Sécurité de la couche 3

Contact : prof Moumine

mouminib@gmail.com
 Niveau de sécurité
Besoins en termes de sécurité (plan de sécurité)

1- Sécurité des équipements (physique)

2- Sécurité des réseaux
3- Sécurité des applications et des systèmes d'exploitation (logicielle)
4- Sécurité des données (BD).
5- Flux d’information

mouminib@gmail.com
 Objectif de la sécurité
 Confidentialité :
La capture des paquets ne doit pas permettre de savoir quelles sont les
informations échangées.

 Authentification:
Le récepteur doit être capable de vérifier si les données reçues proviennent bien
de l’émetteur supposé.

 Intégrité :
Le récepteur doit être capable de verifier si les données n’ont pas été modifiées
lors de la transmission.

 Protection contre le rejeu :

Une personne qui intercepte un message d’une communication sécurisée entre
deux machines ne pourra pas retransmettre ce message sans que cela soit
détecté.

mouminib@gmail.com
Sources d’intrusion
Méthodes d’attaques
 Types d’attaque
DOS et DDOS
1- Inondation SYN

2- Ping fatal

3- Force brute

4- ARP cache poisonning

5- Teardrop

6- SMURF

7- les virus

8- MTM
mouminib@gmail.com
 Mécanisme de sécurité
 Mis à jours te correctif

 Antivirus : logiciel qui protège contre les logiciels néfastes.

 Le pare-feu : élément (logiciel ou matériel) contrôlant le trafic le traversant.

 Détection d'intrusion : repère les activités anormales ou suspectes (IDS/IPS)

 Authentification : assure que les donnés sont par les personne légitime (moyen d’identification )

 Journalisation ("logs") : Enregistrement des activités de chaque acteurs.

 Analyse des vulnérabilité ("security audit") :

Identification des points de vulnérabilité du système.

 Contrôle d’accès : vérifie les droits d’accès d'un acteur

 DMZ : réseau à part, accessible par réseau interne et extérieur

 Chiffrement :
algorithme basé sur des clefs pour transformer des données. ( VPNSSH)

 Signatures numériques
garantir l‘intégrité d'un document électronique et d'en authentifier l'auteur
mouminib@gmail.com
 SSH
 Couche transport TCP port 22

mouminib@gmail.com
NAT & ACLs
 NAT

1- Gaspillage d’adresse
2- Securité
3- pas de re-adressage
IP privé VS public
 Configuration NAT
1. Liste de controle d’accès ( adresse privé)

2. Definir une pool d’adresse public

3. Traduction

4. Appliquer NAT aux interfaces

Mouminib@gmail.com 12
Configuration( sur interface )

Mouminib@gmail.com 13
 Types de NAT ( statique &dynamique )
Statique :
NAT dynamique

Mouminib@gmail.com 15
 Types de NAT
Dynamique (surcharge NAT) :
 Configuration (overload)
Methode 1

Mouminib@gmail.com 17
Verfication

Mouminib@gmail.com 18
Verification/depannage

Mouminib@gmail.com 19
Depannage (Suite)

20
Mouminib@gmail.com
 TP nat (interactive en ligne )
final

- Votre société a besoin d’aller sur internet. Elle a déjà acheté des adresses public avec le
FAI.
- Une plage de 4 adresses.( 192.167.1.1-192167.1.5) . Le netmask est le 255.255.255.248
- Le réseau de votre entreprise est composé de 200 machine et 2 serveurs( DHCP,FTP
et HTTP).

Q1: Quelle types de NAT conviendra votre réseau.

R- Surchage NAT
Q2: Mettez en place les NAT appropriés
R: 1- Autorisation des adresse Ip par ACL
2- Traduction de la liste autiorisé en un seul IP public choisi/intefase sortant
3- Appliquee nat aux interfaces

Q3: Vérifiez que le NAT est effectif ( ping sur a l’exterieur avant verification)
R- show ip nat translation

Mouminib@gmail.com 21
Scenario
Prof Moumine 23
 Type d’ACLs
1- Standard
2- Etendue
3- Nommés
Remarque :
ACL dynamique( ACL avec authentification + timebased security policy)
Règle ACL : 1- non autorisé bloqué
2 - Du specifique au generale

Prof Moumine 24
ACLs standard

Prof Moumine 25
ACLs étendue

Prof Moumine 26
ACL nommé

Prof Moumine 27
Emplacement d’ACL

Prof Moumine 28
 Autorisation de Telnet

Remarque :
-Tout autre réseau se verront refuser le service Telnet
- Acl étendu pour port 23 /22
Prof Moumine 29
Filtrage de Telnet

Prof Moumine 30
Vérification des ACLs

Prof Moumine 31
 Resolution d’un problem

1- Refuser tout utilisateurs dans le reseaux

192.168.1.0 /24 de pinger le serveur
192.168.3.1et en meme temps les permetre de
repondre le ping.
2- Ne permetre que le station de travail
192.168.1.254 de “telnet” le routeur1
( Voir topology).

Prof Moumine 32
Verification des ACLs (suite)

# Show ip interface
Prof Moumine 33
Verification des ACLs (suite)

Prof Moumine 34
 TP : Problematique
1- Reseau a Reseau
2- Reseaux a Sous-reseaux
3- Reseaux a Hote
4- Sous-reseaux a Sous-reseaux
5- Sous-reseau a Utilisateur
6- Hote a Hote

Prof Moumine 35
 VPN

 Utilise du cryptage et des tunnels

 Protection avec du cryptage au travers d'un tunnel.

 Assure : confidentialité, intégrité, authentification

 Algorithm : Hmac-sh1 et Hmac-md5

mouminib@gmail.com
 INTERNET VPN
 Besoin de protection contre des menaces sur la sécurité

mouminib@gmail.com
Connexion VPN

ASA de cisco

mouminib@gmail.com
 Tunnelisation et cryptage
 Méthodes de "tunneling " : GRE,PPTP,L2TP ,IPSec
 Cryptage + IPsec = réseau privé

• Un tunnel est une connexion point à point virtuelle

• Un tunnel transporte un protocole à l'intérieur d'un autre
• Le cryptage transforme les informations en texte chiffré
• Le décryptage restore les informations à partir du texte chiffré

mouminib@gmail.com
 IPsec

1- Assure confidentialité, d’authentification et d’intégrité

3- IPsec serait obligatoire dans IPv6 et facultatif dans IPv4

4- Utilise la cryptographie

5- Sécuriser toutes les applications ou communications au-dessus d’IP

mouminib@gmail.com
 Mécanisme d’Ipsec

 AH (Authentication Header) qui sert à valider l’intégrité des messages et à

prouver l’identité de l’expéditeur, ainsi que d’éviter les rejeux.

 ESP (Encapsulation Security Payload) qui sert à assurer la confidentialité

des messages.

 IPcomp (IP compression) qui compresse les données qui transitent.

Note : Niveau réseau

mouminib@gmail.com
VPN et Avantages