REPUBLIQUE DU CAMEROUN REPUBLIC OF CAMEROON

****************** ******************
PAIX-TRAVAIL-PATRIE PEACE-WORK-FATHERLAND
****************** ******************
MINISTERE DE MINISTRY OF HIGHER
L’ENSEIGNEMENT SUPERIEUR EDUCATION
****************** ******************
INSTITUT UNIVERSITAIRE DE UNIVERSITY INSTITUTE OF
LA COTE THE COAST

INTRODUCTION A LA SECURITE
INFORMATIQUE

THEME :
SECURISATION AVANCEE D’UN RESEAU
TYPIQUE D’ENTREPRISE

MEMBRES DU GROUPE :

- DJANKOU MERLIN
- KAMTCHE FRANCK
- MBOBDA ISAAC
- GUIAKAM MARTIAL
- TCHANA LAURYNE

SOUS LA SUPERVISION DE :
Mr. NOUMEHE TAGUE-FOE ALAIN

ANNEE ACADEMIQUE :
2022-2023
 SOMMAIRE DE TRAVAIL :
INTRODUCTION

I- Connaissances théoriques du sujet

 Section 1 : CISCO PACKET TRACER

 Section 2 : Sécurisation d’un réseau
 Section 3 : Généralités sur le protocole de sécurisation SSH

II- Pratique sur un réseau typique

 Section 0 : Présentation du réseau et caractéristique

0.1 Schéma topologique du réseau

0.2 Présentation des différents équipements et adresses IP

 Section 1 : Configuration de base du réseau

 Section 2: Sécurité des ports statiques pour les commutateurs

2.1. Désactivez l'accès à tous les ports, sauf ceux nécessaires.
2.2. Configurez la sécurité du port sur les commutateurs.
2.3. Limitez l'accès aux ports en fonction des adresses IP.
 Section 3: Cryptage de mot de passe
3.1. Configurez le cryptage des mots de passe sur tous les postes de travail et routeurs.
3.2. Activez le cryptage par mot de passe pour les réseaux sans fil.
3.3. Exiger des modifications de mot de passe tous les 90 jours pour tous les comptes d'utilisateurs.
 Section 4: Configuration du SSH pour les commutateurs et les routeurs
4.1. Configurez SSH sur tous les commutateurs et routeurs.
4.2. Activez la redirection de port SSH pour un accès à distance.
4.3. Utilisez des clés SSH solides pour l'authentification.
 Section 5: Modification des paramètres SSH par défaut
5.1. Modifiez les numéros de port SSH par défaut.
5.2. Désactivez l'authentification par mot de passe pour SSH.
5.3. Implémentez des délais SSH à des fins de sécurité.
CONCLUSION
 INTRODUCTION

Aujourd'hui, la sécurité des réseaux est un enjeu crucial pour les entreprises. Les réseaux sont
vulnérables aux attaques informatiques, aux intrusions et aux hackers, qui peuvent voler des
données sensibles, dissimuler des virus ou endommager le matériel. Pour protéger leurs
informations et leurs systèmes, les entreprises doivent adopter des stratégies de sécurité avancées
pour leurs réseaux. L'exposé que je propose cherche à analyser la sécurisation avancée d'un réseau
typique d'entreprise et à fournir des conseils pratiques pour améliorer la sécurité de leurs réseaux.

I- CONNAISSANCES THEORIQUES DU SUJET

SECTION 1 : CISCO PACKET TRACER
Cisco Packet Tracer est un logiciel de simulation de réseau développé par Cisco Systems. Il permet
aux étudiants et aux professionnels de maîtriser les concepts de la topologie de réseau, des
protocoles de communication et de la sécurité réseau en utilisant un environnement de simulation
interactif.
C’est un outil gratuit et open-source qui peut être utilisé avec des ordinateurs personnels ou sur des
plaques-formes cloud. Il est conçu pour être facile à utiliser et à configurer, avec une interface
graphique intègre qui permet de créer et de modifier les topologies de réseau, d'inspecter les flux de
données et de configurer les routes.
Cet outil comprend également des modules de simulation pour les protocoles de communication tels
que TCP / IP, OSI, Ethernet et Wi-Fi. Les étudiants peuvent ainsi maîtriser les protocoles de
communication sous différents angles, tels que la topologie de réseau, la sécurité réseau, la
performance réseau et la gestion des réseaux.
Packet Tracer est également utilisé pour les entraînements et les tests pratiques pour les
certifications Cisco, telles que CCNA (Cisco Certified Network Associate), CCNP (Cisco Certified
Network Professionnal) et CCIE (Cisco Certified Internetwork Expert). Les étudiants et les
professionnels peuvent utiliser Packet Tracer pour pratiquer et étudier les concepts de réseau avant
d'examiner les certifications.
Enfin, il peut être utilisé pour la planification des réseaux, en permettant aux utilisateurs de
visualiser et de simuler les topologies de réseau avant de les mettre en œuvre.
En somme, Cisco Packet Tracer est un logiciel de simulation de réseau puissant et flexible qui permet
aux étudiants et aux professionnels de maîtriser les concepts de la topologie de réseau, des
protocoles de communication et de la sécurité réseau.

SECTION 2 : Sécurité informatique d’un réseau

La sécurité informatique est l’ensemble des moyens mis en œuvres pour minimiser la
vulnérabilité d’un système contre des menaces accidentelles ou intensionnelles
a- sureté = « Safety »

Protection de systèmes informatiques contre les accidents dus à l’environnement, les défauts du
système.
 b- sécurité = « Security »

Protection des systèmes informatiques contre des actions malveillantes intentionnelles.

La sécurité informatique est un processus qui permet principalement de lutter contre

plusieurs menaces qui sont l’ensemble des actions qui peuvent exploiter les vulnérabilités d’un
système (ses faiblesses) pour lancer des attaques sur ce système.
Le danger peut être une personne (un pirate du système ou un espion) ; un objet (pièce défectueuse
de l’équipement).

Ces menaces peuvent être:

 Des menaces actives, dans lesquelles L’intrus tente de supprimer, ou modifier les
messages transmis sur le réseau .il peut aussi injecter son propre trafic, ou rejouer d’anciens
messages pour perturber le fonctionnement du réseau.
 Des menaces passives, dans laquelle Les entrées sont limitées à l’écoute et l’analyse du
trafic échangé, sans modifications des données transmise. L’intention de l’intrus peut-être la
connaissance des informations confidentielles, des utilisateurs ou bien la connaissance des
informations relatives aux réseaux. Ce type de menaces est difficile à détecter, puisque l’intrus
aucune modification sur les informations échangés.

Au vue de ces menaces, nous voyons l’importance de la sécurité informatique notamment sur pour
plusieurs raisons :
 Protection contre les attaques externes : cette application de la sécurité des ports
permet de réduire le nombre ports ouverts et d’empêcher les attaques
 Contrôle des accès : cette mesure de sécurité permet de limiter les accès non autorisés, de
protéger les données sensibles
 Gestion de la bande passante : cette mesure de sécurité permet de garantir une qualité
de service pour les applications critiques et de prévenir les problèmes de performances du
devoir
 Conformité aux normes : l’application de cette mesure de sécurité permet donc de se
conformer aux normes et aux réglementations en vigueur

Section 3 : Généralités sur le protocole de sécurisation SSH

SSH (SECURE SHELL) est un protocole de communication crypté qui permet d’établir
une connexion sécurisé et authentifié entre deux ordinateurs à distances. Il est utilisé pour
accéder à des serveurs à distances de manières sécurisée et pour transférer des données de
manière fiable et confidentielle .Le protocole SSH remplace le protocole TELNET et le
protocole ftp qui n’offrent pas de cryptage pour les communications en lignes et sont donc
considérés non sûres.
 o POURQUOI ADMINISTRER UN PROTOCOLE DE SECURISATION
SSH ?

L’administration d’un protocole de sécurisation SSH est important pour plusieurs raison .Ainsi
l’administration d’un protocole de sécurisation SSH permet de mettre en place des mesures de
sécurité pour éviter la compromission de ces sessions de communications .Parmi les mesures
de sécurisations que l’on peut mettre en place avec SSH on peut citer
 L’utilisation d’un système d’authentification forte pour se connecter
 La configuration des serveurs
 L’interdiction de l’accès en tant que Root
 L’installation d’un serveur de proxy SSH

o RÔLES ET CARACTÉRISTIQUES DU PROTOCOLE SSH

- ROLES DU PROTOCOLE SSH

Un protocole SSH «Secure Shell »est un moyen sécurisée de se connecter à un serveur à
distance .Lorsque vous établissez une connexion SSH, vous avez à une invite de commande
distante qui vous permet de naviguer et d’exécuter les commandes sur le serveur .Ainsi nous
pouvons énumérés les rôles courants de SSH
 Permet d’accéder aux serveurs de fichiers Linux à distance
 Permet de transférer des fichiers et exécuter des scripts
 Permet de fournir une connexion cryptée et sécurisé pour les
communications
 Permet de se connecter à un serveur à distances
 Créer des tunnels VPN

- CARACTERISTIQUES DU PROTOCOLE SSH

SSH ou « Secure Shell » est un protocole réseau utilisé pour sécuriser les
commutateurs entre deux ordinateurs .Ainsi les caractéristiques de SSH sont les
suivantes :
 Authentification sécurisée : permet l’authentification mutuelle entre le
client et le serveur
 Cryptages des données : toutes les données échanges entre le client et les
serveurs sont cryptées ce qui offre une grande sécurité contre les attaques
de types « écoule clandestines »
 Connexion à la distances sécurisée : permet de travailler sur une machine
à distante
 Transfert de fichiers sécurisés : possibilités de transférer des fichiers
entre les clients et le serveur de manière sécurisé
 Utilisation des clés authentiques : qui sont des méthodes
d’authentification basée sur des cryptographies asymétriques
 o TYPOLOGIES DE SECURISATION SSH
Plusieurs protocoles SSH sont définis selon les critères de communication et les versions
auxquelles il s’effectue :
 SSH version 1 : il s’agit de la première version des protocoles SSH
 SSH version 2 : version la plus courante et la plus sécurisée qui utilise les
algorithmes de cryptages récents et une vérification de intégrité de données
 Transport Layers Security (TLS) : Il d’un protocole de sécurité de
couche de transport qui peut être utilisé comme alternative à SSH
 Secure FTP(SFTP) : Il s’agit d’un protocole de transfert de fichiers
sécurisés qui utilise SSH pour une connexion sécurisée
 SCP (Secure Copy) : commande UNIX qui permet de copier des fichiers
de manières sécurisés
o AVANTAGES SECURISATION SSH
SSH permet d’établir une connexion sécurisée entre deux machines généralement un client
et un serveur et à ce titre offre des avantages suivants :
 Sécurité accrue
 Flexibilités
 Fonctionnalités avancées
 Évolutivités
o ADMINISTRATIONS DES PROTOCOLES DE SECURISATION SSH
Pour administrer un protocole SSH sur CISCO PACKET TRACER vous devez suivre les
étapes suivantes :
 Ouvrez CISCO PACKET TRACER et ajouter un commutateur, un routeur,
et deux ordinateurs de votre choix
 Connectez les périphériques entre eux en utilisant les câbles appropriés
 Configurez les adresses IP de chaque interface du routeur et des deux
ordinateurs
 Sur le routeur configurer un nom d’hôte et un domaine
 Configurez un mot de passes pour l’utilisation de connexion aux consoles
VTY
 Configurez une clé SSH pour le routeur
 Configurez les ports Ethernet du routeur
 Ouvrez une console sur chaque ordinateur et effectuez une connexion vers
le routeur en utilisant le no, d’utilisateurs et le mot de passe configurer

o SYSTEME D’IMPLEMENTION SSH

OPEN SSH est un logiciel libre qui fournit une implémentation du protocole SSH (Secure
Shell) permettant des connexions sécurisées et cryptés à distance entre des ordinateurs en
utilisant des clés publiques et privées pour l’authentification .OPEN SSH est largement utilisés
dans de nombreux système d’exploitation notamment.
 Les systèmes d’exploitation basés sur Unix tels que « Ubuntu, Debian, FREE
BSD »
 Les systèmes d’exploitation Microsoft Windows tels que « windows10,
Windows Server 2019 »
 Les dispositifs réseaux tels que « les routeurs commutateurs pare-feu et les
stockages NAS qui prennent en charge SSH »
 Les plateformes de cloud computing telles que « Google cloud plateforme,
Microsoft Azure. »

II- PRATIQUE SUR UN RESEAU TYPIQUE

SECTION 0 : Présentation du réseau et caractéristique
 Schéma topologique du réseau

 Présentation des différents équipements

Equipements Adresse réseau Adresse IP Port affecté
Routeur « R_DLA » 10.0.0.0 /30 10.0.0.1/30 Se 0/0/0
172.16.1.0 /28 172.16.1.1 /28 Gig 0/1
 Routeur « R_YDE » 10.0.0.0 /30 10.0.0.2/30 Se 0/0/1
172.16.1.16 /28 172.16.1.2 /28 Gig 0/1
Switch « S_DLA » 172.16.1.0 /28 172.16.1.1 /28 Fa 0/1
172.16.1.0 /28 172.16.1.2 /28 Fa 0/2
172.16.1.0 /28 172.16.1.3 /28 Fa 0/3
172.16.1.0 /28 172.16.1.4 /28 Fa 0/4
172.16.1.0 /28 172.16.1.5 /28 Fa 0/5
Switch « S_YDE » 172.16.1.16 /28 172.16.1.17 /28 Fa 0/1
172.16.1.16 /28 172.16.1.18 /28 Fa 0/2
172.16.1.16 /28 172.16.1.19 /28 Fa 0/3
172.16.1.16 /28 172.16.1.20 /28 Fa 0/4
172.16.1.16 /28 172.16.1.21/28 Fa 0/5
PC O 172.16.1.0 /28 172.16.1.1 /28 Fa 0
PC 1 172.16.1.0 /28 172.16.1.2 /28 Fa 0
Laptop 0 172.16.1.0 /28 172.16.1.3 /28 Fa 0
Laptop 1 172.16.1.0 /28 172.16.1.4 /28 Fa 0
PC 2 172.16.1.16 /28 172.16.1.17 /28 Fa 0
PC 3 172.16.1.16 /28 172.16.1.18 /28 Fa 0
Laptop 2 172.16.1.16 /28 172.16.1.19 /28 Fa 0
Laptop 3 172.16.1.16 /28 172.16.1.20 /28 Fa 0

NB : Les PC 4, 5, 6,7 sont des postes de configuration c.-à-d. des postes qui permettent la
gestion de périphériques réseaux précis (commutateurs, routeurs….)

Section 1 : Configuration de base du réseau

 LIAISONS ENTRE LES DIFFERENTS EQUIPEMENTS :

Commutateur-PC : Câble Droit (Copper Straight-through) reliant les équipements

via le port Fast-Ethernet 0 du PC et le port Fast-Ethernet du commutateur(X
étant un nombre défini du port)
Commutateur-Routeur : Câble Droit (Copper Straight-through) reliant les
équipements via port Fast-Ethernet du commutateur et le port Giga Ethernet du
routeur
Routeur-Routeur : Câble DCE à fréquence d’horloge reliant les 2 routeurs par les
Ports Serial
 MISE EN PLACE DES PORTS SERIAL SUR LES ROUTEURS :
Cette opération se fera sur les deux routeurs
Implémentez le routeur sur l’interface
Double-Cliquez sur le routeur et une fenêtre s’ouvrira
Entrez sur l’onglet «Physique »
Eteindre le routeur
Puis cliquer sur HWIC-2T
Déplacer l’interface carte situé à l’extrême Droite de la fenêtre que vous placerez sur
le routeur

Allumez le routeur et fermez la fenêtre

 ADDRESSAGE IP DES EQUIPEMENTS

- Cas d’un PC
Double-cliquez sur le PC et une fenêtre s’ouvrira
Entrez sur l’onglet « Config »
Entrez dans FastEthernet 0
Sur IPV4 Address, entrer l’adresse IP correspondant
 Fermer la fenêtre

- Cas d’un routeur

a. Configuration du nom de l’hôte du périphérique.
Router #conf t Enter
configuration commands, one per line. End with CNTL/Z. Router(config)#hostname
R_DLA

b. Désactivez la recherche DNS.

R_DLA(config)#no ip domain-lookup

c. Configurez l'adresse IP de l'interface comme indiqué dans la table

d'adressage.
R_DLA(config)#int g0/1
R_DLA(config-if)#ip address 172.16.1.1 255.255.255.240
R_DLA(config-if)#no shutdown
R_DLA(config-if)#exit
R_DLA(config)# Jan 28 12:23:20.051: %LINK-3-UPDOWN: Interface
GigabitEthernet0/1, changed state to down
R_DLA(config)#exit
 CONFIGURATION DE BASE DU SWITCH
a. Configurez le nom d'hôte du périphérique.
Switch>en
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#hostname S_DLA
b. Désactivez la recherche DNS.
S1(config)#no ip domain-lookup
c. Attribuez class comme mot de passe du mode d'exécution privilégié.
S1(config)# enable secret CISCO
 Section 2: Securisation des ports statiques pour les commutateurs
2.1 Désactivez l'accès à tous les ports, sauf ceux nécessaires:
S_DLA#conf t
S_DLA(config)#interface GigabitEthernet0/0
S_DLA(config-if) #switchport mode access
S_DLA(config)#exit

2.2 Configurez la sécurité du port sur les commutateurs:

S_DLA#interface GigabitEthernet0/0
S_DLA#switchport access-list my_access_list
S_DLA#switchport access list source “adresse IP”
2.3 Limitez l'accès aux ports en fonction des adresses IP:
S_DLA#interface GigabitEthernet0/0
S_DLA#switchport access-list my_access_list
S_DLA#switchport ip address 10.0.0.1 255.255.255.252
S_DLA#switchport ip address 192.16.1.1 255.255.255.240
S_DLA#switchport ip source-address 10.0.0.1

Section 2 : Configuration du SSH pour les commutateurs et les routeurs

Par défaut, on ne peut pas faire de SSH vers un switch ou un routeur. Il faut au préalable
configurer certains paramètres pour que ça fonctionne. Le protocole SSH utilise une
communication sécurisée pour éviter que des informations sensibles (configuration, login, mot de
passe…) soient interceptées durant leur transport jusqu’à la console d’administration. Voici les
différentes étapes pour configurer le SSH :

 Définir un compte utilisateur avec le doublet [login/mot de passe]

 Définir un hostname à son équipement switch ou routeur, qui sera utilisé pour générer la
clé de chiffrement.
 Définir un nom de domaine, qui sera aussi utilisé pour générer la clé de chiffrement.
 Générer cette fameuse clé de chiffrement, appelée RSA.
 Activer le SSH
1. Définir un compte utilisateur avec le doublet (login/mot de passe)

router> enable
router# configure terminal
router(config)# username Bao password Cisco

Ici on définit un utilisateur nommé Bao dont le mot de passe associé est Cisco

2. Définir un hostname à son équipement switch ou routeur, qui sera utilisé pour
générer la clé de chiffrement
router(config)#hostname R_DLA

Cette commande permet de mettre un hostname particulier à votre

Equipement, ici R_DLA. Ce hostname est par ailleurs utilisé pour générer la clé de chiffrement
RSA, créée plus bas

3. Définir un nom de domaine, qui sera utilisé pour générer la clé de chiffrement

R_DLA(config)# ip domain-name cisco.com

Cette commande permet de définir un nom de domaine à votre routeur.

Ce nom de domaine et aussi utilisé pour générer la clé de chiffrement RSA, créée juste à l’étape
suivante.

4. Générer la clé de chiffrement

R_DLA(config)# crypto key generate rsa modulus 1024

Cette commande génère une clé de chiffrement RSA utilisé par le processus SSH pour générer la
clé de session. La variable «1024 » définit la taille de votre clé.
5. Activer le SSH
R_DLA(config)# line vty 0 4
R_DLA(config-line)# transport input ssh
R_DLA(config-line)# login local
R_DLA(config-line)# exit

Pour accéder en TELNET ou SSH à un équipement Cisco, il faut configurer les lignes
« virtuelles » de l’équipement. En effet, quand je fais UN TELNET vers un routeur, je
peux arriver de n’importe quelles interfaces actives du routeur.
Pour cela, on définit les lignes virtuelles appelées « VTY ». Par défaut, il y a 5 lignes VTY actives
(de 0 à 4). D’où la commande « line vty 0 4 ». Pourquoi 5 ? Parce que‚ Plus sérieusement, ça
permet à 5 administrateurs d’être en SSH en même temps sur l’équipement.

La commande « transport input SSH » définit quel protocole a le droit d’utiliser ces lignes VTY.
Par défaut, tous les protocoles ont le droit dont TELNET et SSH. Cette commande permet de
restreindre en précisant que seul SSH a le droit d’utiliser les lignes VTY.

La commande « login local » permet de préciser où se trouve la base des comptes utilisateur. Une
fois connecté au routeur en SSH, le routeur va vous demander un login/password, celui qu’on a
définit plus haut (Bao/CISCO). « login local » indique au routeur que la base des comptes
utilisateur se trouve dans sa configuration « local ».