Chap 2 SRA

Sécurité des Réseaux avancée
Chapitre 2 Sécurité réseaux
M. Remane NIZAR
PhD student in Coding, Cryptology, Algebra and application of UCAD
Data science, IA and IOT engeneer of UVS-ATOS
Information Sysetem security and Cybersecurity of ESP
remane.nizar@ucad.edu.sn
Master 1 Réseaux télécommunications
Deuxieme semestre
ISI 2022 - 2023
21 juillet 2023
M. Remane NIZAR PhD student in Coding, Cryptology,

Sécurité Algebra
des Réseaux and application
avancée Chapitre 2 of
Sécurité
UCAD réseaux
Data21
science,
juillet IA
2023
and IOT1 /engen
30
Plan
1 Généralité
Sécurité Informatique
Champs d’application de la sécurité Informatique
2 Présentation de la sécurité réseau
Définition
3 Conception de réseaux sécurisés
Principales préoccupations de la sécurité réseau
Stratégies
4 Matériel de défense réseau
Architecture de réseau sécurisé
5 Matériel de défense réseau
Pare-feu ou firewall
Pare-feu ou firewall : Routeur
pfSense
pfSense installation
M. Remane Configuration
NIZAR PhD student Pfsense
in Coding, Cryptology,
Sécurité Algebra
Sécurité
UCAD réseaux
Data21
science,
juillet IA
2023
and IOT2 /engen
30
Généralité
La sécurité informatique est l’ensemble des moyens techniques,
organisationnels, juridiques et humains pour préserver la
confidentialité, intégrité, la traçabilité et la disponibilité des données et
des systèmes informatiques
La sécurité informatique rentre premièrement dans un maillon large,
qu’on appelle administration réseau informatique.
L’administration réseau informatique est un domaine assez vague dans
laquelle une partie est la sécurité informatique
Cette sécurité est née du faite qu’on s’est rendu compte que depuis
quelques années les entreprises ont besoin de collaborer, d’échanger
avec d’autre entreprise
Ils ont besoin d’ouvrir leurs réseaux, leurs données et leurs ressources
aux monde extérieurs

Sécurité Algebra
Sécurité
UCAD réseaux
Data21
science,
juillet IA
2023
and IOT3 /engen
30
Automatiquement il est susceptible d’avoir des menaces qui viennent
Il faut aussi à contrarié, proroger nos données qui sont interne
C’est vraiment de ce paradigme la qui fait naitre le principe de la
sécurité informatique

La sécurité informatique s’applique dans différents domaine ou champs
d’applications :
Sécurité physique
Sécurité personnelle
Sécurité procédurale(Audit de sécurité)
Sécurité logique(données, application ou système d’exploitation)
Sécurité réseaux télécommunication et informatique
Notre chapitre est particulièrement basé sur la sécurité réseau
informatique

Sécurité Algebra
Sécurité
UCAD réseaux
Data21
science,
juillet IA
2023
and IOT4 /engen
30
Présentation de la sécurité réseau
Définition
La sécurité du réseau est une partie intégrante de la sécurité globale
des systèmes informatiques et des données.
Une approche multicouche, impliquant à la fois des mesures
techniques, organisationnelles et humaines, est nécessaire pour assurer
une sécurité efficace du réseau.

Sécurité Algebra
Sécurité
UCAD réseaux
Data21
science,
juillet IA
2023
and IOT5 /engen
30
Conception de réseaux sécurisés
Pour concevoir un réseau il faut tenir compte aux aspects suivants :

Stratégies
Segmentation du réseau
Goulot d’étranglement
Création de redondances

Voici quelques-un des différentes types de sécurité réseaux :
Contrôle d’accès : La sécurité réseau gère les mécanismes
d’authentification et d’autorisation pour s’assurer que seules les
personnes autorisées peuvent accéder aux ressources et aux services du
réseau.
Pare-feu : est un dispositif ou un logiciel utilisé pour contrôler le trafic
réseau en autorisant ou en bloquant certaines communications en
fonction de règles prédéfinies.

Sécurité Algebra
Sécurité
UCAD réseaux
Data21
science,
juillet IA
2023
and IOT6 /engen
30
Détection d’intrusion : Les systèmes de détection d’intrusion (IDS)
sont utilisés pour surveiller le trafic réseau et identifier les activités
suspectes qui pourraient indiquer une intrusion ou une attaque en
cours.
Chiffrement : Le chiffrement des données en transit sur le réseau
protège les informations contre l’interception et la lecture par des tiers
non autorisés.
Virtual Private Network (VPN) : Les VPN sont utilisés pour
sécuriser les communications sur des réseaux publics, tels qu’Internet,
en créant un tunnel chiffré entre les utilisateurs distants et le réseau
privé.
Sécurité sans fil : La sécurité réseau inclut également des mesures
pour sécuriser les réseaux sans fil, tels que les réseaux Wi-Fi, en
utilisant des protocoles de sécurité comme WPA2 ou WPA3.

Sécurité Algebra
Sécurité
UCAD réseaux
Data21
science,
juillet IA
2023
and IOT7 /engen
30
Surveillance du réseau : La surveillance continue du réseau permet
de détecter les anomalies et les activités suspectes, facilitant ainsi une
réponse rapide en cas d’incident de sécurité.
Antivirus : est un logiciel de sécurité informatique conçu pour
détecter, prévenir et éliminer les logiciels malveillants, tels que les
virus, les vers, les chevaux de Troie, les ransomwares, les spywares et
d’autres types de programmes indésirables ou dangereux pouvant
infecter un ordinateur ou un réseau.
Sécurité web : également connue sous le nom de sécurité des
applications web, est un ensemble de pratiques et de mesures visant à
protéger les applications, les sites web et les services en ligne contre
les menaces et les attaques malveillantes.

Sécurité Algebra
Sécurité
UCAD réseaux
Data21
science,
juillet IA
2023
and IOT8 /engen
30
Stratégies
Segmentation du réseau Consiste à :
Diviser un réseau informatique en sous-réseaux plus petits et distincts.
Elle permet de contrôler le flux de trafic entre les sous-réseaux, en
l’autorisant ou en l’interdisant en fonction de divers facteurs, voire en
le bloquant complètement si nécessaire
Goulot d’étranglement Vous pouvez également sécuriser vos
réseaux :
En faisant passer le trafic par des goulots d’étranglement, c’est-à-dire
des endroits où vous pouvez inspecter, filtrer et contrôler le trafic
Les goulots d’étranglement peuvent être :
Les routeurs qui déplacent le trafic d’un sous-réseau à un autre,
Les pare-feu qui filtrent le trafic à travers vos réseaux ou des parties de
vos réseaux,
Les proxy d’application qui filtrent le trafic pour des applications telles
que le Web ou le courrier électronique.
Création de redondances Certaines défaillances techniques ou
attaques peuvent rendre inutilisables certaines parties de votre
technologie
Sécurité Algebra
Sécurité
UCAD réseaux
Data21
science,
juillet IA
2023
and IOT9 /engen
30
Stratégies
notamment :
Les reseaux
Les dispositifs d’infrastructure réseau
Les disposi8fs frontaliers tels que les pare-feu
Par exemple, si l’un de vos dispositifs frontaliers est soumis à une
attaque DDoS :
vous ne pouvez pas faire grand-chose pour l’arrêter
vous pouvez toutefois changer de connexion Internet ou faire passer le
trafic par un autre dispositif jusqu’à ce que vous trouviez une solution à
plus long terme

Sécurité Algebra
Sécurité
UCAD réseaux
Data
21science,
juillet 2023
IA and IOT
10 /engen
30
Matériel de défense réseau
Il existe plusieurs zones de sécurité commune aux réseaux, Ces zones

déterminent un niveau de sécurité en fonction des accès réseaux et
donnent les bases de l’architecture.

Sécurité Algebra
Sécurité
UCAD réseaux
Data
21science,
juillet 2023
IA and IOT
11 /engen
30
Matériel de défense réseau

On considère en général trois zones ou réseaux :
Réseaux internes(Zone privée ou LAN) : C’est un réseau interne de
la société. Il doit avoir une protection maximal vis à vie de l’extérieur.
Les éléments de ce réseau doivent être sérieusement protégés. C’est
souvent dans cette zone que l’on trouve les mesures de sécurité les plus
restrictives et c’est donc le réseau le moins ouvert.
Réseaux externes(Zone publique) : Généralement on fait référence à
l’Internet ou les entreprise partenaire C’est le réseau généralement le
plus ouvert. L’entreprise n’a pas ou très peu de contrôle sur les
informations, les systèmes et les équipements qui se trouvent dans ce
domaine.

Sécurité Algebra
Sécurité
UCAD réseaux
Data
21science,
juillet 2023
IA and IOT
12 /engen
30
Réseaux intermédiaires : Cette zone permettant de stocker les
serveurs publics de la société. Il doit avoir un niveau de sécurité élevé.
Il doit etre accessible de l’extérieur et du LAN. Ce réseau est composé
de services fournis aux réseaux internes et externes. Les services
publiquement accessibles (serveurs de messagerie, Web, FTP et DNS
le plus souvent) sont destinés aux utilisateurs internes et aux
utilisateurs par Internet. Cette zone, appelée réseau de service ou de
zone démilitarisée (DMZ De-MilitarizedZone), est considérée comme
la zone moins protégée de tout le réseau
La DMZ isole les machines publiques (Web, DNS, FTP, Mail, ...) du
réseau interne, cette séparation est effectuée et contrôlée par un
pare-feu :

Sécurité Algebra
Sécurité
UCAD réseaux
Data
21science,
juillet 2023
IA and IOT
13 /engen
30
Pare feu
Un système pare-feu (firewall) est un dispositif(matériel ou
logiciel)conçu pour examiner et éventuellement bloquer les échanges
de données entre réseaux.
C’est donc un élément de sécurité d’un réseau qui peut être :
un ordinateur
un routeur
Autres dispositif matériel ou logiciel
Le pare-feu joue le rôle de filtre et peut donc intervenir à plusieurs
niveaux du modèle OSI
Il existe trois types de principaux de pare-feu :
Sécurité Algebra
Sécurité
UCAD réseaux
Data
21science,
juillet 2023
IA and IOT
14 /engen
30
filtrage de paquets sans état(Stateless)
filtrage de paquets avec état (firewall stateful)
Proxy
Les pare-feu de filtrage de paquets sont généralement des routeurs qui
permettent d’accorder ou de refuser l’accès en fonctions des éléments
suivants :
l’adresse source
l’adresse destination
le Protocole le numéro de porte

Sécurité Algebra
Sécurité
UCAD réseaux
Data
21science,
juillet 2023
IA and IOT
15 /engen
30
Les routeurs sont des équipements de niveau 3 (réseau) et sont
chargés de l’acheminement des datagrammes IP entre les réseaux. En
terme de sécurité, ils sont chargés plus précisément :
de la recherche de chemins de secours
du filtrage des broadcasts
du filtrage des datagrammes IP (ACL)
du contrôle des correspondances entre ports et adresses IP, et entre
adresses MAC et adresses IP. (contrôle d’usurpation)
Les ACL (Access Control Lists) Les ACL sont des filtres appliqués à
chaque datagramme IP transitant à travers le routeur et qui ont pour
paramètres :
l’adresse IP de la source
l’adresse IP de la destination
le type du paquet (tcp, udp, icmp, ip)
le port de destination du paquet Pour un datagramme donné, l’ACL
prend deux valeurs :
deny : le paquet est rejeté.
permit : le paquet peut transiter par le routeur.
Sécurité Algebra
Sécurité
UCAD réseaux
Data
21science,
juillet 2023
IA and IOT
16 /engen
30
Les routeurs Cisco acceptent deux types d’ACL :
l’access-listsimple : access-listaccess-list-numberdeny|permit protocole
ip-source source-masque
l’access-listétendue
(extended) :access-listaccess-list-numberdeny|permit protocole
ip-source source-masque ipdestination destination-masque
port-destination
Pfsense
pfSense est un système d’exploitation open source ayant pour but la
mise en place de routeur/pare-feu basé sur le système d’exploitation
FreeBSD.
pfSense sécurise les systèmes d’information en contrôlant l’ensemble
des échanges effectués sur le réseau.
pfSense permet le déploiement d’un pare-feu, d’un routeur, ainsi que
d’un portail captif complet et adaptés aux professionnels.

Sécurité Algebra
Sécurité
UCAD réseaux
Data
21science,
juillet 2023
IA and IOT
17 /engen
30
pfSense est une solution open source équivalente aux solutions
propriétaires comme fortinet pour n’en citer qu’une.
pfSense remplace ou complète routeur et pare-feu avantageusement
Ainsi les fonctionanalités NAT de pfSense lui permettent de filtrer les
IP sources et de destinations pour l’ensemble du traffic (TCP, UDP,
. . . ). Il filtre et redirige également les ports de connexion, les
sous-reseaux, . . .

Sécurité Algebra
Sécurité
UCAD réseaux
Data
21science,
juillet 2023
IA and IOT
18 /engen
30
Pfsense installation
Procédure d’installation sous Virtualbox

Créer une nouvelle MV Linux Other Linux (32 bits)
Affecter 2 cartes réseaux en mode réseau interne
De type Intel PRO/1000 T Server
Démarrer la MV
Affecter em0 (wan) et em1 (lan)
Lancer la procédure d’installation (5 à 10mn)
Option (2)
Affecter l’adresse 192.168.1.1/24 pour le lan
Affecter l’adresse 200.0.1.1/24 pour le wan
Activer le DHCP sur le lan
Obtenir une adresse sur votre client XP
Connecter à l’interface web (admin-pfsense)

Sécurité Algebra
Sécurité
UCAD réseaux
Data
21science,
juillet 2023
IA and IOT
19 /engen
30
Configuration Pfsense
Procédure d’installation sous Virtualbox

Fonctionnalités
DHCP
NAT (192.168.1.100 → 134.214.15.1)
Gestion des utilisateurs
Portail captif avec authentification Radius
Filtrage de protocoles

Sécurité Algebra
Sécurité
UCAD réseaux
Data
21science,
juillet 2023
IA and IOT
20 /engen
30
NAT
Les deux besoins distincts sont :
partager une ou plusieurs adresses valides d’un réseau d’interconnexion
masquer les adresses réelles des postes derrière un routeur ou un
pare-feu
Plusieurs techniques sont disponibles pour répondre à ces besoins :
le masquage d’adresse réseau (Masquerading)
la translation d’adresse réseau (NAT)
les services d’un proxy
Le besoin se pose essentiellement lorsqu’on interconnecte un réseau
public (Internet) avec un réseau privé.
Il existe des adresses réservées, qui ne seront donc pas routées, à
utiliser pour les réseaux privés :
Classe A : 10.0.0.0 à 10.255.255.255
Classe B : 172.16.0.0 à 172.31.255.255
Classe C : 192.168.0.0 à 192.168.255.255

Sécurité Algebra
Sécurité
UCAD réseaux
Data
21science,
juillet 2023
IA and IOT
21 /engen
30
Par feu ASA
NAT
ASA 5505

Sécurité Algebra
Sécurité
UCAD réseaux
Data
21science,
juillet 2023
IA and IOT
22 /engen
30
ASA 5505
PME et particuliers
Huit ports Ethernet (PoE)
Un (01) port console et deux (02) ports USB
Port Ethenet 0/0 (connexions externes)
Autres ports (connexions internes)
Configuration en mode CLI ou accès web (Cisco ASDM)

Sécurité Algebra
Sécurité
UCAD réseaux
Data
21science,
juillet 2023
IA and IOT
23 /engen
30
Configuration ASA 5505
Etape 1
Nom du Firewall, Mot de passe admin, Horodatage, Accès web, Accès
internet, Accès telnet, DCHP
Etape 2
Création des vlans et interfaces (int vlan, nameif)
Affectation des niveaux de sécurité (0 → 100) (security-level)
Etape 3
Identification du trafic autorisé (class-map, policy-map, service-policy)
Etape 4
Affectation des interfaces dans les zones (switchport access)

Sécurité Algebra
Sécurité
UCAD réseaux
Data
21science,
juillet 2023
IA and IOT
24 /engen
30
Configurations initiales
Configuration nom hôte, password, horodatage, accès web, routage

Sécurité Algebra
Sécurité
UCAD réseaux
Data
21science,
juillet 2023
IA and IOT
25 /engen
30
Configurations initiales
Activation des fonctions : DHCP Serveur et Accès Telnet

Sécurité Algebra
Sécurité
UCAD réseaux
Data
21science,
juillet 2023
IA and IOT
26 /engen
30
VLAN et niveau de sécurité

Sécurité Algebra
Sécurité
UCAD réseaux
Data
21science,
juillet 2023
IA and IOT
27 /engen
30
Identification trafic autorisé

Sécurité Algebra
Sécurité
UCAD réseaux
Data
21science,
juillet 2023
IA and IOT
28 /engen
30
Interfaces dans vlan

Sécurité Algebra
Sécurité
UCAD réseaux
Data
21science,
juillet 2023
IA and IOT
29 /engen
30
Options ASA firewall
contenu...

Sécurité Algebra
Sécurité
UCAD réseaux
Data
21science,
juillet 2023
IA and IOT
30 /engen
30

Chap 2 SRA

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Chap 2 SRA

Transféré par

Droits d'auteur :

Formats disponibles

Sécurité des Réseaux avancée

Chapitre 2 Sécurité réseaux

ISI 2022 - 2023

M. Remane NIZAR PhD student in Coding, Cryptology,

M. Remane NIZAR PhD student in Coding, Cryptology,

Champs d’application de la sécurité Informatique

M. Remane NIZAR PhD student in Coding, Cryptology,

M. Remane NIZAR PhD student in Coding, Cryptology,

Pour concevoir un réseau il faut tenir compte aux aspects suivants :

Principales préoccupations de la sécurité réseau

M. Remane NIZAR PhD student in Coding, Cryptology,

M. Remane NIZAR PhD student in Coding, Cryptology,

M. Remane NIZAR PhD student in Coding, Cryptology,

M. Remane NIZAR PhD student in Coding, Cryptology,

Architecture de réseau sécurisé

Il existe plusieurs zones de sécurité commune aux réseaux, Ces zones

M. Remane NIZAR PhD student in Coding, Cryptology,

Architecture de réseau sécurisé

M. Remane NIZAR PhD student in Coding, Cryptology,

M. Remane NIZAR PhD student in Coding, Cryptology,

M. Remane NIZAR PhD student in Coding, Cryptology,

M. Remane NIZAR PhD student in Coding, Cryptology,

M. Remane NIZAR PhD student in Coding, Cryptology,

Procédure d’installation sous Virtualbox

M. Remane NIZAR PhD student in Coding, Cryptology,

Procédure d’installation sous Virtualbox

M. Remane NIZAR PhD student in Coding, Cryptology,

M. Remane NIZAR PhD student in Coding, Cryptology,

M. Remane NIZAR PhD student in Coding, Cryptology,

M. Remane NIZAR PhD student in Coding, Cryptology,

M. Remane NIZAR PhD student in Coding, Cryptology,

Configuration nom hôte, password, horodatage, accès web, routage

M. Remane NIZAR PhD student in Coding, Cryptology,

Activation des fonctions : DHCP Serveur et Accès Telnet

M. Remane NIZAR PhD student in Coding, Cryptology,

M. Remane NIZAR PhD student in Coding, Cryptology,

M. Remane NIZAR PhD student in Coding, Cryptology,

M. Remane NIZAR PhD student in Coding, Cryptology,

M. Remane NIZAR PhD student in Coding, Cryptology,

Vous aimerez peut-être aussi