CHAPITRE 2 - LA SECURITE RESEAUX - Copie

Etablissement Inter – Etats d’Enseignement Supérieur
CENTRE D’EXCELLENCE TECHNOLOGIQUE PAUL BIYA

BP 13 719 Yaoundé (Cameroun) Tél. (237) 22 72 99 57/ (237) 22 72 99 58
Site web: www.iaicameroun.com E-mail: contact@iaicameroun.com
CHAPITRE 2 : LA SECURITE RESEAUX

Objectif général: permettre aux étudiants de comprendre la sécurité réseau et
d’implémenter quelques solutions
Objectifs spécifiques:
À la fin de ce cours, l’étudiant doit être à mesure de :
• Comprendre le fonctionnement de quelques techniques de sécurité réseaux
• Connaitre comment configurer les VPN, les listes de contrôle d’accès, les
VLAN et les pare feu.
INTRODUCTION
Les réseaux informatiques permettent aujourd’hui à toute entité de pourvoir

communiquer avec n’importe quelle autre à travers le monde. Il faut cependant
trouver des solutions non seulement pour protéger les communications mais aussi
les différentes ressources locales et partagées du réseau. Le but de ce cours est donc
de connaitre ces solutions et de pouvoir les implémenter.
1. Principe Générale
La sécurité du réseau est assurée par un boitier de sécurité situé entre le réseau et
Internet. Aujourd’hui, disposer d’un antivirus seul ne permet pas de sécuriser
le réseau informatique d’une entreprise. C’est pourquoi sécuriser le réseau
devient nécessaire. Cela permet également de mettre en place des fonctionnalités
sécurisées telles que :
Cours dispensé par Madame Belinga- Master II en Sécurité des Systèmes

Numériques
ANNEE ACADEMIQUE 2021-2022
• Protéger le réseau de l’entreprise des agressions extérieures

permanentes à partir d’internet ;
• La surveillance proactive de la consommation de la bande passante
internet (pour éviter le ralentissement des opérations ce qui peut
impacter sur la productivité de l’entreprise) ;
• Mettre en place des règles pour filtrer l’utilisation de sites Internet ;
• Permettre aux utilisateurs autorisés d’accéder à distance au réseau de
l’entreprise.
2. La Sécurité interne
Pour sécuriser un réseau interne, on utilise généralement les outils de sécurité

tels que:
• Les pare feu dans lesquels sont écrites les règles de sécurité visant à
protéger le réseau contre les accès externes ;
• Les outils de détection d’intrusion dont le rôle est de détecter une
attaque et d’alerter l’administrateur, ou de détecter toute autre activité
normale ou anormale du réseau ;
• Les proxy dont le rôle peut être comparé à une zone tampon entre le
réseau interne et le réseau externe. Des accès ou des sorties non
autorisés peuvent être bloqués dans le proxy ;
• Les listes de contrôle d’accès qui sont des règles écrites dans un routeur
pour gérer le réseau interne.X C

Numériques
• Les VLAN qui représentent les réseaux virtuels. Le but des vlan est de
créer des petits groupes d’utilisateurs au sein du réseau local afin de
mieux protéger certaines ressources plus ou moins critiques.
• L’adressage IP est une technique dé réseau qui permet d’éclater un
réseau en plusieurs sous-réseaux. Chaque sous réseau représente une
entité importante du réseau global
• Les protocoles de sécurité sont également utilisés tels que IPsec, SSH,
SSL, HTTPS,… pour protéger l’accès à l’information contre les
personnes non autorisées.
3. Le pare-feu
Un firewall (ou pare-feu) est un matériel ou un logiciel utilisé pour protéger un

ordinateur ou un réseau local des intrusions extérieures. Il agit comme une barrière
de protection et de sécurité empêchant la fuite de certaines informations en dehors
du réseau informatique. Il permet de gérer, de contrôler, d’analyser, et de sécuriser
le réseau de l’entreprise. Son principe est assez simple, pour protéger un ordinateur
d’attaques malveillantes, il va vérifier les informations venant d’internet ou d’un
réseau quelconque puis les bloque ou les autorise en fonction de certaines règles
préalablement établies.
- Rôle et fonctionnement du pare-feu

Lorsque l’on met en place un réseau informatique avec une multitude d’ordinateurs
connectés à celui-ci, ces derniers risques potentiellement une attaque par un pirate.

Numériques
Son objectif est d’infiltrer votre réseau et de détecter d’éventuelles failles de sécurité
pour accéder à vos données. Mais la menace peut également venir de l’intérieur
lorsqu’un utilisateur clique malencontreusement sur un lien contenant un virus.
Il est donc important pour les entreprises de protéger leur réseau en installant
un dispositif de pare-feu que ce soit pour le filtrage des données interne ou
externe qui sera l’intermédiaire entre le réseau local (privé) et le réseau externe en
contrôlant et en filtrant les données échangées. Le fonctionnement d’un Firewall
repose sur des règles prédéfinies pour autoriser (allow), bloquer (deny) ou
rejeter(drop) la connexion.
En résumé un pare-feu détermine:
• quels services internes peuvent être accédés de l’extérieur;

• quels éléments extérieurs peuvent accéder aux services internes autorisés ;
• quels services externes ou internes peuvent être accédés par les éléments
internes ;
Toutefois, Il ne prévient pas contre les fichiers infectés, il est difficile d’inspecter
tous les fichiers entrants d’où̀ l’utilité́ d’installer les antivirus sur les stations.
Un pare feu peut être positionné à plusieurs endroits dans un réseau. Généralement,
on le positionne à l’entrée du réseau c'est-à-dire à une position qui sépare le réseau
interne du réseau externe.

Numériques
Devoir 1: Présenter les différents types de pare-feu
Devoir 2 : Configurer un pare-feu personnel sous Windows et sur Linux
4. Les listes de contrôle d’accès ou ACL

Numériques
Une liste de contrôle d’accès est une collection d’instructions ayant comme objectif
de permettre ou d'interdire l’accès à une ressource du réseau en fonction d’un certain
nombre de conditions ou de critères. Une ressource peut être un ordinateur, un
protocole, un serveur, une donnée ou n’importe quel autre service réseau. Les ACL
jouent le rôle de pare feu dans un routeur.
Les ACL opèrent selon un ordre séquentiel et logique, en évaluant les paquets à
partir du début de la liste. Dès qu’une règle est appliquée, le reste de l’ACL est
ignorée. Il faut faire attention lors de la conception des ACL : tout trafic ne
correspondant à aucune règle est rejeté, ainsi, il faut toujours écrire les règles les
plus spécifiques avant les règles les plus génériques. On distingue trois types
d’ACL : les ACL standards, étendues et nommées.
a. Les ACL standards
Les ACLs standards utilisent des spécifications d’adresses simplifiées et autorisent

ou refusent un ensemble de protocoles, elles se font uniquement sur l’adresse IP
source.
Syntaxe :

Numériques
access-list no de l’ACL (deny ou permit) (adresse de la source) (son masque

générique).
Exemple :
A(config)#access-list 10 deny 192.168.100.0 0.0.0.255
Le numéro de la liste est 10 et on demande au routeur A d'interdire les paquets

provenant des clients du réseau 192.168.100.0/24.
Les autres paquets des autres réseaux sont aussi interdites car une fois une règle est
appliquée tout autre trafic est bloqué.
A(config)#access-list 10 permit any : pour permettre la commutation des autres

paquets.
La prochaine étape consiste à définir l’interface du routeur sur laquelle la liste sera
appliquée.
A(config)#int IX
A(config-if)#ip access-group no de l’ACL (in ou out)
NB:
• la commande « in » est utilisée lorsque le Trafic est entrant et « out » lorsque
le trafic est sortant

Numériques
• Si la direction de l'interdiction n'est pas définit, le routeur considérera la

direction out par défaut.
• un Trafic est dit entrant dans un routeur, lorsque le message qui est transmis
part de l’hôte vers le routeur et il est dit sortant lorsqu’il part du routeur pour
l’hôte.
• on écrit une ACL standard dans le routeur le plus proche de la destination
• Pour bien configurer une ACL, on doit être capable de répondre aux quatre
questions suivantes :
- De quel type d’ACL s’agit-il ?
- Dans quel routeur doit-on écrire cette ACL ?
- Sur quelle interface doit-on appliquer l’ACL ?
- Quelle est la direction du Trafic
Exercice : soit la topologie suivante :

Numériques
On veut interdire le trafic ou les paquets du réseau L2B au réseau L2D. Appliquer
l’interdiction au routeur L2C ET L2D
L2C(config)#access-list 10 deny 172.31.1.0 0.0.0.127
L2C(config)#access-list 10 permit any
L2C(config)#interface Serial0/0/1 (On pend interface la plus proche de la
destination)
L2C(config-if)#ip access-group 10 out
(Le faire sur le routeur L2D)

Numériques
b. Les ACL Étendues
Une ACL est dite étendue lorsqu’en plus de l’adresse IP source, on filtre également
l’adresse IP de destination, le protocole utilisé ainsi que les numéros de port des
applications qui communiquent en réseau à ceci s’ajoute une opération d'ordre
logique sur le protocole spécifié par la permission ou l'interdiction de la liste
d'accès. La liste des opérateurs est:
• Lt plus petit que,

• Gt plus grand que,
• Eq égal à,
• Neq différent de
Syntaxe :
access-list no de l’ACL (deny ou permit) protocol (adresse d’origine masque
générique) (adresse destination masque générique) opérateur opérande
ou argument
Exemple :
A(config)#access-list 150 deny udp host 192.168.10.10 host 192.168.20.11 eq
tftp (Cette liste concerne le protocole UDP, la source est un hôte ayant une adresse IP
192.168.10.10 et on lui interdit l'accès à l'adresse IP 192.168.20.11 qui est celle d'un serveur
tftp.)
A(config)#access-list 150 permit udp any any ( On permet le protocole UDP à toutes
les adresses sources 'any' vers toutes les adresses destinations donc un deuxième 'any').
N.B :

Numériques
• Host : remplace le masque générique ainsi la règle est appliquée à une seule
adresse et non à un ensemble d'adresses d'un réseau.
• Any : abréviation signifiant n’importe quelle adresse.
• On écrit une ACL étendue dans le routeur le plus proche de la source.
Exercice : On veut interdire l’accès au serveur web du LAN d’un terminal du LAN
L2C au serveur http branché au LAN L2D
On suppose l'adresse IP du serveur HTTP est 172.31.1.189 et celle de l’hôte qu'on veut lui
interdire l'accès web est 172.31.0.254
L2C(config)#access-list 110 deny tcp host 172.31.0.254 host

172.31.1.189 eq www
L2C(config)#access-list 110 permit tcp any any
L2C(config)#interface G0/0
L2C(config-if)#ip access-group 110 in

Numériques
NB :
On utilise les numéros pour distinguer les ACL dans un routeur. Les numéros allant
de 1 à 99 ou de 1300 à 1999 sont utilisés pour les ACL standards et ceux allant de
100 à 199 ou de 2000-2699 pour les ACL étendues.
Commandes usuelles :
Sh access-lists : pour Afficher la liste des acl
Ip access-list (standard ou extended) no ACL: pour entrer dans une ACL
No ip access-group no acl (in ou out): pour désactiver une acl sur une interface
Sh ip interface nom-interface: Afficher les acl appliquées à une interface
No access-list no-acl: pour supprimer une acl
c. Les ACLs nommées
L’ACL nommée, permet de donner un nom a une ACL. On se réfère donc à

l’ACL par son nom et plus par un numéro. Cela implique que lors de sa création,
on doit spécifier s’il s’agit d’une standard ou d’une étendue.
Syntaxe :
ip access-list (extended ou standard) nom-acl
5. Les VPN (Virtual Private Network)
C’est un réseau qui permet à deux entités ou à deux sites éloignés de communiquer
de manière sécurisée tout en empruntant une infrastructure de transport publique
telle qu’internet. Les VPN ont été créés pour des raisons économiques et de sécurité.
Au lieu d’installer une infrastructure de transport avec des équipements physiques
sur une longue distance, il est moins couteux pour chaque entreprise d’utiliser un
réseau publique existant comme internet ou tout autre réseau publique afin de
faciliter les échanges.
a. Principe de fonctionnement
Numériques
Un réseau VPN repose sur un protocole appelé « Protocole de tunneling ».Ce

protocole permet de faire circuler les informations de l’entreprise de façon cryptée
d’un bout à l’autre du tunnel. Ainsi, les utilisateurs ont l’impression de se connecter
directement sur le réseau de l’entreprise. Le principe de tunneling consiste à
construire un chemin virtuel après avoir identifié l’émetteur et le destinataire. Par la
suite, la source chiffre les données et les achemine en empruntant ce chemin virtuel.
Le tunneling est l’ensemble des processus d’encapsulation, de transmission et de
désencapsulation.
Devoir No 3 : Avantages et Inconvénients d’un VPN

b. Types de VPN
• VPN d’accès : Utilisé pour permettre à des utilisateurs itinérants d’accéder
au réseau de leur entreprise. L’utilisateur se sert d’une connexion internet afin
d’établir une liaison sécurisée.

Numériques
• Intranet VPN : Utilisé pour relier deux ou plusieurs intranets d’une même
entreprise entre eux. Ce type de réseau est particulièrement utile au sein d’une
entreprise possédant plusieurs sites distants.
• Extranet VPN : Une entreprise peut utiliser le VPN pour communiquer avec
ses clients et ses partenaires. Elle ouvre alors son réseau local à ces derniers.
Numériques
c. protocoles VPN
Ils sont classés en fonction de leur position sur le modèle OSI

Couche 2:
• PPP (point to point Protocol): c’est un protocole de la couche 2 adapté pour
les transmissions grande distance. Il assure l’échange de données de manière
fiable sur une liaison point à point. Sa principale caractéristique est, une fois
la liaison établie et configurée, de permettre à plusieurs protocoles de
transférer des données simultanément ( full duplex mode). Il permet de
transporter les données sur un lien synchrone ( les données sont transférées
sous forme de trames ou de blocs, nécessite un signal d'horloge entre
l'expéditeur et le destinataire afin d'informer celui-ci du nouvel octet, rapide,
simple et économique) et asynchrone (les données sont transmises 1 octet à la
fois, l’émetteur et le récepteur n’exigent pas de signal d’horloge car les
données envoyées ici sont associées à un bit de parité qui indique le début du
nouvel octet, plus lent, complexe et couteux )
Numériques
Le protocole PPP est composé de trois éléments :
- Un protocole de contrôle de liaison (Link Control Protocol, LCP) qui a

pour rôle d'établir, de configurer, de tester et de fermer la liaison de
données.
- Une famille de protocoles de contrôle (Network Control Protocols,
NCPs) pour lancer et configurer différents protocoles de la couche
réseau (Network Protocols, NPs).
- Une méthode d'encapsulation permettant de transporter sur la même
ligne les données en provenance de plusieurs protocoles de la couche
réseau en même temps.
• PPTP (point to point tunneling Protocol): C’est un protocole qui utilise le PPP
à travers un réseau IP sur un tunnel VPN. Il utilise deux protocoles
d’authentification :
- le PAP (password accès Protocol) : login et mot de passe transmis en
clair,
- le CHAP (challenge Access Protocol) il s’appuie sur le secret partagé,
il n’y a pas de communication de mot de passe
le rôle de PPTP est de chiffrer la trame PPP avant de l’envoyer. Il chiffre en

réalité le paquet IP qui est contenu dans la trame.
• L2TP (layer two tunneling protocol): Il est issu de la convergence de PPTP
et L2F (layer two forwarding. Il permet l’encapsulation (le fait d’ajouter pour
une couche d’ajouter son entete pour qu’elle puisse etre exploitable vers la
Numériques
couche de plus bas niveau) des paquets PPP au niveau de la couche 2 (frame
relay et ATM) et de la couche3.L2TP est un protocole de niveau 2, s'appuyant
sur PPP et permettant l'établissement d'un tunnel. Ce protocole n'assure que le
transport des données et leur intégrité, pas leur confidentialité. Ainsi les
données qui transitent par l'intermédiaire de ce protocole ne sont pas cryptées
et donc potentiellement lisibles par un tiers d’où l’encapsulation des paquets
IPSec pour assurer la confidentialité des données.
Couche 3
• IPsec (internet protocol security): c’est un protocole qui vise l’échange
sécurisée des données de niveau 3. Les données sont rendues inintelligibles
par un algorithme de chiffrement qui permet une transmission sécurisée de
ces données dans le réseau publique.
IPsec a deux mécanismes : le premier est basé sur AH (authentification

header), le deuxième sur ESP ( encapsulation security payload)
AH fournit les services d’intégrité et d’authenticité du datagramme IP. Il est
lié à chaque paquet IP. ESP permet de combiner plusieurs services de sécurité à
savoir la confidentialité et l’intégrité, l’unicité des paquets également.
• MPLS: multi-protocol label switching
Couche 4
• TLS: transport layer security
Devoir: présentation des protocoles MPLS et TLS
TP: Configuration d’un VPN site à site avec IPsec

Numériques
Étapes de Configuration d’un VPN
1. Configurer ISAKMP (Internet Security Association et Key Management Protocol) pour

IKE phase 1
2. Configurer IPsec pour IKE phase 2
ISAKMP et IPSec sont essentiels à la construction et au chiffrement du tunnel VPN.

ISAKMP, également appelé IKE (Internet Key Exchange), est le protocole de
négociation qui permet à deux hôtes de s’accorder sur la manière de construire une
association de sécurité IPsec. La négociation ISAKMP se compose de deux phases:
Phase 1 et Phase 2.
La phase 1 crée le premier tunnel qui protège les messages de négociation ISAKMP
ultérieurs. La phase 2 crée le tunnel qui protège les données. IPSec entre alors en jeu
pour crypter les données en utilisant des algorithmes de cryptage et fournit des
services d’authentification, de cryptage .

Numériques
1. Configuration de ISAKMP PHASE 1
YDE(config)# crypto isakmp policy 100 // définition de la stratégie de priorité, chaque

strtégie est identifiée de manière unique par un numéro (1 est la priorité la plus élevée)
YDE(config-isakmp)# authentication pre-share // specification de la methode
d’authentification: par clé prépartagée
YDE(config-isakmp)# encr des // Spécification de l’algorithme de cryptage : DES
YDE(config-isakmp)# group 2 // definit la force de la clé (1024) (identifiant du groupe de
Diffie-Hellman, plus le numero du group est élevé plus la clé sera robuste)
YDE(config-isakmp)# lifetime 86400 //durée de vie de la session en secondes
YDE(config-isakmp)# hash md5 // Spécification de l’algorithme de hashage : MD5
YDE(config)# crypto isakmp key coursSecurite address 200.1.1.2 // on définit la clé qui
sera utilisée par le site distant

Numériques
2. Configuration d’IPsec
• Créer une liste de contrôle d’accès étendue
YDE(config)# ip access-list extended VPN-TRAFFIC
YDE(config-ext-nacl)# permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

• Créer une transformation IPSec
YDE(config)# crypto ipsec transform-set TP esp-aes 128 esp-md5-hmac
• Créer un Crypto Map
YDE(config)#crypto map MapVPN 10 ipsec-isakmp

YDE(config-crypto-map)#set peer 200.1.1.2
YDE(config-crypto-map)#set transform-set TP
YDE(config-crypto-map)#MATCh address VPN-TRAFFIC
• Appliquer la carte cryptographique à l’interface publique

YDE(config)#int F0/0
YDE(config-if)#crypto map MapVPN
(Faire de même en respectant quelques changements sur le site de Douala)
Commandes usuelles :
• show crypto isakmp policy //verification des strategies ISAKMP
• show crypto ipsec transform-set

• show crypto isakmp sa

Numériques
6. Les VLAN
Rappel sur l’adressage
On distingue plusieurs types d’adressage : l’adressage par classe, l’adressage CIDR

et le VLSM. L’adressage par classe étant obsolète, on utilise aujourd’hui le CIDR
et le VLSM. L’importance de connaitre l’adressage IP est primordiale. C’est la base
des réseaux informatiques. Une maitrise parfaite de l’adressage nous conforte à
l’administration des réseaux informatiques.
v Formule de calcul
Nombre de sous-réseau (Nsr) : 2n n représente le nombre de bits empruntés à la partie

réseau
Nombre d’ hôte par sous-réseau (Nh) : 2h-2 h représente le Nombre de bit restant
de la partie hôte.
Pas de sous-réseaux (pas) : 2t t représente le nombre de bit restant sur l’octet de
variation
Exercice :
Soit l’adresse 192.168.4.0/255.255.255.0, segmenter cette adresse en sous réseaux
de 41 hôtes
11111111.11111111.11111111.11000000
Nombre de sous réseaux : 22=4 nombre d’hôtes par sous réseaux : 26-2=62 PAS
de sous réseaux :64
Sous réseaux Masque de sous Adresses de Plage d’hôtes utilisables
réseaux broadcast

Numériques
192.168.4.0 255.255.255.192 192.168.4.63 192.168.4.1 à

192.168.4.62
192.168.4.64 255.255.255.192 192.168.4.127 192.168.4.65 à
192.168.4.126
192.168.4.128 255.255.255.192 192.168.4.191 192.168.4.129 à
192.168.4.190
192.168.4.192 255.255.255.192 192.168.4.255 192.168.4.193 à
192.168.4.254
Segmenter le réseau 192.168.116.0/27

Nombre de sous réseaux : 23=8 nombre d’hôtes par sous réseaux : 25-2=30 PAS
de sous réseaux :32
Adresse de sous-réseau Plage d’adresses utilisables Broadcast

192.168.116.0/27 192.168.116.1 – 192.168.116.30 192.168.116.31
192.168.116.32/27 192.168.116.33 – 192.168.116.62 192.168.116.63
192.168.116.64/27 192.168.116.65 – 192.168.116.94 192.168.116.95
192.168.116.96/27 192.168.116.97 – 192.168.116.126 192.168.116.127
192.168.116.128/27 192.168.116.129 – 192.168.116.158 192.168.116.159
192.168.116.160/27 192.168.116.161 – 192.168.116.190 192.168.116.191
192.168.116.192/27 192.168.116.193 – 192.168.116.222 192.168.116.223
192.168.116.224/27 192.168.116.225 – 192.168.116.254 192.168.116.255

Numériques
Execice1
Segmenter les réseaux suivants
- 11.0.0.0/10
- 15.0.0.0/25
- 13.14.0.0/29
Exercice2
a) A quel réseau appartient l’adresse 192.168.100.25/30
b) Quel est le broadcast de 192.168.162.10/29
c) Quelle est la quantité d’hôte disponible pour une adresse de C avec /29
L’adressage VLSM (principe et segmentation)

VLSM signifie Variable Length Subnet Mask c’est-à-dire masque de sous-réseaux
à longueur variable. C’est une technique utilisée pour optimiser la gestion des
adresses IP dans un réseau. Pour mieux comprendre le VLSM, nous allons
l’appliquer dans un cas pratique qu’on rencontre généralement en entreprise.
Exercice d’application :
Une entreprise est constituée de 3 départements : le département administratif ( 90
personnes), de production (46 personnes) commercial (22 personnes) . Le directeur
général veut que chaque département soit dans un sous-réseau différent des autres
et qu’il est possible que d’autres départements soient créés au fur et à mesure de
l’évolution de l’entreprise. On vous demande de segmenter le réseau 192.168.0.0/24.
en respectant la politique du directeur général.

Numériques
Solution : département administratif : 192.168.0.0/25 (pour 90 machines)

Département de production :192.168.0.128/26 (pour 46 machines)
Département commercial :192.168.0.192/27 (pour 22 machines)
N.B : il ne manque plus qu’à segmenter tous ces différents réseaux pour attribuer
une adresse à chaque machine.
Un VLAN est un réseau local virtuel c'est-à-dire un réseau qui est créé au sein d’un
réseau physique en utilisant des équipements physiques. Les VLAN sont des réseaux
de niveau 2, ils sont créés dans les commutateurs et permettent de créer des groupes
d’utilisateurs dans un réseau physique afin que les utilisateurs qui partagent les
mêmes services puissent travailler ensemble indépendamment des autres. Les
VLAN permettent de regrouper les utilisateurs géographiquement éloignés c'est-à-
dire que plusieurs utilisateurs peuvent être dans des pièces différentes plus ou moins
éloignées mais se trouvent dans le même réseau. Les vlan constituent une technique
de sécurité en ce sens où ils permettent d’éclater un réseau physique en plusieurs
réseaux logiques. Un utilisateur qui se trouve dans le vlan A ne peut pas accéder à
une ressource du vlan B s’il n’a pas de privilèges.
Création de vlan
Pour créer les vlan, on procède de la manière suivante :
- On crée les vlan dans le commutateur. La syntaxe utilisée est : vlan id_vlan
- On affecte les ports du switch à leur vlan respectif en utilisant la commande
switchport mode access si le port est de type accès ou la commande switchport
mode trunk si le port est de type trunk. Le mode accès est utilisé

Numériques
lorsqu’uniquement les trames d’un vlan passent par ce port. Le mode trunk
quant à lui est utilisé sur une interface (ou port) lorsque les trames de plusieurs
vlan passent par ce port.
- On configure le routeur pour effectuer le routage inter vlan
Lorsqu’aucun vlan n’est configuré dans le commutateur, tous les ordinateurs

connectés au switch sont dans le même vlan appelé vlan 1 ou vlan par défaut. Le
numéro 1 ne peut plus être attribué à aucun autre vlan.
Configuration d’un VLAN
Un switch dispose d’un vlan par défaut qui est le VLAN 1 appelé VLAN NATIVE, il contient
tous les ports par défaut
Création de VLAN
• Switch#vlan database
• Switch(config)#vlan id_vlan name nom_vlan
• Switch#conf t
• Switch(config)#vlan id_vlan
• Switch(config-vlan)#name nom_vlan
Attribution des ports aux VLAN
• Switch#conf t
• Switch(config)#interface fastethernet 0/5(par exemple)(pour l’attribution de plusieurs ports à la
fois saisir la commande:interface range fastethernet0/5-0/10 par exemple)
• Switch(config-if)#switchport mode access(pour le mode access)
• Switch(config-if)#switchport access id_vlan
• Switch(config-if)#no shutdown
Routage inter VLAN
Activer d’abord l’interface du routeur

Numériques
• Routeur#conf t
• Routeur(config)#interface fastethernet 0/0(par exemple)
• Routeur(config-if)#no shutdown
• Faire l’encapsulation
• Routeur#conf t
• Routeur(config)#interface fastethernet 0/0.id_vlan
• Routeur(config-subif)#encapsulation dot1q id_vlan
• Routeur(config-subif)#ip address 192.168.0.254 255.255.255.0
• Routeur(config-subif)#no shutdown
• Routeur(config-subif)#end
Faire du routage avec la commande « ip route » ou avec celle du protocole utilisé
• ip route 0.0.0.0 0.0.0.0 adr_IP_interface_VLAN
Enregistrement des configurations
• Routeur#copy running-config startup-config
Mettre les passerelles sur chacune des machines connectées au vlan
Soit la figure ci-dessous

Numériques
Création de VLAN
Switch>en
Switch#vlan database
Switch(vlan)#vlan 10 name gl2a
VLAN 10 added:
Name: gl2a
Switch(vlan)#vlan 20 name gl2b
VLAN 20 added:
Name: gl2b
Switch(vlan)#exit
APPLY completed.
Exiting....
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#int f0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
Switch(config-if)#no sh
Switch(config-if)#exit

Numériques

Switch(config-if)#switchport mode trunk
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5, changed state to down

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5, changed state to up
Switch(config)#
Création des sous-interfaces au niveau du routeur
Router>en
Router#conf t
Router(config)#int f0/0
Router(config-if)#no sh
Router(config-if)#exit
Router(config)#int f0/0.10
Router(config-subif)#encapsulation dot1Q 10
Router(config-subif)#ip address 192.168.1.254 255.255.255.0
Router(config-subif)#no sh
Router(config-subif)#exit
Router(config-subif)#

Numériques
On adresse les PC en renseignant les passerelles

Un PC du VLAN etudiant
Un PC du VLAN prof

Numériques
Adressage d’un PC du VLAN admin
Ping d’un PC du VLAN 20 à un PC du VLAN 10

Numériques
LAB2
CONFIG SWITCH SERVEUR

Numériques
Switch>en
Switch#vlan database
Switch(vlan)#vtp domain IAI
Changing VTP domain name from NULL to IAI
Switch(vlan)#VTp server
Device mode already VTP SERVER.
VLAN 10 added:
Name: gl2a
VLAN 20 added:
Name: gl2b
Switch(vlan)#exit
APPLY completed.
Exiting....
Switch#conf t
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/4, changed state to down

Switch(config-if)#switchport trunk allowed vlan all

Numériques
Switch(config-if)#end
%SYS-5-CONFIG_I: Configured from console by console
Switch#conf t
Switch(config)#hostname switchserveur
switchserveur(config)#
CONFIG SWHITCH VTP CIENT

Switch(vlan)#vtp domain IAI
Domain name already set to IAI.
Switch(vlan)#vtp client
Setting device to VTP CLIENT mode.
Switch(vlan)#vlan 20 na
Apply not allowed when device is in CLIENT state.
Apply not allowed when device is in CLIENT state.
Switch(vlan)#exit
APPLY completed.
Exiting....
Switch#conf t
Switch(config-if)#switchport trunk allowed vlan all

Numériques
Switch(config)#HOS
Switch(config)#HOStname SWITCHCLIENT
SWITCHCLIENT(config)#
CONFIG ROUTEUR
Router>en
Router#conf t
Router(config)#int f0/0
Router(config-if)#no sh
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up

Router(config-if)#exit
%LINK-5-CHANGED: Interface FastEthernet0/0.10, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0.10, changed state to
upRouter(config-subif)#en
%LINK-5-CHANGED: Interface FastEthernet0/0.20, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0.20, changed state to
upRouter(config-subif)#enc
7. Le Proxy
Un serveur proxy joue le rôle de passerelle entre Internet et vous. C’est un serveur
intermédiaire qui sépare les utilisateurs, des sites Web sur lesquels ils naviguent.
Numériques
Un serveur proxy permet de sécuriser et d’améliorer l’accès à certaines pages web

en stockant des copies (ou caches), en filtrant certains contenus web et logiciels
malveillants, et en renforçant l’anonymat de ses utilisateurs.
Par exemple, lorsqu’un utilisateur fait une requête sur internet, celle-ci va se
connecter en premier lieu au serveur proxy, qui va transmettre la requête au serveur
de l’application que l’utilisateur essaie de joindre. Le serveur donne sa réponse au
proxy qui la transmet à son tour à l’utilisateur.
Le proxy vous permet de naviguer en toute discrétion car l’adresse IP qui est utilisée
est celle du proxy, et non pas la vôtre. Il protège ainsi votre anonymat et votre vie
privée.
8. Les IDS (Intrusion Detection System)

Numériques
La meilleure façon de protéger un réseau ou un système informatique est de détecter

les attaques et de se défendre avant même qu’elles ne puissent causer des
dommages. Ainsi beaucoup font appel à cet effet aux systèmes de détection
d’intrusion (IDS : intrusion detection system).
Un système de détection d’intrusion, est utilisé pour détecter les attaques contre un
réseau ou un système informatique. Le logiciel IDS nécessaire peut être installé sur
le système informatique à surveiller ou bien sur un appareil séparé. Les systèmes de
détection d’intrusion surveillent et analysent toutes les activités du réseau, pour
détecter un trafic inhabituel et avertir l’utilisateur dans un pareil cas. Cela permet
ainsi à l’utilisateur de pouvoir réagir aux tentatives d’accès au système de la part
d’intrus.
Exemple d’IDS : SNORT, NAGIOS, EYESOFNETWORK, CACTI, TRIPWIRE
Devoir: présenter les avantages et les inconvénients d’un IDS, ainsi que les différents
types d’IDS.

Numériques
https://www.syloe.com/glossaire/firewall-pare-feu/
http://alois.aubel.online.fr/form/admin/firewall/firewall3.html
https://kinsta.com/fr/blog/qu-est-ce-qu-un-pare-feu/
http://www.labouret.net/ppp/
https://www.provectio.fr/securite-informatique/securite-des-
reseaux.html

Numériques

CHAPITRE 2 - LA SECURITE RESEAUX - Copie

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

CHAPITRE 2 - LA SECURITE RESEAUX - Copie

Transféré par

Droits d'auteur :

Formats disponibles

Etablissement Inter – Etats d’Enseignement Supérieur

CENTRE D’EXCELLENCE TECHNOLOGIQUE PAUL BIYA

CHAPITRE 2 : LA SECURITE RESEAUX

Les réseaux informatiques permettent aujourd’hui à toute entité de pourvoir

Cours dispensé par Madame Belinga- Master II en Sécurité des Systèmes

• Protéger le réseau de l’entreprise des agressions extérieures

Pour sécuriser un réseau interne, on utilise généralement les outils de sécurité

Cours dispensé par Madame Belinga- Master II en Sécurité des Systèmes

Un firewall (ou pare-feu) est un matériel ou un logiciel utilisé pour protéger un

- Rôle et fonctionnement du pare-feu

Cours dispensé par Madame Belinga- Master II en Sécurité des Systèmes

• quels services internes peuvent être accédés de l’extérieur;

Cours dispensé par Madame Belinga- Master II en Sécurité des Systèmes

Devoir 1: Présenter les différents types de pare-feu

Devoir 2 : Configurer un pare-feu personnel sous Windows et sur Linux

4. Les listes de contrôle d’accès ou ACL

Cours dispensé par Madame Belinga- Master II en Sécurité des Systèmes

Les ACLs standards utilisent des spécifications d’adresses simplifiées et autorisent

Cours dispensé par Madame Belinga- Master II en Sécurité des Systèmes

access-list no de l’ACL (deny ou permit) (adresse de la source) (son masque

A(config)#access-list 10 deny 192.168.100.0 0.0.0.255

Le numéro de la liste est 10 et on demande au routeur A d'interdire les paquets

A(config)#access-list 10 permit any : pour permettre la commutation des autres

Cours dispensé par Madame Belinga- Master II en Sécurité des Systèmes

• Si la direction de l'interdiction n'est pas définit, le routeur considérera la

Exercice : soit la topologie suivante :

Cours dispensé par Madame Belinga- Master II en Sécurité des Systèmes

(Le faire sur le routeur L2D)

Cours dispensé par Madame Belinga- Master II en Sécurité des Systèmes

b. Les ACL Étendues

• Lt plus petit que,

Cours dispensé par Madame Belinga- Master II en Sécurité des Systèmes

L2C(config)#access-list 110 deny tcp host 172.31.0.254 host

Cours dispensé par Madame Belinga- Master II en Sécurité des Systèmes

L’ACL nommée, permet de donner un nom a une ACL. On se réfère donc à

5. Les VPN (Virtual Private Network)

Un réseau VPN repose sur un protocole appelé « Protocole de tunneling ».Ce

Devoir No 3 : Avantages et Inconvénients d’un VPN

Cours dispensé par Madame Belinga- Master II en Sécurité des Systèmes

Ils sont classés en fonction de leur position sur le modèle OSI

Le protocole PPP est composé de trois éléments :

- Un protocole de contrôle de liaison (Link Control Protocol, LCP) qui a

le rôle de PPTP est de chiffrer la trame PPP avant de l’envoyer. Il chiffre en

IPsec a deux mécanismes : le premier est basé sur AH (authentification

Devoir: présentation des protocoles MPLS et TLS

TP: Configuration d’un VPN site à site avec IPsec

Cours dispensé par Madame Belinga- Master II en Sécurité des Systèmes

Étapes de Configuration d’un VPN

1. Configurer ISAKMP (Internet Security Association et Key Management Protocol) pour

ISAKMP et IPSec sont essentiels à la construction et au chiffrement du tunnel VPN.

Cours dispensé par Madame Belinga- Master II en Sécurité des Systèmes

1. Configuration de ISAKMP PHASE 1

YDE(config)# crypto isakmp policy 100 // définition de la stratégie de priorité, chaque

Cours dispensé par Madame Belinga- Master II en Sécurité des Systèmes

YDE(config)# ip access-list extended VPN-TRAFFIC

YDE(config-ext-nacl)# permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

YDE(config)# crypto ipsec transform-set TP esp-aes 128 esp-md5-hmac

• Créer un Crypto Map

YDE(config)#crypto map MapVPN 10 ipsec-isakmp

• Appliquer la carte cryptographique à l’interface publique

YDE(config-if)#crypto map MapVPN

(Faire de même en respectant quelques changements sur le site de Douala)

• show crypto ipsec transform-set

Cours dispensé par Madame Belinga- Master II en Sécurité des Systèmes