Chapitre 5:

Qualité de service (QoS)

et sécurité des réseaux
 Introduction à la QoS
La Qualité de Service (QoS) est un concept fondamental dans le domaine
des réseaux de télécommunication. Elle se réfère à la capacité d’un réseau à
fournir un service qui répond aux attentes spécifiques des utilisateurs et des
applications.
La QoS est importante car elle permet aux fournisseurs de services de
différencier leurs offres en fonction des besoins spécifiques des utilisateurs.
Par exemple, une application de streaming vidéo nécessite une bande
passante élevée et une faible latence pour garantir une expérience utilisateur
fluide, tandis qu’une application d’e-mail peut tolérer des délais plus longs.
 Termes et définitions liés à la QoS
 Qualité de service demandée par l’utilisateur (QoSR) : La QoSR
est la qualité de service que l’utilisateur attend du réseau. Elle est
généralement spécifiée dans le contrat de niveau de service (SLA) entre
l’utilisateur et le fournisseur de services. La QoSR peut varier en fonction
des besoins spécifiques de l’utilisateur ou de l’application.
 Qualité de service offerte / prévue par le fournisseur (QoSO) :
La QoSO est la qualité de service que le fournisseur de services s’engage à
fournir. Elle est généralement définie en fonction des capacités du réseau
et des ressources disponibles. La QoSO peut être affectée par divers
facteurs, tels que la congestion du réseau, les pannes d’équipement, etc.
 Termes et définitions liés à la QoS
 Qualité de service délivrée par le fournisseur (QoSD) : La QoSD
est la qualité de service réellement fournie par le réseau. Elle est mesurée
en utilisant divers paramètres, tels que le débit, la latence, la gigue, etc. La
QoSD peut varier en fonction des conditions du réseau et des
performances des équipements.
 Qualité de service perçue par l’utilisateur (QoSE) : La QoSE est la
qualité de service telle qu’elle est perçue par l’utilisateur. Elle est
généralement mesurée en utilisant des enquêtes d’opinion ou des plaintes
des clients. La QoSE peut être affectée par divers facteurs, tels que les
performances du réseau, les attentes de l’utilisateur, etc.
 Paramètres de QoS
Les paramètres de QoS sont des indicateurs qui caractérisent le niveau de
qualité de service offert et le niveau de satisfaction du client. Voici quelques-
uns des paramètres les plus couramment utilisés :
 Débit : Le débit est la quantité de données qui peut être transmise sur le
réseau pendant une période donnée. Il est généralement mesuré en bits
par seconde (bps). Un débit élevé est souhaitable car il permet de
transmettre plus de données en moins de temps.
 Latence : c’est le temps qu’il faut pour qu’un paquet de données voyage
d’un point à un autre dans le réseau. Elle est généralement mesurée en
millisecondes (ms). Une faible latence est souhaitable, surtout pour les
applications en temps réel comme les jeux en ligne.
 La Gigue : C’est la variation de la latence. Elle est généralement mesurée
en millisecondes (ms). Une faible gigue est souhaitable car elle indique
 Paramètres de QoS
 Perte de paquets : La perte de paquets se produit lorsque des paquets
de données sont perdus pendant la transmission. Elle est généralement
exprimée en pourcentage du nombre total de paquets envoyés. Une faible
perte de paquets est souhaitable car elle indique que la plupart des
données sont correctement transmises.
 Fiabilité : La fiabilité est la capacité du réseau à transmettre les données
sans erreurs. Elle peut être affectée par divers facteurs, tels que les pannes
d’équipement, les interférences, etc.
 Disponibilité : La disponibilité est la capacité du réseau à être
opérationnel et disponible lorsque l’utilisateur en a besoin. Elle est
généralement exprimée en pourcentage.
 Mesure et évaluation de la QoS
Elles permettent aux administrateurs réseau de surveiller les performances
du réseau, d’identifier les problèmes potentiels et d’apporter des
améliorations lorsque cela est nécessaire. Voici quelques points clés à
considérer :
 Outils de surveillance du réseau : Ces outils permettent aux
administrateurs réseau de surveiller en temps réel les performances du
réseau. Ils peuvent fournir des informations sur le débit, la latence, la
gigue, etc. Des exemples d’outils de surveillance du réseau comprennent
Wireshark et SolarWinds.
 Analyse des journaux de réseau : Les journaux de réseau peuvent
fournir des informations précieuses sur les performances du réseau sur
une période donnée. Ils peuvent aider à identifier les tendances, les
problèmes récurrents et les domaines qui nécessitent une
amélioration. Des outils comme Splunk ou ELK Stack peuvent être utilisés
 Mesure et évaluation de la QoS
 Analyse des plaintes des clients : Les plaintes des clients peuvent être
une source précieuse d’information pour évaluer la qualité de service.
Elles peuvent aider à identifier les problèmes spécifiques rencontrés par
les utilisateurs et à prendre des mesures pour y remédier. Des outils
comme Zendesk ou Freshdesk peuvent être utilisés pour gérer et analyser
les plaintes des clients.
 Amélioration de la QoS : Les informations recueillies grâce à ces
méthodes peuvent être utilisées pour apporter des améliorations à la
qualité de service. Par exemple, si les enquêtes d’opinion indiquent que
les utilisateurs sont insatisfaits de la latence du réseau, l’administrateur
réseau peut prendre des mesures pour améliorer ce paramètre.
 Techniques d’optimisation de la QoS
 Hiérarchisation du trafic VoIP sensible aux retards via les
routeurs et les commutateurs : De nombreux réseaux LAN
d’entreprise peuvent devenir trop congestionnés, ainsi les routeurs et
commutateurs peuvent commencer à abandonner des paquets lorsqu’ils
entrent et sortent plus rapidement qu’ils ne peuvent être traités. La
hiérarchisation permet de classer le trafic et de recevoir différentes
priorités en fonction du type de trafic et de sa destination.
 Réservation de ressource : Le protocole de réservation de ressources
(RSVP) est un protocole de couche de transport qui réserve des ressources
sur un réseau LAN et peut être utilisé pour fournir des niveaux spécifiques
de qualité de service réseau pour les flux de données d’application. La
réservation de ressources permet aux entreprises de diviser les ressources
réseau par trafic de différents types et origines, de définir des limites et de
garantir la disponibilité de la bande passante.
 Techniques d’optimisation de la QoS

 Mise en file d’attente : c’est le processus de création de règles qui

fournissent un traitement préférentiel à certains flux de données par
rapport à d’autres. Les files d’attente sont des mémoires tampons hautes
performances dans les routeurs et les commutateurs, dans lesquelles les
paquets qui passent sont conservés dans des zones mémoire dédiées.
Lorsqu’un paquet reçoit une priorité plus élevée, il est déplacé vers une
file d’attente dédiée qui transmet les données à un débit plus rapide, ce
qui réduit les risques d’abandon.
Bande passante avec et sans QoS
appliquée
 Introduction à la sécurité réseau
La sécurité réseau est l’ensemble des mesures visant à protéger la
fonctionnalité et l’intégrité d’un réseau et des données qu’il transporte. Elle
comprend des technologies de matériel et de logiciel qui ciblent un grand
nombre de menaces.
Pour sécuriser un réseau, il faut mettre en place des contrôles de sécurité qui
sont ajoutés aux réseaux. Ces contrôles peuvent être de différentes natures,
comme les pare-feu, les antivirus, les VPN, les mots de passe, les certificats,
etc. Ils ont pour but de prévenir, détecter et réagir aux attaques en réseau.
 Objectifs de la sécurité réseau
La sécurité informatique vise généralement trois objectifs principaux :
• l’intégrité consiste à garantir que les données n’ont pas été altérées sur la
machine ou durant la communication (sécurité du support et sécurité du
transport) ;
• la confidentialité consiste à assurer que seules les personnes autorisées ont
accès aux ressources ;
• la disponibilité consiste à garantir à tout moment l’accès à un service ou à
des ressources. Un quatrième objectif peut être rajouté, il s’agit de la non-
répudiation qui permet de garantir qu’aucun des correspondants ne pourra
nier la transaction. L’authentification est un moyen de garantir la
confidentialité. Elle consiste à s’assurer de l’identité d’un utilisateur ; un
contrôle d’accès (nom d’utilisateur et mot de passe crypté) permet de limiter
l’accès à certaines ressources (lecture seule sur tel dossier, accès interdit à tel
 Les types d’attaques
Les attaques peuvent être classées en deux grandes catégories :
 les techniques d’intrusion dont l’objectif principal est de s’introduire sur
un réseau pour découvrir ou modifier des données
 Les dénis de service (DoS : Denial of Service attack) qui ont pour but
d’empêcher une application ou un service de fonctionner normalement.
Cette deuxième catégorie agit donc sur la disponibilité de l’information
tandis que la première concerne essentiellement la confidentialité et
l’intégrité.
 Les techniques d’intrusion
Ces techniques peuvent être classées suivant le niveau d’intervention :
• L’écoute du trafic sur le réseau (sniffing) ;
• L’ingénierie sociale : elle permet de retrouver ou de récupérer directement
des couples identifiant/mot de passe en envoyant par exemple des messages
falsifiés (phishing);
• L’interception de communication : elle permet l’usurpation d’identité, le
vol de session (hijacking), le détournement ou l’altération de messages
(spoofing) ;
les intrusions sur le réseau comprennent le balayage de ports (port scan),
l’élévation de privilèges (passage du mode utilisateur au mode
administrateur) et surtout les logiciels malveillants ou malwares (virus, vers
et chevaux de Troie).
 Attaque par déni de service
Le déni de service est une attaque qui vise à rendre un service
indisponible en inondant un réseau ou un serveur de demandes et de
données. Cette attaque peut être utilisée pour faire diversion d’une autre
attaque visant à voler des données sensibles de sa cible . On diqtingue
généralement deux types d’attaques par déni de service :

 Attaque SYN flood

 Attaque DDoS
 Attaque par déni de service
 Attaque SYN flood : Une attaque SYN flood est un type d’attaque par
déni de service (DDoS) qui vise à rendre un serveur indisponible en
consommant toutes les ressources serveur disponibles. Le pirate envoie à
plusieurs reprises des paquets de demande de connexion initiale (SYN),
submergeant ainsi tous les ports disponibles sur une machine serveur
ciblée. Cela oblige l’appareil ciblé à répondre lentement au trafic légitime,
ou l’empêche totalement de répondre.
 Attaque DDoS : Une attaque DDoS (déni de service distribué) consiste à
inonder un site web de requêtes pendant une courte période, dans le but
de le submerger et de le faire planter. L’élément « distribué » signifie que
ces attaques proviennent de plusieurs endroits en même temps, par
rapport à un DoS qui provient d’un seul endroit.
 Les Défenses Matérielles dans la Sécurité du
Réseau
Les défenses matérielles jouent un rôle crucial dans la protection de
l’architecture du réseau. Elles interviennent à plusieurs niveaux :
 Support de stockage : Elles protègent l’information stockée sur le
support physique, comme une base de données centralisée sur le disque
dur d’un serveur.
 Médias de transport : Elles sécurisent les médias qui transportent
l’information, comme le réseau sans fil.
 Équipements intermédiaires : Elles sont présentes sur les
équipements traversés lors du transport de l’information, comme
l’utilisation d’un pare-feu (firewall) installé sur le routeur d’accès.
Principes de Base pour Assurer l’Efficacité des Défenses
Pour garantir l’efficacité des défenses, il est essentiel de respecter certains
principes de base :
 Principe du moindre privilège : Chaque élément du système
(utilisateur, logiciel) ne doit avoir que les privilèges minimaux nécessaires
pour accomplir sa tâche. Par exemple, les utilisateurs ne doivent pas être
administrateurs et une session sur un serveur web est ouverte par défaut
sur un compte utilisateur.
 Défense en profondeur : Plusieurs mesures de sécurité sont
préférables à une seule. Par exemple, un antispam sur les postes de
messagerie et sur les postes de travail, un pare-feu sur le routeur d’accès
et sur les machines d’extrémité.
Principes de Base pour Assurer l’Efficacité des Défenses
 Interdiction par défaut : Comme toutes les menaces ne peuvent être
connues à l’avance, il est préférable d’interdire tout ce qui n’est pas
explicitement permis plutôt que de permettre tout ce qui n’est pas
explicitement interdit. Sur un pare-feu, il vaut mieux commencer par
fermer tous les ports pour n’ouvrir ensuite que ceux nécessaires.
 Participation des utilisateurs : Un système de protection n’est
efficace que si tous les utilisateurs le soutiennent. Un système trop
restrictif pousse les utilisateurs à trouver des solutions créatives pour
contourner les restrictions
 Simplicité : La plupart des problèmes de sécurité ont leur origine dans
une erreur humaine. Un système simple réduit le risque d’erreur et facilite
les analyses.
 Les firewalls
Le firewall ou pare-feu est chargé de filtrer les accès entre l’Internet et le
LAN ou entre deux LAN.
La localisation du firewall (avant ou après le routeur, avant ou après la NAT)
est stratégique. Le firewall, qui est souvent un routeur intégrant des
fonctionnalités de filtrage, possède autant d’interfaces que de réseaux
connectés. Suivant la politique de sécurité, le filtrage est appliqué
différemment pour chacune des interfaces d’entrée et de sortie : blocage des
adresses IP privées entrantes, autorisation des accès entrants vers le serveur
d’identification ou le serveur web institutionnel, blocage des accès entrants
vers l’Internet…
Les firewalls
 Les DMZ
Une zone démilitarisée (ou DMZ, DeMilitarized Zone) est une zone de
réseau privée ne faisant partie ni du LAN privé ni de l’Internet. À la manière
d’une zone franche au-delà de la frontière, la DMZ permet de regrouper des
ressources nécessitant un niveau de protection intermédiaire. Comme un
réseau privé, elle est isolée par un firewall mais avec des règles de filtrage
moins contraignantes.
 Les DMZ
Un niveau supplémentaire de sécurité peut être introduit avec un deuxième
firewall. Les règles d’accès sur le firewall du LAN privé sont plus restrictives.
La DMZ est située entre deux firewalls (DMZ « en sandwich ») avec des
règles moins restrictives introduites par le premier firewall.
 Les serveurs mandataires
Un serveur mandataire (ou Proxy) est une machine dédiée qui fournit un
accès à Internet pour les autres machines locales, agissant comme leur
représentant et exécutant les requêtes en leur nom. Il joue un rôle important
dans la sécurité du réseau pour plusieurs raisons :
 Centralisation des accès extérieurs : Un serveur mandataire est
configuré pour un ou plusieurs protocoles de niveau applicatif (HTTP,
FTP, SMTP, etc.). Il permet de centraliser et donc de sécuriser les accès
extérieurs.
 Filtrage applicatif : Le serveur mandataire peut filtrer le trafic en
fonction des applications, bloquant ou autorisant certaines applications
selon les besoins.
 Les serveurs mandataires
 Enregistrement des connexions : Le serveur mandataire peut
enregistrer les détails des connexions, fournissant un journal d’activité qui
peut être utile pour l’analyse et la détection des menaces.
 Masquage des adresses des clients : Le serveur mandataire peut
masquer les adresses IP des clients, ajoutant une couche supplémentaire
de sécurité et d’anonymat.
 Cache Proxy : Les serveurs mandataires configurés pour HTTP peuvent
également stocker les pages web dans un cache. Cela accélère le transfert
des informations fréquemment consultées vers les clients connectés,
améliorant l’efficacité et réduisant la charge sur le réseau.
Les serveurs mandataires