Cours de Securite InformatiqueGL

Le but de ce cours consiste à :
- Se familiariser avec les concepts de la sécurité informatique.

- Connaitre et implémenter quelques techniques de sécurité réseaux et Systèmes
- Connaitre quelques risques liés aux attaques sur les systèmes d'information.
- identifier les menaces de sécurité qui pèsent sur les réseaux d'entreprise et de décrire les
méthodes permettant d'y faire face.
- Connaître les différents services de sécurité.
- Connaitre et implémenter quelques outils utilisés pour lutter contre les attaques
Programme
Chapitre 1 : Généralité sur la sécurité informatique (les concepts de sécurité)
Chapitre 2 : la sécurité réseau
Chapitre 3 : La sécurité système
Chapitre 4 : les vulnérabilités et les techniques d’attaques
CHAPITRE 1 : GENERALITES SUR

LA SECURITE INFORMATIQUE
Objectifs spécifiques: permettre aux étudiants de connaitre le but et quelques concepts de base de
sécurité
Contenu :
- Connaitre ce que c’est que la sécurité informatique

- Maitriser les concepts de base de sécurité
- Connaitre la démarche de sécurité
Introduction
La sécurité des informations a toujours constitué un enjeu majeur dans les relations entre les hommes.
L’information est au centre de toutes les communications et par conséquent toute entité possédant cette
ressource fondamentale devrait prendre des précautions pour s’en protéger. L’évolution de la
technologie et particulièrement l’informatique a accentué davantage la méfiance qui existe dans les
relations humaines. Nous vivons aujourd’hui dans un monde où toute transaction ou échange
d’information doit être garantie d’une mesure de sécurité.
1. Définition de la notion de sécurité

La sécurité d’une manière générale est un ensemble de techniques et moyens mis en place pour
empêcher à une personne non autorisée à accéder à une information qui ne lui est pas destinée.
La sécurité informatique consiste à protéger des systèmes, des services, des données contre des menaces
accidentelles ou volontaires (délibérées) tout en conservant leur confidentialité, leur intégrité et leur
disponibilité. Elle consiste également à mettre en place des politiques de sécurité dans le but de limiter le
risque informationnel. Elle permet :
- De prévenir un système d’information des attaques multiformes (gestion des risques)

- D’empêcher qu’une attaque prenne effet (supervision (IDS))
- De maintenir un système informatique en état de fonctionner normalement dans le but de
restreindre l’accès à certaines informations aux utilisateurs autorisés à les consulter.
- D’éviter le pire
2. Autres définitions
- Un système est une combinaison de procédés destinés à produire un résultat
- Un système informatique est l’ensemble d’équipements informatiques mis en commun dans le
but de traiter l’information
- Un système d’information est l’ensemble des éléments participant à la gestion, au traitement, au
transport, au stockage et à la diffusion de l’information au sein d’une organisation
- L’information veut dire renseignement ou élément de connaissance susceptible d’être
représentée sous forme adaptée à un enregistrement ou à la communication d’un message
- Une donnée est une représentation conventionnelle d’une information sous une forme convenant
à son traitement par un système numérique.
3. Les concepts de base de sécurité

La sécurité informatique repose sur les services de base suivants :
 La confidentialité
 L’intégrité
 La disponibilité
 L’authentification
 La non répudiation
Toute manipulation de l’information doit tenir compte de ces critères. Ces concepts constituent donc les
fondamentaux de la sécurité.
On peut aussi citer des critères secondaires tels que le contrôle d’accès et la traçabilité. Tout système doit
pouvoir vérifier l’identité et les droits d’un utilisateur afin de l’admettre dans le système et Permettre de
savoir qui a fait quoi.
3.1. La confidentialité
C’est la Propriété d’une information qui n’est ni disponible, ni divulguée aux personnes, entités ou
processus non autorisés.
3.2. L'intégrité
C’est la Garantie que le système et l’information traitée ne soient modifiés que par une action volontaire
et légitime.
3.3. La disponibilité
C’est la Capacité à assurer le fonctionnement sans interruption, délai ou dégradation, au moment où la
sollicitation en est faite.
3.4. L’Authentification
Elle permet de vérifier l'identité revendiquée par une entité, ou l'origine d'un message, ou d'une donnée.
3.5. La non répudiation

Cette propriété Permet de se protéger contre la contestation d'envoi et de réception de données lors
d'une communication
Parmi les services cités ci-dessus on peut les restreindre en trois principaux et incontournables en
sécurité : il s’agit de la confidentialité, l’intégrité et la disponibilité
4. But de la sécurité
La sécurité informatique a pour but de garantir pour une information donnée les services de base de la
sécurité vus précédemment. Elle renvoie à une chaine de valeurs constituée des utilisateurs, des
informations et du matériel qui doivent être protégés afin de garantir la sécurité du système
d’information.
5.1. La démarche de sécurité :

5.1. La prévention
La prévention de la sécurité passe par les étapes suivantes
Etape1 : analyser et évaluer votre système, l’objectif c’est de dire quel risque, quelle menace pèse sur le
système, il faut donc ressortir la cartographie des risques ;
Etape2 : recherche des parades (qu’est-ce que je sécurise, quand et comment) ;
Etape3 : définir la politique de sécurité qui se présente sous forme d’un cahier de charge qui fixe les
normes de la sécurité
Etape4 : mettre en œuvre les protections
Etape5 : faire la mise à jour

5.2. La détection
- détection des attaques : on utilise ici des outils de détection d’intrusion
Exemple : SNORT, NAGIOS
5.3. La réaction
Il s’agit de réagir aux attaques mais le plus important est la rapidité de la réaction afin d’éviter le pire
Exemple : fermeture des ports, débrancher les câbles réseaux, faire une analyse antivirale,
renforcer les mesures de sécurité des pares feu,…
6. Notion de politique de sécurité

Les politiques de sécurité définissent la démarche ou la méthode utilisée pour réduire le risque. Les
politiques de sécurité sont dictées par les cadres supérieurs de l’entreprise décrivant le rôle de la sécurité
au sein de l'entreprise afin d'assurer les objectifs d'affaire.
Pour mettre en œuvre ces politiques, il faut qu’une bonne organisation soit mise en place et que les rôles,
les responsabilités et les imputabilités des uns et des autres soient bien définis
Conclusion
On peut remarquer que la sécurité informatique renvoie à une chaine de valeurs constituée de plusieurs
maillons. Chaque maillon est un élément plus ou moins vulnérable du système qu’il faut protéger. Le
maillon le plus essentiel dans cette chaine est l’homme, c’est lui qui est au centre de tout et par
conséquent ses capacités à renforcer le système doivent être améliorées en tout temps. Le but principal
de la sécurité est de protéger l’information. Cette information doit être transmise par des canaux sures
afin d’en garantir la confidentialité, raison pour laquelle La sécurité réseau en ait donc une nécessité.
CHAPITRE 2 : LA SECURITE
RESEAUX
Objectifs spécifiques: permettre aux étudiants de comprendre la sécurité réseau et d’implémenter

quelques solutions
Contenu :
À la fin de ce cours, l’étudiant doit être à mesure de :
- Comprendre le fonctionnement de quelques techniques de sécurité réseaux

- Connaitre comment configurer les VPN, les listes de contrôle d’accès, les VLAN et les pare feu
Introduction
Les réseaux informatiques permettent aujourd’hui à toute entité de pourvoir communiquer avec n’importe quelle
autre à travers le monde. Il faut cependant trouver des solutions non seulement pour protéger les communications
mais aussi les différentes ressources partagées du réseau. Le but de ce cours est donc de connaitre ces solutions et
de pouvoir les implémenter.
1. Principe générale
On sécurise un réseau informatique pour protéger les ressources qui en font partie, on peut citer des serveurs, des
routeurs, des postes de travail et des informations diverses capitales pour l’entreprise. La sécurité est d’abord
interne avant d’être externe. L’on doit d‘abord commencer à craindre son collègue de bureau avant de craindre
l’ennemi de l’extérieur. La sécurité réseau est basée sur les droits d’accès qu’ont des utilisateurs par rapport aux
ressources du réseau. Lorsqu’une ressource est partagée, les restrictions et les autorisations s’imposent aux
différents utilisateurs par rapport à cette ressource. Il en va de même avec le réseau tout entier. Ce dernier doit
être protégé contre toutes les menaces qui pèsent sur lui. Des politiques de sécurité doivent être déployés afin de
restreindre l’accès aux personnes non autorisées
2. Les techniques de sécurité réseaux

2.1. La segmentation
La segmentation apporte de la souplesse dans la gestion d’un réseau, elle permet de réduire les domaines de
collision et optimise les performances du réseau. Du point de vu sécurité, le découpage d’un réseau en plusieurs
sous réseau réduit fondamentalement les menaces qui pèsent dans un réseau. Avec cette politique les utilisateurs
sont logiquement séparés, l’accès aux ressources est mieux contrôlé et il est par conséquent facile d’appliquer des
politiques de sécurité en fonction des groupes de personnes.
 Formule de calcul
Nombre de sous-réseau (Nsr) : 2n n représente le nombre de bits empruntés à la partie réseau
Nombre d’ hôte par sous-réseau (Nh) : 2h-2 h représente le Nombre de bit restant de la partie hôte.
Exercice :
Soit l’adresse 192.168.4.0/255.255.255.0, segmenter cette adresse en sous réseaux de 41 hôtes
11111111.11111111.11111111.11000000
Nombre de sous réseaux : 22=4 nombre d’hôtes par sous réseaux : 26-2=62 PAS de sous réseaux :64
Sous réseaux Masque de sous Adresses de Plage d’hôtes utilisables

réseaux broadcast
192.168.4.0 255.255.255.192 192.168.4.63 192.168.4.1 à 192.168.4.62
192.168.4.64 255.255.255.192 192.168.4.127 192.168.4.65 à 192.168.4.126
192.168.4.128 255.255.255.192 192.168.4.191 192.168.4.129 à 192.168.4.190
192.168.4.192 255.255.255.192 192.168.4.255 192.168.4.193 à 192.168.4.254
 Formule magique
n 8
r q
n représente le nombre après le slash, q le nombre d’octet fixe de la partie réseau et r le nombre de bit emprunté
pour la partie réseau
exemple
Exemple d’application: segmenter l’adresse 192.17.0.0/18, présenter dans un tableau les adresses de sous réseaux,
de broadcast, le masque de SR et la plage d’adresses
18 8
2 2
2
Nombre de SR=N SR=2 =4
6
Pas Masque de SR=¿ 8−2=6 ⟹ Pas de SR=2 =64
6 '
Masque de SR=256−2 =192la variation s effectue à partir du 3 ème octet
donc Masque de SR=255.255 .192 .0
Adresse de
Adresse de SR Masque de SR Plage d’adresses uilisables
broadcast
192.17 .0 .0 255.255 .192.0 192.17 .0 .1 à 192.17.63 .254 192.17 .63 .255
192.17 .64 .0 255.255 .192.0 192.17 .64 .1 à 192.17 .127 .254 192.17 .127 .255
192.17 .128 .0 255.255 .192.0 192.17 .128 .1 à 192.17 .191.254 192.17 .191 .255
192.17 .192 .0 255.255 .192.0 192.17 .192 .1à 192.17 .255 .254 192.17 .255 .255
Exemple d’application: segmenter l’adresse 10.0.0.0/19, présenter dans un tableau les adresses de sous réseaux,
de broadcast, le masque de SR et la plage d’adresses
Solution
19 8
3 2
3
Nombre de SR=N SR=2 =8
5
Pas Masque de SR=¿ 8−3=5⟹ Pas de SR=2 =32
5 '
Masque de SR=256−2 =224 la variation s effectue à partir du3 ème octet
donc Masque de SR=255.255 .224 .0
Adresse de SR Masque de SR Plage d’adresses Adresse de

broadcast
10.0 .0 .0 255.255 .224 .0 10.0 .0 .1 à10.0 .31 .255 10.0 .31.255
10.0 .32.0 255.255 .224 .0 10.0 .32.1 à 10.0 .63 .255 10.0 .63 .255
10.0 .64 .0 255.255 .224 .0 10.0 .64 .1 à 10.0 .95.255 10.0 .95 .255
10.0 .96 .0 255.255 .224 .0 10.0 .96 .1 à 10.0127 .255 10.0127 .255
10.0 .128 .0 255.255 .224 .0 10.0 .128 .1 à10.0 .159 .255 10.0 .159 .255
10.0 .160 .0 255.255 .224 .0 10.0 .160 .1 à10.0 .191 .255 10.0 .191.255
10.0 .192.0 255.255 .224 .0 10.0 .192.1 à 10.0 .223 .255 10.0 .223 .255
10.0 .224 .0 255.255 .224 .0 10.0 .224 .1 à 10.0 .255.255 10.0 .255 .255
Exercices à faire à domicile
Execice1
Segmenter les réseaux suivants
- 11.0.0.0/10
- 15.0.0.0/25
- 13.14.0.0/29
Exercice2
a) quel réseau appartient l’adresse 192.168.100.25/30

b) Quel est le broadcast de 192.168.162.10/29
c) Quelle est la quantité d’hôte disponible pour une adresse de C avec /29
1. L’adressage VLSM (principe et segmentation)

VLSM signifie Variable Length Subnet Mask c’est-à-dire masque de sous-réseaux à longueur variable. C’est une
technique utilisée pour optimiser la gestion des adresses IP dans un réseau. Pour mieux comprendre le VLSM, nous
allons l’appliquer dans un cas pratique qu’on rencontre généralement en entreprise.
Exercice d’application :
Une entreprise est constituée de 3 départements : le département administratif ( 59 personnes), de production (25
personnes) et commercial (78 personnes). Le directeur général veut que chaque département soit dans un sous-
réseau différent des autres et qu’il est possible que d’autres départements soient créés au fur et à mesure de
l’évolution de l’entreprise. On vous demande de segmenter le réseau 192.168.30.0/24 en respectant la politique du
directeur général.
Solution
2.2. Les VLAN

VLAN signifie Virtual LAN c’est-à-dire réseau local virtuel. C’est un réseau logique de niveau 2. Il permet de
découper un seul réseau local en des réseaux logiques totalement disjoints et aussi de regrouper les utilisateurs qui
ont besoins d’accéder aux mêmes ressources. Elle permet d’augmenter la sécurité et mieux gérer les
communications dans le réseau.
a) Les types de VLAN
Il existe principalement trois types de VLAN
 Les Vlan par port (Vlan de niveau 1) :
On affecte chaque port des commutateurs à un VLAN. L’appartenance d’une trame à un VLAN est alors déterminée
par la connexion de la carte réseau à un port du commutateur. Les ports sont donc affectés statiquement à un
VLAN. Si on déplace physiquement une station il faut désaffecter son port du Vlan puis affecter le nouveau port de
connexion de la station au bon Vlan. Si on déplace logiquement une station (on veut la changer de Vlan) il faut
modifier l’affectation du port au Vlan.
 Les Vlan par adresse MAC (Vlan de niveau 2) :
On affecte chaque adresse MAC à un VLAN. L’appartenance d’une trame à un VLAN est déterminée par son adresse
MAC. En fait il s’agit, à partir de l’association Mac/VLAN, d‘affecter dynamiquement les ports des commutateurs à
chacun des VLAN en fonction de l’adresse MAC de l’hôte qui émet sur ce port. L'intérêt principal de ce type de
VLAN est l'indépendance vis-à-vis de la localisation géographique. Si une station est déplacée sur le réseau
physique, son adresse physique ne changeant pas, elle continue d’appartenir au même VLAN (ce fonctionnement
est bien adapté à l'utilisation de machines portables). Si on veut changer de Vlan il faut modifier l’association Mac /
Vlan.
 Les Vlan par adresse de Niveau 3 (VLAN de niveau 3) :
On affecte une adresse de niveau 3 à un VLAN. L’appartenance d’une trame à un VLAN est alors déterminée par
l’adresse de niveau 3 ou supérieur qu’elle contient (le commutateur doit donc accéder à ces informations). En fait,
il s’agit à partir de l’association adresse niveau 3/VLAN d‘affecter dynamiquement les ports des commutateurs à
chacun des VLAN. Dans ce type de VLAN, les commutateurs apprennent automatiquement la configuration des
VLAN en accédant aux informations de couche 3.
Il existe également un autre type de VLAN appelé VLAN par protocoles C’est à dire qu’on associe une trame à un
Vlan en fonction du protocole qu’elle transporte. On va par exemple définir l’appartenance à un VLAN à un
protocole particulier : un VLAN pour IP, un autre VLAN pour le trafic Appletalk.
b) Configuration des VLAN

Pour configurer des VLAN on procède de la manière suivante :
Étape1 : on crée les VLAN
Étape2 : on attribue les ports du switch aux VLAN créés
Étape4 on active le mode trunk sur l’interface du Switch où se fera le trunkage des VLAN,
Étape3 : on affecte les adresses IP aux VLAN
Étape5 : fait du routage inter VLAN : pour faire du routage, on active au préalable l’interface du routeur où se fera
l’interconnexion des VLAN et enfin faire de l’encapsulation pour chacun des vlan
c) Les commandes
Un switch dispose d’un vlan par défaut qui est le VLAN 1 appelé VLAN NATIVE, il contient tous les ports par défaut
Création de VLAN
 Switch#vlan database
 Switch(config)#vlan id_vlan name nom_vlan
 Switch#conf t
 Switch(config)#vlan id_vlan
 Switch(config-vlan)#name nom_vlan
Attribution des ports aux VLAN
 Switch#conf t
 Switch(config)#interface fastethernet 0/5(par exemple)(pour l’attribution de plusieurs ports à la fois saisir
la commande:interface range fastethernet0/5-0/10 par exemple)
 Switch(config-if)#switchport mode access(pour le mode access)
 Switch(config-if)#switchport access id_vlan
 Switch(config-if)#no shutdown
Routage inter VLAN
Activer d’abord l’interface du routeur
 Routeur#conf t
 Routeur(config)#interface fastethernet 0/0(par exemple)
 Routeur(config-if)#no shutdown
 Faire l’encapsulation
 Routeur#conf t
 Routeur(config)#interface fastethernet 0/0.id_vlan
 Routeur(config-subif)#encapsulation dot1q id_vlan
 Routeur(config-subif)#ip address 192.168.0.254 255.255.255.0
 Routeur(config-subif)#no shutdown
 Routeur(config-subif)#end
Faire du routage avec la commande « ip route » ou avec celle du protocole utilisé
 ip route 0.0.0.0 0.0.0.0 adr_IP_interface_VLAN
Enregistrement des configurations
 Routeur#copy running-config startup-config
Mettre les passerelles sur chacune des machines connectées au vlan
d) Implémentation
LAB1
Soit la figure ci-dessous

Création de VLAN
Switch>en
Switch#vlan database
Switch(vlan)#vlan 10 name gl2a
VLAN 10 added:
Name: gl2a
Switch(vlan)#vlan 20 name gl2b
VLAN 20 added:
Name: gl2b
Switch(vlan)#exit
APPLY completed.
Exiting....
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#int f0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
Switch(config-if)#no sh
Switch(config-if)#exit

Switch(config-if)#switchport mode trunk
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5, changed state to down
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5, changed state to up
Switch(config)#
Création des sous-interfaces au niveau du routeur
Router>en
Router#conf t
Router(config)#int f0/0
Router(config-if)#no sh
Router(config-if)#exit
Router(config)#int f0/0.10
Router(config-subif)#encapsulation dot1Q 10
Router(config-subif)#ip address 192.168.1.254 255.255.255.0
Router(config-subif)#no sh
Router(config-subif)#exit
Router(config-subif)#
On adresse les PC en renseignant les passerelles
Un PC du VLAN etudiant
Un PC du VLAN prof
Adressage d’un PC du VLAN admin
Ping d’un PC du VLAN 20 à un PC du VLAN 10
LAB2
CONFIG SWITCH SERVEUR
Switch>en
Switch#vlan database
Switch(vlan)#vtp domain IAI
Changing VTP domain name from NULL to IAI
Switch(vlan)#VTp server
Device mode already VTP SERVER.
VLAN 10 added:
Name: gl2a
VLAN 20 added:
Name: gl2b
Switch(vlan)#exit
APPLY completed.
Exiting....
Switch#conf t
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/4, changed state to down
Switch(config-if)#switchport trunk allowed vlan all
Switch(config-if)#end
%SYS-5-CONFIG_I: Configured from console by console
Switch#conf t
Switch(config)#hostname switchserveur
switchserveur(config)#
CONFIG SWHITCH VTP CIENT
Switch(vlan)#vtp domain IAI
Domain name already set to IAI.
Switch(vlan)#vtp client
Setting device to VTP CLIENT mode.
Switch(vlan)#vlan 20 na
Apply not allowed when device is in CLIENT state.
Apply not allowed when device is in CLIENT state.
Switch(vlan)#exit
APPLY completed.
Exiting....
Switch#conf t
Switch(config-if)#switchport trunk allowed vlan all
Switch(config)#HOS
Switch(config)#HOStname SWITCHCLIENT
SWITCHCLIENT(config)#
CONFIG ROUTEUR
Router>en
Router#conf t
Router(config)#int f0/0
Router(config-if)#no sh
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
Router(config-if)#exit
%LINK-5-CHANGED: Interface FastEthernet0/0.10, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0.10, changed state to upRouter(config-

subif)#en
%LINK-5-CHANGED: Interface FastEthernet0/0.20, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0.20, changed state to upRouter(config-

subif)#enc
Router(config)#
Projet 1 : découpage d’un réseau en Vlan
2.3. Les listes de contrôle d’accès

2.3.1. Définition
Les listes de contrôle d’accès (ou ACL) sont des instructions qui s’appliquent sous forme de règles supplémentaires
sur les paquets reçus et transmis par le routeur. Elles sont très utilisées pour sécuriser le trafic dans un réseau.
((( Les instructions in, out, permit, deny, implicit deny, host, any sont les plus utilisées.))))
2.3.2. Algorithme de vérification

• Lorsque le routeur détermine s'il doit acheminer ou bloquer un paquet, l’IOS examine le paquet en
fonction de chaque instruction dans l'ordre dans lequel les instructions ont été créées.
• Si le paquet arrivant à l’interface du routeur satisfait à une condition, il est autorisé ou refusé (suivant
l’instruction) et les autres instructions ne sont pas vérifiées.
• Si un paquet ne correspond à aucune instruction dans l’ACL, le paquet est rejeté. ((((Ceci est le résultat de
l’instruction implicite deny any à la fin de chaque ACL.)))))
2.3.3. Types d’ACL

On distingue principalement deux types d’ACL : les ACL étendus et les ACL standards.
 Les ACL standards
Le filtrage est basé uniquement sur les adresses IP sources, on ne tient pas compte des services. Tout flux en
provenance d’une adresse IP dont l’ACL interdit l’accès sera tout simplement rejetté. Les ACL standards utilisent
les numéros de ports compris entre 1 et 99 et entre 1300 à 1999
 Les ACL étendus
En plus des adresses IP, les ACL étendus filtrent également les numéros de ports et les protocoles. Elles utilisent les
numéros de ports compris entre 100 et 199 et entre 2000 et 2699
Listes d’accès Appletalk 600 à 699
Listes d’accès IPX standard 800 à 899
Listes d’accès IPX étendues 900 à 999
Listes d’accès IPX SAP 1000 à 1099

3. Notion de masque de bits générique (WILCARD)
Un masque générique est un numéro tout comme une adresses IP qui permet d’ identifier une adresse unique ou
plusieurs adresses dans le but d'effectuer des vérifications visant à accorder ou interdire l'accès. Entre d’autres
termes le masque générique (WILCARD) est l’inverse du NETMASK. Dans un masque générique, 0 signifie " vérifier
la valeur du bit sur l’adresse IP de référence, " 1 signifie " ne pas vérifier (ignorer) la valeur du bit sur l’adresse IP de
référence
Pour déterminer le masque générique on applique la formule W =255.255 .255.255−Masque de sousréseau
1. Quel est le masque générique de chacune des addresses IP suivantes : 121.46.14.5/27 ; 228.98.53.119/23 ;
Rep 121.46.14.5/27 a pour masque 255.255.255.248 W = 0.0.0.7
228.98.53.119/23 a pour masque 255.255.254.0 ¿ 0.0 .1 .255
2. Quelle est le masque générique de la plage d’adresse suivante : 196.200.221.8/29 – 196.200.221.15/29
Rep : Le bloc deviens 196.200.221.8 0.0.0.7
Pour spécifier une machine on renseigne son adresse IP suivie de 0.0.0.0 comme Wildmask
Exemple : 196.200.221.1 0.0.0.0
- Pour spécifier tous les hôtes d’un réseau /24 on renseigne une adresse IP du réseau suivi de 0.0.0.255
Exemple : 196.200.220.1 0.0.0.255
Les commandes host et any
• Ces deux commandes sont des abréviations permettant de simplifier la lecture ainsi que l’écriture des listes
de contrôle d’accès :
- any : n’importe quelle adresse (équivaut à 0.0.0.0 255.255.255.255)
- host : abréviation du masque générique Ex: host 172.16.33.5 équivaut à 172.16.33.5 255.255.255.255
4. Syntaxe des ACL

D’une manière générale, les ACL se codent sur deux lignes, si on permet un paquet à la première ligne, on deny à
la 2ème et inversement
- ACL standard
access-list n°_ACL {deny | permit} adresse d’origine masque générique
access-list n°_ACL {deny | permit} any
interface [interface]
ip access-group N°_ACL {in | out}
- ACL étendu
access-list N°_ACL {permit | deny} protocol adresse_IP_origine masque_générique adresse_destination
masque_générique operateur_operande [N°_port]
access-list N°_ACL {permit | deny} protocol adresse_IP_origine masque_générique adresse_destination
masque_générique operateur_operande [N°_port]
interface [interface]
ip access-group access-list-number {in | out}
Operateur operande : lt, gt, eq neq suivi d’un numéro de port

Lt pour lower than (plus petit que)
Gt pour greater than (plus grand que)
Eq pour equal (égal à)
Neq pour non equal (différent de)
Established permet au trafic TCP de passer si les bit ACK sont activées.
- ACL nommés
access-list {standard | extended} nom_ACL instructions
Exemple
1. On veut interdire au réseau « Invité » d’accéder au réseau « Comptabilité »

2. Interdire l’hôte ayant l’adresse 192.168.10.5 /29 d’accéder à internet
Exercice 2
1. Interdire au stagiaire d’accéder au serveur TFTP (utiliser une ACL étendue)

2. Faire la même question que la précédente mais en utilisant une ACL nommée
Solution
1.
- access-list 100 deny udp host 212.16.23.6 host 10.23.4.6 eq tftp
- access-list 100 permit ip any any
- int e0
- ip access-group 100 out
2.
- access-list extended Stagiaire deny udp host 212.16.23.6 host 10.23.4.6 eq tftp
- access-list Stagiaire permit ip any any
- ip access-group Stagiaire out
3.1. Les VPN

Un VPN est un réseau privé virtuel Qui permet à plusieurs postes distants de communiquer de manière sure tout en
empruntant un reseau public. Ce type de réseau est né du besoin des entreprises d’interconnecter leurs sites de
façon simple et économique
3.1.1. Principe de fonctionnement des VPN

Le principe repose sur le protocole de tunnelisation dont le rôle est d’établir sur un réseau public un canal virtuel
privé. En réalité, les données partant d’un nœud local vers un autre sont chiffrés à l’aide d’un crypto système
3.1.2. Les différents types de VPN

- Les sites to site VPN ou VPN intranet
- Les VPN d’accès
Utilisé pour connecter un utilisateur itinérant au réseau d’entreprise. en déplacement. Un client VPN
accède aux ressources de l’entreprise indépendemment de sa localisation géographique. ((((Vous
pouvez être aux USA et configurer le serveur d’entreprise qui se trouve au cameroun))))
- Les VPN d’extranet
3.1.3. Connecter l’entreprise aux réseaux des partenaires

I- Les protocoles VPN
Ils sont classés en fonction de leur position sur le modèle OSI
Couche 2 :
- PPTP point to point tunneling protocol

- L2TP layer tunneling protocol
- PPP Point to point protocol
- VLAN virtual local area network
Couche 3
- IPsec internet protocol security

- MPLS: multi-protocol label switching
Couche 4
- TLS: transport layer security
En quoi IPsec est plus sécurisé que IP: avec IP les informations circulent en clair, aucun chiffrement n’est appliqué
aux données alors qu’avec IPsec les données sont chiffrées.
Le protocole PPP (point to point protocol) : c’est un protocole de la couche2 adapté pour les transmissions grande
distance. Il permet de transporter les données sur un lien synchrone ou asynchrone. Il est full duplex et l’ordre
d’arrivée des trames. Le protocole PPP n’est pas sécurisé mais sert de support au protocoles L2TP et PPTP.
Le protocole PPTP
Le protocole PPTP (point to point tunneling protocol) est un protocole qui utilise le protocole PPP à travers un
réseau IP sur un tunnel VPN. Il utilise deux protocoles d’authentification :
- le PAP (password accès protocol),

- le CHAP (challenge access protocol) il s’appuit sur le secret partagé, il n’y a pas de communication de mot
de passe
le role de PPTP est de chiffrer la trame PPP avant de l’envoyer. Il chiffre en réalité le paquet IP qui est contenu dans
la trame (((puisqu’il n’y a pas ré encapsulation))))
Le protocole L2TP
Il est issu de la convergence de PPTP et L2F (layer two forwarding. Il permet l’encapsulation des paquets PPP au
niveau de la couche 2 (frame relay et ATM) et de la couche3
3.1.4. LE PROTOCOLE IPSEC

C’est un protocole qui vise l’échange sécurisée des données de niveau 3. Les données sont rendues inintelligibles
par un algorithme de chiffrement qui permettent une transmission sécurisée de ces données dans le réseau public
IPsec a deux mécanismes : le premier est basé sur AH (authentification header), le deuxième sur ESP
( encapsulation security protocol)
AH fournit les service d’intégrité et d’authenticité du datagramme IP. Il est lié à chaque paquet IP.
ESP permet de combiner plusieurs services de sécurité à savoir la confidentialité et l’intégrité, l’unicité des paquets
également.
3.1.5. Les modes de VPN

Le mode transport : il est adapté pour les transmissions point à point, la caractéristique principale est que l’en-tête
IP initial ne change pas.
Le mode tunnel : on chiffre tout le paquet IP c’est-à-dire l’en-tête et les données. Celui qui intercepte le paquet en
route est incapable de savoir à qui est destiné le paquet
Le protocole d’établissement et de gestion du tunnel sécurisé
- ISAKMP (internet security association key management protocol) : son rôle est d’établir, de modifier, de
gérer et de supprimer les SA
- Le protocole IKE (internet exchange est le protocole qui permet de négocier la connexion) une fois que la
SA est mise sur pied
Gestion du flux
Les flux IPsec sont gérés unidirectionnelement. Ainsi, une communication bidirectionnelle entre deux machines
utilisant IPsec sera défini par divers processus on chacun des sens de la communication
- Security policy : une SP definit ce qui doit être traité sur un flux, comment nous pouvons transporter un
paquet ? il y sera donc indiqué pour un flux de données :
 L’adresse IP de l’emetteur et du recepteur (unicast, broadcast ou multicast)
 L’indication sur le mecanisme IPsec qui sera utilisé (AH ou ESP)
 Le mode de VPN qui sera utilisé (mode transport ou mode tunnel)
 Le sens de la liaison entrante ou sortante
- Security association (SA) : une SA definit comment sera traité le paquet en fonction de sa SP associé. Elles
ne sont que la réalisation de la SP. Elle possède l’ensemble des propété de la liaison ainsi elle sera
representée par une structure de données contenant les informations suivantes :
 Un compteur permettant de gérer les numéros de séquence des en-têtes AH et ESP
 Un flag
 Une fenêtre d’anti répétition
 Les informations sur l’en-tête AH (algorithme d’authentication, clé, durée de vie)
 Les informations sur l’en-tête ESP (algorithme de chiffrement, authentification, les clés…)
 La durée de vie de la SA
 Le MTU (maximum transmission unit)
 L’adresse IP de destination (unicast, multicast, broadcast…)
 Le SPI
- La SPD (Security Policy Database) qui spécifie pour chaque datagramme IP s’il est nécessaire de le protéger
et si oui les services de sécurité à mettre en œuvre.et la SAD
C’est l’administrateur qui configure la SPD
Pour configurer les protocoles de gestion des clés, on utilise les commandes suivantes
Crypto isakmp poli
4. Le MPLS
MPLS signifie Multi Protocol Label-Switching. C’est un protocole qui permet le transport des paquets IP sur des
réseaux travaillant en mode commuté. Il intègre le paradigme de la transmission par commutation de labels couplé
au routage de la couche réseau.
4.1. Principe de fonctionnement
Réseau MPLS
LSR
LER LER
CE1 CE2
LSR
SITE A SITE B
Les paquets IP qui partent d’un réseau A à un réseau B sont labélisés par le routeur d’entrée du réseau MPLS
appelé LER (Label Edge Router). Les routeurs situés dans le cœur du réseau MPLS (encore appelé LSR= Label Switch
Router) utilisent ces labels pour faciliter le routage de ces paquets IP. Le routeur de sortie à son tour va enlever ce
label puis router le paquet vers sa destination. Un label est un numéro (nombre entier) associé à un paquet lorsqu’il
circule dans le réseau MPLS. Le protocole qui attribue ces labels est appelé LDP (Label distribution protocol)
En réalité les routeurs PE (Provider Edge) reçoivent des routeurs CE des tables de routage et les insèrent dans une
VRF. Une VRF est à peu près comme la table de routage des VPN. Il se crée donc au niveau des VRF des RD(Route
Distinguisher) qui permettront de definir des RT (Route Target) qui ne sont rien d’autres que des routes de VPN.
Dès lors la création des labels MPLS et des labels VPN sera effective en VPNv4 grâce aux RT et ainsi de suite
jusqu’au prochain routeur PE. Au sein du dernier PE du nuage, les RT indiquent vers uels VRF les routes
d’importations sont destinées, ensuite les RD sont retirés des VPNv4 puis attendent leur acheminement vers le CE
4.2. Méthodes d’implémentation

La mise sur pied d’un MPLS/VPN se fait en deux grandes étapes à savoir la mise sur pied du nuage MPLS et la
configuration du VPN entre les custumer Edge (routeur d’entrée des réseaux client)
Création du nuage MPLS
Pour implémenter le nuage MPLS
- On configure les protocoles LDP, MPLS et le protocole de routage intra nuage

- On crée les VRF
- On associe les interfaces aux VRF
- On configure les protocoles de routage dans les VRF
- On adresse les interfaces du routeur sans oublier les interfaces loopback
- On crée les liaisons VPNv4 en configurant le MP-BGP
- On gère la distribution des prefixe
- On crée les sessions VPN entre les routeurs d’extrémités du nuage
- On configure les custumer edge (CE)
Après la création du nuage, on implémente maintenant la politique de sécurité du VPN au niveau des custumer
edge (CE)
4.3. Les commandes

Configuration du protocole MPLS sur les routeurs du nuage
LSR (config)# mpls label protocol ldp

LSR (config)#interface loopback loopback_interface_number
LSR (config-if)# ip add @_ip_loopback mask
Les addresses de loopback sont différentes des addresses d’interface serie, ells ont pour masque de SR
255.255.255.255
LSR (config-if)#exit
LSR (config)#multilink bundle-name authenticated
Configuration des interfaces series du routeur
LSR (config)# int sx/y
LSR (config-if)# ip add @_ip mask
LSR (config-if)# mpls ip
LSR (config-if)# serial restart-delay number_restart-delay
LSR (config-if)# clock rate number_clock-rate
Configuration du protocole OSPF pour le routage intra nuage
Pour LSP
LSR (config)# router ospf process_ID
LSR (config-router)#network @_ip_destination Wildmask area ospf_area_ID
Pour LER
LER (config)# router ospf process_ID
LER (config-router)# log-adjacency-changes
LSR (config-router)#network @_ip_destination Wildmask area ospf_area_ID // on annonce les routes

adjacentes de l’interface
Creation des VRF et assignation des ports
LER (config)# ip vrf forwarding_instance_name
LER (config-vrf)# rd ASN:number
LER (config-vrf)# route-target export ASN:number
LER (config-vrf)# route-target import ASN:number
LER (config)#int sx/y
LER (config-if)#ip vrf forwarding table_name
LER (config-if)# ip add @_ip mask
LER (config-if)# serial restart-delay number_restart-delay

LER (config-if)# clock rate number_clock-rate
Configuration des protocoles de routage dans les VRF
LER (config)#router rip
LER (config)# version 2
LER (config)# address-family ipv4 nom_vrf
LER (config)# redistribute bgp 1 metric 1
LER (config)#network @_ip_rséau_interface (agregée)
LER (config)# network @_ip_rséau_interface (agregée)
LER (config)#no auto-summary
LER (config)#exit-address-family
Creation des liaisons VPNv4 par configuration du MP-BGP
LER (config)# router bgp N°
LER (config-router)# no bgp defaults ipv4-unicast
LER (config-router)# neighbor 3.3.3.3 remote-as 1
LER (config-router)# neighbor 3.3.3.3 update-source loopback N°_loopback
LER (config-router)#address-family vpnv4
LER (config-router)#neighbor 3.3.3.3 activate
LER (config-router)# neighbor 3.3.3.3 activate send-community extended
LER (config-router)#exit
LER (config-router)# address-familly ipv4 nom_vrf
LER (config-router-af)#redistribute rip
On demande également à ce que l’IP source des paquets qui s’échangent entre les pairs BPG soit bien celle de
notre IP de loopback c’est à dire 3.3.3.3 pour LER1
LER (config)# router bgp
LER (config-router)#no bgp default ipv4-unicast
LER (config-router)#Bgp log-neighbor-changes
LER (config-router)#neigbor 3.3.3.3 remote-as 1
LER (config-router)# neighbor update-source lopback 0
LER (config-router)# address-family vpnv4
LER (config-router)# neighbor 3.3.3.3 activate

LER (config-router)#neighbor 3.3.3.3 send-community extended
LER (config-router)#exit-address-family
Gestion de la distribution des prefixes (il faut configure les LER de telle sorte à ce que la distribution des rotes
soit effective mutuellement dans les deux sens entre BGP et OSPF
Redistribution du RIP version2 vers BGP
LER (config)# address-family ipv4 vrf nom_vrf
LER (config)# redistribute rip
LER (config)# No synchonisation
LER (config)# exit-address-family
Redistribution du BGP version2 vers RIP version2
LER (config)# address-family ipv4 vrf nom_vrf
LER (config)#Redistribute bgp 1 metric 1
LER (config)#Network @_ip_reseau_interface
LER (config)#Network @_ip_reseau_interface
LER (config)#No auto-summary
LER (config)#Exit-address-family
Creation des sessions VPN
On configure une session vpn entre LER1 et l’interface loopback 0 de LER2
LER (config)#router ospf 1
LER (config-router)# no network @loopback_routeur_correspondant wildmask area 0
LER (config-router)# network @_loopback_routeur_courant wildmask area 0
Configuration des customer edge
CE (config-)#int s1/0
CE (config-if)# ip address @_ip_interface mask
CE (config-if)#clockrate N°_clockrate
CE (config-if)#no sh
CE (config)#int f2/0
CE (config-if)# ip address @_ip_interface mask
CE (config-if)# no sh
CE (config)#router rip
CE (config-router)# version 2
CE (config-router)# no auto summary
CE (config-router)# network @_reseau-interface_routeur
Mise en oeuvre de la politique de securité
Configuration d’IPsec et d’ISAKMP
CE (config)# crypto isakmp policy N°
CE (config-isakmp)# authentication pre-share
CE (config-isakmp)# crypto isakmp key 0 cenadi address 0.0.0.0 0.0.0.0
CE (config)#crypto ipsec transform-set nom_profile esp-aes esp-sha-hmac
CE (cfg-crypto-trans)#crypto ipsec profile nom_profile
CE (cfg-crypto-trans)#exit
CE (config)#int tunnel0
CE (config-if)#tunnel protection ipsec profile nom_profile
5. Les pare-feu
Un pare feu est un outil de sécurité dans un réseau, il peut être matériel ou logiciel et permet de limiter les accès
aux utilisateurs par rapport à certains services. C’est une véritable barrière qui empêche aux personnes externes
d’atteindre facilement le réseau d’entreprise. Il peut faire le filtrage par protocole, par adresses IP ou par service.
Dans un réseau, un pare-feu peut prendre des positions variées tout dépend de la politique de sécurité qui a été
définie.
Exemple de pare-feu :logiciel : Ipchain, pfsense physiqye : Netbarrier, checkpoint
INTERNET
Position du pare feu
ROUTEUR DMZ
Position du pare feu

PC
SWITCH
SV
Exercice pratique : configuration d’un pare-feu
6. Les détections d’intrusions

La détection des intrusions regroupe les méthodes et les systèmes capables de détecter les actes de malveillance
ou tout simplement des actes qui ne sont pas conformes à la « politique de sécurité. Un outil de détection
d’intrusion (IDS) permet donc à un administrateur réseau de déceler tout comportement anormal ou trafic
suspect. C’est un outil qui vient grâce à sa surveillance renforcer la sécurité. Son rôle est de détecter et d’alerter
afin que des dispositions soient prises pour empêcher à l’attaquant d’effectuer des dégâts. Tout comme un pare-
feu, on peut également positionner un IDS où veut en fonction de la politique de sécurité qu’on a mise en place
Exemple d’IDS : SNORT, NAGIOS, EYESOFNETWORK
INTERNET
Position de l’IDS
Position de l’IDS
Position de l’IDS
Pare feu
ROUTEUR DMZ
Position de l’IDS
PC
SWITCH
SV
IDS
Chapitre 3 : la sécurité système
Introduction
Un système d’exploitation est le logiciel qui gère les applications et le matériel de l’ordinateur.il est le garant de la
sécurité de toutes les ressources qui s’y trouvent. Un utilisateur accède à une ressource à travers un certain
nombre droits qui sont définis. Un droit d’accès est la permission que possède un utilisateur par rapport à une
ressource. Le but de ce cours est donc de comprendre la gestion de ces droits qu’ont les utilisateurs par rapport
aux ressources locales ou partagées.
1. Panorama sur la sécurité système

1.1. La gestion des ressources
Dans un ordinateur du réseau, on peut identifier deux types de ressources :
- Les ressources partagées : c’est l’ensemble des ressources disponibles via le réseau
- Les ressources non partagées (les ressources locales) : c’est l’ensemble des ressources accessible
uniquement via le poste en local
1.2. Méthodes d’accès aux ressources partagées

L’accès à une ressource partagée peut se faire de plusieurs manières :
- L’utilisation d’un chemin UNC (uni

-
- versal Name convention). Le chemin UNC a la forme suivante : \\nomserveur[\non_partage[\nom_fichier]]
- L’utilisation d’un favoris réseau
La convention suivante est souvent utilisée pour définir les permissions des utilisateurs par rapport aux
ressources : U  A/P c’est-à-dire que l’utilisateur U reçoit la permission A par rapport à la ressources P
Interpretation :
U est un utilisateur ou un groupe d’utilisateur
A est une autorisation ou une permission par rapport à une ressource
P c’est la ressource partagée
1.3. Liste des autorisations de partage

Il existe quatre niveaux d’autorisation
- NA (No access) c’est-à-dire que l’utilisateur ou le groupe d’utilisateur ne possède aucune permission sur la
ressource concernée
- R (read) c’est-à-dire l’utilisateur ou le groupe d’utilisateur possède la permission de lecture
- C (change) l’utilisateur ou le groupe d’utilisateur peut non seulement lire la ressource mais la modifier
également
- FC (full control (ou control total)) l’utilisateur ou le groupe d’utilisateur a toutes les permissions
1.4. Les règles d’autorisation

- R ⊆ C ⊆ FC ⊆ ( signifie sous−ensemble de … ) ou bie(égale à)
¿ ' ¿
- P =¿ i Pi c està dire que la permission effective P est la reunion de toutes
les permissions élémentaires par rapport à une ressource par appartenance à un groupe
¿
P c’est la permission effective d’un utilisateur ou groupe d’utilisateur par rapport à la ressources
Pi c’est la permission effective d’un utilisateur par appartenance à un groupe.

'
- NA ¿=NA∗signifie n importe quel autre règle
Exemple1 :
U 1 ∈G1 ← R /F 1 F 1 est une permission élémentaire
U 1 ∈G2 ←C / F1 F1 est une permission élémentaire

¿
P ( U 1 ) =R ∪ C=C
Exemple2
G 1= {U 1 , U 2 } ← R / F 1
G2= {U 2 , U 4 }
G 3= { U 1 , U 3 } ← C/ F 1
G4 ={ U 2 , U 3 } ← FC /F 1
PB :
¿
1. calculer P pour chaque utilisateur
2. U4 peut –il avoir des permissions ?
¿
P ( U 1 ) =R ∪ C=C
¿
P ( U 2) =R ∪ FC=FC
¿
P ( U 3 ) =C ∪ FC =FC
¿
P ( U 4 )=aucune permission
Exercice2
On suppose que D1 approuve D2
U 1 ← R /F 1 F1 est une ressource du domaine D1
U 2 ← NA /F 1
U 3 ←C / F 1
U 4 ← FC / F 1
Question : quels sont les utilisateurs qui peuvent supprimer la ressource F1
En réseau, tous les utilisateurs du domaine2 (U3 et U4) peuvent supprimer le fichier F1 par contre si l’accès
s’effectue en local, les utilisateurs des deux domaines peuvent supprimer le fichier F1
RQ : le niveau d’autorisation C : permet non seulement la modification mais également la suppression du contenu
d’un dossier. les permission de partage n’ont de signification que via le réseau c’est-à-dire que si un utilisateur
accède à l’ordinateur qui contient les ressources localement et que cet accès se fait en local alors cet utilisateur
peut exploiter cette ressources si les autorisations de partage sont effectives
1.5. Permission de ressources locales (permission NTFS)

Ces permissions s’appliquent au dossier et au fichier et permettent de mettre en service une sécurité locale en plus
d’une sécurité au niveau du réseau.
Permission Dossier fichier

NA(aucun accès) Rien rien
R(read) Afficher le dossier et les sous- Afficher le fichier ainsi que ses
dossiers attributs
W (Write) Ajout de fichier ou de dossier, Modifier les attributs et le
modification des attributs contenu du fichier
X(execute) Modifie les sous dossiers et Execute un fichier((binaire)),
afficiche les permissions affiche les attributs et les
permissions
D(delete) Supprimer l’arborescence Supprimer le fichier
P(change permission) Changer les permissions Changer les permissions
O(take ownerchip) Prendre possession Prendre possession
2. La sécurité sous linux

Tout comme sous Windows, la sécurité sous linux vise également à gérer les droits d’accès, à assurer l’intégrité et la
confidentialité des données et assurer la sécurité de connexion
2.1. Concept fondamentaux

Sur un système Linux, tout utilisateur (réel ou processus) est identifié par un numéro unique appelé UID (User
identification). Il est également associé à un groupe principal, identifié par un numéro unique nommé GID (Group
identification), et éventuellement à d’autres groupes. Chaque fichier est la propriété d’un utilisateur et d’un
groupe, et présente des permissions en lecture (r), écriture (w) et exécution (x). Ces permissions sont le fondement
de la sécurité du système. Elles sont représentées par une suite de 9 bits rwxrwxrwx représentant les droits
énoncés ci-dessus pour l’utilisateur propriétaire, le groupe propriétaire et le reste de utilisateurs du système.
Chaque groupe de 3 bits rwx peut aussi être représenté par sa valeur octale entre 0 et 7. Tout processus sur le
système dispose également d’un identifiant unique appelé PID. Son PPID (parent process identifier) permet de
l’associer au processus l’ayant engendré. Il est associé à un UID et GID qui permettent de déterminer ses droits
d’accès. On peut égalemnt attribuer des droits à un utilisateur en utilisant une notation relative (ou symbolique)
comme l’exemple suivant
ex : u+w,g-w,o-rx …)
— u représente l’utilisateur propriétaire, g le groupe propriétaire et o le reste des utilisateurs,
—le symbole - signifie suppremer un droit, = maintien le droit de l’utilsateur et + l’ajoute un droit
— r, w et x sont les droits eux-même.
Exercice1 : on affecte les droits 640 à l’utilisateur Paul par rapport à une ressource X.
1. quels droit possède Paul par rapport à X

2. quels droits possède son groupe ainsi que les autres utilisateurs par rapport à X
solution :
chaĩne 640 (110 100 000) signifie :

— accès en lecture et écriture pour le propriétaire,( 110)
— accès en lecture pour le groupe propriétaire,( 100)
— aucun accès pour les autres utilisateurs.( 000)
Exercice2 : on affecte maintenant les droits 122 à l’utilisateur Jean par rapport à une ressource Y.
1. En utilisant la forme symbolique, présenter les droits des utilisateurs par rapport à la ressource Y
2. Pour chaque catégorie d’utilisateur, quel est son droit par rapport à Y
Solution
1 u+r,g+w,o+w
2 Jean lecture groupe : écriture other : écriture
2.2. Quelques commandes de base

- ls : Afficher la liste des dossier et fichiers d'un répertoire. Ses options –l et –ld permettent
respectivement d’afficher les droits de l’utilisateur par rapport à un fichier et à un répertoire.
- cd : Se déplacer vers un répertoire.
- pwd : Affiche le nom du répertoire courant.
- mkdir : Créer un répertoire
- rmdir : Supprimer un répertoire.
- rm : Effacer un fichier ou un répertoire.
- cp : Copier un dossier ou un répertoire.
- mv : Déplacer (renommer) un dossier ou un répertoire.
- touch : Permet de changer la date d'un fichier à l'heure courante ou de créer un fichier s'il n'existe
pas (touch /home/user/test).
- cat : Afficher le contenu d'un fichier texte. Concaténer des fichiers.
- apt-get, aptitude : Installer des paquets DEB (Mepis, Ubuntu, Knoppix, Debian...).
- find : Rechercher un dossier ou un fichier.
- history permet de retrouver les commandes que vous avez tapez auparavant
2.3. L’interpréteur de commande Bash

Un interpréteur de commande est un langage qui permet d’interpréter les commandes tapées dans la
console. Sous linux, il en existe plusieurs mais le plus utilisé est Bash. Il est sensible à la casse.
Signification des prompts
junior@localhost ~ $ le symbole $ signifie qu’il s’agit d’un simple utilisateur qui est connecté, le symbole
~ indique que l’utilisateur courant est dans son répertoire personnel, le symbole @ sépare le nom de
l’utilisateur actuellement connecté au nom de l’ordinateur.
Le prompt junior@localhost ~ $ indique donc que le simple utilisateur 'junior' travaille sur l'ordinateur
'localhost' est qu'il est dans son répertoire personnel /home/junior
root@localhost /usr # le symbole # indique l’utilisateur connecté est un administrateur.
Dans cet exemple, l'administrateur root travaille dans l’ordinateur ayant pour nom ‘localhost’ et qu’il est
actuellement dans le dossier /usr.
Exercice 1 : création des fichiers et des dossiers puis affichage des droits
1. ouvrir l’interpréteur en mode administrateur

2. dans votre répertoire, créez deux dossiers dos1 et dos2
3. dans dos1 créer le fichier nommé fichier3, dans dos2 le fichier nommé fichier4
4. afficher les droits que possède l’utilisateur courant sur les dossiers nouvellement créés ainsi que
les fichiers
2.4. Gestion avancée
2.4.1. Gestion des utilisateurs et des groupes
a) Gestion des groupes
Création de groupe
Un groupe est identifié par son numéro et par son nom. On crée un groupe en utilisant la commande « groupadd ».
l’option –g permet de préciser le numéro du groupe
Syntaxe : groupadd option group-name
Exemple : créons l’utilisateur groupe20 puis attribuons lui le numéro 1107
On peut obsserver les groupes créés en tapant la commande cat /etc/groupadd. etc/group. C’est un fichier qui
contient la liste des groupes utilisateur du système local et pour chacun la liste des utilisateurs dont il est le
groupe secondaire.
Suppression de groupe
On supprime un utilisateur avec la commande « groupdel »
Syntaxe : groupdel groupe_name
Exemple : supprimons le groupe groupe20 nouvellement créé
Vérifions l’effectivité de la suppression
Modification de groupe
On modifie les attributs d’un groupe avec la commande « groupmod ». Ses options sont les suivantes :
Option Rôle
-n <nom> Renomme le groupe.
-g <GID> Modifie le GID.
-A <user> Ajoute l’utilisateur spécifié dans le groupe.
-R <user> Supprime l’utilisateur spécifié du groupe.
Tableau : options de groupmod
Exemple : on peut remarquer dans /etc/group l’existence de « groupe30 »
On va modifier le groupe30 en groupe30bis syntaxe : groupmod -n nom_nouveau_groupe

nom_ancien_groupe
Cat /etc/group
Modifions le numéro du groupe30bis (1408) en 1410
Syntaxe : groupemod –g new_GID group_name
Cat /etc/group
On peut aussi modifier en même temps le nom et le numéro de groupe. Dans cet exemple on modifie le nom et le
numéro du groupe40
Syntaxe : groupmod –n new_group_name -g new_GID group_name

Vérification
a) Mot de passe de groupe
On peut affecter un mot de passe à un groupe cela est effectuer par la commande gpasswd ce mot de
passe est stocké dans /etc/gshadow
Les options sont les suivantes :
Option Rôle
-a Ajoute un utilisateur au groupe
-M Défini une liste des utilisateur du groupe
-A Défini une liste des administrateurs du
groupe
Tableau : option de gpasswd
Cat /etc/gshadow
Modifions le mot de passe du groupe groupeGL2Bbis en groupeGL2Bbis!
Tail –n 4 /etc/gshadow
Changeons le groupe de root puis mettons le dans groupeGL2Bbis
Vérification
b) Changement de groupe
Un utilisateur peut changer de façon temporaire son groupe principal avec la commande newgrp. Le groupe
auquel il va appartenir doit être un de ses groupes secondaires et il doit disposer du mot de passe de ce
groupe.
b) Gestion des utilisateurs

Les principaux attributs d’un utilisateur sont les suivants : un login, un mot de passe, un UID, un GID
correspondant à son groupe principal, un descriptif, un répertoire de connexion, une commande de
connexion.
Création d’un utilisateur
Pour créer un utilisateur, on utilise la commande useradd
Syntaxe : useradd <options> login

Si aucune option n’est précisée, les valeurs par défaut sont récupérées au sein du fichier
/etc/defaults/useradd. la commande useradd a les options suivantes : -m permet de créer le répertoire
personnel de l’utilisateur, -u précise UID numérique de l’utilisateur, -g précise son groupe, -s précise le
shell (la commande de connexion), -p précise son mot de passe, -G précise les groupes additionnels de
l’utilisateur. Les noms des groupes sont séparés par des virgules.
Exemple : création d’un utilisateur

Créons l‘utilisateur « ignace » avec comme UID 2007 et pour répertoire personnel /home/ignace
Créons l’utilisateur rodrigue avec comme UID 2008, répertoire personnel /home/rodrigue et avec comme
groupe additionnel groupe30bis et group40bis
Créons l’utilisateur steph avec comme UID 2004, répertoire personnel /home/steph, avec comme groupe
additionnel groupe30bis et avec comme mot de passe steph123!
Suppression d’un utilisateur
La suppression des utilisateurs se fait avec la commande userdel. Par défaut le répertoire personnel n’est
pas supprimé. On utilise l’option –r pour le supprimer.
Syntaxe : userdel option user_name
Observation : on peut remarquer que l’utilisateur kevin a bel et bien été supprimé mais que son répertoire
personnel existe encore dans home parce qu’on n’a pas précisé l’option -r
Le répertoire /home de root
En supprimant l’utilisateur gael, on peut observer que son répertoire personnel a bel et bien été supprimé de
/home
Modification des utilisateurs
La modification d’un compte se fait avec la commande usermod. Ses options sont les suivants
Option Rôle
-L Lock du compte.
-U Unlock du compte.
-u Modifie l’UID associé au login
-l Modifie le nom de login
-m Move : avec –d précise un nouveau
répertoire personnel le contenu de
l’ancien est déplacé dans le nouveau.
Tableau : options de usermod
Exemple : modifions l’UID de l’utilisateur rodrigue (2008) en 2021, son répertoire personnel en
/etc/rodriguoh et son login en rodriguo
a) Suppression des utilisateurs
autres commandes concernant les fichiers et les utilisateurs
- Chmod : elle permet de modifier les droits d’accès par défaut d’un fichier. Syntaxe : Chmod
modifications Fic1 [fic2…]
- Chown (change owner) et chgrp sont des commandes qui s’appliquent sur des fichiers. Elles
permettent de changer le propriétaire et le groupe d’un fichier
- whoami :permet de connaitre le nom d’un utilisateur
- who : permet de connaitre qui est logué sur le système
- who am i : sélectionne sur la ligne de who le compte correspondant a votre session.

- w : permet de montrer qui est connecté et ce qu’il fait.
- id : permet de connaitre identifiant d’un utilisateur, ses groupes primaires et secondaires
La commande chmod
Dans le répertoire rep1, modifions les droits que possède root par rapport à au fichier fichierGL
Observation
Ajoutons à root le droit d’exécution, au groupe le droit d’écriture et au reste aucun droit
On peut également observer que ce fichier appartient à l’utilisateur root et au groupe root
Changeons le groupe qu’appartient le fichier fichierGL
Dans rep2 on va changer l’utilisateur et le groupe du fichier fichierSR

Les UID d’une valeur inférieure à 100 sont en principe associés à des comptes spéciaux avec des droits
étendus.
Ainsi l’UID de root, l’administrateur, est 0. Selon les distributions, à partir de 100, 500 ou 1000, et ce
jusqu’à environ 60000, ce sont les UID des utilisateurs sans pouvoirs particuliers.
3.4.3 Sécurité des mots de passe
Les mots de passe sont à la base de l’authentification des utilisateurs. Ils doivent être complexes de manière
à être difficile à, une tierce personne d’imaginer. Un bon mot de passe doit être simple à retenir et difficile
à casser par n’importe quel logiciel, il doit être changé régulièrement.
Exemple de mot de passe : Amina peut encore s’écrire /-\M|n@
a) Changement de mot de passe
La commande passwd permet de modifier les mots de passe des utilisateurs et la plupart des champs du
fichier /etc/shadow.
Tout utilisateur a le droit de modifier son mot de passe.
La commande passwd possède plusieurs options résumées dans le tableau suivant :
Option Rôle
-l Lock : verrouille le compte en rajoutant !
devant le mot de passe crypté.
-u Unlock : déverrouille le compte.
-d Supprime le mot de passe.
-n <j> Durée de vie minimale en jours du mot de
passe.
-x <j> Durée de vie maximale en jours du mot
de passe.
-w <j> Nombre de jours avant avertissement.
-i <j> Délai de grâce avant désactivation si le
mot de passe est expiré.
-S Statut du compte
Tableau : options de passwd
Exemple : modifions le mot de passe de l’utilisateur abando
modification les paramètres d’abando avec durée minimale de compte : 20 jours, durée de vie
maximale : 30 jours, avertissement à partir de 21 jours et pour délai de grâce 2 jours.
On peut également modifier les paramètres d’un mot de passe avec la commande « chage » qui n’est
accessible que par root. sa syntaxe est :
# chage <options> login
Les options de chage sont résumées dans le tableau suivant :
Option Rôle
-m Mindays : équivaut à passwd –n.
-M Maxdays : équivaut à passwd –x.
-d Date de dernière modification du mot de
passe (depuis le 01/01/1970).
-I Inactive : équivaut à passwd –i.
-W Wardays : équivaut à passwd –w.
-l List : affiche tous les détails.
Tableau : options de chage.
Information sur le compte de l’utilisateur abando.

3.4.5 Changement d’identité
Un utilisateur peut le temps d’une session changer ou endosser l’identité d’un autre utilisateur, il s’agit
généralement de root pour effectuer les tâches administratives.
Cela est effectué par la commande su (substitute user). Sa syntaxe est la suivante :
$ su [-c commande] [-s shell] [-] [utilisateur]
Si aucun utilisateur n’est précisé c’est root qui est utilisé.
2.2. Les pare-feu SOUS LINUX

LINUX est un SE recommandé pour la sécurité système. Son pare feu Netfilter permet à travers IPtables de
renforcer la sécurité du système. Il est robuste et résiste efficacement aux attaques. Il fonctionne en mettant
en place des hooks (crochet) dans le noyau Linux permettant d'intercepter les paquets réseau qui y
transitent en émission ou en réception. On distingue plusieurs points de filtrage
 PREROUTING : traite les paquets à leur arrivée. Si le paquet est a destination du système local il
sera traité par les règle (INPUT, OUTPUT) ;
 FORWARD : les paquets ne font que traverser le système local ;
 INPUT : traite les paquets destinés au système local, en entrée
 OUTPUT : traite les paquets quittant le système local, avant POSTROUTING ;
 POSTROUTING : traite les paquets avant leur sortie du système.
Pour chaque crochet « hook » positionné par NetFilter, on va pouvoir :
 Modifier le paquet, puis le rendre ou non au système ;
 Imposer au système de supprimer le paquet, cela correspond alors à un rejet du paquet ;

 Indiquer au système que le paquet est accepté pour ce hook, jusqu'au prochain.
3.2.1. Les règles :

Elles déterminent l’action à entreprendre lorsqu’un paquet correspond aux critères d’une règle Avec
iptables on utilise l’option –j pour spécifier la règle. On distingue:
 DROP : le paquet est rejeté. Aucune notification n,est envoyé à la source.
 REJECT : le paquet est rejeté retournant une erreur à la source.
 ACCEPT : le paquet est accepté.
 LOG : une information est renvoyée à syslog pour les traces.
3.2.2. Critères de correspondance

Les critères de correspondance déterminent la validité d’une règle. Tous les critères doivent être vérifiés
pour qu’une règle soit validée.
 -i : interface entrante
 -o : interface sortante
 -s : adresse IP de la source.
 -d : adresse IP de la destination
 A : ajoute une règle.
 I : insère une règle à la position souhaitée
 D: supprime un règle
 L : liste les règles par défaut seul la table filter est affichée, pour afficher une autre table utiliser
l’option –t.
 F : supprime l’ensemble des règles
 P : modifie les règles par défaut

Suivant le protocol de la couche 4 (tcp,udp ou icmp), certaines options sont possibles :
 -p : protocole (tcp,udp,icmp,igmp) la liste se trouve dans /etc/protocol
 - -dport : port destination
 - - sport : port source
2.3.3. Opération de base

Les règles sont numérotées à partir de 1.
Interdire tous les paquets en entrée du système local dont la source est 192.168.1.2
# iptables –A INPUT –s 192.168.1.2 –j DROP
# iptables –I OUTPUT 4 –d 192.168.1.12 –j DROP
# iptables –D INPUT 1 //supprime la règle 1
Figure 2 : Table iptables
Interdire tous les trafics entrant dans le système local sur l’interface eth0 :
# iptables –A INPUT –i eth0 –j DROP
Interdire tout trafic sortant du système local vers l’adresse IP 192.168.1.12
# iptables –A OUTPUT –d 192.168.1.12 –j DROP
Interdire tout traffic entrant, sortant et forward par défaut
# iptables –P INPUT DROP
# iptables –P OUTPUT DROP
# iptables –P FORWARD DROP
Interdire le protocol icmp en entrée
# iptables –A INPUT –p icmp –j DROP

TCP, UDP, ICMP
Interdire les connexions entrantes à destination du port 80 (serveur httpd) :
# iptables –A INPUT –p tcp - -dport 80 –j DROP
Interdire toutes les connexions http vers le réseau 192.168.1.0/24
# iptables –A OUTPUT –p tcp - -dport 80 –d 192.168.1.0/24 -j DROP
Figure 4 : sauvegarde des règles NETFILTER/iptables
3. La sécurité sous Windows

Les systèmes Windows peuvent également être utilisés pour garantir la sécurité des données dans une
entreprise. L’inconvénient de ces systèmes est qu’ils sont payants et par conséquent subissent beaucoup
d’attaques. Tout comme sous linux, la sécurité sous Windows est aussi basée sur les droits qu’on attribue
aux utilisateurs par rapport aux ressources. on peut aussi installer des outils de sécurité pour renforcer la
sécurité des informations. Windows a aussi un pare feu configurable graphiquement ainsi que les
navigateurs web pour le traffic Web. Son controlleur de domaine active directory est aussi efficace pour
limiter les droits aux utilisateurs.
Exercice :
Créer dans « mes documents » un dossier nomme docGL.
Créer dans ce dossier un fichier texte nommé fichierGL2.txt, mettez un contenu quelconque dans ce fichier
Définissez les droits aux utilisateurs de votre système par rapport à ce fichier
Exerice2 : configuration du navigateur Web
Exercice3 : configuration du pare feu
CHAPITRE 4: LES
VULNERABILITES ET LES TYPES
D’ATTAQUES
Objectifs spécifiques: connaitre quelques méthodes utilisées par les pirates pour mettre en cause les
systèmes d’informations
Introduction
L’information est le bien le plus précieux qui puisse être protégé pour garantir la survie de l’entreprise.
Les moyens déployés pour la sécurité de cette information peut définir l’indice de vulnérabilité du SI.
Raison pour laquelle la plupart des entreprises investissent le plus sur La sécurité. Aujourd’hui les
méthodes d’attaques se multiplient, chaque entreprise doit pouvoir s’adapter et trouver les moyens
nécessaires pour se protéger contre ces attaques.
1. Les attaques d’accès
Les attaques d’accès sont celles entreprises par des personnes qui veulent accéder à des informations
alors qu’ils ne possèdent pas les droits. Elles mettent en cause la confidentialité des informations. On
distingue :
1.1. L’ingénierie sociale
Elle n’est pas réellement considérée comme une attaque informatique mais plutôt comme une méthode
utilisée par une tierce personne pour accéder à certaines informations telles ques les mots de passes,
login, numéro de compte, données,…
1.2. Le cheval de troie
Un cheval de troie est un programme qui s’installe dans un ordinateur ayant pour but de faciliter l’accès à
d’autres programmes malveillants ou à un pirate informatique. Il peut aussi voler des mots de passe,
copier des données, exécuter des actions nuisibles.
1.3. Le sniffing
Ce type d’attaque consiste à intercepter tous les paquets qui circulent sur un réseau afin d’en avoir le
contenu et l’utiliser à des fins diverses. On utilise généralement un logiciel appelé renifleur de paquets
(sniffer) permettant de capturer les paquets transitant sur le réseau.
1.4. La porte dérobée
Le but principal d’une porte dérobée est de faciliter l’accès au pirate informatique de manière à ce que
l’administrateur du réseau ne s’aperçoive pas et qu’il puisse être capable à tout moment de reprendre
facilement le contrôle du système. Le pirate peut alors récupérer les données qu’il souhaite, voler des
mots de passe ou même détruire des données.
Il existe différents types de portes dérobées :
• Création d’un nouveau compte administrateur avec un mot de passe choisi par le pirate.
• Création de compte ftp
• Modification des règles du pare-feu pour qu’il accepte des connections externes.
1.5. Le craquage de mot de passe
Ce type d’attaque consiste à faire plusieurs essais jusqu’à trouver le bon mot de passe. Il est vrai que cela
n’est pas évident parce qu’il n’existe pas des mots de passes standards, chaque utilisateur personnalise
son mot de passe.
Il existe plusieurs méthodes :

• L’utilisation de dictionnaires : le mot testé est pris dans une liste prédéfinie contenant les mots de
passe les plus courants et aussi des variantes de ceux-ci (à l’envers, avec un chiffre à la fin…). Les
dictionnaires actuels contiennent environ 50 000 mots voir plus et sont capables de faire une grande
partie des variantes.
• La méthode brute : toutes les possibilités sont faites dans l’ordre jusqu’à trouver la bonne solution.
 L’utilisation des utilitaires de craquage de mots de passe.

1.6. Les intrusions
Les intrusions sont en principe des attaques d’accès comme celles citées ci-dessus. Elle consiste à entrer
dans un réseau sans autorisation et en faire des dégâts plus ou moins destructifs. Le principal moyen pour
prévenir les intrusions est le pare-feu (firewall).
2. Les attaques par modification
Ce type d’attaque met en cause l’intégrité des données et consiste à modifier les informations contenues
dans un système. C’est en réalité des virus qui sont maitres de ce type d’attaque. On peut citer
 Les vers qui sont des virus capables de se propager dans le réseau;
• Les « chevaux de Troie » créant des failles dans un système;
• Les canulars envoyés par mail.
3. Les attaques par saturation (dénie de service)
Les attaques par saturation sont des attaques informatiques qui consiste à envoyer des milliers de
messages depuis des dizaines d'ordinateurs, dans le but de submerger les serveurs d'une société, de
paralyser pendant plusieurs heures son site Web et d'en bloquer ainsi l'accès aux internautes.
Il existe différentes attaques par saturation :
• Le flooding
Cette attaque consiste à envoyer à une machine de nombreux paquets IP de grosse taille. La machine
cible ne pourra donc pas traiter tous les paquets et finira par se déconnecter du réseau.
 le ping flood: c’est un ping intensif et répété vers un serveur

 Le mailbombing: il se caractérise par l’envoi massif de courrier électroniques pour saturer une
boîte aux lettres
• Le TCP-SYN flooding
Le TCP-SYN flooding est une variante du flooding qui s’appuie sur une faille du protocole TCP. En effet, on
envoie un grand nombre de demande de connexions au serveur (SYN) à partir de plusieurs machines. Le
serveur va envoyer un grand nombre de paquet SYN-ACK et attendre en réponse un paquet ACK qui ne
viendra jamais. Si on envoie les paquets plus vite que le timeout des « demi-connexion » (connexions
autorisées mais non terminé), le serveur sature et finit par se déconnecter.
• Le smurf (comme usurpation d’adresse)
Le smurf est une attaque qui s’appuie sur le ping et les serveurs de broadcast . On falsifie d’abord son
adresse IP pour se faire passer pour la machine cible. On envoie alors un ping sur un serveur de
broadcast. Il le fera suivre à toutes les machines qui sont connectées qui renverront chacune un « pong »
au serveur qui fera suivre à la machine cible. Celle-ci sera alors inondée sous les paquets et finira par se
déconnecter.
• Le débordement de tampon
Cette attaque se base sur une faille du protocole IP. On envoie à la machine cible des données d’une taille
supérieure à la capacité d’un paquet. Celui-ci sera alors fractionné pour l’envoi et rassemblé par la
machine cible. A ce moment, il y aura débordement des variables internes. Suite à ce débordement,
plusieurs cas se présentent : la machine se bloque, redémarre.
4. Les attaques de répudiation
La répudiation est une attaque contre la responsabilité. Elle consiste à tenter de donner de fausses
informations ou de nier qu’un événement ou une transaction se soient réellement passé.
Conclusion
La sécurité informatique est le garant de l’intégrité des données d’une entreprise. Elle est indispensable.
De nos jours, quel que soit l’endroit où on se trouve, on peut toujours être attaqué. D’énormes moyens
doivent pour cela être déployés pour garantir cette intégrité. Pour limiter les risques, chaque entreprise
doit toujours faire la police de tout son SI afin de détecter les différentes failles et y apporter des
solutions adéquates.

Cours de Securite InformatiqueGL

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Cours de Securite InformatiqueGL

Transféré par

Droits d'auteur :

Formats disponibles

Le but de ce cours consiste à :

- Se familiariser avec les concepts de la sécurité informatique.

Chapitre 1 : Généralité sur la sécurité informatique (les concepts de sécurité)

Chapitre 2 : la sécurité réseau

Chapitre 3 : La sécurité système

Chapitre 4 : les vulnérabilités et les techniques d’attaques

CHAPITRE 1 : GENERALITES SUR

- Connaitre ce que c’est que la sécurité informatique

1. Définition de la notion de sécurité

- De prévenir un système d’information des attaques multiformes (gestion des risques)

3. Les concepts de base de sécurité

3.5. La non répudiation

5.1. La démarche de sécurité :

Etape2 : recherche des parades (qu’est-ce que je sécurise, quand et comment) ;

Etape4 : mettre en œuvre les protections

Etape5 : faire la mise à jour

Exemple : SNORT, NAGIOS

6. Notion de politique de sécurité

Objectifs spécifiques: permettre aux étudiants de comprendre la sécurité réseau et d’implémenter

À la fin de ce cours, l’étudiant doit être à mesure de :

- Comprendre le fonctionnement de quelques techniques de sécurité réseaux

2. Les techniques de sécurité réseaux

Nombre de sous-réseau (Nsr) : 2n n représente le nombre de bits empruntés à la partie réseau

Soit l’adresse 192.168.4.0/255.255.255.0, segmenter cette adresse en sous réseaux de 41 hôtes

Sous réseaux Masque de sous Adresses de Plage d’hôtes utilisables

donc Masque de SR=255.255 .192 .0

donc Masque de SR=255.255 .224 .0

Adresse de SR Masque de SR Plage d’adresses Adresse de

Exercices à faire à domicile

Segmenter les réseaux suivants

a) quel réseau appartient l’adresse 192.168.100.25/30

1. L’adressage VLSM (principe et segmentation)

2.2. Les VLAN

 Les Vlan par port (Vlan de niveau 1) :

 Les Vlan par adresse MAC (Vlan de niveau 2) :

 Les Vlan par adresse de Niveau 3 (VLAN de niveau 3) :

b) Configuration des VLAN

Étape1 : on crée les VLAN

Étape2 : on attribue les ports du switch aux VLAN créés

Étape3 : on affecte les adresses IP aux VLAN

Activer d’abord l’interface du routeur

Soit la figure ci-dessous

Switch(vlan)#vlan 10 name gl2a

Switch(vlan)#vlan 20 name gl2b

Enter configuration commands, one per line. End with CNTL/Z.

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan 10

Switch(config-if)#switchport mode access

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan 20

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan 20

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan 20

Switch(config-if)#switchport mode trunk

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5, changed state to down

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5, changed state to up

Création des sous-interfaces au niveau du routeur

Router(config-subif)#ip address 192.168.1.254 255.255.255.0

Router(config-subif)#ip address 192.168.2.254 255.255.255.0

On adresse les PC en renseignant les passerelles

Ping d’un PC du VLAN 20 à un PC du VLAN 10

Switch(vlan)#vtp domain IAI

Changing VTP domain name from NULL to IAI