Académique Documents
Professionnel Documents
Culture Documents
. 3
Chapitre 1 : exercices
Type d'exercice Nom de l'exercice
Travaux pratiques Tracer une route
Travaux pratiques Présentation de Wireshark
démo Champs de trame Ethernet
Le processus de connexion TCP en trois étapes nécessaire pour initier une connexion et la
connexion en deux étapes pour mettre fin à une connexion.
• Comprendre les indicateurs TCP (SYN, SYN/ACK, ACK, FIN et FIN/ACK).
Il est important d’Insister sur l'importance des protocoles et des règles de communication et
il est indispensable de maîtriser ces notions de base pour analyser les attaques de sécurité
et les éradiquer.
Objectifs
1.1 Protocoles réseau
• Comment les protocoles permettent d'exploiter le réseau.
• Expliquer le fonctionnement de base des communications de données en réseau.
• Expliquer comment les protocoles permettent d'exploiter le réseau.
dernière adresse d'hôte utilisable se trouve avant l'adresse de diffusion.
Adresse de diffusion : dernière adresse du réseau.
L'opérateur logique AND détermine si une adresse est dans le même réseau.
Types d'adresses IPv4
Classes d'adresses IPv4 et masques de sous-réseau par défaut
Classes affectées – A, B, C, D et E
Classe A : conçue pour prendre en
charge les réseaux de très grande taille.
Classe B : conçue pour prendre en charge
les réseaux de moyenne et de grande taille.
Classe C : conçue pour prendre en charge
les réseaux de petite taille.
Classe D : bloc de multidiffusion.
Classe E : bloc d'adresses expérimentales.
Types d'adresses IPv4
Adresses IP publiques et privées
Blocs d'adresses utilisés principalement
par les entreprises pour attribuer des
adresses IPv4 aux hôtes internes.
Non spécifique à un réseau.
Non autorisée sur Internet et filtrée par
un routeur interne.
Généralement, le routeur connecte le
réseau interne à celui du FAI.
La passerelle par défaut
Décisions relatives aux transmissions entre les hôtes
Un hôte peut envoyer un paquet à trois types de destinations :
• Lui-même : un hôte peut s'envoyer une requête ping en envoyant un paquet à une adresse IPv4 spécifique,
127.0.0.1. L'envoi d'une requête ping à l'interface de bouclage permet de tester la pile de protocoles TCP/IP.
• Un hôte local : il s'agit d'un hôte sur le même réseau local que l'hôte émetteur.
• Un hôte distant : il s'agit d'un hôte sur un réseau distant. Les hôtes ne partagent pas la même adresse réseau.
La passerelle par défaut
Passerelle par défaut
Trois adresses IPv4 au format décimal à point
doivent être configurées lors de la
configuration des paramètres IPv4 de l'hôte :
• Adresse IPv4 : adresse IPv4 unique de l'hôte.
• Masque de sous-réseau : identifie la
partie réseau/hôte de l'adresse IPv4.
• Passerelle par défaut : indique la passerelle
locale (c'est-à-dire l'adresse IPv4 de l'interface
du routeur local) permettant d'atteindre les
réseaux distants.
La passerelle par défaut correspond au
périphérique réseau capable d'acheminer
le trafic vers d'autres réseaux. C'est le
routeur qui peut acheminer le trafic en
dehors du réseau local.
La passerelle par défaut
Utilisation de la passerelle par défaut
Généralement, la table de routage d'un
hôte inclut une passerelle par défaut.
L'hôte reçoit l'adresse IPv4 de la passerelle
par défaut.
Informations d'adressage IP :
• Configurées manuellement.
• Obtenues automatiquement/dynamiquement
à l'aide du protocole DHCP (Dynamic Host
Configuration Protocol).
• Placées dans la table de routage
de l'ordinateur.
IPv6
La nécessité du protocole IPv6
Le manque d'espace
d'adressage IPv4 a été le
facteur le plus décisif pour
la transition vers l'espace
d'adressage IPv6 128 bits.
Quatre des cinq organismes
d'enregistrement Internet
locaux ont déjà épuisé leur
stock d'adresses IPv4.
IPv6
Représentation et taille des adresses IPv6
Espace d'adressage de
128 bits.
• Chaîne de 32 valeurs
hexadécimales.
• Tous les groupes de 4 bits sont
représentés par un caractère
hexadécimal unique.
• Un hextet correspond à 16 bits
ou à 4 chiffres hexadécimaux.
IPv6
Format des adresses IPv6
Adresses IPv6:
• Espace d'adressage
de 128 bits.
• Vous pouvez supprimer
les zéros du début.
• Vous pouvez ignorer
1 segment ne contenant
que des zéros.
• Deux sections : le préfixe et
l'ID d'interface.
IPv6
Longueur du préfixe IPv6
La longueur du
préfixe IPv6 n'utilise
pas la notation de
masque de sous-
réseau décimal à
point.
La longueur de
préfixe peut être
comprise entre
0 et 128.
1.3 Vérification de la connectivité
ICMP
Messages ICMPv4
Permet de fournir des commentaires et de résoudre les
problèmes du réseau.
Types de messages :
• Confirmation de l'hôte : requête d'écho et réponse par écho
avec l'utilitaire ping.
• Codes de la destination ou du service inaccessible :
• 0 – Réseau inaccessible
• 1 – Hôte inaccessible
• 2 – Protocole inaccessible
• 3 – Port inaccessible
• Délai dépassé : utilisé par un routeur pour indiquer qu'un paquet ne
peut pas être envoyé plus loin.
• IPv4 dépend du champ relatif à la durée de vie (TTL) dont la valeur doit être 0.
• IPv6 ne possède pas de champ TTL, mais un champ de limite de saut.
Utilitaires ping et Traceroute
Ping – Test et pile locale
Utilitaires ping et Traceroute
Ping – Test de la connectivité à un hôte distant
La commande ping peut aussi être
utilisée pour tester la capacité d'un hôte
local à communiquer sur un interréseau.
L'aboutissement d'une requête ping sur
l'interréseau confirme la communication sur
le réseau local.
Il confirme également le fonctionnement du
routeur utilisé comme passerelle, ainsi que
le fonctionnement de tous les autres
routeurs pouvant se trouver entre le réseau
local et le réseau de l'hôte distant.
Utilitaires Ping et Traceroute
Traceroute – Test du chemin
Traceroute fournit les détails des
périphériques entre les hôtes.
Génère une liste de sauts déjà atteints le long
du chemin :
• Durée de transmission(RTT) – Heure de
chaque tronçon le long du chemin.
• TTL IPv4 et limite du nombre de tronçons IPv6 - La
commande traceroute utilise une fonction du champ
TTL du protocole IPv4 et le champ de limite de
nombre de tronçons du protocole IPv6 dans les en-
têtes de couche 3, ainsi que le message ICMP de
dépassement de délai.
Après que la destination finale a été atteinte,
l'hôte répond par un message ICMP Port
Unreachable (port inaccessible) ou ICMP Echo
Reply (réponse d'écho), à la place du message
ICMP Time Exceeded (délai dépassé).
Utilitaires ping et Traceroute
Format de paquet ICMP
ICPM est considéré comme un protocole
de couche 3.
ICMP agit comme une charge utile de
données dans le paquet IP.
Il possède un champ Données d'en-
tête spécial.
Voici quelques exemples de codes
de message courants :
• 0 – Réponse d'écho (réponse à une
commande ping)
• 3 – Destination inaccessible
• 5 – Redirection (utilisation d'une autre
route pour atteindre la destination)
• 8 – Demande d'écho (dans le cadre
d'une commande ping)
• 11 – Délai dépassé (la valeur TTL est égale à 0)
1.4 Protocole de résolution d'adresse
Adresses MAC et IP
Destination sur le même réseau
Deux adresses attribuées à un appareil
Ethernet :
• Adresse MAC (adresse physique
de couche 2)
• Adresse IP (adresse logique
de couche 3)
UDP
• Rapide, faible surcharge, ne nécessite
pas d'accusés de réception, ne renvoie
pas les données perdues, fournit les
données à mesure qu'elles arrivent.
• Exemples : VoIP, streaming vidéo en direct
TCP
• Le protocole TCP est un protocole avec état. Un protocole
avec état est un protocole qui contrôle l'état de la session de
communication.
• Pour suivre l'état d'une session, le protocole TCP enregistre les
informations qu'il a envoyées et les informations qu'il a reçues.
• La session avec état commence avec l'établissement de la
session et se termine lorsque la session est interrompue.
UDP
• Le protocole UDP est un protocole sans état, c'est-à-dire que ni
le client ni le serveur ne sont tenus de surveiller l'état de la
session de communication.
• Si la fiabilité est nécessaire dans le cadre de l'utilisation d'UDP
comme protocole de transport, elle doit être prise en charge
par l'application.
Datagramme UDP :
Fonctionnement de la couche transport
Allocation de ports TCP
Numéros des ports de destination :
• Utilise des numéros de port
bien connus.
Numéros des ports sources :
• Utilise des numéros de
port dynamiques.
• Lorsqu'elle établit une connexion avec
un serveur, la couche transport du
client établit un port source pour
garder une trace des données
envoyées depuis le serveur.
• Tout comme un serveur peut avoir
plusieurs ports ouverts pour des
processus serveur, les clients
peuvent avoir de nombreux ports
ouverts pour établir des connexions à
plusieurs interfaces de connexion.
Fonctionnement de la couche transport
Une session TCP – Partie 1 : établissement et interruption de la connexion
Une connexion TCP est établie
en trois étapes :
1. Le client demande l'établissement d'une
session de communication client-
serveur avec le serveur.
2. Le serveur accuse réception de la session
de communication client-serveur et
demande l'établissement d'une session
de communication serveur-client.
3. Le client accuse réception de la session
de communication serveur-client.
Fonctionnement de la couche transport
Démonstration vidéo - Connexion TCP en trois étapes
TCP est un protocole de connexion. Par conséquent, une connexion complète doit
être préalablement établie avant de pouvoir envoyer et recevoir des données.
Une connexion TCP à 3 étapes implique trois étapes, à savoir les étapes [SYN], [SYN, ACK]
et [ACK].
Fonctionnement de la couche transport
Travaux pratiques - Utilisation de Wireshark pour observer la connexion
TCP en trois étapes
Fonctionnement de la couche transport
Une session TCP – Partie 2 : transfert des données
Livraison de la commande TCP :
• Les numéros d'ordre indiquent comment
réassembler et réorganiser les segments reçus.
• Le processus TCP récepteur place les données
dans une mémoire tampon de réception.
• Les segments reçus dans le mauvais ordre
sont conservés et traités ultérieurement.
• Ces segments sont ensuite traités dans
l'ordre lorsque les segments contenant les
octets manquants sont reçus.
Contrôle du flux :
• Contrôle la quantité de données que la
destination peut recevoir et traiter de manière
fiable en ajustant le débit du flux de données.
Fonctionnement de la couche transport
Démonstration vidéo - Numéros d'ordre et accusés de réception
Les numéros d'ordre et les accusés de réception sont les deux éléments qui assurent la fiabilité du
protocole TCP.
Chaque segment TCP qui est envoyé dans une conversation TCP reçoit un numéro d'ordre.
Chaque octet de données est numéroté dans une liste séquentielle.
Fonctionnement de la couche transport
Démonstration vidéo - Perte de données et retransmission
TCP fournit un mécanisme de retransmission des segments pour les données sans accusé de
réception.
Fonctionnement de la couche transport
Session UDP
Session UDP :
• Reconstitue les données dans l'ordre dans lequel elles ont été reçues.
• Attribue des numéros de port réservés ou enregistrés.
Fonctionnement de la couche transport
Travaux pratiques – Découvrir Nmap
1.6 Services réseau
DHCP
Présentation du protocole DHCP
Protocole DHCP (Dynamic Host Configuration Protocol)
• Fournit des informations sur l'adressage IP, comme l'adresse IP, le masque de sous-réseau, la passerelle par
défaut, l'adresse IP du serveur DNS et le nom de domaine.
• Messages
• Détection
• Offre
• Demande
• ACK (accusé
de réception)
DHCP
Format du message DHCPv4
Un message DHCP comporte les champs suivants :
Adresse IP du client : champ utilisé par un client qui renouvelle son crédit-bail avec une adresse valide et utilisable, et
non lors de l'acquisition d'une adresse.
Votre adresse IP : champ utilisé par le serveur pour attribuer une adresse IPv4 au client.
Adresse IP du serveur : champ utilisé par le serveur pour indiquer l'adresse du serveur que le client doit utiliser pour
l'étape suivante du processus d'amorçage.
Adresse IP de la passerelle : achemine les messages DHCPv4 lorsque des agents de relais DHCPv4 sont impliqués.
Adresse matérielle du client : représente la couche physique du client.
Nom du serveur : utilisé par le serveur qui envoie un message DHCPOFFER ou DHCPACK.
Nom du fichier de démarrage : peut être utilisé par un client pour demander un type de fichier de démarrage
spécifique dans un message DHCPDISCOVER.
Options DHCP : contient les options DHCP, notamment plusieurs paramètres requis pour fournir les fonctions DHCP
de base.
DNS
Présentation du protocole DNS
Système de noms dynamique (DNS)
• Gère et fournit des noms de domaine et les adresses IP associées.
• Hiérarchie de serveurs.
• 90 % des malwares qui attaquent des réseaux utilisent DNS pour mener à bien leurs campagnes.
DNS
Hiérarchie de domaines DNS
Système de noms dynamique (DNS)
• Le DNS se compose d'une hiérarchie de
domaines génériques de premier niveau qui
incluent les domaines .com, .net, .org, .gov,
.edu et de nombreux domaines
nationaux, tels que .br (Brésil), .es
(Espagne), .uk (Royaume-Uni), etc.
• Les domaines de second niveau sont
représentés par un nom de domaine
suivi d'un domaine de premier niveau.
• Les sous-domaines composent le niveau
suivant de la hiérarchie DNS et
représentent en quelque sorte une division
des domaines de second niveau.
• Enfin, un quatrième niveau peut
représenter un hôte dans un sous-domaine.
DNS
Processus de recherche DNS
Voici quelques termes clés à connaître concernant le
système DNS :
Le protocole WHOIS :
• WHOIS est un protocole basé sur TCP
qui est utilisé pour identifier les
propriétaires de domaines Internet
dans le système DNS.
DNS
Travaux pratiques – Utiliser Wireshark pour examiner une capture DNS UDP
NAT
Présentation du protocole NAT
Traduction d'adresses de réseau (NAT)
• Il n'existe pas suffisamment d'adresses IPv4 publiques pour pouvoir attribuer une adresse unique à chaque
périphérique connecté à Internet.
• Les adresses IPv4 privées sont utilisées au sein d'une entreprise ou d'un site pour permettre aux périphériques
de communiquer localement.
• Les adresses IPv4 privées ne sont pas routables sur Internet.
• Utilisées sur les appareils périphériques.
NAT
Traduction d'adresses de port
Port Address Translation (PAT)
• Un à plusieurs : traduction de plusieurs adresses internes en une ou plusieurs adresses IP publiques.
Services de transfert et de partage des fichiers
FTP et TFTP
FTP (File Transfer Protocol)
• Basé sur TCP.
• Utilisé pour envoyer et extraire des
données d'un serveur.
Protocole TFTP (Trivial File
Transfer Protocol)
• Basé sur UDP.
• Rapide, mais peu fiable.
Server Message Block (SMB)
• Protocole de partage de fichiers basé sur
un client/serveur
Services de transfert et de partage des fichiers
SMB
Server Message Block (SMB)
• Protocole de partage de fichiers
basé sur un client/serveur.
• Ce format utilise un en-tête de taille fixe
suivi d'un paramètre et d'un composant
de données de taille variable.
• Les messages SMB peuvent initier,
authentifier et interrompre des
sessions, contrôler l'accès aux fichiers
et aux imprimantes, et permettre à
une application d'envoyer ou de
recevoir des messages vers ou depuis
un autre appareil.
Services de transfert et de partage des fichiers
Travaux pratiques - Utilisation de Wireshark pour l'examen de captures
TCP et UDP
E-mail
Présentation de la messagerie électronique
Le message prend en charge trois
protocoles pour son exécution :
• Protocole SMTP
• protocole POP3 (Post Office Protocol version 3)
• IMAP
Le processus de couche application qui envoie les
e-mails utilise le protocole SMTP. Un client
récupère ses e-mails à l'aide de l'un des
protocoles de couche application, POP3 ou IMAP
E-mail
SMTP
SMTP
• Protocole SMTP : port 25
Une fois la connexion établie, le client
essaie d'envoyer l'e-mail au serveur
via la connexion.
Lorsque le serveur reçoit le
message, il place celui-ci dans un
compte local, si le destinataire est
local, ou transfère le message vers
un autre serveur de messagerie
E-mail
POP3
Avec POP3, le courriel est
téléchargé du serveur au client
puis supprimé du serveur.
Avec POP3, les e-mails sont
téléchargés vers le client et
supprimés du serveur, de sorte
que les messages ne sont jamais
stockés au même endroit.
E-mail
IMAP
Lorsque l'utilisateur se
connecte à un serveur
IMAP, des copies des
messages sont téléchargées
vers l'application client.
Lorsqu'un utilisateur décide de
supprimer un message, le
serveur synchronise cette
action et supprime le message
du serveur.
HTTP
Présentation du protocole HTTP
Protocole HTTP (Hypertext Transfer Protocol) :
• Port 80
• Régit la manière dont un serveur web et
un client web interagissent.
• Basé sur TCP
• Inclut des réponses de serveur spécifiques.
Étapes :
1. Le client lance une requête HTTP à
un serveur.
2. HTTP renvoie le code d'une page web.
3. Le navigateur interprète le code HTML
et affiche une page web
HTTP
L'URL HTTP
Les URL HTTP peuvent également indiquer le port du serveur chargé de traiter les opérations
HTTP.
En outre, elles peuvent spécifier une chaîne de requête et un fragment.
La chaîne de requête contient généralement des informations qui ne sont pas gérées par le
processus de serveur HTTP lui-même, mais par un autre processus qui s'exécute sur le serveur.
Services réseau
Le protocole HTTP
HTTP est un protocole de requête-réponse qui utilise le port
TCP 80.
Lorsqu'un client, généralement un navigateur web, envoie une
requête à un serveur web, il utilise l'une des six méthodes
spécifiées par le protocole HTTP.
• GET : requête client visant à obtenir des données. Un client (navigateur
web) envoie le message GET au serveur web pour demander des pages
HTML.
• POST : envoie des données devant être traitées par une ressource.
• PUT : télécharge des ressources ou du contenu vers le serveur web.
• DELETE : supprime la ressource spécifiée.
• OPTIONS : renvoie les méthodes HTTP prises en charge par le
serveur.
• CONNECT : demande à un serveur proxy HTTP de transmettre la
session HTTP TCP à l'hôte de destination souhaité.
HTTP
Code d'état HTTP
Les réponses du serveur HTTP sont
identifiées à l'aide de divers codes
d'état qui informent l'application hôte
du résultat des requêtes que le client
a envoyées au serveur. Les codes
sont répartis en cinq groupes.
• 1xx - Information
• 2xx – Succès
• 3xx – Redirection
• 4xx – Erreur du client
• 5xx – Erreur du serveur
HTTP
Travaux pratiques – Utiliser Wireshark pour examiner le trafic HTTP et HTTPS
1.7 Résumé du chapitre
Vues du réseau : petit réseau domestique, SOHO (Small Office/Home Office), moyens et grands réseaux, réseaux à
l'échelle mondiale.
Communication client-serveur : le serveur stocke es fichiers professionnels et utilisateur, tandis que les
périphériques client accèdent à ces fichiers ou services avec le logiciel client.
Le client-serveur web exécute le logiciel du serveur web et le client utilise le logiciel du navigateur.
Le client-serveur de messagerie exécute le logiciel du serveur de messagerie.
Les analystes en cybersécurité doivent être en mesure d'identifier l'origine du trafic qui entre dans le réseau et la
destination du trafic qui le quitte. Pour cela, ils doivent impérativement connaître le chemin emprunté par le trafic réseau.
Le protocole se compose de règles de communication. Les protocoles réseau permettent aux ordinateurs de
communiquer sur les réseaux.
Modèle TCP/IP (quatre couches) : application, transport, Internet et accès réseau.
• Modèle OSI (septcouches) : physique, liaison de données, réseau, transport, session, présentation et
application.
• Les trois adresses importantes sont les suivantes : adresse du protocole, adresse de l'hôte de réseau et adresse
physique.
• L'encapsulation inclut la segmentation et le multiplexage.
• Le protocole Ethernet fonctionne au niveau des couches 1 et 2 (physique et données). Il est responsable de
l'encapsulation des données, du contrôle d'accès au support et du placement des bits sur le support.
• La trame Ethernet comporte 2 identificateurs uniques : adresse MAC de destination et adresse MAC source.
• Caractéristiques IPv4 : sans connexion, peu fiable (acheminement au mieux) et indépendant du support.
• Les adresses IPv4 comportent 32 bits et sont généralement divisées en sous-réseaux.
• Pour créer un sous-réseau, il convient de diviser un espace réseau en plus petits composants appelés sous-réseaux.
• Le paquet IPv4 se compose de champs contenant des informations importantes sur le paquet, y compris les nombres
binaires examinés par le processus de couche 3.
• L'adresse IP fait l'objet d'une opération AND logique, bit par bit avec le masque de sous-réseau.
• Les classes d'adresses IPv4 sont les suivantes : classe A, classe B, classe C, classe D, classe E.
• Les adresses privées sont réservées et principalement utilisées par les entreprises pour attribuer des
adresses IPv4 aux hôtes internes.
• La décision de transmission entre les hôtes permet au paquet d'être envoyé à 3 types de destinations : lui-même,
l'hôte local et l'hôte distant.
• Trois adresses IPv4 décimales à point doivent être configurées lors de l'attribution d'une configuration IPv4 à l'hôte :
adresse IPv4 (adresse IPv4 unique de l'hôte), masque de sous-réseau (utilisé pour identifier la partie réseau/hôte de
l'adresse IPv4) et passerelle par défaut (identifie la passerelle locale permettant de joindre les réseaux distants).
• L'adressage IP peut être configuré manuellement ou obtenu automatiquement (DHCP).
• La pénurie d'adresses IPv4 a été un facteur décisif pour passer aux adresses IPv6 (espace de 128 bits).
• Les messages ICMPv4 permettent de fournir des commentaires et de résoudre les problèmes du réseau.
• Voici les quatre nouveaux protocoles faisant partie du protocole Neighbor Discovery Protocol (ND ou NDP) : RS, RA, NS
et NA.
La commande ping est un utilitaire de test qui utilise des messages de requête et de réponse d'écho ICMP
pour tester la connectivité entre les hôtes et un LAN ou un hôte distant.
La commande Traceroute fournit les détails des périphériques entre les hôtes et génère une liste de sauts qui
ont été franchis le long du chemin.
Deux adresses attribuées à un périphérique Ethernet : l'adresse MAC (adresse physique de la couche 2) et
une adresse IP (adresse logique de couche 3).
Lorsqu'un périphérique envoie une trame Ethernet, celle-ci contient deux adresses : l'adresse MAC de
destination et l'adresse MAC source.
La fonction ARP permet de résoudre les adresses IPv4 en adresses MAC.
Les messages ARP sont encapsulés dans une trame Ethernet.
Les hôtes réseau conservent les tables ARP qui sont mises dans la mémoire, appelée cache ARP, et
sont supprimées du tableau à cause de leur âge ou manuellement.
• L'usurpation ARP présente un risque pour la sécurité, car il s'agit d'une technique utilisée par les hackers pour
répondre à une requête ARP demandant l'adresse IPv4 d'un autre périphérique.
• Le rôle du protocole de couche transport dans les communications réseau consiste à effectuer le suivi des
conversations individuelles, déplacer des données entre les applications sur les périphériques réseau,
segmenter et reconstituer les données et identifier les applications à l'aide d'une classification basée sur les
numéros de port.
• Les interfaces de connexion sont une combinaison de l'adresse IP source et du numéro de port source ou de
l'adresse IP de destination et du numéro de port de destination.
• TCP/IP fournit deux protocoles de couche transport : TCP (Transmission Control Protocol) et UDP (User
Datagram Protocol).
• Les protocoles TCP et UDP gèrent ces conversations simultanées multiples au moyen de champs d'en-tête
identifiant ces applications de façon unique. Ces identificateurs uniques sont les numéros de port.
• La combinaison de l'adresse IP source et du numéro de port source, ou de l'adresse IP de destination et du
numéro de port de destination, est appelée interface de connexion
• Les connexions TCP sont créées à l'aide de trois étapes.
• La session UDP remet les données dans l'ordre où elles ont été reçues et reçoit un numéro de port connu.
• Le protocole DHCP (Dynamic Host Configuration Protocol) fournit des informations sur l'adressage IP,
comme l'adresse IP, le masque de sous-réseau, la passerelle par défaut, l'adresse IP du serveur DNS et le
nom de domaine.
• Le système de noms de domaine (DNS) gère et fournit des noms de domaine et les adresses IP associées.
• Le DNS se compose d'une hiérarchie de domaines génériques de premier niveau qui incluent les domaines
.com, .net, .org, .gov, .edu et de nombreux domaines nationaux, tels que .br (Brésil), .es (Espagne), .uk
(Royaume-Uni), etc.
• Lorsque l'adresse IP du mappage est modifiée, le nouveau mappage peut être diffusé via le DNS presque
instantanément à l'aide du DNS dynamique.
• WHOIS est un protocole basé sur TCP qui est utilisé pour identifier les propriétaires de domaines Internet dans
le système DNS.
• La traduction d'adresses réseau (NAT) est utilisée dans une entreprise ou sur un site et permet aux
périphériques de communiquer localement, mais nécessite la traduction des adresses par un routeur NAT afin
de permettre l'acheminement sur Internet.
• Le protocole FTP (File Transfer Protocol) est basé sur le protocole TCP. Il est plus fiable que TFTP.
• Le protocole TFTP (Trivial File Transfer Protocol) est basé sur le protocole UDP. Il est rapide, mais peu fiable.
• Les messages SMB peuvent initier, authentifier et interrompre des sessions, contrôler l'accès aux fichiers et
aux imprimantes, et permettre à une application d'envoyer ou de recevoir des messages vers ou depuis un
autre appareil.
• La messagerie électronique prend en charge trois protocoles distincts : SMTP (Simple Mail Transfer
Protocol), POP3 (Post Office Protocol version 3) et IMAP.
• Le protocole HTTP (Hypertext Transfer Protocol) implique 3 étapes : le client lance la requête HTTP au serveur,
HTTP renvoie le code d'une page web et le navigateur interprète le code HTML qu'il affiche sur la page web.
• Les URL HTTP peuvent également indiquer le port du serveur chargé de traiter les opérations HTTP.
• Lorsqu'un client, généralement un navigateur web, envoie une requête à un serveur web, il utilise l'une des
six méthodes spécifiées par le protocole HTTP : GET, POST, PUT, DELETE, OPTIONS et CONNECT.
Chapitre 1
Les nouveaux termes
• Protocole ARP (Address Resolution • décimale à point
Protocol) • Détection des adresses dupliquées
• Couche application (DAD)
• Spoofing ARP • DNS dynamique (DDNS)
• Serveur faisant autorité • Protocole DHCP (Dynamic Host
• Protocole Bootstrap (BOOTP) Configuration Protocol)
• diffusion • Protocole EIGRP (Enhanced Interior
• Sans connexion Gateway Routing Protocol)
• Couche liaison de données • Ethernet
• une passerelle par défaut • FTP (File Transfer Protocol)
• Un port de destination • Contrôle de flux
• Zone DNS • nom de domaine complet (FQDN)
• Système DNS (Domain Name
System)
Chapitre 1
Les nouveaux termes
• hextet • multidiffusion
• Protocole HTTP (Hypertext Transfer • Multiplexage
Protocol) • Messages d'annonce de voisin
• Protocole ICMP (Internet Control • Protocole NDP ou NP
Message Protocol) • Sollicitation de voisin
• IMAP (Internet Message Access • Traduction d'adresses de réseau
Protocol) (NAT)
• le protocole IP • Couche réseau
• Sous-couche de contrôle de liaison • protocole de réseau
logique (LLC) • octet
• unité de transmission maximale (MTU) • Protocole OSPF (Open Shortest Path
• Sous-couche de contrôle d'accès au First)
support mac
Chapitre 1
Les nouveaux termes
• Couche physique • Programme de résolution
• ping • Enregistrement de ressource
• PPP (Point-to-Point Protocol) • Durée de transmission ou RTT (Round
• Port Address Translation (PAT) Trip Time)
• protocole POP3 (Post Office Protocol • Annonce de routeur (RA)
version 3) • Multidiffusion de sollicitation de routeur
• Couche présentation (RS)
• adresse IPv4 privée • Segmentation
• unité de données de protocole • Server Message Block (SMB)
• suite de protocoles • Couche session
• adresse IPv4 publique • Protocole SMTP
• Récurrence • socket
• Programme de résolution récursif • port source
SLAAC (configuration automatique
• des adresses sans état)
Chapitre 1
Les nouveaux termes
• masque de sous-réseau • Protocole UDP (User Datagram
• sous-réseau Protocol)
• suite de protocoles TCP/IP • WHOIS
• Durée de vie (Time to Live, TTL) • taille de fenêtre
• traceroute
• TCP (Transmission Control Protocol)
• couche transport
• Protocole TFTP (Trivial File
Transfer Protocol)
• monodiffusion
• Peu fiable
Chapitre 2 – Architectures réseaux
Chapitre 2 – Objectifs
2.1 Les appareils de communication réseau
• Expliquer comment les périphériques réseau assurent les communications réseau filaires et sans fil.
Expliquer comment les périphériques réseau assurent les communications réseau.
Expliquer comment les périphériques réseau sans fil assurent les communications réseau.
2.2 L'infrastructure de sécurité du réseau
• Expliquer comment les périphériques et les services renforcent la sécurité du réseau.
Expliquer comment les périphériques spécialisés renforcent la sécurité du réseau.
Expliquez comment les services réseau renforcent la sécurité du réseau.
3.3 Représentation du réseau
• Expliquer comment les réseaux et les topologies réseau sont représentés.
Expliquer comment les conceptions réseau sont représentées par des symboles interconnectés.
2.1 Périphériques de communication réseau
13
Périphériques réseau
Terminaux
Terminaux :
• Ordinateurs, ordinateurs portables, serveurs, imprimantes, appareils intelligents et terminaux mobiles.
• Chaque terminal est connecté au réseau via des appareils intermédiaires.
Périphériques intermédiaires :
• Ils connectent chaque appareil au réseau et peuvent connecter plusieurs réseaux individuels afin
de former un interréseau.
• Ils assurent la connectivité et les flux de données sur tout le réseau.
Équipements actifs
Périphériques réseau
Tutoriel vidéo : les terminaux
Un terminal est un périphérique réseau qui lance la communication, source ou de destination.
Les périphériques intermédiaires connectent les terminaux au réseau, fournissent la connectivité
et garantissent le flux de données.
Périphériques réseau
Routeurs
Fonction d'un routeur :
• Chargé de déterminer le chemin d'accès et
de transférer les paquets.
• Il est responsable de l'encapsulation et de
la désencapsulation des paquets.
• Il utilise une table de routage pour déterminer
le meilleur chemin à emprunter pour envoyer
des paquets à un réseau spécifique.
Table de routage :
• Il contient les routes connectées directement
et les routes distantes.
• Le routeur recherche dans sa table de
routage une adresse réseau qui correspond à
l'adresse IP de destination du paquet.
• Utilise la passerelle de dernier recours si elle
a été intégrée ou configurée ; dans le cas
contraire, le paquet est rejeté.
Périphériques réseau
Routeurs (suite)
Le routeur effectue les trois
étapes principales suivantes :
• Il désencapsule l'en-tête et la fin de trame de la
couche 2 pour exposer le paquet de la couche 3.
• Il examine l'adresse IP de destination du
paquet IP pour trouver le meilleur chemin dans la
table de routage.
• Si le routeur trouve un chemin vers la destination,
il encapsule le paquet de couche 3 dans une
nouvelle trame de couche 2 et envoie cette dernière
sur l'interface de sortie.
Les appareils ont des adresses IPv4 de
couche 3, tandis que les interfaces
Ethernet ont des adresses de liaison de
données de couche 2. Les adresses MAC
sont raccourcies pour simplifier l'illustration.
Périphériques réseau
Fonctionnement d'un routeur
L'une des principales fonctions d'un routeur consiste à déterminer le meilleur chemin pour envoyer des
paquets à chaque sous-réseau. Pour déterminer le meilleur chemin, le routeur recherche dans sa table
de routage une adresse réseau correspondant à l'adresse IP de destination du paquet. La recherche de
la table de routage détermine l'un des trois chemins suivants :
• Réseau connecté directement
• Réseau distant
• Aucune route déterminée
Périphériques réseau
Informations de routage
La table de routage d'un routeur enregistre
les informations suivantes :
• Routes connectées directement
• Routes distantes
Les entrées de réseau de destination de la table de
routage peuvent être ajoutées de différentes façons :
• Interfaces de route locale : elles sont ajoutées
quand une interface est configurée et active.
• Interfaces connectées directement : elles sont
ajoutées à la table de routage quand une
interface est configurée et active.
• Routes statiques : elles sont ajoutées
lorsqu'une route est configurée manuellement et
que l'interface de sortie est active.
• Protocole de routage dynamique : il est ajouté
lorsque les protocoles de routage qui découvrent
dynamiquement le réseau, tels que EIGRP or
OSPF, sont mis en œuvre et que les réseaux
sont identifiés.
• Périphériques réseau
Tutoriel vidéo : routage statique et routage dynamique
Le rôle du routeur est de rediriger les messages via le réseau, en choisissant le meilleur chemin
pour les faire parvenir d'un point A à un point B.
Avec le protocole de routage dynamique, les tables de routage sont mises à jour dynamiquement.
Périphériques réseau
Concentrateurs, ponts, commutateurs de réseau local
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 27
Communications sans fil
Protocoles et fonctions
LAN sans fil (WLAN) :
Ils utilisent des fréquences radio au lieu de câbles au niveau de la couche physique et de la
sous-couche MAC de la couche liaison de données.
Ils connectent des clients au réseau via un point d'accès sans fil ou un routeur sans fil, au lieu
d'un commutateur Ethernet.
Communications sans fil
Fonctionnement des réseaux sans fil
Le processus d'associations de clients sans fil avec point d'accès inclut la découverte d'un nouveau point
d'accès, l'authentification avec ce point d'accès, puis l'association à ce point d'accès.
Les paramètres sans fil communs configurables incluent :
• Mode réseau
• SSID
• Paramètres de canal
• Mode de sécurité
• Gestion
• Mot de passe
Les périphériques sans fil doivent détecter un point d'accès ou
un routeur sans fil et s'y connecter. Ce processus peut être
passif ou actif.
La norme 802.11 a été développée à l'origine avec deux mécanismes d'authentification : l'authentification ouverte
fournit une connectivité sans fil à un périphérique sans fil et la technique d'authentification à clé partagée est basée sur
une clé pré-partagée entre le client et le point d'accès.
Communications sans fil
Processus d'association entre le client et le point d'accès
Un client sans fil passe par un processus en trois étapes pour s'associer à
un point d'accès.
Découverte : un client sans fil localise le point d'accès à associer.
Authentification :
Le client sans fil envoie une trame d'authentification au point d'accès.
Le point d'accès répond en envoyant un texte de sécurité.
Le client chiffre le message à l'aide de sa clé partagée et renvoie le
texte chiffré au point d'accès.
Le point d'accès déchiffre le message à l'aide de sa clé partagée.
Si le texte chiffré correspond au texte de sécurité, le point d'accès
authentifie le client.
Association :
Le client sans fil envoie une trame de demande d'association contenant
son adresse MAC.
Le point d'accès répond avec une réponse d'association, qui contient
son adresse MAC.
Le point d'accès mappe un port logique au client sans fil.
2.2 L'infrastructure de sécurité du réseau
32
Périphériques de sécurité
Présentation - Périphériques de sécurité
Couche d'accès :
• Sécurité des ports, inspection ARP dynamique et surveillance DHCP
Couche de distribution
• Listes d'accès pour un pare-feu de couche 3
• Pare-feu de couche 4 avec état
• Autorise ou refuse le trafic en fonction de l'adressage IP et des ports
TCP/UDP.
Couche cœur de réseau
• Pare-feu de proxy : inspecter le trafic
• Pare-feu de proxy web : inspecter le trafic web
• Pare-feu de proxy de messagerie : détection du spam
• Appliance de sécurité SSL: déchiffrement du trafic HTTPS
• IDS : analyse hors connexion par rapport à des signatures d'attaques
réseau
Réseau sans fil
• Authentification et chiffrement WPA2
Périphériques de sécurité
Pare-feu
Voici certaines propriétés que partagent les pare-feu :
Les pare-feu résistent aux attaques réseau.
Tout le trafic traverse le pare-feu.
Les pare-feu appliquent la politique de contrôle d'accès.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 38
Dispositifs de sécurité
Dispositifs de prévention et de détection des intrusions
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 39
Dispositifs de sécurité
Avantages et inconvénients d'IDS et IPS
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 43
Services de sécurité
Contrôle du trafic avec des ACL
Une liste de contrôle d'accès (ACL, Access Control List) est une série de commandes qui déterminent si
un appareil achemine ou abandonne les paquets en fonction des informations contenues dans l'en-tête de
paquet :
Elles limitent le trafic réseau pour accroître
les performances réseau.
Elles contrôlent le flux de trafic.
Elles fournissent un niveau de sécurité de
base pour l'accès réseau.
Elles filtrent le trafic en fonction de son type.
Elles filtrent les hôtes pour autoriser ou
refuser l'accès aux services sur le réseau.
Services de sécurité
ACL : fonctionnalités importantes
Il existe deux types de listes de contrôle d'accès IPv4 Cisco : les listes standard et les listes étendues.
Les listes de contrôle d'accès standard peuvent être utilisées pour autoriser ou refuser le trafic uniquement depuis des
adresses IPv4 source. Les listes de contrôle d'accès étendues filtrent les paquets IPv4 en fonction de plusieurs critères :
• Type de protocole
• Adresse IPv4 source
• Adresse IPv4 de destination
• Ports TCP ou UDP source
• Ports TCP ou UDP de destination
• Informations facultatives sur le type de protocole pour un contrôle plus précis
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 45
Services de sécurité
Packet Tracer – Démonstration des listes de contrôle d'accès
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 46
Services de sécurité
SNMP
Le protocole SNMP permet aux administrateurs de gérer les appareils tels que les serveurs, les stations
de travail, les routeurs, les commutateurs et les appareils de sécurité.
Le système SNMP se compose de trois éléments :
• Un gestionnaire qui exécute le logiciel de gestion SNMP
• Des agents qui correspondent aux nœuds surveillés et gérés
• Une base de données MIB : une base de données sur
l'agent qui stocke les données et des statistiques
opérationnelles relatives à l'appareil
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 47
Services de sécurité
VPN
Un réseau privé créé sur un réseau public.
Un VPN est privé, dans le sens où le trafic est chiffré pour assurer la confidentialité des données pendant qu'il
transite sur le réseau public.
Les services IPsec se chargent de l'authentification, de l'intégrité, du contrôle d'accès et de la confidentialité.
Services
Supports
Topologies du réseau
Topologies physiques et logiques
La topologie physique fait référence
aux connexions physiques et
identifie les interconnexions entre
les terminaux et les appareils de
l'infrastructure.
Topologies du réseau
Topologies physiques et logiques (suite)
La topologie logique
désigne la manière dont un
réseau transfère les trames
d'un nœud à l'autre.
Topologies du réseau
Topologies WAN
Point à point : liaison permanente entre deux terminaux.
Hub and Spoke : version WAN de la topologie en étoile, dans laquelle un site central connecte
entre eux les sites des filiales à l'aide de liaisons point à point.
Maillée : cette topologie offre une haute disponibilité, mais nécessite que tous les systèmes
finaux soient connectés entre eux.
Topologies du réseau
Topologies LAN
Topologie en étoile : les périphériques finaux sont
connectés à un périphérique intermédiaire central.
Topologie en étoile étendue : dans une topologie
en étoile étendue, les périphériques Ethernet
supplémentaires sont interconnectés avec d'autres
topologies en étoile. R
Topologie en bus : tous les systèmes finaux sont reliés
entre eux en formant une chaîne et le réseau est terminé
à chaque extrémité par un bouchon de terminaison.
Anneau : les terminaux sont connectés à leurs voisins
respectifs, constituant un anneau. Contrairement à la
topologie en bus, l'anneau n'a pas besoin d'être terminé.
Topologies du réseau
Modèle de conception de réseau à trois couches
Modèle hiérarchique à trois couches
Couche d'accès :
Fournit aux terminaux et aux utilisateurs un accès direct au réseau.
Le trafic utilisateur est initié au niveau de cette couche.
Couche de distribution
Regroupe les couches d'accès.
Assure la connectivité aux services.
Couche cœur de réseau
Assure la connectivité entre les couches de distribution.
Cœur de réseau regroupé
Les couches principales et les couches de distribution sont
souvent réunies en une seule couche.
Réduit les coûts et la complexité.
Topologies du réseau
Architectures de sécurité courantes
La conception des pare-feu repose principalement sur des interfaces d'appareils qui autorisent ou refusent
le trafic en fonction de la source, de la destination et du type de trafic. Certains modèles sont aussi
simples que la désignation d'un réseau externe et d'un réseau interne. Un pare-feu avec deux interfaces
est configuré comme suit :
• Le trafic provenant du réseau privé est autorisé et inspecté au fur et à mesure qu'il se déplace vers le réseau public.
Le trafic retour inspecté provenant du réseau public et associé au trafic issu du réseau privé est autorisé.
• Le trafic provenant du réseau public et voyageant vers le réseau privé est généralement bloqué.
Topologies de réseau
Architectures de sécurité courantes (suite)
Une zone démilitarisée (DMZ) est un système de pare-feu comportant généralement une interface interne
connectée au réseau privé, une interface externe connectée au réseau public et une interface DMZ :
Le trafic provenant du réseau privé est inspecté lorsqu'il se déplace vers le réseau public ou la DMZ. Ce trafic est
autorisé avec peu ou pas de restriction. Le trafic de retour est généralement autorisé.
Le trafic provenant du réseau DMZ et se déplaçant vers le
réseau privé est généralement bloqué.
Le trafic provenant du réseau DMZ et voyageant vers le réseau
public est autorisé de manière sélective en fonction des
exigences du service.
Le trafic provenant du réseau public et voyageant vers la DMZ
est inspecté et autorisé de manière sélective. Le trafic de
retour est autorisé dynamiquement.
Le trafic provenant du réseau public et voyageant vers le
réseau privé est bloqué.
Topologies de réseau
Architectures de sécurité courantes (suite)
Les pare-feu à politique basée sur
les zones (ZPF) utilisent le concept
de zones pour assurer une meilleure
flexibilité.
Une zone est un groupe d'une ou
plusieurs interfaces partageant des
fonctions ou des caractéristiques
similaires.
2.4 Résumé
Les périphériques intermédiaires connectent les périphériques finaux individuels au réseau et peuvent
connecter plusieurs réseaux individuels afin de former un inter réseau.
Les routeurs sont chargés de déterminer le chemin d'accès et de transférer les paquets.
La table de routage recherche les résultats dans un réseau connecté directement, dans un réseau distant ou là
où aucune route n'est déterminée.
Les entrées de réseau de destination de la table de routage peuvent être ajoutées par les interfaces de
route locale, les interfaces connectées directement, les routes statiques ou via un protocole de routage
dynamique.
Un concentrateur Ethernet agit également comme un répéteur multiport, les ponts ont deux interfaces et sont
connectés entre les concentrateurs, et les commutateurs LAN connectent les périphériques dans une topologie
en étoile.
Les commutateurs LAN déterminent comment traiter les trames de données entrantes en gérant la
table d'adresses MAC.
Les appareils d'un VLAN se comportent comme s'ils se trouvaient chacun sur leur propre réseau
indépendant, même s'ils partagent une infrastructure commune avec d'autres VLAN.
Résumé (suite)
Le protocole STP garantit la présence d'un seul chemin logique entre toutes les destinations sur le réseau en
bloquant intentionnellement les chemins redondants susceptibles de provoquer une boucle.
Les réseaux sans fil (WLAN) utilisent des fréquences radio au lieu de câbles au niveau de la couche physique et
de la sous-couche MAC de la couche de liaison de données.
Des trames de gestion sont utilisées par les périphériques sans fil pour effectuer le processus en trois étages de
détection de point d'accès (AP), d'authentification et d'association.
Lorsque vous utilisez un contrôleur LAN sans fil (WLC), les points d'accès n'agissent plus de manière autonome,
mais plutôt comme des points d'accès légers (LWAP).
Un pare-feu est un système, ou un groupe de systèmes, qui impose une politique de contrôle d'accès entre des
réseaux.
Il existe de nombreux types de pare-feu : pare-feu de filtrage de paquets (sans état), pare-feu avec état, pare-
feu de passerelle d'application (pare-feu proxy), pare-feu basé sur l'hôte (serveur et personnel), pare-feu
transparent et pare-feu hybride.
Les pare-feu de filtrage de paquets font généralement partie d'un pare-feu de routeur, qui autorise ou interdit
le trafic en fonction des informations des couches 3 et 4.
Les pare-feu dynamiques effectuent un filtrage dynamique des paquets à l'aide d'informations de connexion
mises
• jour dans une table d'états.
Les pare-feu de nouvelle génération vont au-delà des pare-feu avec état en fournissant des fonctionnalités de
pare-feu standard, la prévention intégrée des intrusions, la reconnaissance des applications, les chemins de
mise
• niveau permettant d'inclure les futurs flux d'informations et des techniques de gestion face à l'évolution
constante des menaces de sécurité.
Lorsque vous implémentez IDS ou IPS, il est important de connaître les types de systèmes disponibles, à
savoir les approches basées sur l'hôte et sur le réseau, le positionnement de ces systèmes, le rôle des
catégories de signature et les mesures possibles qu'un routeur Cisco IOS peut prendre quand une attaque est
détectée
Le choix de l'implémentation d'IDS et d'IPS à utiliser repose sur les objectifs de sécurité de l'entreprise
définis dans sa politique de sécurité réseau.
Une liste de contrôle d'accès (ACL, Access Control List) est une série de commandes qui déterminent si un
appareil achemine ou abandonne les paquets en fonction des informations contenues dans l'en-tête de
paquet.
Les listes de contrôle d'accès standard peuvent être utilisées pour autoriser ou refuser le trafic uniquement
depuis des adresses IPv4 source, tandis que les listes de contrôle d'accès étendues filtrent les adresses IPv4 en
fonction de différents attributs.
Le protocole SNMP (Simple Network Management Protocol) permet aux administrateurs de gérer les
terminaux sur un réseau IP et permet aux administrateurs réseau de surveiller et gérer les performances du
réseau, de rechercher et résoudre les problèmes de réseau et de planifier la croissance de ce dernier.
Un VPN connecte deux points de terminaison, comme un bureau à distance et un bureau central, sur un
réseau public, pour constituer une connexion logique.
L'infrastructure réseau comprend trois catégories de composants réseau : les périphériques, les supports et
les services.
Les topologies LAN et WAN peuvent être vues de deux façons : topologie physique ou topologie logique.
Les réseaux étendus sont généralement interconnectés selon la topologie physique point à point, Hub and
Spoke ou maillée.
Les terminaux peuvent être interconnectés selon des topologies physiques en étoile, en bus, en anneau ou
en étoile étendue.
Une conception LAN hiérarchique inclut les couches d'accès, de distribution et de cœur de réseau.
La conception des pare-feu repose principalement sur des interfaces d'appareils qui autorisent ou refusent le
trafic en fonction de la source, de la destination et du type de trafic.
Chapitre 2