Académique Documents
Professionnel Documents
Culture Documents
INTRODUCTION
1. Principe Générale
La sécurité du réseau est assurée par un boitier de sécurité situé entre le réseau et
Internet. Aujourd’hui, disposer d’un antivirus seul ne permet pas de sécuriser
le réseau informatique d’une entreprise. C’est pourquoi sécuriser le réseau
devient nécessaire. Cela permet également de mettre en place des fonctionnalités
sécurisées telles que :
• Les VLAN qui représentent les réseaux virtuels. Le but des vlan est de
créer des petits groupes d’utilisateurs au sein du réseau local afin de
mieux protéger certaines ressources plus ou moins critiques.
• L’adressage IP est une technique dé réseau qui permet d’éclater un
réseau en plusieurs sous-réseaux. Chaque sous réseau représente une
entité importante du réseau global
• Les protocoles de sécurité sont également utilisés tels que IPsec, SSH,
SSL, HTTPS,… pour protéger l’accès à l’information contre les
personnes non autorisées.
3. Le pare-feu
Son objectif est d’infiltrer votre réseau et de détecter d’éventuelles failles de sécurité
pour accéder à vos données. Mais la menace peut également venir de l’intérieur
lorsqu’un utilisateur clique malencontreusement sur un lien contenant un virus.
Il est donc important pour les entreprises de protéger leur réseau en installant
un dispositif de pare-feu que ce soit pour le filtrage des données interne ou
externe qui sera l’intermédiaire entre le réseau local (privé) et le réseau externe en
contrôlant et en filtrant les données échangées. Le fonctionnement d’un Firewall
repose sur des règles prédéfinies pour autoriser (allow), bloquer (deny) ou
rejeter(drop) la connexion.
En résumé un pare-feu détermine:
Toutefois, Il ne prévient pas contre les fichiers infectés, il est difficile d’inspecter
tous les fichiers entrants d’où̀ l’utilité́ d’installer les antivirus sur les stations.
Un pare feu peut être positionné à plusieurs endroits dans un réseau. Généralement,
on le positionne à l’entrée du réseau c'est-à-dire à une position qui sépare le réseau
interne du réseau externe.
Une liste de contrôle d’accès est une collection d’instructions ayant comme objectif
de permettre ou d'interdire l’accès à une ressource du réseau en fonction d’un certain
nombre de conditions ou de critères. Une ressource peut être un ordinateur, un
protocole, un serveur, une donnée ou n’importe quel autre service réseau. Les ACL
jouent le rôle de pare feu dans un routeur.
Les ACL opèrent selon un ordre séquentiel et logique, en évaluant les paquets à
partir du début de la liste. Dès qu’une règle est appliquée, le reste de l’ACL est
ignorée. Il faut faire attention lors de la conception des ACL : tout trafic ne
correspondant à aucune règle est rejeté, ainsi, il faut toujours écrire les règles les
plus spécifiques avant les règles les plus génériques. On distingue trois types
d’ACL : les ACL standards, étendues et nommées.
a. Les ACL standards
Syntaxe :
La prochaine étape consiste à définir l’interface du routeur sur laquelle la liste sera
appliquée.
A(config)#int IX
A(config-if)#ip access-group no de l’ACL (in ou out)
NB:
• la commande « in » est utilisée lorsque le Trafic est entrant et « out » lorsque
le trafic est sortant
• un Trafic est dit entrant dans un routeur, lorsque le message qui est transmis
part de l’hôte vers le routeur et il est dit sortant lorsqu’il part du routeur pour
l’hôte.
• on écrit une ACL standard dans le routeur le plus proche de la destination
• Pour bien configurer une ACL, on doit être capable de répondre aux quatre
questions suivantes :
- De quel type d’ACL s’agit-il ?
- Dans quel routeur doit-on écrire cette ACL ?
- Sur quelle interface doit-on appliquer l’ACL ?
- Quelle est la direction du Trafic
On veut interdire le trafic ou les paquets du réseau L2B au réseau L2D. Appliquer
l’interdiction au routeur L2C ET L2D
L2C(config)#access-list 10 deny 172.31.1.0 0.0.0.127
L2C(config)#access-list 10 permit any
L2C(config)#interface Serial0/0/1 (On pend interface la plus proche de la
destination)
L2C(config-if)#ip access-group 10 out
Une ACL est dite étendue lorsqu’en plus de l’adresse IP source, on filtre également
l’adresse IP de destination, le protocole utilisé ainsi que les numéros de port des
applications qui communiquent en réseau à ceci s’ajoute une opération d'ordre
logique sur le protocole spécifié par la permission ou l'interdiction de la liste
d'accès. La liste des opérateurs est:
N.B :
• Host : remplace le masque générique ainsi la règle est appliquée à une seule
adresse et non à un ensemble d'adresses d'un réseau.
• Any : abréviation signifiant n’importe quelle adresse.
• On écrit une ACL étendue dans le routeur le plus proche de la source.
Exercice : On veut interdire l’accès au serveur web du LAN d’un terminal du LAN
L2C au serveur http branché au LAN L2D
On suppose l'adresse IP du serveur HTTP est 172.31.1.189 et celle de l’hôte qu'on veut lui
interdire l'accès web est 172.31.0.254
L2C(config)#interface G0/0
L2C(config-if)#ip access-group 110 in
NB :
On utilise les numéros pour distinguer les ACL dans un routeur. Les numéros allant
de 1 à 99 ou de 1300 à 1999 sont utilisés pour les ACL standards et ceux allant de
100 à 199 ou de 2000-2699 pour les ACL étendues.
Commandes usuelles :
Sh access-lists : pour Afficher la liste des acl
Ip access-list (standard ou extended) no ACL: pour entrer dans une ACL
No ip access-group no acl (in ou out): pour désactiver une acl sur une interface
Sh ip interface nom-interface: Afficher les acl appliquées à une interface
No access-list no-acl: pour supprimer une acl
c. Les ACLs nommées
C’est un réseau qui permet à deux entités ou à deux sites éloignés de communiquer
de manière sécurisée tout en empruntant une infrastructure de transport publique
telle qu’internet. Les VPN ont été créés pour des raisons économiques et de sécurité.
Au lieu d’installer une infrastructure de transport avec des équipements physiques
sur une longue distance, il est moins couteux pour chaque entreprise d’utiliser un
réseau publique existant comme internet ou tout autre réseau publique afin de
faciliter les échanges.
a. Principe de fonctionnement
Cours dispensé par Madame Belinga- Master II en Sécurité des Systèmes
Numériques
ANNEE ACADEMIQUE 2021-2022
Etablissement Inter – Etats d’Enseignement Supérieur
CENTRE D’EXCELLENCE TECHNOLOGIQUE PAUL BIYA
BP 13 719 Yaoundé (Cameroun) Tél. (237) 22 72 99 57/ (237) 22 72 99 58
Site web: www.iaicameroun.com E-mail: contact@iaicameroun.com
• Intranet VPN : Utilisé pour relier deux ou plusieurs intranets d’une même
entreprise entre eux. Ce type de réseau est particulièrement utile au sein d’une
entreprise possédant plusieurs sites distants.
• Extranet VPN : Une entreprise peut utiliser le VPN pour communiquer avec
ses clients et ses partenaires. Elle ouvre alors son réseau local à ces derniers.
Cours dispensé par Madame Belinga- Master II en Sécurité des Systèmes
Numériques
ANNEE ACADEMIQUE 2021-2022
Etablissement Inter – Etats d’Enseignement Supérieur
CENTRE D’EXCELLENCE TECHNOLOGIQUE PAUL BIYA
BP 13 719 Yaoundé (Cameroun) Tél. (237) 22 72 99 57/ (237) 22 72 99 58
Site web: www.iaicameroun.com E-mail: contact@iaicameroun.com
c. protocoles VPN
couche de plus bas niveau) des paquets PPP au niveau de la couche 2 (frame
relay et ATM) et de la couche3.L2TP est un protocole de niveau 2, s'appuyant
sur PPP et permettant l'établissement d'un tunnel. Ce protocole n'assure que le
transport des données et leur intégrité, pas leur confidentialité. Ainsi les
données qui transitent par l'intermédiaire de ce protocole ne sont pas cryptées
et donc potentiellement lisibles par un tiers d’où l’encapsulation des paquets
IPSec pour assurer la confidentialité des données.
Couche 3
• IPsec (internet protocol security): c’est un protocole qui vise l’échange
sécurisée des données de niveau 3. Les données sont rendues inintelligibles
par un algorithme de chiffrement qui permet une transmission sécurisée de
ces données dans le réseau publique.
Couche 4
• TLS: transport layer security
La phase 1 crée le premier tunnel qui protège les messages de négociation ISAKMP
ultérieurs. La phase 2 crée le tunnel qui protège les données. IPSec entre alors en jeu
pour crypter les données en utilisant des algorithmes de cryptage et fournit des
services d’authentification, de cryptage .
2. Configuration d’IPsec
• Créer une liste de contrôle d’accès étendue
Commandes usuelles :
• show crypto isakmp policy //verification des strategies ISAKMP
6. Les VLAN
Rappel sur l’adressage
Execice1
Segmenter les réseaux suivants
- 11.0.0.0/10
- 15.0.0.0/25
- 13.14.0.0/29
Exercice2
a) A quel réseau appartient l’adresse 192.168.100.25/30
b) Quel est le broadcast de 192.168.162.10/29
c) Quelle est la quantité d’hôte disponible pour une adresse de C avec /29
Un VLAN est un réseau local virtuel c'est-à-dire un réseau qui est créé au sein d’un
réseau physique en utilisant des équipements physiques. Les VLAN sont des réseaux
de niveau 2, ils sont créés dans les commutateurs et permettent de créer des groupes
d’utilisateurs dans un réseau physique afin que les utilisateurs qui partagent les
mêmes services puissent travailler ensemble indépendamment des autres. Les
VLAN permettent de regrouper les utilisateurs géographiquement éloignés c'est-à-
dire que plusieurs utilisateurs peuvent être dans des pièces différentes plus ou moins
éloignées mais se trouvent dans le même réseau. Les vlan constituent une technique
de sécurité en ce sens où ils permettent d’éclater un réseau physique en plusieurs
réseaux logiques. Un utilisateur qui se trouve dans le vlan A ne peut pas accéder à
une ressource du vlan B s’il n’a pas de privilèges.
Création de vlan
Pour créer les vlan, on procède de la manière suivante :
- On crée les vlan dans le commutateur. La syntaxe utilisée est : vlan id_vlan
- On affecte les ports du switch à leur vlan respectif en utilisant la commande
switchport mode access si le port est de type accès ou la commande switchport
mode trunk si le port est de type trunk. Le mode accès est utilisé
lorsqu’uniquement les trames d’un vlan passent par ce port. Le mode trunk
quant à lui est utilisé sur une interface (ou port) lorsque les trames de plusieurs
vlan passent par ce port.
- On configure le routeur pour effectuer le routage inter vlan
• Routeur#conf t
• Routeur(config)#interface fastethernet 0/0(par exemple)
• Routeur(config-if)#no shutdown
• Faire l’encapsulation
• Routeur#conf t
• Routeur(config)#interface fastethernet 0/0.id_vlan
• Routeur(config-subif)#encapsulation dot1q id_vlan
• Routeur(config-subif)#ip address 192.168.0.254 255.255.255.0
• Routeur(config-subif)#no shutdown
• Routeur(config-subif)#end
Faire du routage avec la commande « ip route » ou avec celle du protocole utilisé
• ip route 0.0.0.0 0.0.0.0 adr_IP_interface_VLAN
Enregistrement des configurations
• Routeur#copy running-config startup-config
Mettre les passerelles sur chacune des machines connectées au vlan
Création de VLAN
Switch>en
Switch#vlan database
Switch(vlan)#vlan 10 name gl2a
VLAN 10 added:
Name: gl2a
Switch(vlan)#vlan 20 name gl2b
VLAN 20 added:
Name: gl2b
Switch(vlan)#exit
APPLY completed.
Exiting....
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#int f0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
Switch(config-if)#no sh
Switch(config-if)#exit
Switch(config)#int f0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
Switch(config-if)#no sh
Switch(config-if)#exit
Switch(config)#int f0/3
Un PC du VLAN prof
LAB2
Switch>en
Switch#vlan database
Switch(vlan)#vtp domain IAI
Changing VTP domain name from NULL to IAI
Switch(vlan)#VTp server
Device mode already VTP SERVER.
Switch(vlan)#vlan 10 name gl2a
VLAN 10 added:
Name: gl2a
Switch(vlan)#vlan 20 name gl2b
VLAN 20 added:
Name: gl2b
Switch(vlan)#exit
APPLY completed.
Exiting....
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#int f0/1
Switch(config-if)#switchport access vlan 10
Switch(config-if)#no sh
Switch(config-if)#exit
Switch(config)#int f0/2
Switch(config-if)#switchport access vlan 10
Switch(config-if)#no sh
Switch(config-if)#exit
Switch(config)#int f0/3
Switch(config-if)#switchport access vlan 20
Switch(config-if)#no sh
Switch(config-if)#exit
Switch(config)#int f0/5
Switch(config-if)#switchport mode trunk
Switch(config-if)#no sh
Switch(config-if)#exit
Switch(config)#int f0/4
Switch(config-if)#switchport mode trunk
Switch(config-if)#end
%SYS-5-CONFIG_I: Configured from console by console
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#hostname switchserveur
switchserveur(config)#
Switch(config-if)#exit
Switch(config)#HOS
Switch(config)#HOStname SWITCHCLIENT
SWITCHCLIENT(config)#
CONFIG ROUTEUR
Router>en
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#int f0/0
Router(config-if)#no sh
7. Le Proxy
Un serveur proxy joue le rôle de passerelle entre Internet et vous. C’est un serveur
intermédiaire qui sépare les utilisateurs, des sites Web sur lesquels ils naviguent.
Cours dispensé par Madame Belinga- Master II en Sécurité des Systèmes
Numériques
ANNEE ACADEMIQUE 2021-2022
Etablissement Inter – Etats d’Enseignement Supérieur
CENTRE D’EXCELLENCE TECHNOLOGIQUE PAUL BIYA
BP 13 719 Yaoundé (Cameroun) Tél. (237) 22 72 99 57/ (237) 22 72 99 58
Site web: www.iaicameroun.com E-mail: contact@iaicameroun.com
Par exemple, lorsqu’un utilisateur fait une requête sur internet, celle-ci va se
connecter en premier lieu au serveur proxy, qui va transmettre la requête au serveur
de l’application que l’utilisateur essaie de joindre. Le serveur donne sa réponse au
proxy qui la transmet à son tour à l’utilisateur.
Le proxy vous permet de naviguer en toute discrétion car l’adresse IP qui est utilisée
est celle du proxy, et non pas la vôtre. Il protège ainsi votre anonymat et votre vie
privée.
Devoir: présenter les avantages et les inconvénients d’un IDS, ainsi que les différents
types d’IDS.
https://www.syloe.com/glossaire/firewall-pare-feu/
http://alois.aubel.online.fr/form/admin/firewall/firewall3.html
https://kinsta.com/fr/blog/qu-est-ce-qu-un-pare-feu/
http://www.labouret.net/ppp/
https://www.provectio.fr/securite-informatique/securite-des-
reseaux.html