Académique Documents
Professionnel Documents
Culture Documents
essentiel pour la connectivité, il doit fournir une disponibilité élevée et s’adapter très rapidement aux
changements. Il offre également des capacités d’évolutivité et de convergence rapide.
3
Accès au réseau étendu Prof : ABAZINE Karima
RNIS (réseau numérique à intégration de services) : Les réseaux RNIS constituent une technologie
à commutation de circuits qui permet à la boucle locale d’un RNIS de transporter des signaux
numériques, offrant ainsi des connexions commutées de plus haute capacité. RNIS fait passer les
connexions internes du RTPC de signaux analogiques à des signaux numériques de multiplexage
temporel (TDM - Time Division Multiplexed) sous forme de sous-canaux. (voir Protocole PPP)
On distingue deux types d’interfaces RNIS :
- Interface de base RNIS (BRI) : pour individuels et petites entreprises (2 canaux B + 1 canal D)
- Accès primaire (PRI) : 23(EUR) à 30(USA) canaux B (64 Kbits) et un canal D (16Kbits)
NB : - inadéquat pour la vidéo
- adéquat pour communications orales simultanées
- est utilisé comme appoint et comme ligne de secours
4. Options de connexion à commutation de paquets
Les technologies de commutation de paquets les plus utilisées aujourd’hui dans les réseaux étendus
d’entreprise sont le relais de trames, ATM et X.25 traditionnel.
X25
- protocole de couche réseau
- applications: lecteur de carte de paiement
- création d'un circuit virtuel identifié par un n° de canal
- bas débit et latence élevée, coût peu élevé
- système en déclin et sont progressivement remplacés par des nouvelles technologies de couche 2
telles que le relais de trames, ATM et ADSL.
Frame Relay ou Relais de trames
- protocole de couche liaison de données
- pas de contrôle de flux et d'erreur
- circuits virtuels souvent permanents
- application : réseaux locaux d'entreprise pour transfert de voix et données-
ATM (Asynchronous Transfer Mode, mode de transfert asynchrone)
- application : transfert de voix, vidéo et données sur réseaux privés/publics
- architecture à cellules (et non trames) de 53 octets (tare de 5 octets)
5. Options de connexion Internet
Services à large bande : Les options de connexion à large bande sont généralement utilisées pour
connecter via Internet des télétravailleurs au site de l’entreprise. Les options disponibles sont les
suivantes : câble, DSL et sans fil.
DSL
- technologie de connexion permanente via FAI
- lignes téléphoniques (paires torsadées)
- modem DSL
- multiplexage des lignes(DSLAM)
Modem câble
- connexion permanente via un câble coaxial et un modem câble
- un FAI est associé au headend (système de terminaison du modem câble - CMTS)
Sans Fil à large bande
- utilise les radiofréquences sans licence
- système Wi-fi municipal via un adaptateur plus puissant que les modèles classiques
- système Wimax de portée mondiale via un accès à une tour Wimax (15 km)
- Internet par satellite via une antenne parabolique et 2 modems
Technologie de réseau privé virtuel (VPN) : L’utilisation par un télétravailleur ou un bureau distant
de services à large bande pour accéder au réseau étendu d’une entreprise présente des risques en termes
de sécurité. Pour répondre à ces préoccupations de sécurité, les services à large bande offrent la
possibilité d’utiliser des connexions de réseau privé virtuel vers un serveur de réseau privé virtuel,
généralement situé dans les locaux de l’entreprise.
Un réseau privé virtuel est une connexion chiffrée entre des réseaux privés sur un réseau public tel
5
Accès au réseau étendu Prof : ABAZINE Karima
qu’Internet. Au lieu d’utiliser une connexion de couche 2 dédiée telle qu’une ligne louée, un réseau privé
virtuel utilise des connexions virtuelles appelées tunnels de réseau privé virtuel, qui sont acheminées via
Internet depuis le réseau privé de l’entreprise vers le site distant ou l’hôte de l’employé.
Avantages : économique, sécurité, extensible, compatible large bande
Types : VPN site à site ou VPN à accès à distance
Métro Ethernet : est une technologie de réseau en rapide évolution qui étend Ethernet aux réseaux
publics gérés par des sociétés de télécommunications. Les commutateurs Ethernet compatibles IP
permettent à des fournisseurs de services d’offrir aux entreprises des services convergés de voix, de
données et vidéo tels que la téléphonie IP, la lecture audio en continu, le traitement de l’image et le
stockage de données.
Avantages : réduction de coûts, intégration simplifiée, productivité améliorée
Sélection d'une connexion de liaison de réseau étendu :
4) Travaux pratiques
Révision avancée
II. Protocole PPP
Objectifs :
Décrire les concepts fondamentaux de la communication série point à point.
Décrire les concepts essentiels du protocole PPP.
Configurer l’encapsulation PPP.
Expliquer et configurer l’authentification PAP et CHAP.
1) Liaisons série point à point
6
Accès au réseau étendu Prof : ABAZINE Karima
7
Accès au réseau étendu Prof : ABAZINE Karima
3. Point de démarcation
Le point de démarcation désigne l’endroit où votre réseau communique avec le réseau détenu par une
autre organisation. Dans la terminologie téléphonique, il s’agit de l’interface située entre des équipements
d’abonné (CPE) et des équipements de fournisseur de services réseau.
4. ETTD et DCE
Une connexion série possède un périphérique ETTD à une extrémité de la connexion et un
périphérique DCE à l’autre extrémité.
L’équipement d’abonné, généralement un routeur, constitue l’ETTD. Il peut s’agir également d’un
terminal, d’un ordinateur, d’une imprimante ou d’un télécopieur.
Le DCE, généralement un modem ou une unité CSU/DSU, est l’équipement servant à convertir les
données utilisateur de l’ETTD en une forme compatible avec la liaison de transmission du fournisseur de
services de réseau étendu.
5. Encapsulation HDLC
Protocoles d’encapsulation de réseau étendu
HDLC : Type d’encapsulation par défaut sur des connexions point à point, des liaisons dédiées et
des connexions à commutation de circuits lorsque la liaison utilise deux périphériques Cisco.
PPP : Fournit des connexions entre des routeurs et entre un hôte et un réseau au moyen de circuits
synchrones et asynchrones. Le protocole PPP fonctionne avec plusieurs protocoles de couche réseau, tels
qu’IP et le protocole IPX (Internetwork Packet Exchange, échange de paquets entre réseaux). Le
protocole PPP possède également des mécanismes intégrés de sécurité, tels que PAP et CHAP.
Serial Line Internet Protocol (SLIP) : Protocole standard pour les connexions série point à
point, qui utilise TCP/IP. SLIP a été largement remplacé par PPP.
X.25/Procédure d’accès en mode équilibré (Link Access Procedure, Balanced, LAPB) :
Norme d’ITU-T qui définit comment maintenir des connexions entre ETTD et DCE pour permettre
l’accès à distance à des terminaux et la communication entre ordinateurs
dans un réseau public de données.
Frame Relay : Protocole standard commuté de commutation de
couche liaison de données qui gère de multiples circuits virtuels.
ATM : Norme internationale en matière de relais de cellules, selon
laquelle des périphériques envoient des types de services multiples (tels que
8
Accès au réseau étendu Prof : ABAZINE Karima
Couche LCP (Link Control Protocol, protocole de contrôle de liaison) est la partie active de PPP. Le
protocole LCP est situé au-dessus de la couche physique et permet d’établir, de configurer et de tester la
connexion de liaison de données. Il établit la liaison point à point. Il négocie également et configure des
options de contrôle sur la liaison de données de réseau étendu, qui sont gérées par les protocoles NCP.
gérer les limites variables de taille de paquets ;
détecter les erreurs de configuration courantes ;
mettre fin à la liaison ;
déterminer si une liaison fonctionne correctement ou présente des défaillances.
Couches NCP incluent des champs fonctionnels comprenant des codes normalisés pour indiquer le
protocole de couche réseau que PPP encapsule. Chaque couche NCP gère les besoins spécifiques requis
par ses protocoles de couche réseau spécifiques. Les divers composants NCP encapsulent et négocient des
options pour des protocoles de couche réseau multiples.
3. Structure de trame PPP
Une trame PPP comporte six champs :
La liaison reste configurée pour les communications jusqu’à ce que des trames LCP ou NCP explicites
ferment la liaison ou qu’un événement extérieur se produise. Le protocole LCP peut fermer la liaison à
tout moment. Cela se produit généralement lorsqu’un des routeurs demande la fermeture, mais également
en cas d’événement physique tel que la perte d’un opérateur ou l’expiration d’un compteur de période
d’inactivité.
Lors de la maintenance de liaison, le protocole LCP peut utiliser des messages pour fournir un retour
d’informations et tester la liaison.
Code-Reject et Protocol-Reject - Ces types de trame fournissent un retour d’informations
lorsqu’un périphérique reçoit une trame non valide en raison d’un code LCP non reconnu (type de trame
LCP) ou d’un identificateur de protocole incorrect. Par exemple, si un paquet impossible à interpréter est
reçu en provenance de l’homologue, un paquet Code-Reject est envoyé en réponse.
Echo-Request, Echo-Reply et Discard-Request - Ces trames peuvent être utilisées pour tester la
liaison.
Paquet LCP
Chaque paquet LCP est un message LCP unique comprenant un champ de code LCP identifiant le type
de paquet LCP, un champ d’identificateur permettant d’associer les demandes à des réponses, et un
champ de longueur indiquant la taille du paquet LCP et des données spécifiques du type de paquet LCP.
11
Accès au réseau étendu Prof : ABAZINE Karima
- Compression : Permet aux périphériques de négocier un algorithme pour compresser des en-têtes
TCP et IP, et économiser de la bande passante. La compression d’en-tête TCP/IP Van Jacobson réduit la
taille des en-têtes TCP/IP à 3 octets minimum. Cela représente une amélioration considérable sur les
lignes série lentes, en particulier pour le trafic interactif.
- Adresse IP : Permet au périphérique demandeur de spécifier une adresse IP à utiliser pour le routage
IP sur la liaison PPP, ou de demander une adresse IP pour le répondeur. Les liaisons de réseau commuté
utilisent souvent l’option d’adresse IP.
Une fois le processus NCP terminé, la liaison passe à l’état ouvert et le protocole LCP reprend le
relais.
12
Accès au réseau étendu Prof : ABAZINE Karima
13
Accès au réseau étendu Prof : ABAZINE Karima
R3(config-if)#encapsulation ppp
Compression
Pour configurer la compression sur PPP, entrez les commandes suivantes :
R3(config)#interface serial 0/0
R3(config-if)#encapsulation ppp
R3(config-if)#compress [predictor | stac]
Surveillance de la qualité de la liaison
Cet exemple de configuration contrôle les données ignorées sur la liaison et évite le bouclage de
trames :
R3(config)#interface serial 0/0
R3(config-if)#encapsulation ppp
R3(config-if)#ppp quality 80
Utilisez la commande no ppp quality pour désactiver LQM.
Équilibrage de la charge sur les liaisons
Les commandes ci-dessous effectuent un équilibrage de la charge sur plusieurs liaisons :
Router(config)#interface serial 0/0
Router(config-if)#encapsulation ppp
Router(config-if)#ppp multilink
La commande multilink ne présente aucun argument. Pour désactiver le protocole PPP multiliaison,
utilisez la commande no ppp multilink.
3. Vérification d’une configuration de l’encapsulation PPP série
Lorsque vous configurez HDLC, la sortie de la commande show interfaces serial doit afficher
« encapsulation HDLC ». Lorsque vous configurez le protocole PPP, vous pouvez vérifier ses états LCP
et NCP.
14
Accès au réseau étendu Prof : ABAZINE Karima
Commande debug ppp packet : Une commande utile lors du dépannage de l’encapsulation d’une
interface série est debug ppp packet.
Commande debug ppp negotiation : affiche la sortie lors d’une négociation normale, où les deux
côtés s’accordent sur des paramètres de programme de contrôle de réseau (NCP, Network Control
Program).
Commande debug ppp error : Vous pouvez utiliser cette commande pour afficher des erreurs de protocole et
des statistiques d’erreur associées à la négociation et au fonctionnement de la connexion.
4) Configuration PPP avec l’authentification
1. Protocoles d’authentification PPP
PAP est un protocole bidirectionnel ayant lieu en deux étapes et qui n’utilise pas le chiffrement : les
noms d’utilisateur et mot de passe sont envoyés en clair. S’ils ont acceptés, la connexion est autorisée.
L’authentification a lieu une seule fois. Le nom d’hôte d’un routeur doit correspondre au nom
d’utilisateur configuré sur l’autre routeur.
16
Accès au réseau étendu Prof : ABAZINE Karima
17
Accès au réseau étendu Prof : ABAZINE Karima
Rappel : le découpage d’horizon empêche qu’une mise à jour de routage reçue sur une interface
physique ne soit retransmise par la même interface. Dans le cas d’un réseau étoilé cela signifie que les
mises à jour ne peuvent pas être acheminées sur tout le réseau.
Plusieurs solutions se présentent :
• désactivation du découpage d’horizon
• topologie à maillage global
• utilisation de sous-interfaces
11) Sous-interfaces Frame Relay
Frame Relay peut partitionner une interface physique en plusieurs interfaces virtuelles ou sous-
interfaces ; à chacune est associée un circuit virtuel permanent. Une sous-interface peut être configurée en
mode point à point ou multipoint.
Point à point : Une sous-interface point à point établit une connexion par circuit virtuel permanent à
une interface physique ou une sous-interface d’un routeur distant.
Chaque paire de routeurs point à point réside sur son propre réseau et chaque sous-interface point à
point ne dispose que d’un DLCI. Dans ce cas, le découpage d’horizon n’intervient pas.
Multipoint : une seule sous-interface établit plusieurs connexions de circuit virtuel permanent à
plusieurs interfaces physiques ou sous-interfaces sur des routeurs distants. Tous les circuits virtuels
multipoint appartiennent au même sous–réseau. Dans ce cas, le découpage d’horizon intervient.
La commande encapsulation frame-relay s’applique à l’interface physique ; les autres éléments de
configuration s’appliquent (ad IP, DLCI) aux sous–interfaces.
12) Configuration de sous-interfaces Frame Relay point à point
Prenons l’exemple ci–dessous et configurons l’interface série S0 du routeur R1.
Sur l’interface physique, on indique le type d’encapsulation :
R1(config-if)# encapsulation frame-relay
On configure alors les sous-interfaces logiques en indiquant le numéro de DLCI pour des raisons
d’organisation.
Première sous interface logique :
R1(config-if)# int S0.102 point-to-point
On indique alors son adresse IP ainsi que son DLCI :
R1(config-if)# ip address 10.1.1.2 255.255.255.252
R1(config-if)# frame-relay interface-dlci 102
Seconde sous interface logique :
R1(config-if)# int S0.103 point-to-point
On indique alors son adresse IP ainsi que son DLCI :
R1(config-if)# ip address 10.1.1.5 255.255.255.252
R1(config-if)# frame-relay interface-dlci 103
Finalement, on effectue l’activation des sous-interfaces depuis l’interface physique avec la commande
no shutdown.
13) Configuration du Switch Frame-Relay
On commence par activer la commande Frame-Relay sur le routeur lui permet tant de transférer des
trames sur la base des DLCI entrant :
SFR(config)#frame-relay switching
Sur l’interface choisie on modifie le type d’encapsulation :
SFR(config)#interface S0/0
SFR(config-if)#encapsulation frame-relay
On indique alors que l’interface est de type DCE :
SFR(config-if)#frame-relay intf-type dce
SFR(config-if)#clock-rate vitesse
On configure alors le Switch Frame-Relay pour qu’il transfère le trafic entrant ici sur l’interface S0/0
ayant le DLCI x vers par exemple l’interface S0/1 ayant le DLCI y. On crée ainsi le premier PVC :
20
Accès au réseau étendu Prof : ABAZINE Karima
21
Accès au réseau étendu Prof : ABAZINE Karima
• les équipements en aval sont informés de la file d’attente en configurant le bit FECN.
• les équipements en amont sont informés de la file d’attente en configurant le bit BECN.
L’en–tête de trame contient également un bit d’éligibilité à la suppression (DE). Les trames dont le
bit est à 1 sont considérées comme moins importantes et peuvent être abandonnées pendant une période
d’encombrement.
Les règles logiques sont appliquées :
• si la trame entrante ne dépasse pas le CIBR, la trame passe.
• si la trame entrante dépasse le CIBR, son bit DE est fixé à 1
• si la trame entrante dépasse le CIBR augmenté du BE, elle est abandonnée.
22
Accès au réseau étendu Prof : ABAZINE Karima
24
Accès au réseau étendu Prof : ABAZINE Karima
Un système de protection contre les intrusions (IPS) empêche les attaques contre le réseau et est
aussi doté des mécanismes de défense suivants :
• un mécanisme de prévention pour empêcher l’exécution de l’attaque détectée.
• un mécanisme de réaction pour immuniser le système contre des attaques malveillantes.
Ces techniques peuvent s’appliquer au niveau du réseau et/ou des hôtes. Dans ce dernier cas, on parle
respectivement de HIDS et HIPS.
8. Roue de la sécurité des réseaux
La roue de la sécurité des réseaux est une méthode efficace pour s’assurer que la sécurité est testée et
appliquée de manière continue. La roue est constituée de 4 étapes :
• sécurisation
• surveillance
• test
• amélioration
La sécurisation
La surveillance se base sur l’audit des journaux des hôtes et des dispositifs réseaux ainsi que
l’utilisation d’IDS pour détecter les intrusions.
La phase de test consiste à tester le fonctionnement des solutions de sécurité ainsi que les audits en
utilisant, par exemple, des outils d’évaluation de la vulnérabilité.
Lors de l’amélioration, on analyse les données collectées pendant les phases de surveillance et de test,
elles servent de base pour renforcer la sécurité.
9. Stratégie de sécurité de l’entreprise
Une stratégie de sécurité est un ensemble de directives définies en vue de protéger le réseau de
l’entreprise contre les attaques menée soit de l’intérieur, soit de l’extérieur.
Il s’agit d’un document vivant, ce qui signifie qu’il est continuellement mis à jour selon les besoins de
l’entreprise.
Les fonctions principales d’une stratégie de sécurité sont les suivantes :
• protéger les personnes et les données
• définir les règles de comportement des utilisateurs, des administrateurs système, de la direction et du
personnel de sécurité.
• permettre au personnel de sécurité de surveiller
• définir les conséquences des violations et les appliquer
10. Sécurisation des routeurs
La sécurisation des routeurs de périphérie est une étape importante dans la protection du réseau.
Ainsi il est important d’agir aux niveaux suivants :
• sécurité physique
• mise à jour de l’IOS du routeur
• sauvegarde de la configuration du routeur et de son IOS
• désactivation des ports et des services non utilisés.
11. Gestion des mots de passe d’un routeur
Pour résister à une éventuelle attaque, un mot de passe doit être complexe et apparaitre crypté dans le
fichier de configuration.
Exemple :
R1(config)# service password-encryption
R1(config)#security passwords min-length 10
R1(config)#enable secret ci$C0-clasS
12. Services et interfaces de routeur vulnérables
Les routeurs prennent en charge un grand nombre de services réseau aux couches 2,3,4 et 7. Certains
de ces services peuvent être limités ou désactivés sans dégrader le fonctionnement du routeur.
Les services qu’il convient généralement de désactiver sont repris ci-dessous :
25
Accès au réseau étendu Prof : ABAZINE Karima
Petits services tels que echo, discard et chargen : utilisez la commande no service tcp-small-
servers ou no service udp-small-servers.
BOOTP : utilisez la commande no ip bootp server.
Finger : utilisez la commande no service finger.
HTTP : utilisez la commande no ip http server.
SNMP : utilisez la commande no snmp-server.
Il est également important de désactiver les services qui permettent le passage de certains paquets par
le routeur, l’envoi de paquets spéciaux, ou encore les paquets utilisés pour la configuration de routeurs à
distance. Voici les commandes de désactivation correspondantes :
Protocole Cisco Discovery Protocol (CDP) : utilisez la commande no cdp run.
Configuration à distance : utilisez la commande no service config.
Routage par la source : utilisez la commande no ip source-route.
Routage sans classe : utilisez la commande no ip classless.
Vous pouvez sécuriser davantage les interfaces de routeur à l’aide de certaines commande en mode de
configuration d’interface :
Interfaces inutilisées : utilisez la commande shutdown.
Pas d’attaques SMURF : utilisez la commande no ip directed-broadcast.
Routage ad hoc : utilisez la commande no ip proxy-arp.
13. Accès administratif à distance aux routeurs
L’accès administratif à distance avec telnet n’est pas sûre car le trafic passe en texte clair et les mots
de passe peuvent donc être interceptés.
Pour protéger l’accès administratif aux routeurs, il est nécessaire de sécuriser les lignes
d’administration (VTY) et d’utiliser SSH.
Pour renforcer la sécurité avec SSH, il est possible de limiter le temps d’inactivité de la session ainsi
que le nombre de tentatives de connexion.
Exemple :
R1(config)# ip ssh time-out 15
R1(config)# ip ssh authentication-retries 2
14. Journalisation de l’activité d’un routeur
Les journaux permettent de vérifier le fonctionnement d’un routeur et de déterminer s’il a été
compromis ou non.
Les journaux du routeur sont envoyés à un hôte de journalisation (Serveur Syslog). Ce dernier doit être
connecté à un réseau de confiance. Le serveur Syslog doit être aussi protégé en supprimant tous les
comptes et services inutiles.
Les routeurs prennent en charge 8 niveaux de journalisation :
• 0 emergencies
• 1 alerts
• 2 critical
• 3 errrors
• 4 warnings
• 5 notification
• 6 informational
• 7 debugging
15. Configuration pour la journalisation du routeur
Pour indiquer au routeur l’adresse du serveur Syslog :
R1(config)# logging host ad. IP Syslog
Pour indiquer le niveau de journalisation à prendre en compte :
R1(config)# logging trap ad. level
Pour s’assurer que tous les messages sont envoyés au serveur Syslog :
26
Accès au réseau étendu Prof : ABAZINE Karima
29
Accès au réseau étendu Prof : ABAZINE Karima
30
Accès au réseau étendu Prof : ABAZINE Karima
31
Accès au réseau étendu Prof : ABAZINE Karima
32
Accès au réseau étendu Prof : ABAZINE Karima
33
Accès au réseau étendu Prof : ABAZINE Karima
chargée de chiffrer tout le trafic sortant, destiné à un site cible. La passerelle du site cible déchiffre le
trafic reçu et le transfert à l’hôte cible sur son propre réseau privé.
Dans un VPN d’accès distant, le télétravailleur ou l’hôte distant dispose d’un logiciel client associé. Le
logiciel encapsule et chiffre le trafic destiné à la passerelle du réseau cible.
6. Caractéristiques d’un VPN sécurisé
Les caractéristiques d’un VPN sécurisé sont les suivantes :
• confidentialité des données
• intégrité des donnés
• authentification
La confidentialité des données permet de protéger contre l’écoute électronique.
L’intégrité des donnés permet de garantir qu’aucune modification n’a été apportée aux données.
L’authentification permet de garantir que seuls les expéditeurs et périphériques autorisés accèdent au
réseau.
7. Algorithmes de chiffrement
La confidentialité des données est assurée par un algorithme de chiffrement. Les algorithmes de
chiffrement sont classés en 2 catégories :
• algorithmes symétriques
• algorithmes asymétriques
Algorithme symétrique : les chiffrement et déchiffrement se servent de la même clé. Il est
généralement utilisé pour chiffrer un message.
Les deux ordinateurs doivent connaitre la même clé dite secrète ou partagée pour coder et décoder les
informations.
Exemples : DES, 3DES, AES.
Algorithme asymétrique : les chiffrement et déchiffrement se servent de deux clés différentes. Il est
généralement utilisé pour la certification numérique et la gestion des clés.
Une type de chiffrement asymétrique est le chiffrement à clé publique qui associe une clé privée à une
clé publique.
Le destinataire distribue une clé publique à ses expéditeurs. L’expéditeur utilise sa clé privée, puis la
clé publique du destinataire pour chiffrer son message. Le destinataire utilise alors sa clé privée puis la clé
publique de l’expéditeur pour déchiffrer le message.
Exemple : RSA.
8. Hachage ou message digest
Le hachage ou message digest est un nombre généré à partir d’une chaine de texte. Il est hautement
improbable qu’un autre texte génère le même hachage.
L’expéditeur d’origine génère un hachage du message et l’envoie avec le message.
Le destinataire reçoit le message et le hachage, il produit un autre hachage à partir du message reçu, et
compare les deux hachages. Si les deux sont identiques, le destinataire peut être certain que l’intégrité du
message n’a pas été affectée.
Un VPN utilise un code d’authentification des messages avec hachage et clé, appelé HMAC.
L’expéditeur de message utilise la fonction HMAC pour produire le code d’authentification du
message créé en condensant la clé secrète et le texte du message. Le destinataire calcule le code
d’authentification du message reçu à l’aide de la même clé et de la fonction HMAC utilisée par
l’expéditeur.
Il existe deux algorithmes HMAC :
• Message Digest 5 (MD5)
• Secure Hash Algorithm (SHA-1)
9. Authentification des homologues
Il est nécessaire d’authentifier les homologues (par exemple : le périphérique à l’autre extrémité du
VPN). Il existe deux méthodes d’authentification :
• Clé pré-partagée (PSK)
• Signature RSA
34
Accès au réseau étendu Prof : ABAZINE Karima
La clé pré-partagée est distribuée aux homologues par l’intermédiaire d’un canal sécurisé.
La signature RSA utilise l’échange de certificats numériques. Le périphérique local calcule un hachage
et le chiffre avec sa clé privée – ce qui s’appelle une signature numérique. Elle est jointe au message et
transféré. Le périphérique distant déchiffre le hachage avec la clé publique du périphérique local et
recalcule le hachage.
10. Protocoles de sécurité IPsec
IPsec est un ensemble de protocoles permettant de sécuriser les communications IP en garantissant le
chiffrement, l’intégrité et l’authentification.
Les protocoles IPsec principaux sont :
• Authentication Header (AH)
• Encapsulating Security Payload (ESP)
Le protocole AH assure l’authentification et l’intégrité des données pour des paquets transmis entre
deux systèmes. Il n’assure pas la confidentialité (le chiffrement) des données.
Le protocole ESP assure l’authentification et l’intégrité des données pour des paquets transmis entre
deux systèmes. Il assure aussi leur confidentialité par le chiffrement des paquets IP qui masque les
données et l’identité de leur source et de leur destination.
IPsec utilise des algorithmes existants pour implémenter le chiffrement, l’intégrité, l’authentification et
les échanges de clés :
• DES
• 3DES
• AES
• MD5
• SHA-1
• DH
Le protocole DH ou Diffie-Hellman permet au deux parties d’établir une clé secrète partagée pour le
chiffrement et le hachage sur un canal de communication non sécurisé.
IPsec fournit le cadre et l’administrateur choisit les algorithmes à implémenter.
Il est nécessaire de remplir 4 zones :
• Choix du protocole IPsec : AH, ESP ou AH avec ESP
• Choix de l’algorithme de chiffrement : DES, 3DES ou AES
• Choix de l’authentification : MD5 ou SHA
• Choix de l’algorithme Diffie-Hellman : DH1 ou DH2
35
Accès au réseau étendu Prof : ABAZINE Karima
36
Accès au réseau étendu Prof : ABAZINE Karima
La surchage NAT ou PAT mappe plusieurs adresses IP privées à une seule ou à quelques adresses IP
publiques. En effet, plusieurs adresses peuvent être mappées à une seule adresse car chaque adresse
privée est suivie par un numéro de port.
9. Configuration du NAT statique
Cette configuration s’effectue en trois étapes :
Etape 1 : On établit une correspondance entre une adresse locale interne et une adresse globale
interne:
R1(config)# ip nat inside source static 192.168.10.254 209.165.200.225
Etape 2 : On identifie l’adresse locale interne comme l’interface NAT inside :
R1(config)# interface S0/0/0
R1(config-if)# ip nat inside
Etape 3 : On identifie l’adresse globale interne comme l’interface NAT outside :
R1(config)# interface S0/1/0
R1(config-if)# ip nat outside
10. Configuration du NAT dynamique
Cette configuration s’effectue selon les étapes suivantes :
Etape 1 : On définit un pool d’adresses IP publiques :
R1(config)# ip nat POOL1 209.165.200.226 209.165.200.240 netmask 255.255.255.224
Etape 2 : On définit les adresses ayant les droits d’être mappées :
R1(config)# access-list 1 permit 192.168.0.0 0.0.255.255
Etape 3 : On relie le pool NAT à l’ACL :
R1(config)# ip nat inside source list 1 pool POOL1
Etape 4 : On identifie l’adresse locale interne comme l’interface NAT inside :
R1(config)# interface S0/0/0
R1(config-if)# ip nat inside
Etape 5 : On identifie l’adresse globale interne comme l’interface NAT outside :
R1(config)# interface S0/1/0
R1(config-if)# ip nat outside
11. Configuration de la surcharge NAT
Cette configuration s’effectue selon les étapes suivantes :
Etape 1 : On définit les adresses ayant les droits d’être mappées :
R1(config)# access-list 1 permit 192.168.0.0 0.0.0.255
Etape 2 : On identifie l’interface allant être surchargée :
R1(config)# ip nat inside source list 1 interface serial 0/1/0 overload
Etape 3 : On identifie l’adresse locale interne comme l’interface NAT inside :
R1(config)# interface S0/0/0
R1(config-if)# ip nat inside
Etape 4 : On identifie l’adresse globale interne comme l’interface NAT outside :
R1(config)# interface S0/1/0
R1(config-if)# ip nat outside
12. Vérification et dépannage des configurations NAT
La commande show ip nat translations affiche les traductions NAT.
La commande show ip nat statistics affiche les informations sur le nombre total de traductions
actives, les paramètres de configuration NAT, le nombre d’adresses dans le pool et le nombre d’adresses
attribuées.
Par défaut, les entrées de traduction sont désactivées au bout de 24 heures. Il est possible de modifier
les compteurs avec la commande ip nat translation timeout
La commande clear ip nat translation * efface toutes les entrées de traduction dynamique d’adresses
de la table de traduction NAT.
38
Accès au réseau étendu Prof : ABAZINE Karima
Etape 3 :
On identifie l’interface source du tunnel avec la commande tunnel source.
Etape 4 :
On identifie l’interface destination du tunnel avec la commande tunnel destination.
Etape 5 :
On indique le protocole qui sera encapsulé par le protocole GRE avec la commande tunnel mode gre.
22. Les firewalls
Un firewall est un logiciel et/ou un matériel dont le but est de faire respecter la politique de sécurité
d’un réseau en définissant les communications permises ou interdites.
Les points communs à tous les firewalls sont :
• résistance aux attaques
• tout le trafic passe à travers
• application la politique de sécurité
On distingue deux types principaux de firewall :
• stateless
• stateful
Un firewall stateless (sans état) inspecte chaque paquet indépendamment des autres et le compare une
liste de règles préconfigurées (ACLs).
Un firewall stateful (à état) vérifie la conformité des paquets à une connexion en cours. En d’autres
termes, il s’assure que chaque paquet d’une connexion est bien la suite du précédent paquet et une
réponse à un paquet dans l’autre sens.
41
Accès au réseau étendu Prof : ABAZINE Karima
43
Accès au réseau étendu Prof : ABAZINE Karima
• perte de connectivité
• nombre de collisions élevé
• goulot d’étranglement ou encombrement
• forte utilisation de CPU
• message d’erreur de la console.
Pour dépanner la couche physique, il faut vérifier que le câble et les câblages sont corrects et que les
interfaces sont bien activées.
13. Dépannage de la couche liaison de données
Les symptômes de la couche liaison de données sont :
• pas de connectivité au niveau de la couche réseau ou au dessus
• pas de fonctionnalité au niveau de la couche réseau ou au dessus
• performance réseau inférieures à la ligne de base
• nombre excessif de diffusion
• message d’erreur de la console.
Les causes de la couche liaison de données sont :
• erreurs d’encapsulation
• erreurs de mappage d’adresses
• erreurs de trames
• boucles STP
Pour dépanner la couche physique, il faut vérifier que le câble et les câblages sont corrects et que les
interfaces sont bien activées.
14. Dépannage de la couche réseau
Les problèmes de la couche réseau englobent tous les problèmes de protocoles routé et de routage.
Les symptômes de la couche réseau sont :
• panne de réseau
• performance réseau inférieures à la ligne de base
Les causes de la couche réseau sont :
• problèmes de voisinage
• entrées manquantes dans la base de données topologique
• entrées manquantes dans la table de routage
15. Dépannage de la couche transport
Les symptômes de la couche transport sont :
• problème de réseau par intermittence
• problèmes de sécurité
• problèmes de traductions des adresses
• problèmes avec certains types de trafic
Les causes de la couche transport sont :
• problème de liste d’accès
• problèmes de NAT
16. Dépannage de la couche application (TCP/IP)
Les symptômes de la couche application sont :
• faibles performances des applications
• message d’erreur des applications
• message d’erreur sur la console
• messages du fichier journal système
• alarmes du système d’administration de réseaux
45