Sécurité des réseaux

Oualid CHEMEK
Oualid.chemek@gmail.com
Plan
 Introduction à la sécurité réseaux
 Sécurisation des communications
◦ Chiffrement (symétrique, asymétrique et hybride)
◦ Signature électronique
◦ Certificat et PKI
 Filtrage des paquets et firewall
◦ Introduction au filtrage des paquets
◦ Accees Control Lists (ACL)
◦ Iptables
 Architecture de sécurité
◦ VLAN
◦ VPN
Introduction
Sécurité

 Ensemble des techniques qui assurent que les

ressources (matérielles ou logicielles) soient
utilisées uniquement dans le cadre où il est
prévu qu'elles le soient.
Aspects de la sécurité
Méthodes employées pour
casser les services de la sécurité
en détournant les mécanismes

Attaques

Services Mécanismes

Fonctionnalités requises
pour assurer un Moyens utilisés pour
environnement sécurisé assurer les services de
en faisant appel aux la sécurité en luttant
mécanismes contre les attaques
Services de la sécurité
C'est l'assurance de l'identité d'un objet de
Authentification tout type qui peut être une personne, un
serveur ou une application.
C'est la garantie qu'un objet (document,
Intégrité fichier, message, etc.) ne soit pas modifié
par un tiers que son auteur.
C’est l’assurance qu’une information ne
Confidentialité soit pas comprise par un tiers qui n’en a
pas le droit.
C'est l'assurance que l'émetteur d'un
message ne puisse pas nier l'avoir envoyé
Non répudiation et que son récepteur ne puisse pas nier
l'avoir reçu.
c'est l'assurance que les services ou
l'information soient utilisable et
Disponibilité
accessible par les utilisateurs autorisés
 Attaques: classification
Attaques

Internes Externes

Exécutées par des entités internes au Exécutées par des entités

système victime parce qu’ils sont externes au système victime
malicieux ou détenu par des attaquants

Attaques

Passives Actives

Ecoute du système (réseau) Injection, suppression ou

pour l’analyser modification de données
Mécanismes
Chiffrement Confidentialité

Signature électronique Intégrité +Non répudiation + authentification

Certificats et PKI Authentification

Pare-feu (firewall) Filtrage des communication (généralement

au niveau réseau et transport)

Contrôle d’accès Filtrage des communication (généralement

au niveau application)

……
Par où commencer ?
 Pour sécuriser un réseau il faut:
◦ Définir une structure du réseau conforme à
l’organisation de l’entreprise
 Séparer les communautés.
 Garde barrière entre communautés.
 Laisser une porte "ouverte" vers l’extérieur (sans risques).
◦ Définir une politique de sécurité.
 La sécurité == 90% de méthodologie et d’organisation +
10% de technique
◦ Mise en place de la politique: sécurisation
◦ Audit de la sécurité
◦ Détection/Correction d’incidents
Politique de sécurité
 Objectifs
◦ Sécurisation adaptée aux besoins de l’entreprise
◦ Permet d’analyser un audit de sécurité
 Composants d’une politique de sécurité
◦ politique de confidentialité
◦ politique d’accès
◦ politique d’authentification
◦ Politique de responsabilité
◦ Politique de maintenance
◦ politique de rapport de violations
◦ …
Audit de la sécurité

 Audit ?
◦ voir si la politique de sécurité est respectée
◦ Découvrir les risques
◦ Effectuer des tests technique de vulnérabilité
◦ Proposer des recommandations
◦ Proposer un plan d’action
Conclusion
 La sécurité
◦ tâche difficile
◦ pas de sécurité à 100%
 Motivation des attaquants
◦ Attirance de l'interdit
◦ Le désir d'argent (violer un système bancaire)
◦ Le désir de renommée (impressionner des amis)
◦ l'envie de nuire (détruire des données, empêcher un
système de fonctionner)
◦ …
Objectifs des attaquants

 Désinformer
 Empêcher l'accès à une ressource
 Prendre le contrôle d'une ressource
 Récupérer de l'information
 Utiliser le système compromis pour attaquer

un autre (rebondir)
 …
Motivation des attaquants
 Vengeance/rancune
 Politique/religion
 Défis intellectuels
 Envie de nuire aux autres
 Impressionner les autres
 Vol d’informations
 Désir d’argent
 Falsification d’informations
Classification des attaques
 Attaques passives
◦ Écoute et analyse du trafic réseau
 Exemple d’outils: wireshark, tcpdump
 But: trouver des informations susceptibles d'intéresser
un attaquant
 Adresses IP importantes
 Architecture du réseau: Découverte du réseau et du
filtrage IP: traceroute, ping
 Emplacement des noeuds
 Informations d’authentification
 Information secrète (en cas de guerre par exemple)
 …
Classification des attaques
 Attaques actives
◦ Modification des données en transit

◦ Injection de données
 Fabrication (mascarade): injecter des données en
spécifiant une adresse source légitime
 Rejeu: ré-envoyer d’anciens données

◦ Suppression de données
 Les attaques réseaux exploitent les faiblesses
◦ Des protocoles:
 Conception simple, légère et non sécurisé
◦ Des mécanismes d’authentification:
 Exemple: usurpation d’identité
◦ Des implémentation:
 Exemple: mot de passe en clair sur le réseau, bugs
◦ Des configuration :
 Exemple: Firewall mal configuré laissant passer un
trafic non autorisé.
Exemples d’attaques
sur les faiblesses des protocoles
 Attaques sur la fragmentation des paquets IP
◦ Ping of death
 Données:
 Taille maximum d ’un paquet IP = 65535 octets
 ICMP (Internet Control Message Protocol) est encapsulé par IP
 Attaquant:
 Générer des fragments appartenant à des paquets ICMP de taille > 65535
 Victime
 Certains systèmes ne gèrent pas cette fragmentation. Le réassemblage des
fragments provoque le crash du buffer ou le reboot du système
 Parade:
 Patches (déjà existants dans les nouveaux OS)

 Remarque: Un patch est une section de code que l'on ajoute à un

logiciel pour y apporter des modifications : correction d'un bug
Exemples d’attaques
sur les faiblesses des protocoles
 Attaques sur la fragmentation des paquets IP
◦ The teardrop Attack (chevauchement)
 Attaque:
 Chevauchement des champs offsets (IP encapsulant UDP)
 Fragment offset (13 bits) : position du fragment par
rapport au paquet de départ
◦ Objectif:
 Arrêter le système (attaque DoS)
◦ Parade
 Patches
◦ Une variante de cette attaque laisse des gap entre
les fragments
Exemples d’attaques
sur les faiblesses des protocoles
 Attaques sur la fragmentation des paquets IP
◦ The Overlapping Fragment Attack (chevauchement)
 Objectif:
 Passer a travers un firewall
 Attaque:
 Le premier fragment contient des informations TCP que le
système de filtrage accepte.
 Le deuxième fragment réécrit une partie de l’entête TCP placée
dans le premier fragment en plaçant des informations
malicieuses
 Exemple courant: changer le numéro de port 80 (HTTP) par 23
(telnet)
 Parade
 Un firewall doit assurer une valeur minimale pour le champs
fragment offset
Exemples d’attaques
sur les faiblesses des protocoles
 TCP syn flooding
◦ Données:
 3 way hand-shake
 Attente dans l ’état SYN_RECVD (75s)
 Nombre limité de connexions dans cet état
◦ Attaque:
 Etablir plusieurs connexion successives semi-ouverte
afin de saturer la pile TCP de la victime Perte de
connectivité
◦ Parade
 réduction du timer, filtrage, fermer les port inutile…
Exemples d’attaques
sur le design des protocoles
 Attaques DoS
◦ Données
 Les protocoles permettent la diffusion !
◦ Attaque:
◦ Saturer la bande passante par inondation avec des gros
paquets
◦ Objectifs:
 Rendre indisponible un service, un système ou un réseau
◦ Exemple: attaque smurf
 Inondation du réseau avec des ping ayant des adresses de
broadcast et une adresse source fausse ou d’une victime
◦ Parade
 Ne pas répondre pour les adresses broadcast, filtrage
Exemples d’attaques
sur le design des protocoles
 Attaque LAND
◦ Attaque:
 Forger plusieurs segments TCP syn avec l ’adresse
source identique à l ’adresse de la machine victime
◦ Effet:
 Congestion ou crash de la victime
◦ Parade
 Filtrage ou software
Exemples d’attaques
sur le design des protocoles
 Email Bombing/Spamming
◦ Données
 Falsification de l ’adresse d ’origine
◦ Attaque:
 Bombing: envoi d ’un message répété à une même
adresse
 Spamming: le message est envoyé à des milliers d
’adresses
◦ Objectif:
 congestion du réseau
 crash du serveur de messagerie
◦ Parade
 Supervision, filtrage…
Plan
 Introduction à la sécurité réseaux
 Sécurisation des communications
◦ Chiffrement (symétrique, asymétrique et hybride)
◦ Signature électronique
◦ Certificat et PKI
 Filtrage des paquets et firewall
◦ Introduction au filtrage des paquets
◦ Accees Control Lists (ACL)
◦ Iptables
 Architecture de sécurité
◦ VLAN
◦ VPN
Mécanismes

Chiffrement Confidentialité

Intégrité +
Mécanismes Signature électronique Non répudiation +
authentification

Certificats et PKI Authentification

Chiffrement
 Chiffrement symétrique
Chiffrement
 Chiffrement asymétrique
Chiffrement
 Chiffrement hybride
Signature électronique
 Permet l’authentification, l’intégrité et la non répudiation
 Fonction de hashage
◦ H (M) = C
 M est de taille quelconque
 C est de taille fixe (exemple: 16 ou 20 octets)
 appelé condensât, ou empreinte, ou fingerprint, ou
message digest
◦ Fonction à sens unique
 Il est très difficile de trouver M1 tel que H (M1) = C1
 Si H (M1) = C1 , il est très difficile de trouver : M2
différent de M1 tel que H (M2) = C1
◦ Usage : checksums, « intégrité »
 Problème
◦ signature garantit que le message provient bien du
détenteur de la clé privée
mais a qui appartient clé privée/publique ?
◦ Chiffrement garantit que le message ne pourra être
déchiffré que par le détenteur de la clé privée
(associée à la clé publique utilisée lors du
chiffrement)
Mais a qui appartient cette clé publique ?
◦ Est-on sûr qu’il ne s’agit pas d’un usurpateur ?
Solution : certificat numérique
Certificat numérique
 Permet l’authentification
◦ Garantit l’appartenance d’une clé publique à une
entité
 Principal format: certificats X.509
Certificat numérique
 Serial number :
◦ Numéro de série du certificat (propre à chaque autorité
decertification).
 Signature Algorithm ID :
◦ Identifiant du type de signature utilisée.
 Issuer Name :
◦ Distinguished Name (DN) de l'autorité de certification qui a émis
ce certificat.
 Subject Name :
◦ Distinguished Name (DN) du détenteur de la clé publique.
 Subject public key info :
◦ Informations sur la clé publique du certificat.
 Signature :
◦ Signature numérique du CA sur l'ensemble des champs
Vérification d’un certificat
PKI: Public Key Infrastructure
 Pour assurer la gestion des certificats et des
clés, un ensemble de personnel, de composants
et de procédures dédiés doit être défini
 Nécessité d’une infrastructure à clé publique.
 Une PKI est l’ensemble des composantes

utilisées pour:
◦ la génération,
◦ la publication,
◦ l’archivage,
◦ la révocation des certificats.
 PKI: Public Key Infrastructure
Traitement des
demande de: Publication des
- Création Autorité certificats émis ou
- Révocation d’Enregistrement révoqués
- Renouvellement
de certificats
Annuaire

- Création Opérateur de
- Révocation Certification
- Renouvellement
de certificats Validation
Archiver les clés Service de
privées/publiques séquestre
Vérifier la validité
des certificats
PKI: Public Key Infrastructure
Demande de certificat:
1. l'utilisateur fait sa demande à
l'AE
2. l'AE vérifie les données
d'identification et vérifie la
possession de la clé privée. Si
tout est vérifié, l'AE valide la
requête qui est transférée à l'OC
3. l'OC vérifie la validité de la
requête et
génère le certificat. Le certificat
est publié dans l'annuaire et
transmis à l'AE
4. l'AE avertit l'utilisateur que son
certificat est disponible
5. l'utilisateur récupère le
certificat dans l'annuaire.
PKI: Public Key Infrastructure
Demande d’accès à une ressource
1. demande d'accès à l'application
2. demande par l'application du
certificat de l'utilisateur
3. présentation du certificat par
l'utilisateur
4. si le certificat est valide, l'application
vérifie auprès du service de validation de
PKI s'il n'est pas révoqué
5. réponse du service de validation
6. ouverture ou non de l'accès suivant le
résultat de la vérification
Plan
 Introduction à la sécurité réseaux
 Sécurisation des communications
◦ Chiffrement (symétrique, asymétrique et hybride)
◦ Signature électronique
◦ Certificat et PKI
 Filtrage des paquets et firewall
◦ Introduction au filtrage des paquets
◦ Accees Control Lists (ACL)
◦ Iptables
 Architecture de sécurité
◦ VLAN
◦ VPN
Filtrage de paquets: principe
 Filtrage du trafic entrant et du trafic sortant
◦ Le firewall laisse passer certains paquets et rejette
d’autres paquets selon sa politique de sécurité
Filtrage de paquets: principe
 Le filtrage se fait en analysant les en-têtes des
protocoles, en priorité IP, UDP et TCP.
 En général, on définit une règle de filtrage en considérant
1. Adresse IP source
2. Adresse IP destination
3. Port source
4. Port destination
5. Protocole encapsulé (ICMP, UDP, TCP…)
6. Flag ACK (de TCP)
7. Type du message ICMP
 A chaque règle de filtrage est associé une action:
◦ Laisser passer le paquet ou
◦ Détruire/Rejeter le paquet
Exemple de règles de filtrage
 Politique: Autoriser l’extérieur à accéder au
service web sur le réseau périphérique
Processus de développement de
filtres
 Définition des règles de filtrage
◦ Utiliser le maximum de critères (@IP, port, ACK…etc)
Permet de mieux lutter contre les attaques

 Pour chaque service interne et externe

◦ Définir des règles pour autoriser les utilisateurs interne à accédern à
des services externes
◦ Définir des règles pour autoriser des utilisateurs externes à accéder à
des serveurs (services) sur le réseau interne

 Pour un service à autoriser

◦ Accepter le flux dans les deux sens (client serveur et serveur client)

 Pour un service à bloquer

◦ Il suffit de bloquer le flux du client  serveur
Processus de développement de filtres

Exemple:
 Soit la politique: Accepter HTTP en entrée et en

sortie et rien d’autre.

◦ Autoriser les utilisateurs internes à accéder aux serveurs web
externes
◦ Autoriser les utilisateurs externes à accéder au serveur web
interne
 Objectif : développer les règles correspondantes
Processus de développement de filtres
 Exemple de règles
Types de filtrage
 Filtrage sans état: Stateless
◦ Filtrage simple: Regarder chaque paquet à part et le
comparer à une liste de règles préconfigurées (ACL)
◦ Implémenté sur les routeurs et les systèmes
d’exploitations
Limites
o Utiliser un trop grand nombre de règles pour que le
Firewall offre une réelle protection.
o Sensibles aux attaques IP spoofing / IP flooding;attaques
DoS
Types de filtrage
 Filtrage à état: Statefull
◦ Tracer les sessions et les connexions dans des tables
d'états internes au Firewall

◦ Décider en fonction des états de connexions

◦ Exemple: vérifier que chaque paquet d'une connexion

est bien la suite du précédent paquet et la réponse à un
paquet dans l'autre sens

◦ L’application des règles est possible sans lire les ACL à

chaque fois (les paquets d’une connexion actives seront
acceptés)
Types de filtrage
 Filtrage applicatif (firewall de type proxy )

◦ Réalisé au niveau de la couche Application

◦ Permet d’extraire les données du protocole applicatif

pour les étudier

◦ Chaque protocole est filtré par un processus dédié

 Limites
◦ Problèmes de performance pour les réseaux à grand
trafic
Firewall matériel / logiciels
 Firewalls matériels
◦ Routeurs filtrants
◦ Firewalls sous forme de boîtiers
 Firewall logiciels
◦ Firewall professionnels
 Firewall libre : Netfilter / iptables
 Firewall commercial : CheckPoint Firewall-1
◦ Firewall personnels
 Kerio, Zone Alarm…
Firewall matériel: Routeurs filtrants

 Un routeur filtrant
◦ Examine chaque paquet afin de déterminer s'il doitl'acheminer ou
l'abandonner
◦ Bien adapté aux PME
◦ Pas de fichiers logs et pas de statistiques
 La fonction de filtrage est implémentée dans la plupart des
routeurs du marché
◦ Sous forme de listes d’accès ACL
◦ En utilisant une syntaxe spécifique par routeur
Firewall matériel: Routeurs filtrants
Inconvénients
 Accès à des parties limitées des entêtes des

paquets.

 « IP-Spoofing Ready »: pas d’authentification

de l’origine du paquet: ne sait pas si l ’auteur
du paquet est bien celui qui l’émet

 Sensibles aux attaques par fragmentation

Firewall matériel: Firewall sous
forme boîtiers
 Conçus uniquement pour faire du filtrage

 OS spécifique, associé au boîtier

 Rapidité de traitement

 Supportent rarement les interfaces WAN  nécessité

d’être associés à des routeurs pour la connectivité

Exemple :
 Cisco ASA (Adaptive Security Appliance)
 Cisco PIX (Private Internet eXchange)
Access Control Lists (ACL)
ACL dans les routeurs
 Permet d’implémenter des règles de filtrage
dans les routeurs  Contrôler l’accès entre
différents réseaux.
 Une ACL créée doit être associée à une interface
du routeur où le filtrage sera exécuté.
◦ Interface in (incoming: paquets entrant dans le
routeur)
◦ Interface out (outcoming: paquets sortant du routeur)
 Access Control Lists (ACL)
Processus de contrôle des paquets
 Un paquet est comparé aux
règles de l’ACL.

 La comparaison s’arrête dès

qu’un paquet vérifie l’une des
règles de l‘ACL.

 L’action (permit/deny) de la
règle trouvée est appliquée au
paquet

 Les ACL se terminent par une

règle « deny all » implicite
pour rejeter les paquets qui ne
vérifient aucune règle
Plan
 Introduction à la sécurité réseaux
 Sécurisation des communications
◦ Chiffrement (symétrique, asymétrique et hybride)
◦ Signature électronique
◦ Certificat et PKI
 Filtrage des paquets et firewall
◦ Introduction au filtrage des paquets
◦ Accees Control Lists (ACL)
◦ Iptables
 Architecture de sécurité
◦ VPN
◦ VLAN
LES RESEAUX VIRTUELS
I. Virtual private network:VPN
 Qu’est-ce qu’un VPN ?
 Les types de VPN

◦ Le VPN d'accès
◦ L’intranet VPN
◦ L’extranet VPN
 Les protocoles de VPN
II. Virtual Local Area Network:VLAN
 Qu’est-ce qu’un VLAN ?

◦ La sécurité et les VLANs

◦ Mise en pratique des VLANs
◦ Configuration des VLANs statiques
VPN : Qu’est-ce qu’un VPN ?
Réseaux Privés Virtuels – VPN (Virtual Private Network)
Un VPN (Virtual Private Network) est une liaison sécurisée entre 2
parties utilisant l’infrastructure d’un réseau partagé (ouvert).

 Network :Un VPN permet d’interconnecter des sites distants =>

Réseau.

 Private :
◦ Un VPN est réservé à un groupe d’usagers déterminés par authentification.
◦ Les données sont échangés de manière masquée au yeux des autres par
cryptage => Privé
 Virtual :
◦ Un VPN repose essentiellement sur des lignes partagés et non dédiées .
◦ Il n’est pas réellement déterminé. Il est construit par dessus un réseau public
essentiellement.
Principe de fonctionnement: tunnelling
Le VPN est basé sur la technique du tunnelling:
 Processus d’encapsulation, de transmission et de désencapsulation.

 Consiste à construire un chemin virtuel après avoir identifié l’émetteur et le

destinataire.

 La source chiffre les données et les achemine en empruntant ce chemin virtuel.

 Extrémité du tunnel: données à transporter insérées dans un paquet de protocole

de "tunnélisation", puis dans un paquet du protocole de transport de données.

 L'autre extrémité du tunnel: données extraites du protocole de "tunnélisation" et

poursuivent leur chemin sous leur forme initiale.

 Le protocole de tunnelling encapsule les données en rajoutant une entête

permettant le routage des trames dans le tunnel.

 Assure un accès aisé et peu coûteux aux intranets ou aux extranets d'entreprise.
Les types de VPN: L'intranet VPN
 3 Les types de VPN: l'intranet VPN, l'extranet VPN, VPN d'accès
 1 . L'intranet VPN:

 Utilisé pour relier au moins deux intranets entre eux.

 Particulièrement utile au sein d'une entreprise possédant plusieurs sites distants.
 Garantit la sécurité et l'intégrité des données.
 Mise en oeuvre avec des tunnels de niveau 3.
 Garantie une authentification au niveau paquet
 Utilisation des signatures numériques ajoutées aux paquets
 La confidentialité basée sur des algorithmes de cryptographie
Les types de VPN: le VPN d'accès

 Utilisé pour permettre à des utilisateurs itinérants d'accéder au réseau

privé.
 L'utilisateur se sert d'une connexion Internet pour établir la connexion Vpn.
 deux cas:
1.Communication avec le Nas (Network Access Server) du fournisseur
d'accès (ISP) qui établit la connexion cryptée

2.Établir un tunnel crypté à travers l’ISP vers le réseau de l’entreprise:

l'utilisateur possède son propre logiciel client pour le VPN
Les types de VPN: l'extranet VPN

 Utilisé pour relier une entreprise avec ses clients et ses

partenaires.
 Une solution ouverte: elle ouvre le réseau local de
l’entreprise à ses clients et àà ses partenaires.
 Problème de gestion du trafic:
◦ il est fondamental que l'administrateur du Vpn puisse tracer les
clients sur le réseau et gérer les droits de chacun sur celui-ci.
Caractéristiques fondamentales d'un Vpn
Une solution de VPN devrait fournir au moins l'ensemble des caractéristiques
suivantes :

 Authentification des utilisateurs.

 Gestion d'adresses:
◦ Chaque client sur le réseau doit avoir une adresse privée confidentielle.
◦ Un nouveau client doit pourvoir se connecter facilement au réseau et recevoir une
adresse.
 Cryptage des données

 Gestion de clés
◦ Les clés de cryptage pour le client et le serveur doivent pouvoir être générées et
régénérées.
◦
 Prise en charge multiprotocole:
◦ La solution Vpn doit supporter les protocoles les plus utilisés sur les réseaux publics
en particulier Ip.
Caractéristiques fondamentales d'un Vpn

Avantages d’un VPN

 une couverture géographique mondiale.
 le coût de fonctionnement le plus bas du marché(tarifs

calculés sur la plus courte distance au point d’accès

opérateur).
 offre des garanties de sécurité (utilisation de tunnels).
 solution pour la gestion des postes nomades.

Inconvénients d’un VPN

 la qualité de service (et les délais d’acheminement)

n’est pas garantie

 les performances ne sont pas toujours au rendez vous.
VLAN : Qu’est-ce qu’un VLAN ?

 Un commutateur Ethernet segmente physiquement un LAN en

domaines de collision individuels

 Les unités ou les utilisateurs d'un VLAN peuvent être regroupés par
fonction, service, application, etc., et ce, quel que soit le segment
physique où ils se trouvent

 On parlera de réseau virtuel car les machines restent physiquement

connectés aux autres machines.

 Un VLAN crée un domaine de broadcast unique qui n'est pas limité à un

segment physique et qui est traité comme un sous-réseau

 La configuration d'un VLAN est effectuée, par logiciel, dans le

commutateur
VLAN et frontières physiques
 Les configurations de LAN virtuels regroupent
les utilisateurs par association logique plutôt
que par emplacement physique.
Types de VLAN
3 types de VLAN
 1. VLAN de niveau 1  VLAN par port

◦ 1 port du switch dans 1 VLAN

◦ configurable au niveau de l’équipement
◦ 90% des VLAN sont des VLAN par port

 2. VLAN de niveau 2   VLAN en fonction des adresses MAC

◦ configurable au niveau de l’équipement
◦ indépendance de la localisation de la station
◦ difficultés de poser des règles de filtrages précises

 3. VLAN de niveau 3  VLAN par sous-réseau ou par protocole

◦ VLAN en fonction des adresses IP sources des datagrammes ou du type de
protocole
 configurable au niveau de l’équipement
◦ séparation des flux
◦ dégradation des performances
La sécurité et les VLANs
 Cette technique offre à
l'administrateur les
avantages suivants :
◦ elle restreint le nombre
d'utilisateurs dans un groupe
VLAN,

◦ elle configure tous les ports

non utilisés et les affecte à
un LAN virtuel à faible niveau
de service par défaut.

◦ Elle limite l’accès du trafic

qu’au VLAN correspondant à
la source du trafic.