilisateur un niveau de privilège associé. Cela
est possible par les commandes :
Router(config)#username user1 privilege 5 secret 0000
Router(config)#username user2 privilege 12 secret 0000
11
6.4. Définir un niveau de privilège pour de l’accès des lignes console,
VTY et auxiliaire
Les lignes (con, aux, vty) par défaut sont affectées au niveau de privilèges 1. Pour modifier le
niveau de privilège par défaut du port aux, on procède comme suit:
R1(config)# line console 0 Accéder au port console (ou auxiliaire)
R1(config-line)#privilege level 4 Définir un niveau de privilège pour utiliser
ce mode.
i
Définir un niveau de privilège pour utiliser
r
R1(config-line)#privilege level 10
ak
ce mode.
uz
6.5. Sécuriser l’accès à l’aide de la gestion de « vues »
Bo
a. Présentation
Bien que les utilisateurs puissent contrôler l'accès CLI via les niveaux de privilège ces
fonctions ne fournissent pas aux administrateurs réseau un niveau plus détaillé. Les vues CLI
id
offrent une capacité de contrôle d'accès plus détaillée améliorant ainsi la sécurité.
b. Configurer une vue
ch
R1(config)# parser view SHOWVIEW Créer une vue nommée « ShowView »
Ra
R1(config-view)# commands exec include Cette vue peut utiliser la commande « ping »
ping du mode EXEC privilégié.
rP
i
6.6. La sécurisation des fichiers de configuration et du système IOS
r
ak
Le système Cisco IOS offre la possibilité de créer des copies de l’image IOS ou/et du fichier
de configuration. En effet, il les archive sous un format nommées « bootset » protégé contre
uz
la suppression.
Sécuriser l'image IOS en le cachant en Flash.
R1(config)# secure boot-image
Il ne peut être vu qu’en mode ROMMON
Bo
Prendre le fichier configuration en cour et
l'archiver en toute sécurité dans la mémoire
R1(config)# secure boot-config
Flash. Il ne peut être vu qu’en mode
id
ROMMON.
Afficher l'état de l’archivage de l'image de
ch
R1# show secure bootset
Cisco IOS et du fichier de configuration.
Ra
Pour restaurer les fichiers principal à partir d'une archive sécurisée après un incident (par un
effacement de la NVRAM ou un formatage du flash), on procède comme suit :
Router#reload
ar
Redémarrer le routeur
Proceed with reload? [confirm]
rP
mz.124-20.T1.bin répertoriée.
Router(config)#secure boot-config Restaurez la configuration sécurisée à
al
Autosecure est un scripte de configuration de sécurité simple qui désactive les services
système non essentiels et permet de configurer le niveau de sécurité recommandé. La
commande Autosecure démarre un assistant en ligne de commande de la même façon lors
l'utilisation du programme d'installation pour configurer un routeur.
b. Configuration
13
Ré
al
ise
rP
ar
14
Ra
ch
id
Bo
uz
ak
ri
III. Chapitre 3 : La Supervision d’un réseau informatique
1. Présentation
Le plan de gestion inclut le trafic des protocoles de la surveillance du réseau en l’occurrence
les protocoles SysLog et SNMP. L’utilisation du protocole NTP permet de synchronisés
l’heure des éléments réseau assurant la fiabilité des données des éléments supervisé.
r i
Le protocole NTP (Network Time Protocol ou NTP) permet de synchroniser l'horloge locale
ak
d’un élément réseau informatique avec celle d'un serveur de référence (un serveur de temps
public sur Internet ou avec une source de temps interne).
uz
2.2. Fonctionnement du NTP
Bo
a. Les différents niveaux NTP
Il existe des serveurs NTP de différents niveaux (strates) qui correspondent à différentes
précisions. Les horloges atomiques forment la strate 0, et sont directement reliées aux
id
serveurs de strate 1, qui ne sont eux-mêmes accessibles qu'à des serveurs de strates 2 ou 3,
certains de ces serveurs étant librement accessibles.
ch
Ra
ar
rP
ise
synchronisation.
Le mode multicast : Permet au client d’obtenir une réponse de plusieurs serveurs.
15
nombre de tronçons éloignés d'une source de
temps faisant autorité, comme une horloge
atomique.
Router(config)# ntp authenticate Activer l'authentification NTP
Router(config)# ntp authentication-key Définissez la clé et le mot de passe NTP et
key-number md5 key-value cryptez-le à l'aide de MD5.
Identifiez la clé de confiance sur le maître.
Pour synchroniser, un client NTP doit fournir
Router(config)# ntp trusted-key key-number
la clé de confiance et le mot de passe
i
appropriés.
r
ak
b. Configurer un client NTP
uz
Client(config)# ntp server ntp-server- Définir le routeur maitre NTP auquel le
address client va se synchroniser.
Bo
Client(config)# ntp authentication-key Définissez la clé et le mot de passe NTP et
keynumber md5 key-value cryptez-la à l'aide de MD5.
Client(config)# ntp trusted-key key-number
id
Identifier la clé de confiance sur le maître.
ch
3. Implémenter un serveur SysLog
Ra
Le protocole SysLog est utilisé pour recueillir les messages de journalisation générés
ar
par un équipement ou une application. Ces messages sont parfois la seule manière
d’obtenir des éclaircissements sur le dysfonctionnement d’un équipement.
rP
Un serveur SysLog
al
Ré
16
Centraliser tous les fichiers journaux de différents équipements du
réseau : routeurs, commutateurs, serveurs, etc.
Archiver les journaux dans un lieu fiable où ils peuvent être traités.
Effectuer des recherches et des tris sur les journaux pour faciliter leur
analyse.
r i
ak
uz
3.2. Fonctionnement du Syslog
Bo
a. Les niveaux de gravité SysLog
Un niveau de gravité indique la nature d’un message d’erreur. On distingue huit niveaux de
id
gravité, de 0 à 7 avec le niveau 0 (zéro) étant le plus critique et le niveau 7 le moins critique.
ch
Code Gravité Mot-clé Description
0 Emergency emerg (panic) Système inutilisable.
Ra
17
Seq no:timestamp%FACILTY-SEVERITY-MNEMONIC: message
Seq no : indique le numéro d’ordre de l’événement, cette information
apparait seulement si la commande service sequence-numbers a été
exécutée.
timestamp : indique la date et l’heure de l’événement. cette information
apparait uniquement si la commande service timestamps a été exécutée.
FACILTY : indique le composant, protocole ou le processus qui a
généré le message, exemples SYS pour le système d'exploitation, IF
pour une interface, etc.
SEVERITY : Un nombre, entre 0 et 7, qui indique l'importance de
i
l’événement signalée.
r
ak
MNEMONIC : un code identifiant le message SysLog.
message : Une description de l'événement qui a déclenché le message
SysLog
uz
Exemple :
Bo
39345: May 22 13:56:35.811: %LINEPROTO-5-UPDOWN: Line protocol on Interface
Serial0/0/1, changed state to down id
seq no: 39345
Timestamp: May 22 13:56:35.811
ch
FACILTY: LINEPROTO
SEVERITY level: 5 (notification)
Ra
MNEMONIC: UPDOWN
message text: Line protocol on Interface Serial0/0/1, changed state to
down
ar
18
4. Implémenter le protocole SNMP
4.1. Présentation du SNMP
i
détecter les problèmes sur le réseau et gérer les évènements
r
exceptionnels (perte d'un lien réseau, arrêt brutal d'un équipement...) ;
ak
agir sur la configuration des équipements.
Le protocole SNMP réagit sur la couche application du modèle OSI et utilise le
uz
protocole UDP sur le port 162.
Un grand nombre de logiciels utilisent SNMP pour produire des graphes rendant
Bo
compte de l'évolution des réseaux ou des systèmes informatiques (Centreon,
NetCrunch 5, MRTG, Cacti, Shinken, Nagios, Zabbix).
19
1.3.6.1.2.1.2.2.1.2 est l'object identifier ifDescr qui est la chaîne de caractères décrivant une
interface réseau (comme Ethernet0 sur un routeur Cisco).
Une des MIB les plus connues est MIB-II, décrite dans le RFC 1213.
r i
ak
uz
Bo
c. Les différentes versions de SNMP
id
SNMP a plusieurs versions, mais il existe trois versions principales : SNMP version 1,
SNMP version 2c et SNMP version 3.
ch
SNMPv1
Ra
C’est la version originale et il est recommandé de ne pas l’utiliser sur un réseau suite à des
lacunes de sécurité.
SNMPv2c
ar
Elle présente une mise à jour de protocole initial et offre quelques améliorations. Cependant,
la sécurité qu'il fournit se base sur la chaîne de communauté uniquement qui est juste un mot
rP
de passe en texte clair (sans cryptage) vulnérables aux attaques des pirates.
Il existe deux types de chaînes de communauté dans SNMPv2c :
Lecture seule (RO) : cette option donne accès en mode lecture seule
ise
pour les objets MIB. Cette une option plus sûre et recommandé.
Lecture-écriture (RW) : donne un accès en mode lecture et écriture
pour les objets de la MIB. Cette méthode permet le gestionnaire SNMP
al
SNMPv3
Elle apporte des améliorations significatives pour remédier aux faiblesses de sécurité existant
dans les versions antérieures. Le concept de chaîne de communauté a été abandonné en
mettant en place trois nouvelles fonctionnalités principales :
L’intégrité : il permet de s’assurer qu'un paquet n'a pas été modifié.
L’authentification : il permet de s’assurer que le message provient
d'une source valide sur le réseau, en utilisant un mot de passe se basant
sur les algorithmes de HMAC-MD5 ou HMAC-SHA.
20
Cryptage (chiffrement) : il permet de crypter le contenu d'un paquet
avec la méthode DES pour crypter.
Remarque : Bien que SNMPv3 offre une meilleure sécurité la version SNMPv2c reste encore
plus fréquente être utilisée.
Les opérations suivantes sont disponibles sur toutes les versions SNMP :
Recherche d’informations :
i
r
GET : elle permet d’extraire une valeur d’un élément de la MIB.
ak
GetNext : elle permet de récupérer la valeur suivante de l’élément MIB.
GetBulk : (à partir de SNMPv2c) cette opération est utilisée par le
uz
gestionnaire SNMP pour récupérer efficacement de grandes quantités de
données de l'agent SNMP.
Bo
Envoie d’informations
bien reçu.
rP
Modification de valeurs :
ise
e. Configuration du SNMP
al
Router(config)#snmp-server
[tri] [ro] et son niveau d'accès (lecture seule ou
lecture/écriture).
Router(config)#snmp-server enable traps
Activer une «traps » SNMP.
[nom de traps]
Router(config)#snmp-server host [@ IP
Superviser votre équipement.
Gestionnaire SNMP] [nom_community]
Router#show snmp Vérifier de la configuration SNMP.
21
IV. Chapitre 4 : Sécurisation de l'accès de gestion avec AAA
1. Présentation
AAA est une stratégie de sécurité implémenté dans certains routeurs Cisco qui réalise trois
fonctions : l'authentification, l'autorisation, et la traçabilité (en anglais : Authentication,
Authorization, Accounting/Auditing). Avec :
Authentication : consiste à déterminer si l’utilisateur ou l’équipement est bien celui
qu’il prêtant être, cela ce fait grâce à une authentification nom d’utilisateur/ mot de
passe, ou grâce à un certificat.
Authorization : consiste à déterminer les droits de l’utilisateur sur les différentes
r i
ressources.
ak
Accounting : consiste à de garder des informations sur l’utilisation des ressources par
l’utilisateur.
Les utilisateurs AAA peuvent être créés sur une base locale, sur le routeur ou le commutateur,
uz
comme ils peuvent être créés sur un serveur externe ce qui a pour avantage de centraliser la
configuration de l’accès.
Bo
2. L’authentification AAA
2.1. L’authentification AAA locale
id
L’authentification locale permet une gestion simple et rapide des comptes
ch
d’utilisateurs. Cependant, il s’avère inefficace lorsque le nombre d’utilisateur devient
plus grand.
Ra
ar
rP
comme suit :
Router(config)# username username Créer un utilisateur à la base de données
privilege level secret password locale et lui attribuer un mot de passe.
Router(config)# aaa new-model Créer un nouveau modèle AAA.
Définir la méthode d'authentification à
Router(config)# aaa authentication login {
utiliser lors de l'accès aux lignes console, vty
default | list-name } { method1 [ method2
ou aux. la méthode d'authentification inclue
...]}
local, local-case et Enable.
22
Remplacer le message « Username:» par un
Router(config)# aaa authentication autre massage. Si ce dernier contient des
username-prompt text-string espaces, ils doivent être entourés par un
double guillemet.
Router(config)# aaa authentication Remplacer le message « Password » par un
password-prompt text-string autre texte.
Sécurisez les comptes AAA en verrouillant
les comptes qui ont dépassé le nombre
r i
Router(config)# aaa local authentication maximal de tentatives d'échec prédéfini.
ak
attempts max-fail number Le compte reste verrouillé jusqu'à ce qu'il
soit activé par un administrateur à l'aide de la
commande : aaa local user lockout
uz
Bo
2.2. L’authentification AAA basée sur un serveur
Les utilisateurs AAA peuvent résider sur un serveur externe. Il est possible d’utiliser
id
deux types de serveurs en se basant sur les protocoles Radius ou Tacacs+ :
Le protocole Radius : est un protocole ouvert basé sur de L’UDP.
Le protocole Tacacs+ : est un protocole propriétaire basé sur du TCP.
ch
La différence entre les deux protocoles incluent :
Ra
TACACS+ RADIUS
Protocole TCP : port 49 UDP : port 1645 ou 1812
Cryptage de la totalité des Cryptage seulement du mot de
Cryptage
ar
informations passe
Les stratégies AAA sont Combine l’authentification et
Architecture AAA
rP
indépendantes la traçabilité
Challenge / Réponse Bidirectionnel Unidirectionnel
Propriété Cisco system Open source
ise
Avec les stratégies AAA, il est possible d’intégrer les utilisateurs de la base « Active
al
23
i
1. L'utilisateur établit une connexion avec le routeur.
r
2. Le routeur lui invite à saisir un nom d'utilisateur et un mot de passe.
ak
3. Le routeur passe les identifient de l’utilisateur vers un serveur.
4. Le serveur valide les données.
uz
Pour configurer un routeur pour utiliser l’authentification AAA sur serveur, on
procède comme suit :
Bo
R1(config)# tacacs-server host { host-name Configurer l’adresse IP (ou le nom) du
| host-ip-address } [ key string ] [ port [ serveur TACACS +. Les autres paramètres
integer ]] [ single-connection ] [ timeout sont optionnels.
[ seconds ]]
id
R1(config)# radius-server host { host-name Configurer l’adresse IP (ou le nom) du
ch
| host-ip-address } [ auth-port port-number ] serveur RADIUS. Les autres paramètres sont
[ acct-port port-number ] [ key password ] optionnels.
Ra
Router(config)# aaa group server radius Grouper des hôtes de serveur RADIUS
group-name existants et les utiliser pour un service
rP
particulier
Router(config-sg-radius)# server ip-address Configurez l'adresse IP du serveur RADIUS
ise
24
Router(config)# aaa authorization { exec Définit la stratégie d'autorisation à utiliser
| network | commands level } { default | lors de l'accès aux modes suivants:
list-name } { method1 [ method2 ...]} exec permet d’autoriser un utilisateur
à exécuter un une commande dans ce
mode.
network permet d’autoriser les
requêtes d’accès liées au réseau, tel
que PPP.
commands permet de définir les
commandes autorisées pour un niveau
i
de privilège spécifique.
r
ak
uz
4. La traçabilité AAA
Les méthodes de la traçabilité définissent les éléments à garder la trace de leurs activités sur le
Bo
journal d’évènement.
AAA prend en charge six différents types de traçabilité: system, network, exec, commands,
connection et ressource: id
Router(config)# aaa accounting { system | Définir la méthode de traçabilité à utiliser
network | exec | commands level } { default pour un service spécifique. Il maintient le
ch
suivi des services demandés :
| list-name } { start-stop | wait-start |
stop-only | none } [ method1 [ method2 ]] system garde une trace de toutes les
Ra
privilège spécifique.
al
Ré
25
V. Chapitre 5 : Utiliser les pare-feu
r i
2. Les types de pare-feu
ak
Il existe différents types de pare-feu, y compris les suivants
uz
Pare-feu NAT: permet de cacher une adresses IP privé en la traduisant à une adresse
IP public.
Pare-feu de filtrage de paquets : permet de filtrer les paquets de la couche 3 ou 4 du
Bo
modèle OSI. Ce type de pare-feu reste simple à configurer mais également vulnérable
aux attaques par usurpation d'identité.
Pare-feu de filtrage de paquet avec état : assure la même fonction que les pare-feu
id
de filtrage de paquets, mais conserve également le suivi de l'état des connexions
réseau (c'est-à-dire les numéros de séquence TCP et UDP) ce qui le rend plus sécurisé.
Pare-feu applicatif (pare-feu proxy) : C’est, généralement, un serveur qui assure ce
ch
type de filtrage des informations situées aux couches 3, 4, 5 et 7.
Ra
communication.
Ne permettre que le trafic des services nécessaires.
rP
feu.
Ré
26
Les règles basées sur le contrôle de comportement : Contrôle la façon avec
laquelle des services spécifiques seront utilisés. Par exemple, le pare-feu peut des
contrôler les e-mails pour éliminer les spam.
i
contrôle d'accès peuvent être configurées pour tous les protocoles réseau routés.
r
ak
5.2. L’emplacement des ACL
Les ACL peuvent être implémentées dans deux directions
uz
Les ACLs entrantes : les paquets entrants sont traités avant d'être routés vers
l'interface de sortie. Les listes de contrôle d'accès entrantes sont idéales pour filtrer les
Bo
paquets lorsque le réseau relié à une interface d'entrée est la seule source des paquets
devant être inspectés.
Les ACLs sortantes : les paquets entrants sont acheminés vers l'interface de sortie,
id
puis traités par le biais de la liste de contrôle d'accès sortante. Les listes de contrôle
d'accès sortantes sont particulièrement efficaces lorsqu'un même filtre est appliqué aux
ch
paquets provenant de plusieurs interfaces d'entrée avant de quitter la même interface
de sortie.
Ra
27
R1Config)# access-list number { deny | Créer une ACL Etendue numérotée.
permit } protocol source [masque
générique] destination [masque
générique]
R1(config)# ip access-list extended Créer une ACL Etendue nommée
nom_ACL
R1 (config-if)# ip access-group Activer une ACL sur une interface.
{number|name} {in|out}
i
5.4. Les ACL IPv6
r
ak
Les listes de contrôle d'accès IPv6 sont semblables aux listes de contrôle d'accès IPv4,
avec quelques particularités présentées comme suit :
uz
Listes de contrôle d'accès IPv4 Listes de contrôle d'accès IPv6
Bo
Standard Nommées uniquement
Numérotées Fonctionnent comme les listes de contrôle
Nommées d'accès ACL IPv4 étendues
id
Étendues
Numérotées
ch
Nommées
L’utilisation du masque générique Aucun masque générique
Ra
il existe une instruction implicite deny any permit icmp any any nd-na
ou deny any any
rP
28
5.5. Recommandation sur les ACL
Il est important de prendre en compte les points suivants lors de l’implémentation des ACL:
Les instructions dans une ACL sont traitées dans un ordre séquentiel, il est important
de prendre en compte l'ordre de leur positionnement.
Les instructions les plus spécifiques doivent être placées dans les premières lignes
dans une ACL.
Les nouvelles instructions dans une ACL existant sont ajoutées par défaut aux
dernières lignes.
Il faut s’assurer que la dernière instruction est un refus de tous autres trafics non
i
spécifié.
r
ak
Une seule ACL est autorisée par interface, par protocole ou par direction.
Les paquets générés par le routeur ne sont pas traité par les ACL sortantes.
Les ACL standards doivent être placées le plus près possible de la destination.
uz
Les ACL étendues doivent être placées le plus près possible de la source.
Bo
6. Les pare-feu à base de zones
6.1. Présentation id
Un ZPF (Cisco IOS zone de pare-feu) est une solution de pare-feu basé sur un routeur IOS. Il
ch
permet de protéger un réseau contre les menaces externes en se basant le regroupement des
interfaces sous forme de zones, et de spécifier quel type de trafic peut passer d’une zone à une
autre. Les avantages à utiliser cette solution incluent notamment la simplicité de définir les
Ra
stratégies d’accès.
ar
rP
ise
al
En ce qui suit des règles qui régissent le comportement d’un ZPF lors de l’acheminement de
trafic :
Une zone de sécurité doit être créée avant de pouvoir lui affecter des interfaces.
29
Une interface peut être affectée à une seule zone de sécurité.
Par défaut, le trafic est autorisé entre les interfaces membres de la même zone.
Pour autoriser le trafic entre deux de zones, une stratégie de sécurité doit être
préconfigurée. Trois actions peuvent être prises:
Pass: Le trafic est autorisé à transiter d’une zone à l’autre.
Inspect: Autoriser le trafic et inspecter le trafic retour.
Drop: Supprimer le trafic.
Tout le trafic vers une interface de routeur (la zone « self zone ») est autorisé jusqu'à
ce qu’il soit explicitement refusé.
r i
ak
6.3. Terminologie
Les stratégies d'accès de ZPF sont effectuées à l'aide de trois composant essentiels :
uz
Class Map: permet d’identifier le trafic en fonction de certains critères.
Policy Map : permet d’appliquer une stratégie « Class map » créé précédemment.
Bo
Service Policy : permet définir où appliquer la «Policy Map» créé précédemment.
Router(config)# class-map type inspect { Créer une Class-Map et définir ces options.
match-any | match-all } class-map-name match-any : Les paquets doivent répondre à
l'un des critères de correspondance.
al
30
Router(config-pmap-c)#{drop | inspect | Définir l’action à entreprendre.
pass }
4. Définir les paires de zones.
Router(config)# zone-pair security zone- Créer une paire de zones qui permet
pair-name source { source-zonename | self | d’appliquer une stratégie « Policy-Map »
default } destination { destination-zone- unidirectionnelle entre les deux zones.
name | self | default }
Router(config-sec-zone-pair)# service-policy Appliquer la stratégie « Policy-Map » à la
type inspect policymap-name paire de zones
r i
ak
6. Affecter des interfaces aux zones.
Router(config)# interface type number Attachez une interface à une zone de sécurité
uz
Router(config-if)# zone-member security spécifiée.
zone-name
Bo
id
ch
Ra
ar
rP
ise
al
Ré
31
VI. Chapitre 6 : Mettre en œuvre la prévention des intrusions IPS
i
Un système de prévention d'intrusion IPS (Intrusion Prevention System) est un
r
capteur capable de détecter et d’empêcher toutes les attaques potentielles sur un hôte
ak
ou sur le réseau.
Le tableau suivant présente quelques caractéristiques des deux capteurs IDS et IPS :
uz
IDS IPS
Bo
Tous les paquets sont traités
Reçois seulement une copie des
Le traitement des par le système avant
paquets originaux pour le
paquets. d’atteindre le réseau ou
traitement.
id l’hôte.
Ajoute un peu de retard au
ch
Aucun délai n’est ajouté au trafic
L’impact sur la latence. trafic avant de le transmettre
d'origine.
vers le réseau.
Ra
règles préétablit.
ise
En fonction de son emplacement dans un réseau, les IPS peuvent être placés pour protégé un
Ré
hôte (IPS-Hôte) ou tout le réseau (IPS-Réseau). Chaque type possède ses propres avantages et
inconvénients
Avantages Inconvénients
IPS-Hôte Permet de protéger un hôte spécifique. Dépend du système
Permet de protéger le système d'exploitation
d'exploitation et les applications. Doit être installé sur tous
les hôtes.
IPS-Réseau Une solution moins couteuse. Impossible d'examiner le
indépendant du système d'exploitation. trafic chiffré.
32
3. Les modes de déploiement de l’IPS
Un IPS peut être déployé en deux modes :
En mode promiscuité : l’IPS se limite à analyser le trafic réseau (c.à.d. aux tâches
d’un IDS).
En mode Inline : le trafic est dirigé vers l’IPS pour être analyser. L’IPS bloque une
partie de ce trafic selon des paramètres préconfiguré.
i
Une alarme déclenchée par une intrusion qui a eu lieu et qui été
r
Vrais positive
détecté par l’IPS.
ak
Vrais négative Aucune intrusion n’a eu lieu et aucune action n'est prise par l’IPS.
uz
Une alarme déclenchée par un trafic normal ou une action non
Faux positive
significative.
Bo
Faux négative Aucune alarme n'est déclenchée lorsque une intrusion a eu lieu.
A noter que les alarmes «Faux positive » doivent être réglées et les alarmes « Faux négative »
doivent être corrigées. id
5. La détection du trafic malveillant
ch
5.1. Les modes de détection
Ra
Un IPS peut détecter le trafic malveillant en utilisant plusieurs modes y compris : la détection
à base de signatures, à base de stratégies, à base d’anomalies, à base de la réputation.
Une signature est un ensemble de règles configuré sur un système IPS qui permettent de
détecter des intrusions. Cisco a regroupé les signatures, ayant des caractéristiques similaires,
ise
Atomique : une tentative faite pour accéder à un port spécifique sur un hôte spécifique,
et le contenu malveillant est dans un seul paquet.
Composite : une séquence d'opérations distribuées sur plusieurs hôtes sur une période
arbitraire.
La détection à base de signature est généralement le moyen le plus utilisé pour identifier le
trafic malveillant dans les systèmes IPS/IDS Cisco
Les avantages :
33
Facile à configurer et à mettre en œuvre.
Par défaut, un IPS dispose de plusieurs signatures préinstallé.
D’autres signatures supplémentaires peuvent être téléchargé et implémenté pour
pallier aux nouveaux types attaques.
Les inconvénients :
Ne permet pas de détecter les attaques en dehors des règles prédéfinies.
Peut générer des alarmes de type « Faux positifs ».
Les signatures doivent être mises à jour périodiquement.
r i
a. La détection à base de stratégies
ak
Les stratégies sont créées et configurées sur l’IPS en fonction de la stratégie de la sécurité
réseau. Tout trafic détecté en dehors de cette stratégie générera une alarme et/ou sera
uz
supprimé.
Les avantages :
Bo
Simple, fiable et très personnalisable.
Ne permet que le trafic basé sur la la stratégie de la sécurité réseau qui pourrait
empêcher les attaques inconnues.. id
Les inconvénients :
La stratégie doit être créée manuellement.
ch
Difficile à s’appliquer dans le cas des grands réseaux.
L’IPS recherche généralement le trafic réseau qui dévie de la norme. Un référentiel statistique
doit être élaboré pour définir le comportement normal du trafic réseau.
ar
Les avantages :
Peut détecter les nouveaux types d’attaques.
rP
Les inconvénients :
Difficile de normaliser avec précision le trafic des réseaux extrêmement grands.
Peut provoquer des alarmes « Faux positifs » lors d’un changement significatif du
ise
Cette technique se base sur la réputation des certaines caractéristiques du trafic réseau tels que
les adresses IP, les URL, les domaines DNS (Domain Name System) entre autres pour
Ré
34
6. Les micro-moteurs de signatures
Un micro-moteur de signature est un composant d'un capteur IPS (ou IDS) qui prend en
charge une catégorie de signatures. Toutes les signatures d'un micro-moteur de signature sont
scannées en parallèle, ce qui augmente l'efficacité et la fluidité des données.
Un micro-moteur de signature effectue les opérations suivantes:
Affecte à une catégorie de signatures un ensemble de plages ou de valeurs acceptables
Utilise la mémoire du routeur pour compiler, charger et fusionner des signatures
Cisco a défini plusieurs catégories de signatures utilisées par ces micro-moteurs y compris :
Type signature utilisé dans le Description
r i
micro-moteur
ak
Atomic Permet d’inspecter des paquets simples.
Service Permet d’inspecter si un service est attaqué.
uz
Permet d’inspecter les paquets, de plusieurs protocoles, en
String spécifiant une expression qui doit être vérifiée pour
Bo
déclencher la signature
Permet d’inspecter des paquets en spécifiant une série
Multi-string d'expression qui doivent être vérifiée pour déclencher la
id
signature.
A noter que d’autres signatures existent, utilisé par les micro-moteurs, pour permettent
ch
d’inspecter d’autres types de trafic.
Chaque signature de la base de données de signatures IPS a un niveau de gravité associé. Cela
permet de configurer un IPS pour qu'il prenne différentes actions en fonction de la gravité
détectée. Une signature peut être associée à quatre niveaux gravités :
ar
rP
informations utiles
Une activité de réseau anormale est détectée qui pourrait être perçue
Faible
al
Moyen
comme malveillante, et une menace immédiate est probable.
Les attaques qui sont utilisées pour accéder ou provoquer une attaque
Haute de déni de service (dos) sont détectées, et une menace immédiate est
extrêmement probable.
35
des événements peuvent être hébergées sur un serveur unique ou sur des serveurs distincts
pour des déploiements plus importants. Plusieurs protocoles sont disponibles pour la
génération d'alarmes, notamment SDEE (Security Device Event Exchange), syslog et SNMP
r i
ak
uz
9. La liste des actions à prendre lors d’une attaque
Lorsqu'un capteur IPS détecte une activité malveillante, il peut choisir l'une des actions
Bo
suivantes :
termine les paquets en provenance de l'adresse IP de
Deny attacker inline
l'attaquant pour une période spécifiée.
id
termine le paquet actuel et les futurs paquets appartenant à ce
Deny connection inline
flux TCP.
ch
Deny packet inline termine le paquet qui a déclenché l'alerte.
démarre la journalisation des paquets qui contiennent l'adresse
Ra
l'adresse IP de la victime.
Produce alert démarre la journalisation des événements en tant qu'alerte.
ise
36
Reset TCP connection envoie les réinitialiser et terminer une connexion TCP.
r i
Router# mkdir flash: dir-name Créer un répertoire de configuration
ak
Copier le package des signatures IPS dans la mémoire Flash.
uz
Router# copy ftp://myuser:my-pass@ftp- Copier le package de signature à partir d'un
server/IOS-Sxxx-CLI.pkg flash: dir-name serveur FTP vers le répertoire en Flash.
Bo
idconf
Router# copy tftp://tftp-server/IOS-Sxxx- Copier le package de signature à partir de
CLI.pkg flash: dir-name idconf signature d'un serveur TFTP vers le
id
répertoire en Flash.
ch
Router# copy usbflash0:/IOS-S xxx - Copier le package de signature à partir de
CLI.pkg flash: dir-name idconf signature d’une USB vers le répertoire en
Flash.
Ra
contenu.
rP
ise
al
Ré
37
Créer une règle IPS et spécifiez l'emplacement du fichier de signature IPS.
Router(config)# ip ips name ips-name [list Créer un nom pour la règle IPS.
acl ] NB : L’utilisation de l’option ACL est
facultative. Il permet de filtrer le trafic qui
sera analysé.
Router(config)# ip ips config location Spécifier l'emplacement du fichier de
flash: dirname signature IPS.
r i
Activer le protocole SDEE et la journalisation.
ak
Router(config)# ip http server Activer le serveur http (requis lors de
uz
l’utilisation de SDEE).
Router(config)# ip ips notify sdee Activer la notification d'événement SDEE.
Bo
Router(config)# ip ips notify log Activer la journalisation.
38
deny-connection-inline
deny-packet-inline
produce-alert
reset-tcp-connection
Router(config-ips-categoryaction)# (facultatif) Modifier le degré de gravité d'une
alert-severity { high | medium | low | alerte pour une signature ou une catégorie de
informational } signature spécifique.
r i
Appliquez la règle IPS à une interface souhaitée et spécifiez la direction:
ak
Router(config-if)# ip ips ips-name { in | out Appliquez la règle IPS à une interface. Le
} routeur charge les signatures et construit les
moteurs de signature lorsque
uz
IPS est appliqué à la première interface:
IN inspecte uniquement le trafic entrant.
Bo
OUT inspecte uniquement le trafic sortant.
id
ch
11. Les pratiques recommandées
Ra
changements du flux ou de la topologie
Il est recommandé de s’offrir des dispositifs dédiés pour les tâches d’un IPS au lieu
rP
d’utiliser des IPS basés sur des modules ou sur les fonctionnalités du système IOS.
Utiliser des mises à jour automatisées des signatures au lieu de les appliquer
manuellement.
ise
sécurité
Ré
39
VII. Chapitre 7 : Sécuriser un réseau local
1. Présentation
Un réseau LAN, composé généralement d’un ou plusieurs commutateurs couche 2, peut faire
objet de plusieurs types d'attaques se basant sur des éventuelles lacunes concernant la couche
2. Un attaquant peut tenter d’interrompre, copier, rediriger ou compromettre la transmission
de données de couche 2 et par conséquent affecté tout type de protocoles utilisés sur les
couches supérieures.
r i
On se qui suit nous allons traiter nombreuses menaces de sécurité visant la couche 2 du
ak
modèle OSI et aborder les contre-mesures contre ces risques. Cela entre dans le cadre de la
sécurisation du « plan de donnée »
uz
2.1. Les attaques d’inondation d'adresse MAC
Présentation de l’attaque :
Bo
Un attaquant se relie à un port de commutateur et inonde ce dernier avec un très grand nombre
de trames avec des fausses adresses MAC source. Une fois la table de commutation est
saturée, le commutateur réagit comme un concentrateur. L'attaquant sera en mesure de
id
capturer des données sensibles à partir du réseau.
Contremesures
ch
La fonctionnalité « sécurité du ports » est une contremesure qui permet d’empêcher les
attaques « d'inondation d'adresse de MAC »
Ra
40
2.2. L'attaque par usurpation d'adresse MAC (ARP spoofing)
Présentation de l’attaque :
L'attaque d'usurpation d'adresse MAC consiste à envoyer des faux messages ARP à l'intérieur
d'un réseau local, dans le but de dévier et d'intercepter le trafic réseau.
Contremesures
La fonctionnalité « DAI » est utilisée pour empêcher les attaques d'usurpation ARP. Elle
permet de vérifier le mappage entre les adresses IPv4 et les adresses MAC. En cas d’une
anomalie, émanant d’un port non fiable, les paquets ARP usurpés seront ignorés.
switch(config)#ip arp inspection vlan vlan activer l'inspection ARP dynamique (DAI)
r i
sur un VLAN spécifique.
ak
switch(config)#interface g0/0 configurer un port comme port fiable.
switch(config-if)#ip arp inspection trust
uz
2.3. L’attaque DHCP Starvation
Bo
Présentation de l’attaque :
L’attaque « DHCP Starvation » consiste à diffuser un grand nombre de requête DHCP, avec
des adresses Mac source usurpées. Une fois le nombre d'adresses IP disponibles dans le
id
serveur DHCP est épuisé, l’attaquant peut introduire son serveur DHCP pour répondre aux
nouvelles demandes DHCP du réseau. L'attaquant peut désormais capturer des données
ch
sensibles en utilisant l’attaque « man-in-the-middle».
Contremesures
Ra
L’attaque par saut de VLAN consiste à se connecter à un VLAN particulier et tenter d’accéder
au trafic réseau appartenant à d'autres VLAN. En utilisant l'attaque de saut de VLAN, un
attaquant peut capter le trafic réseau d'un autre VLAN ou d'envoyer des donner d'un VLAN à
un autre.
On distingue deux types d'attaques de saut de VLAN à savoir : l'attaque par « usurpation de
commutation » et l'attaque par « double étiquetage ».
41
a. L'attaque par « usurpation de commutateur »
r i
Cette attaque peut aussi se produire par l’introduction d’un «commutateur usurpé » configuré
ak
à utiliser le protocole DTP.
Contremesures
uz
Les fonctionnalités suivantes sont utilisées pour empêcher ce type d’attaque:
S1(config)#interface range gigabitethernet Configurer les ports d’un commutateur
Bo
0/0 - 20 connectés aux hôtes comme des ports
S1(config-if-range)#switchport mode access d'accès.
S1(config-if)# switchport mode trunk Activer
id explicitement les liaisons
d’agrégation.
S1(config-if)# switchport nonegotiate Désactivez DTP et empêcher les messages
ch
DTP d'être générées.
S1(config)#interface range gigabitethernet Affecter les ports inutilisés à un VLAN dédié
Ra
S1(config-if)# shutdown
rP
Présentation de l’attaque:
Cette attaque consiste à se connecter à une interface qui appartient au VLAN natif sur un port
«trunk», et envoyer une trame en positionnant deux fois les champs relatifs aux VLAN dans
al
42
3. Lorsque la trame arrive sur le commutateur 2. Il l’envoie sur le port de l’hôte cible.
r i
ak
uz
Remarque : Ce type d'attaque est unidirectionnel et ne fonctionne que si le pirate est connecté
Bo
à un port se trouvant dans le même VLAN que le VLAN natif du port trunk.
Contremesures
La fonctionnalité « native vlan» est utilisée pour empêcher ce type d’attaque.
id
Switch(config-if)# switchport trunk native Créer un VLAN dédié pour le trafic du
vlan vlan VLAN natif séparé du trafic utilisateurs.
ch
Ra
STP est un protocole réseau qui permet de créer une topologie réseau sans boucle, en bloquant
certaines chemins dans les réseaux LAN constitués de plusieurs commutateurs. Son
rP
Présentation de l’attaque:
Ré
43
Remarque :
« BPDU Guard » et « Root Guard » sont similaires, mais leur impact est différent.
BPDU Guard désactive le port lors de la réception BPDU si l’option « PortFast »
est activé sur le port. Vous devez réactiver manuellement le port ou configurer un
temps de désactivation.
Root Guard permet aux messages BPDU de traverser un port pour maintenir la
topologie STP sauf si un autre commutateur tente de devenir le « pont racine ». La
réactivation du port se fait dès que l’autre commutateur cesse ces tentatives.
r i
Les meilleures pratiques pour protéger la couche 2, par type d’attaque, incluent :
ak
Type de l’attaque Description Contremesures
uz
L'inondation d’adresse Utilisez la sécurité de port
Les attaques par MAC. pour les ports d'accès.
Configurer La fonctionnalité
Bo
adresse MAC L’usurpation d'adresse
MAC. « DAI ».
Configurer PortFast.
La modification de laid Configurer BPDU guard.
Les attaques du STP topologie STP. Configurer root guard
ch
Désactiver le DTP sur les
ports d'accès.
Configurer explicitement les
Ra
ports «trunk»
L’exploitation du protocole Utilisez toujours un VLAN
Les attaques par saut DTP. natif dédié.
VLAN L'attaque par « double-
ar
Eviter l'utilisation du
VLAN 1
ise
al
Ré
44
VIII. Chapitre 8 : La cryptographie
i
L’authentification : consiste à s’assurer de l'identité de la source et de la destination
r
avant de commencer un échange de données.
ak
L’intégrité : consiste à s’assurer que les données envoyées n’ont pas été modifiées
lors de la transmission.
La confidentialité : consiste à s’assurer que seules les personnes autorisées peuvent
uz
consulter les données.
La non-répudiation : consiste s'assurer qu'un message transmis entre deux personnes,
Bo
ne peut être remis en cause par l'une des deux parties.
1.2. Terminologie id
Texte clair : désigne toutes données que l’on souhaite transmettre avant modification.
Un texte clair peut inclure des textes, images, vidéos, son, etc.
ch
Chiffrement : consiste à transformer un texte clair à des données incompréhensible.
Texte chiffré : désigne le texte obtenu après l’application de l'algorithme de
chiffrement sur le texte clair. Appelé également cryptogramme.
Ra
En d’autres termes, aucun secret ne doit résider dans l’algorithme mais plutôt dans la clé. Sans
ise
celle-ci, il doit être impossible de retrouver le texte clair à partir du texte chiffré
al
Ré
45
1.3. La cryptographie classique
Les méthodes courantes utilisées par les algorithmes de chiffrement sont les suivantes:
La substitution
■ La substitution mono-alphabétique: consiste à remplacer un caractère par un autre. Ce
type de cryptage demande que
Deux lettres distinctes doivent être chiffrées en deux signes différents pour éviter
l’ambiguïté lors du déchiffrement.
Une même lettre aura toujours le même signe lors de son chiffrement.
Exemple :
i
Crypter le texte « ISTA SIDI MOMEN » en utilisant le
r
Le chiffre de César : fondé sur un simple décalage de lettres.
ak
Le chiffre Atbash : fondé sur l’écriture de l'alphabet en sens contraire
Pour le rendre plus difficile, nous aurions pu décaler plus qu'un simple caractère et ne choisir
uz
que certaines lettres à remplacer. La méthode exacte de substitution pourrait être désignée
comme la clé.
Bo
■ La substitution poly-alphabétique: consiste à remplacer un caractère par une autre choisie
d’une façon dynamique, déterminé par la clé de cryptage, et non plus d’une manière fixe.
Exemple
Soit à crypter le mot « ABCABD » avec la clé « 123 » qui indique que le premier caractère
id
sera décalé d'une position, le second de 2 et le troisième de 3 positions, etc. cela donnera le
résultat suivant « BDFBDG »
ch
■ La transposition: cette option utilise de nombreuses options différentes, y compris le
réarrangement de l'ordre des lettres suivant des règles bien définies.
Ra
Exemple
Soit à crypter le texte « ISTA SIDI MOMEN » avec la clé « 7514263 » en utilisant le cryp-
tage par transposition. Pour ce faire, on crée un tableau de la façon suivante :
ar
On écrit sur chaque ligne autant de lettres que de lettres dans la clé. Eventuellement, la
dernière ligne n'est pas complète.
ise
7 5 1 4 2 6 3
B
al
I S T A B A
T I Z I M I
Ré
46
La clé doit être une suite de caractères au moins aussi longue que le message à chiffrer.
Les caractères composant la clé doivent être choisis de façon totalement aléatoire.
Chaque clé ne doit être utilisée qu'une seule fois.
i
chiffrement par blocs peut être résumée comme suit :
r
1. Remplacer les caractères par un code binaire
ak
2. Découper cette chaîne en blocs de longueur donnée
3. Chiffrer un bloc bit par bit en se basant sur une clef.
uz
4. Recommencer éventuellement un certain nombre de fois l’opération 3.
5. Passer au bloc suivant.
Bo
Une liste non-exhaustive des algorithmes de chiffrements par bloc inclut :
Digital Encryption Standard (DES)
Advanced Encryption Standard (AES) id
Triple Digital Encryption Standard (3DES)
Blowfish
ch
International Data Encryption Algorithm (IDEA)
Remarque : Le chiffrement par blocs peut, dans certain cas, compléter par des remplissages
Ra
lorsqu’il n'y a pas suffisamment de données pour créer un bloc. Cela peut entraîner une tache
additionnelle lors de traitement des données réelles.
ar
souvent utilisé pour les communications en temps réel puisqu’il a la particularité d’être plus
rapide. Une liste non-exhaustive de chiffrements par bloc inclut les normes RC4 et SEAL.
ise
a. Chiffrement symétrique
Ré
47
Exemple de des algorithmes de chiffrements symétrique :
DES
3DES
AES
IDEA
RC2, RC4, RC5, RC6
Blowfish
Les algorithmes de cryptage symétriques sont les plus utilisés pour la protection des données
car il offre un temps rapide pour le traitement et un niveau de sécurité assez élevé en présence
d’une clé d’une grande taille. Cependant son vulnérabilité réside sur la méthode pour
i
échanger de la clé partagée.
r
ak
b. Chiffrement asymétrique
uz
Dans le chiffrement asymétrique (ou chiffrement à clés publiques), une clé différente est
utilisée à la fois pour chiffrer et déchiffrer les données, et il est impossible de générer une clé
Bo
à partir de l’autre.
id
ch
Ra
DH: DH (Diffie-Hellman) est un algorithme à chiffrement asymétrique qui permet à
deux hôtes d'échanger des clés secrètes partagées sur un réseau non fiable. Ce
rP
protocole est souvent combiné avec des algorithmes symétriques tels que 3DES et
AES.
DSA: l'algorithme de signature numérique développé par l'Agence de sécurité
ise
Les algorithmes asymétriques sont plus lents comparé aux algorithmes symétriques. Elles sont
al
généralement utilisées dans les cas de chiffrement à faible volume, tels que les signatures
numériques et l'échange de clés.
Ré
48
Une fonction de hachage est caractérisée par les propriétés suivantes :
il est impossible de construire un message à partir de sa valeur de hachage.
La modification d’un message donne lieu systématiquement à une autre valeur de
hachage.
il est impossible de trouver deux messages différents ayant la même valeur de hachage.
Les types de hachage les plus utilisés incluent les suivants:
MD5: permet de créer des empreintes numériques de taille 128-bit.
SHA-1: permet de créer des empreintes numériques de taille 160-bit.
SHA-2: permet de créer des empreintes numériques de taille entre 224 bits et 512 bits.
i
1.7. Les codes HMAC
r
ak
Les codes HMAC (Hash-based Message Authentication Code) combinent les fonctions de
hachage existantes et avec une clé secrète partagée, utilisé comme entrée de la fonction de
uz
hachage, pour fournir l'assurance de l'authentification ainsi que de l'intégrité des données.
La société « Cisco » utilise deux fonctions HMAC :
Bo
HMAC-MD5 à clé partagée, basé sur l'algorithme de hachage MD5
HMAC-SHA-1 à clé partagée, basé sur l'algorithme de hachage SHA-1
Fonctionnement
al
Le fonctionnement processus de validation d’une signature peut être résumé comme suit :
Ré
Etape 1 : Signature
1. La première personne « A » va générer une clé privée Kpr et une clé publique Kpb.
49
2. Elle va créer une empreinte numérique unique du document grâce à une fonction de
hachage H.
3. Elle crypte l’empreinte numérique avec sa clé privée Kpr.
4. Elle envoie les éléments suivants au destinataire « B » :
- Le document signé.
- La clé publique Kpb.
- l’empreinte numérique cryptée.
- La fonction H
Etape 2 : Verification
i
1. la deuxième personne « B » va déchiffrer l’empreinte numérique en utilisant la clé
r
publique Kpb.
ak
2. Elle va calculer l’empreinte numérique du document signé en utilisant la fonction de
hachage H.
uz
3. Elle compare l'empreinte générée par le document et celle déchiffrée précédemment par la
clé publique Kpb.
Bo
4. Si les deux empreintes sont identiques, la signature est validée.
id
ch
Ra
ar
rP
ise
manuelle, qui consiste à laisser les individus configurer manuellement chaque équipement de
sécurité avec les paramètres appropriés et notamment les clés. Si cette approche s'avère
Ré
relativement pratique dans un environnement statique et de petite taille, elle ne convient plus
pour un réseau de taille importante. De plus, cette méthode implique une définition totalement
statique des associations de sécurité et un non-renouvellement des clés.
La seconde approche est la gestion automatique des associations de sécurité au moyen d'un
protocole appelé ISAKMP (Internet Security Association and Key Management Protocol)
définit dans le RFC 2408 qui fournit un cadre générique pour la négociation, la modification
et la destruction des SA, ainsi que pour le format de leurs attributs. Comme le montre la See
50
Architecture d'ISAKMP et IKE, ISAKMP est indépendant du protocole d'échange de clés et
du protocole pour lequel on souhaite négocier une association.
Ainsi, dans le cadre de la standardisation IPsec, ISAKMP est associé en partie aux protocoles
d'échanges de clés SKEME et Oakley pour donner un protocole final du nom de Internet Key
Exchange ou IKE [RFC 2409]. Ce protocole couvre pour le moment uniquement les situations
d'unicast, mais l'IETF travaille à définir une distribution de clés multicast.
Par exemple, un logiciel spécialisé calcule très rapidement le résultat de {\displaystyle
25488756^{1521}} {\displaystyle 25488756^{1521}} (un nombre énorme, à 193 chiffres) ;
par contre, il lui est impossible de retrouver {\displaystyle 25488756^{1521}} {\displaystyle
i
25488756^{1521}} à partir de ce nombre dans une durée raisonnable. C'est le problème du
r
calcul du logarithme discret. Aujourd'hui, on recommande d'utiliser des nombres de 300
ak
chiffres, élevés à des puissances de 100 chiffres, ce qui est bien plus solide.
uz
DH (en référence à Diffie et Hellman) est une méthode pour créer une clé secrète commune
entre un émetteur et un destinataire dans un réseau sans recourir à un canal sécurisé pour
l'échange des clés secrètes.
Bo
e de Diffie-Hellman. Ils font des actions en parallèle, que l'on décrit dans le tableau suivant :
Alice id Bob
Alice et Bob choisissent ensemble un grand nombre premier p et un entier a tel
Étape 1 :
que 1≤a≤p−1. Cet échange n'a pas besoin d'être sécurisé.
ch
Étape 2 : Alice choisit secrètement x1. Bob choisit secrètement x2.
Alice
Ra
Bob
Étape 3 : calcule y1=ax1 (modp)y1=ax1 (m
calcule y2=ax2 (modp)y2=ax2 (modp).
odp).
Alice et Bob s'échangent les valeurs de y1 et y2. Cet échange n'a pas besoin
ar
Étape 4 :
d'être sécurisé.
Alice Bob
rP
À la fin du protocole, Alice et Bob sont donc en possession d'une même clé secrète K
Ré
51
Les algorithmes asymétriques sont basés sur des formules mathématiques complexes, et par
conséquent ils prennent plus de temps du le calcul comparé aux les algorithmes symétriques
La cryptographie asymétrique est utilisée pour accomplir la confidentialité et l'authentification.
2.2. Fonctionnement
i
Étant donné que la clé privée n'est présente que sur un seul système, la
r
confidentialité est assurée avec ce processus.
ak
Ce scénario est souvent utilisé pour l'échange de clés.
L’authentification = clé privée (chiffrer) + clé publique (déchiffrer)
uz
La clé privée est utilisée pour chiffrer; la clé publique correspondante
Authentification est utilisée pour déchiffrer.
Bo
Étant donné que la clé privée n'est présente que sur un seul système,
l'authentification est assurée lorsque sa clé publique décrypte le
Message. id
ch
Ra
a. Présentation
Ré
Une infrastructure à clé publique (PKI) est un ensemble de service permettant d’assurer la
confidentialité, l'intégrité et l'authentification des données dans une entreprise et repose sur les
principes fondamentaux du cryptage asymétrique. Les solutions PKI sont basées sur des
certificats numériques et sur la garantie de tierce partie fiable.
b. Terminologies
52
utilisateurs, des sociétés, des équipements, etc.
Elle est chargée de signer et publier numériquement
ces clés publiques comme étant un garant de leur
authenticité.
Une autorité de certification peut être un organisme
privé (par exemple, VeriSign) ou public.
Un Certificat Un document électronique qui lie le nom d'un
utilisateur ou d'une organisation à une clé publique.
Les certificats numériques sont signés numériquement
par une autorité de certification.
i
Un certificat numérique contient, en plus de la clé
r
publique du concerné, des informations sur la durée de
ak
validité du certificat, l’algorithme de signature du
certificat, etc.
uz
La liste de révocation des CRL est l'ensemble des certificats qui ne sont plus
certificats (CRL) valables.
Bo
Cette liste est publiée par l’autorité de certification
relié ces certificat.
Un certificat peut devenir invalide pour de
nombreuses : id
l'expiration de la date de validité.
la compromission de la clé privée associée au
ch
certificat.
le changement d'au moins un champ inclus dans
Ra
format standard de base pour les certificats à clé publique, les listes de révocation de
certificats (CRL), et les autres les attributs de certificat.
Les normes cryptographiques à clé publique (PKCS) : Les standards de
al
clé publique. les PKCS les plus adoptés par le milieu informatique incluent :
Standard Version Description
PKCS
PKCS#1 2.1 Standard de cryptographie RSA
PKCS#3 1.4 Standard d'échange de clés Diffie-Hellman
PKCS#5 2.0 Standard de chiffrement par mot de passe
PKCS#7 1.5 Standard de syntaxe de message cryptographique
PKCS#8 1.2 Standard de syntaxe d'information de clé privée
53
PKCS#10 1.7 Standard de requête de certificat
i
demande une administration strictement centralisée.
r
présente une vulnérabilité critique dans l'utilisation d'une clé privée à
ak
signature unique; Si cette clé est compromise ou volée, toute
l’infrastructure s'effondra.
uz
Bo
id
ch
délivrer directement des certificats aux utilisateurs finaux ou délégué cette tâche à des
autorités de certification subordonnées. Ces dernières peuvent, à leur tour, délivrer des
certificats aux utilisateurs finaux ou aux autres autorités de certification. Le principal
ar
54
i
On peut Utiliser le logiciel PGP et générer les paires de clés publiques et privées.
r
ak
uz
Bo
id
ch
Ra
ar
rP
ise
al
Ré
55
IX. Chapitre 9 : Les VPN IPsec
i
L’intégrité des données: consiste à s’assurer, par le biais d’une fonction de hachage
r
ou par le code HMAC, que les données n'ont pas été modifiées lors leurs déplacement
ak
sur le réseau.
L’authentification: consiste à authentifier les deux extrémités VPN à l'aide d’une clé
pré-partagées (PSK) ou d’une signature numériques.
uz
La protection Antireplay: consiste à s’assurer qu’aucun paquet n’a été ajouté lors de
l’échange des données.
Bo
1.2. Les protocoles de bases d’IPsec
Les trois principaux composants d'IPSec sont les suivants :
id
AH : C’est un protocole qui assure seulement l’intégrité des données et
l’authentification de la source. AH est approprié lorsque la confidentialité n’est pas
ch
requise ou n’est pas permise.
ESP : il assure, en plus des fonctions réalisées par AH, la confidentialité des données.
Ra
C’est pour ces raisons que ce protocole est le plus largement employé.
IKE : Le protocole IKE (Internet Key Exchange) est chargé de négocier la connexion,
avant qu'une transmission IPsec puisse être possible.
ar
56
1.4. L’association de sécurité IPSec
Une association de sécurité (SA) IPSec est une structure de données qui permet de
spécifier les paramètres de sécurité associés à une communication.
Chaque SA est identifiée de manière unique par :
l'adresse de destination des paquets.
le protocole de sécurité (AH ou ESP).
l'identifiant de la SA : le SPI.
Une SA est unidirectionnelle. il faut donc deux SA pour protéger les deux sens d'une
communication.
L'ensemble des SA constitue La Security Policy Database (SPD).
r i
ak
1.5. Les modes IPsec
On distingue deux modes d'utilisation d'IPSec : le mode transport et le mode tunnel.
uz
Le mode transport :
Il fournit la protection des données du paquet cependant, les en-têtes IP
Bo
d'origine restent intacts.
Il est utilisé pour créer une communication entre deux hôtes qui
supportent IPSec. id
Le mode de transport IPSec est généralement combiné avec le protocole
GRE pour protéger le trafic.
ch
Le mode tunnel :
L'intégralité du paquet IP d'origine est protégée par IPSec.
Ra
2. Le protocole IKE
rP
2.1. Présentation
ise
IKE (Internet Key Exchange) est un protocole utilisé pour négocier dynamiquement les
paramètres de sécurité associés à une communication IPSec. A noter qu’une implémentation
IPsec peut supporter aussi la gestion manuelle de cet échange de paramètres. Cependant,
al
l’utilisation du protocole IKE est considérée comme étant plus sûre et plus rapide.
IKE est disponible sous deux versions. La version (IKEv2) présente plusieurs avantages qui
Ré
incluent, entre autres, la correction des vulnérabilités présentes dans IKEv1et l’utilisation
optimale de la bande passante.
IKE utilise le protocole UDP sous le port numéro 500.
57
ISAKMP : permet de négocier les SA entre deux extrémités d’une communication
IPsec.
Oakley : utilise l'algorithme Diffie-Hellman pour effectuer les échanges des clés entre
les des deux côtés de la connexion IPSec.
SKEME : définit les techniques d'échange de clés qui assurent l’anonymat, et la non-
répudiation.
i
quelques changements en fonctionnement.
r
ak
uz
Bo
id
ch
En ce qui suit les détails du fonctionnement du IKEv1.
La Phase 1 :
Ra
Son objectif est d'établir une SA ISKMP (ou SA IKE). En effet, IKE négocie les
options de la sécurité de la communication, tels que l’algorithme de chiffrement, la
ar
clé partagé sera connu dans le future (ou la clé publique utilisée a été compromise),
étant donné que la clé de session est une combinaison de cette clé de l’identité, avec
une valeur aléatoire (nonce) et plusieurs autres valeurs difficile à prédire.
58
Le mode agressif : il se compose seulement de trois de messages. Il
donc est plus rapide mais ne présente pas les avantages de mode principale.
r i
Son objectif est d'établir une SA IPSec.
ak
Les négociations des SA sont unidirectionnelles
Un mode est défini pour cette phase c’est le mode rapide (Quick Mode).
uz
Bo
id
Les principales différences entre la version 1 et 2 incluent :
ch
Un échange de messages simplifié :
IKEv1 échange neuf messages (phase 1 = 6, phase 2 = 3).
Ra
59
3. La configuration des VPN de site à site
3.1. Présentation
Un VPN site à site permet de relier deux réseaux LAN distants pour partager des ressources
via internet de manière sécurisée.
Un VPN de site à site est créé entre les deux côtés de la connexion VPN d’une manière
transparente pour les hôtes internes.
r i
ak
uz
Bo
3.2. Configuration du VPN IPsec
2. Créer une stratégie IKE et configurer les paramètres requis pour de phase 1.
ar
3. Spécifier la clé partagée PSK et identifier l'adresse IP de l'autre cotée du tunnel VPN.
rP
N.B : certaines étapes peuvent être réalisées sans contrainte de l’ordre présenté ci-dessous.
Ré
Exemple de configuration :
60
44.113.202.211 44.113.202.129
192.168.1.0/24
i
192.168.2.0/24
r
ak
1. Créez une ACL pour identifier le trafic intéressant:
uz
R1(config)# ip access-list extended VPN-ACL Créer une ACL étendue
Bo
Identifier le « trafic intéressant »
192.168.2.0 0.0.0.255
id
2. Créer une stratégie IKE et configurer les paramètres requis pour de phase 1.
ch
R1(config)# crypto isakmp policy 10 Créer la stratégie IKE.
Ra
3. Spécifier la clé partagée (PSK) et identifiez l'adresse IP de l'autre cotée du tunnel VPN.
al
61
5. Créer la carte de cryptage et configurez les spécificités de la carte crypto.
R1(config)# crypto map R1-to-R2-MAP 10 ipsec- Créer une carte de cryptage relié à
isakmp la stratégie IKE numéro 10.
r i
Définir l’identifiant du l’ACL de
R1(config-crypto-map)# match address VPN-ACL
ak
trafic intéressant.
uz
6. Appliquer la carte de cryptage à une interface.
Bo
R1(config)# interface s0/0/0 Sélectionner une interface et appliquer la
R1(config-if)# crypto map R1-to-R2-MAP carte de cryptage.
id
ch
7. Vérifier les paramètres du tunnel VPN.
cryptage
rP
62
X. Chapitre 10 : Étudier les pare-feu évolués
i
1.2. Les modèles ASA
r
ak
Il existe différents modèles ASA. Tous les modèles offrent des fonctionnalités
avancées de pare-feu et de VPN. La plus grande différence entre les modèles est le
uz
débit de trafic maximal géré par chaque modèle et le nombre et les types d'interfaces.
Le choix du modèle ASA dépendra des exigences d'une organisation, telles que le
débit, les connexions maximales par seconde et le budget de la société.
Bo
Les équipements ASA prend également en charge les environnements du virtualisation.
Il exécute le même logiciel que le dispositif physique pour fournir les mêmes
fonctionnalités de sécurité. id
ch
Ra
ar
rP
N.B : dans ce qui suit de ce document nous allons nous limité à l’étude de modèle ASA 5505
ise
Le mode routeur :
Ré
63
1.4. Une aperçu sur ASA 5505
r i
ak
uz
Vue d’arrière d’ASA 5505
Bo
id
ch
Ra
ar
rP
64
r i
ak
1.6. La configuration d’ASA avec CLI
a. Présentation du CLI sur ASA
uz
ASA 5505 peut être livré avec un système d’exploitation sous deux type de licence
« une licence de base » ou «une licence de sécurité plus ». Cette dernière prend en
Bo
charge plus de fonctionnalités.
Le système d’exploitation intégré dans les équipements ASA offre une interface de
ligne de commande (CLI) qui a un aspect similaire à celui offert par l'IOS du routeur
id
Cisco. Cependant, de nombreuses commandes ASA sont différentes sur les deux
systèmes.
ch
Commande sur le système IOS Son équivalent sur l’ASA
Ra
65
Pour configurer une interface SVI sur ASA, on procède comme suit :
ciscoasa(config)# interface vlan vlan-id Créer un SVI
ciscoasa(config-if)# nameif { inside | outside | Attribuer un nom à l'interface SVI.
name }
ciscoasa(config-if)# security-level level Définir ou modifier le niveau de sécurité
SVI.
ciscoasa(config-if)# ip address ip-address Attribuer une adresse IP et un masque à
netmask l’interface SVI.
ciscoasa(config-if)# no forward interface vlan Empêcher l’acheminement du trafic
r i
vlan-id2 entre les deux VLANs.
ak
Pour configurer une interface couche 2 sur ASA on procède comme suit :
ciscoasa(config)# interface interface/number Accéder à l’interface.
uz
ciscoasa(config-if)# switchport access vlan Affecter-le à un VLAN.
vlan-id
Bo
ciscoasa(config-if)# no shutdown Active l’interface.
De nombreuses similitudes existent entre les ACL ASA et les ACL IOS. Nous
Ré
66
source_mask } | any | host src_host |
interface src_if_name [ operator port [ port
]{ dest_addr dest_mask } | any | host
dst_host | interface dst_if_name [ operator
port [ port ]]}
ciscoasa(config)# access-group acl-id
Active rune ACL sur une interface.
{ in | out } interface interface-name
r i
ASA prend en charge les types du NAT suivantes :
ak
Le NAT dynamique : consiste à effectuer une traduction de plusieurs
adresses IP privées à plusieurs adresses IP publiques.
uz
Le PAT dynamique : consiste à effectuer une traduction de plusieurs
adresses IP privées à une seule adresse IP publique.
Bo
Le NAT statique : consiste à effectuer une traduction d’une seule
adresse IP privées à une seule adresse IP publique.
Pour configurer le NAT dynamique sur ASA, on procède comme suit :
id
ciscoasa(config)# object network public-pool-obj Créer un objet réseau pour le pool
d'adresses IP public.
ch
ciscoasa(config-network-object)# {host ip_addr | Définir le pool d'adresses IP public à
subnet net_addr net_mask | range ip_addr_1 l'aide d'une adresse d’hôte, d'un sous-
Ra
addr_2 } d'adresses.
ciscoasa(config)# object network pat-obj- Créer un objet réseau pour le pool d’adresses
Ré
name IP internes.
ciscoasa(config-network-object)# { subnet Définir le pool d’adresses IP internes à l'aide
net_addr net_mask | range ip_addr_1 d'un sous-réseau ou d'une plage d'adresses.
ip_addr_2 }
ciscoasa(config-network-object)# nat ( real- Activer le PAT dynamique entre cette
ifc , mapped-ifc ) dynamic [ interface | ip- interface et l’interface publique.
address ]
67
ciscoasa(config)# object network static-nat- Créer un objet réseau pour l’adresse IP
obj-name interne.
ciscoasa(config-network-object)# host ip_addr Définir l’adresse IP interne de l’hôte.
ciscoasa(config-network-object)# nat ( real-ifc , Activer le NAT statique entre l’adresse IP
mapped-ifc ) static mapped-ip-addr interne et l’interface publique.
ciscoasa(config)# access-list acl-id extended Créez une ACL étendue pour permettre
permit ip any host inside_host aux utilisateurs externes d'accéder à
l'adresse IP interne.
r i
ciscoasa(config-if)# access-group acl-id Appliquer l’ACL sur l’interface adéquate.
ak
interface outside
uz
f. Configuration de AAA
ASA peut être configuré pour s'authentifier à l'aide d'une base de données d’utilisateur
Bo
locale ou à partir d'un serveur externe ou en utilisant les deux méthodes.
Pour activer l'authentification AAA pour l’accès au mode exec (privilège), http, SSH
ou Telnet, on procède comme suit : id
ciscoasa(config)# aaa authentication enable Activer l'authentification AAA pour l’accès
console LOCAL au mode EXEC à l'aide de la base de données
ch
locale.
ciscoasa(config)# aaa authentication http Activer l'authentification AAA pour l’accès
Ra
Pour activer l'authentification AAA à l'aide d’un serveur externe, on procède comme
suit :
ise
68
1.7. La configuration d’ASA avec ASDM
a. Présentation de ASDM
r i
a. Présentation
ak
Forefront Threat Management Gateway (TMG) est un produit de la société Microsoft qui
permet de protéger les employées contre les menaces émanant principalement du Web.
uz
Cette solution intègre un firewall, un VPN, le filtrage Url et un IPS.
Forefront TMG est disponible en 2 versions : Enterprise et Standard le choix est relié selon
Bo
l’ampleur de l’infrastructure réseau à protégé.
69
Aide Mémoire Commande CCNA Security
Chapitre 2
Configurer le mot de passe type 9 (scrypt) , type 8 (sha256) ou type 5 (md5) :
R1(config)# enable algorithm-type {scrypt|sha256|md5} secret cisco12345 (Default
Privilege level is 15)
R1(config-line)# exec-timeout 5 0
R1(config-line)# login local
R1(config-line)# privilege level 15
i
r
R1(config)# security authentication failure rate seuil log
ak
R1(config)# login block-for seconds attempts tries within seconds
R1(config)# login quiet-mode access-class acl_number or acl_name
R1(config)# login delay seconds (default 1 second)
uz
R1(config)# login on-success log [every login]
R1(config)# login on-failure log [every login]
Bo
R1(config)# privilege exec level 5 ping
R1(config)# enable algorithm-type scrypt secret level 5 cisco123
R1>enable [0–15]
id
R1(config)# banner [motd|LOGIN|EXEC] $Unauthorized access strictly prohibited!$
ch
R1(config)# username user01 algorithm-type scrypt secret user01pass
Ra
r i
ak
R3# auto secure
uz
Chapitre 3
Bo
R1(config)# username user01 algorithm-type scrypt secret user01pass
r i
ak
R1(config)# aaa authorization exec default group tacacs+
R1(config)# aaa authorization network default group tacacs+
uz
R1(config)# aaa accounting exec default start-stop group tacacs+
R1(config)# aaa accounting network default start-stop group tacacs+
Bo
801.1X PORT-BASED NETWORK ACCESS CONTROL
EAP : Extensible Authentication Protocol.
EAPOL : EAP over LAN. id
S1(config)# aaa new-model
ch
S1(config)# radius server ccnas
S1(config-radius-server)# address ipv4 10.1.1.1 auth-port 1812 acct-port 1813
S1(config-radius-server)# key radius-password
Ra
S1(config-radius-server)# exit
S1(config)#aaa authentification dot1x default group radius
S1(config)# dot1x system-auth-control
ar
S1(config)#interface fa0/1
S1(config-if)# authentication port-control auto
rP
Chapitre 4
ise
2. Identifier le traffic
r i
6. Assigner les interfaces aux zones
ak
R(config)# interface g0/0
R(config-if)# zone-member security CONFROOM
R(config)# interface g0/1
uz
R(config-if)# zone-member security INSIDE
R(config)# interface s0/0/1
R(config-if)# zone-member security INTERNET
Bo
VERIFICATIONS
R# show policy-map type inspect [zone-pair [sessions]]id
R# show class-map type inspect
R# show zone security
R# show zone-pair security
ch
R# show ip inspect sessions
C3PL : Cisco Common Classification Policy Language : C3PL allows you to create traffic
Ra
policies based on events, conditions, and actions. SDM uses C3PL to create the policy
maps and class maps that the following help topics describe
ar
Chapitre 6
rP
S2(config-if)# spanning-tree guard root (not root ports : connect to switches that
should not be the root bridge)
r i
ak
PVLAN (protected ports) no traffic be forwarded between two ports on the same switch.
S1(config)# interface f0/6
S1(config-if)# switchport protected
uz
S1(config-if)# interface f0/7
S1(config-if)# switchport protected
Bo
S1# show interfaces fa0/6 switchport
Chapitre 8
Step 1: verify connectivity between R1 and R3
Step 2: Enable IKE (Internet Key Exchange) policies on R1 and R3.
ISAKMP : Internet Security Association and Key Management Protocol
R1(config)# crypto isakmp enable (enable IKE on R1)
R3(config)# crypto isakmp enable
74
R1(config)# crypto isakmp policy 10
R1(config-isakmp)# ?
authentication Set authentication method for protection suite
default Set a command to its defaults
encryption Set encryption algorithm for protection suite
exit Exit from ISAKMP protection suite configuration mode
group Set the Diffie-Hellman group
hash Set hash algorithm for protection suite
lifetime Set lifetime for ISAKMP security association
no Negate a command or set its defaults
i
authentication pre-share
r
R1(config-isakmp)#
group 14
ak
R1(config-isakmp)#
R1(config-isakmp)# lifetime 3600
R1(config-isakmp)# encryption aes 256
uz
R1(config-isakmp)# end
Bo
R3(config)# crypto isakmp policy 10
R3(config-isakmp)# hash sha
R3(config-isakmp)# authentication pre-share
R3(config-isakmp)# group 14
R3(config-isakmp)# lifetime 3600
id
R3(config-isakmp)# encryption aes 256
ch
R3(config-isakmp)# end
Ra
75
Define interesting traffic.
R1(config)# access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.3.0
0.0.0.255
R3(config)# access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.1.0
0.0.0.255
r i
identity Identity restriction.
ip Interface Internet Protocol config commands
ak
isakmp-profile Specify isakmp Profile
nat Set NAT translation
peer Allowed Encryption/Decryption peer.
uz
pfs Specify pfs settings
reverse-route Reverse Route Injection.
security-association Security association parameters
transform-set Specify list of transform sets in priority order
Bo
R1(config-crypto-map)# set peer 10.2.2.1
R1(config-crypto-map)# set pfs group14
R1(config-crypto-map)# set transform-set 50
id
R1(config-crypto-map)# set security-association lifetime seconds 900
R1(config-crypto-map)# exit
ch
The same configuration for R3
R3(config)# crypto map CMAP 10 ipsec-isakmp
R3(config-crypto-map)# match address 101
Ra
r i
IPv6 Crypto ISAKMP SA
ak
R1# show crypto ipsec sa
interface: Serial0/0/0
uz
Crypto map tag: CMAP, local addr 10.1.1.1
protected vrf: (none)
local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.3.0/255.255.255.0/0/0)
Bo
current_peer 10.2.2.1 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
id
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
ch
local crypto endpt.: 10.1.1.1, remote crypto endpt.: 10.2.2.1
path mtu 1500, ip mtu 1500, ip mtu idb Serial0/0/0
current outbound spi: 0x0(0)
Ra
outbound ah sas:
outbound pcp sas:
rP
Chapitre 9
ciscoasa> enable
ise
ciscoasa# conf t
ciscoasa(config)# configure factory-default
r i
CCNAS-ASA(config)# ssh 192.16.16.16 255.255.255.255 OUTSIDE
ak
CCNAS-ASA(config)# ssh timeout 3
CCNAS-ASA(config)# ssh version 2
CCNAS-ASA(config)# show ssh
uz
CCNAS-ASA(config)# clock set 19:09:00 april 19 2015
ntp authenticate
Bo
CCNAS-ASA(config)#
CCNAS-ASA(config)# ntp trusted-key 1
CCNAS-ASA(config)# ntp authentication-key 1 md5 cisco
CCNAS-ASA(config)# ntp server 192.168.1.1 id
CCNAS-ASA(config)# dhcpd address 192.16.1.1-192.16.41 INSIDE (MAX 32)
ch
CCNAS-ASA(config)# dhcpd lease 3600 ( seconds = 1h)
CCNAS-ASA(config)# dhcpd dns 8.8.8.8 4.4.4.4
dhcp enable inside
Ra
CCNAS-ASA(config)#
i
description machines des admins
r
ASA(config-network-object-group)#
network-object host 192.168.1.13
ak
ASA(config-network-object-group)#
ASA(config-network-object-group)# network-object subnet 192.16.2.0 255.255.255.0
uz
ASA(config)# object-group network AllHosts
ASA(config-network-object-group)# description toutes les machines
network-object 192.168.1.32 192.168.1.140
Bo
ASA(config-network-object-group)#
ASA(config-network-object-group)# group-object admin
ASA(config-service-object-group)#
Les ACL ASA utilise le masque de sous réseau au lieu de masque générique.
ASA(config)# access-list ACL-IN extended permit tcp object-group NET-HOST object-
ar
r i
CCNAS-ASA# show xlate (comme show ip nat translations)
ak
1 in use, 28 most used
Flags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twice
uz
ICMP PAT from inside:192.168.1.3/512 to outside:209.165.200.226/21469 flags ri idle 0:00:03
timeout 0:00:30
Bo
CCNAS-ASA(config)# aaa-server TACAS-SVR protocol [tacacs+ | radius ]
CCNAS-ASA(config-aaa-server-group)# aaa-server TACAS-SVR (dmz) host 192.168.1.1
CCNAS-ASA(config)# aaa authentication [http|enable|ssh|..] console TACAS-SVR local
MPF
id
Class Map -> Policy Map -> Activate policy
ch
CCNAS-ASA(config)# class-map Class-TFTP
CCNAS-ASA(config-cmap)# match access-list ACL_TFTP
Ra
Fin.
ise
al
Ré
80