Département : Informatique

Filière : Génie Informatique

A.U : 2024 / 2025

La mise en œuvre de la sécurité

du niveau 2

Pr. ESSALIH Mohamed

M 11 : Réseaux Informatiques II © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco
[Link]@[Link] 1

1. Les outils de sécurité des terminaux

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 2
Les outils de sécurité des terminaux
Les attaques de réseau & outils de sécurité
 Les médias d'information couvrent généralement les attaques contre les réseaux d'entreprise.
 Les attaques réseau peut impliquer :
1. Déni de service distribué (DDoS) - attaque coordonnée de nombreux zombies pour dégrader
/ d'interrompre l'accès du public au site Web & aux ressources d'une organisation.
2. Violation de données - l’attaque où les serveurs de données / hôtes d'une organisation sont
compromis pour voler des informations confidentielles.
3. Programme malveillant - l’attaque où les hôtes d'une organisation sont infectés par des
logiciels malveillants en provoquant certains problèmes Ex. un ransomware (WannaCry, …).
 Les outils de sécurité d’un réseau pour protéger son périmètre contre tout accès extérieur sont :
1. VPN activé sur un routeur : fournit une connexion sécurisée aux utilisateurs distants.
2. Pare-feu de nouvelle génération (NGFW), qui fournit : inspection des paquets avec état - un
système de prévention des intrusions de nouvelle génération (NGIPS) - protection avancée contre les
logiciels malveillants (AMP) et un filtrage d'URL.
3. Contrôle d'accès réseau (NAC), qui comprend : services d'authentification, d'autorisation et de
comptabilité (AAA) - Appliance de gestion des politiques d'accès sur une grande variété
d'utilisateurs et de types d'appareils - moteur de services d'identité de Cisco (ISE).
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 3

Les outils de sécurité des terminaux

Les attaques de réseau & outils de sécurité
 Les terminaux sont particulièrement sensibles aux attaques liées aux logiciels malveillants,
provenant de la messagerie électronique / la navigation Web.
 Les fonctionnalités traditionnelles basées sur l'hôte, utilisées pour les sécurisés sont :
 Antivirus / anti-programme malveillant - pare-feu basés sur l'hôte - systèmes de prévention
des intrusions (HIPS) basés sur l'hôte …
 Cisco ESA :

appareil conçu pour surveiller
SMTP.

constamment mis à jour par des
flux en temps réel de Cisco

Talos (détectent et corrèlent les
menaces & les solutions en utilisant
un système de surveillance d’une BD
mondiale,)

ESA tire de TLOS chaque trois à cinq
minutes.

bloque les menaces connues – annule les e-mails contenant des liens incorrects -
chiffrer le contenu des e-mails sortants pour éviter la perte
© 2016 Cisco deet/ou ses filiales. Tous droits réservés.
données - bloquer
Informations l'accès
confidentielles de Cisco 4
aux sites nouvellement infectés.
Les outils de sécurité des terminaux
Les attaques de réseau & outils de sécurité
 Web Cisco (WSA) :
 est une technologie d'atténuation des menaces Web.
 aide les organisations à relever les défis de la sécurisation et du contrôle du trafic Web.
 combine une protection avancée contre les logiciels malveillants - la visibilité & le contrôle
des applications.
 offre un contrôle complet sur la façon dont les utilisateurs accèdent à Internet.
 peut autoriser, limiter avec le temps & la bande passante, ou bloquer, certaines
fonctionnalités & applications (Ex. le chat, la messagerie, la vidéo et l’audio) selon les
besoins de l’organisation.
 effectue la liste noire / le filtrage / la catégorisation des URL,
 filtre les applications Web,
 analyse les logiciels malveillants,
 chiffre & déchiffre le trafic Web.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 5

Les outils de sécurité des terminaux

Le contrôle d'accès
 De nombreux types d'authentification peuvent être
effectués sur des périphériques réseau, chacun offre différents niveaux de sécurité.
 La méthode d'authentification d'accès à distance la plus simple est de configurer une
combinaison d'identifiant + mot de passe sur la console, les lignes vty et les ports
auxiliaires.
 SSH est une forme d'accès à distance plus sécurisée, qui nécessite (nom d'utilisateur + mot de
passe). Qui peuvent être authentifiés localement.
 La méthode de la base de données locale a certaines limites :
1. les comptes d'utilisateurs doivent
être configurés localement sur
chaque périphérique.
2. elle n'est pas évolutif.
3. elle ne fournit aucune méthode
4. d'authentification de secours.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 6
Les outils de sécurité des terminaux
Le contrôle d'accès : AAA
 Il fournit le cadre principal pour configurer le contrôle d'accès sur un périphérique réseau.
 Il contrôle qui est autorisé à accéder à un réseau (Authentifier) + ce qu'il peut faire pendant
son accès (Autoriser) + vérifier les actions effectuées lors de son accès (Comptabilité).
 Les deux méthodes courantes de mise en œuvre de l'authentification AAA sont :
1. L’authentification AAA locale.
 elle stocke les noms des utilisateurs + les mots de passe localement dans un périphérique
réseau (ex. routeur, commutateur, ...).
 les authentifications des utilisateurs est à partir de la base de données locale.
 elle est idéale pour les réseaux de petite taille.
2. L'authentification AAA basée sur un serveur :
 les noms d'utilisateur + mot de passe de tous les utilisateurs du réseau sont stockées sur un
serveur AAA central,
 le routeur utilise les protocoles RADIUS (Service utilisateur d'accès à distance par
authentification) ou TACACS+ (Contrôleur d'accès aux terminaux Système de contrôle
d'accès) pour communiquer avec le serveur AAA.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco
 la plus approprié lorsqu'il y a plusieurs routeurs & commutateurs. 7

Les outils de sécurité des terminaux

Le contrôle d'accès : AAA
 L'autorisation AAA :
 elle est automatique et ne nécessite aucune étapes supplémentaires à effectuer après
l'authentification.
 détermine via le serveur AAA, ce qu’un utilisateur peut & ne peut pas faire sur le réseau
(les privilèges & les restrictions de l’utilisateur).
 La comptabilité AAA :
 elle collecte et rapporte les données d'utilisation utilisées pour l'audit ou la facturation,
 conserve via le serveur AAA un journal détaillé de chaque utilisateur authentifié (nom
d'utilisateur + la date et l'heure + les commandes saisies par l'utilisateur + heure de
début et de fin des connexions + nombre de paquets + le nombre d'octets),
 le journal est utile lors du dépannage des appareils & sert comme preuves lorsque des
individus commettent des actes malveillants.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 8
Les outils de sécurité des terminaux
Le contrôle d'accès : la norme IEEE 802.1X
 C’est un protocole de contrôle d'accès &
 d'authentification basé sur les ports.
 Il empêche les PCs non autorisées de se
 connecter à un LAN via des ports de
 commutation accessibles au public.
 Pour accéder aux services du LAN, le serveur d'authentification authentifie chaque PC
connectée à un port de commutation.
 Les composants de l’authentification 802.1x sont :
1. Le client (demandeur) - appareil exécutant un logiciel client compatible 802.1X, qui est
disponible pour les appareils câblés ou sans fil.
2. L’authentificateur (commutateur / point d'accès sans fil) - peut servir d'intermédiaire entre le
client & le serveur d'authentification. 1. Il demande les informations d'identification du client – 2.
vérifie ces informations auprès du serveur d'authentification – 3. puis transmet une réponse au
client.
3. Le Serveur d’authentification – valide l'identité du client + informe L’authentificateur que le
commutateur.
client est autorisé ou non à accéder au LAN et aux services de© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 9

2. Les menaces de sécurité dans un

LAN

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 10
Les menaces de sécurité dans un LAN
Les attaques de la couche 2
 Les solutions de sécurités des couches
supérieures (VPN, pare-feu et IPS) sont
les plus implémentées régulièrement.
 L’affectation des couches inférieures, affecte
toutes les couches supérieures (Ex. si la
trame est capturée => toute la sécurité mise
en œuvre ci-dessus serait inutile).
 La couche 2 est le lien faible du système
réseau (à cause de BYOD + attaques
devenues sophistiquées).
 Les solutions de sécurité niveau 2 ne seront efficaces que si les protocoles de gestion sont
sécurisés.
 Il faut utiliser :
 toujours les variantes sécurisées de protocoles de gestion telles que SSH, copie
sécurisée (SCP), FTP sécurisé (SFTP) et SSL / TLS ...
 le réseau de gestion hors bande pour gérer les périphériques.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco
 le VLAN de gestion dédié où ne réside rien d'autre que le trafic de gestion. 11

 les listes de contrôle d'accès pour filtrer tout accès indésirable.

Les menaces de sécurité dans un LAN

Les attaques de la couche 2
Catégorie Exemples
1. Les attaques de table MAC Les attaques par inondation de l'adresse MAC.
2. Attaques de VLAN Les attaques par saut + double étiquetage VLAN

3. Attaques DHCP Les attaques d'insuffisance DHCP + d'usurpation DHCP.

4. Les attaques ARP Les attaques d'usurpation ARP + d'empoisonnement ARP.

5. Attaques par usurpation d'adresse Les attaques d'usurpation d'adresse MAC + d'adresse IP.
6. Les attaques STP Les attaques de manipulation du STP.

La solution Description
Empêche de nombreux types d'attaques : les attaques d'inondation
1. Sécurité des ports
d'adresses MAC + d'insuffisance DHCP.
2. Espionnage (snooping) DHCP Empêche l'insuffisance DHCP + attaques d'usurpation du DHCP.
3. Inspection ARP dynamique (DAI) Empêche l'usurpation d'ARP + attaques d'empoisonnement d'ARP.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
4. Protection de la source IP (IPSG) confidentielles
Empêche les attaques d'usurpation d'adresse de Cisco MAC + IP. 12
Les menaces de sécurité dans un LAN
Les attaques de la table MAC
 La table CAM est stockée en mémoire et utilisée pour
 transmettre plus efficacement les trames.
 La taille d’une table MAC est fixe => un commutateur peut
 manquer de ressources pour stocker ses adresses MAC.
 Les attaques par inondation (flooding) d'adresses MAC bombardent le commutateur avec des
fausses adresses MAC sources jusqu'à ce que sa table soit pleine
 => le commutateur traite la trame comme une mono-diffusion inconnue
 => Il inonde tout le trafic entrant sur tous les ports du même VLAN sans référencer sa table
 => l’acteur de menace peut capturer toutes les trames échangée sur le LAN ou le VLAN
auquel il est connecté.
 La table CAM peut stocker jusqu’à 132,000 adresses MAC => Les attaques d’inondation CAM
peuvent déborder une table MAC très rapidement :

L’outil comme macof peut inonder un commutateur

avec jusqu'à 8,000 faux trames /s

ces outils d'attaque affectent tous les

commutateurs 2 connectés

ces attaques peuvent être atténuées, en

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
implémentant la sécurité des ports (apprendre un nombre limité d'adresses MAC sources sur
confidentielles de Cisco 13
le port.)

Les menaces de sécurité dans un LAN

Les attaques de LAN : Attaques de saut de VLAN
 Est l’attaque permettant au trafic d'un VLAN
d'être détecté par un autre VLAN sans l'aide
d'un routeur.
 L'acteur de menace configure un hôte pour
qu'il agisse comme un commutateur afin de
profiter de la fonction de port de trunc
automatique activée par défaut sur la plupart
des ports de commutateur.
 L'acteur de menace configure l'hôte pour usurper la signalisation 802.1Q et la signalisation
DTP avec le commutateur de connexion.
 En cas de succès, le commutateur établit une liaison de trunc avec l'hôte
=> l'acteur de menace peut accéder à tous les VLAN sur le commutateur
=> Il peut envoyer & recevoir du trafic sur n'importe quel VLAN, sautant efficacement entre les
VLAN.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 14
Les menaces de sécurité dans un LAN
Les attaques de LAN : Attaque de double étiquetage VLAN
 Est l’attaque où l’acteur de menace incorpore une étiquette 802.1Q cachée dans la trame, qui a
déjà une étiquette 802.1Q.
 L’objectif de l’attaque est de gagner l’accès à un VLAN que l'étiquette 802.1Q d'origine n'a pas
été spécifié.
 Les étapes de cette attaque sont :
1. Étape 1 : l'acteur de menace envoie une trame 802.1Q double étiquetage au commutateur. L'en-
tête externe a une étiquette VLAN de l'acteur de menace, qui est identique au VLAN natif du port
trunc.
2. Étape 2 : la trame arrive au premier commutateur, qui examine sa première étiquette 802.1Q de 4
octets => Le commutateur voit que la trame est destinée au VLAN natif => Le commutateur
transfère le paquet sur tous les ports VLAN natifs après avoir divisé l'étiquette VLAN. La trame
n'est pas ré-étiquetée car elle fait partie du VLAN natif. À ce stade, l'étiquette VLAN interne est
toujours intacte et n'a pas été inspectée par le premier commutateur.
3. Étape 3 : la trame arrive au deuxième commutateur qui ne sait pas qu'elle était destinée au VLAN
natif. Le deuxième commutateur ne traite que l'étiquetage 802.1Q interne que l'acteur de menace
a insérée en y indiquant que la trame est destinée au VLAN cible => Le deuxième commutateur
envoie la trame à la cible ou l'inonde, selon qu'il existe une entrée de table d'adresses MAC
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
existante pour la cible. confidentielles de Cisco 15

Les menaces de sécurité dans un LAN

Les attaques de LAN : Attaque de double étiquetage VLAN
 Une attaque de double étiquetage VLAN est unidirectionnelle.
 Elle ne fonctionne que si l'attaquant est connecté à un port résidant dans le même VLAN que le
VLAN natif du port de trunc.
 L'idée est que le double étiquetage permet à l'attaquant d'envoyer des données à des hôtes ou
des serveurs sur un VLAN qui autrement seraient bloqués par un certain type de configuration
de contrôle d'accès (NAC).
 Ces attaques (saut de VLAN & double étiquetage VLAN) peuvent être évitées / atténuées par :
1. désactivation trunking sur tous les ports d'accès.
2. désactivation trunking automatique sur les liaisons de trunc afin que les truncs doivent
être activées manuellement.
3. s’assurant que le VLAN natif n'est utilisé que pour les liaisons de trunc.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 16
Les menaces de sécurité dans un LAN
Les attaques de LAN : Attaques de DHCP
 Les deux types d'attaques DHCP sont :
1. L'attaque par insuffisance DHCP - permet de créer un DoS en épuisant les ressources
DHCP via des outils d'attaque tels que Gobbler (peut examiner l'intégralité des adresses IP
louables et les toutes louer en créant des messages de découverte DHCP avec de fausses
adresses MAC).
2. Attaque d'usurpation DHCP - elle se produit lorsqu'un serveur DHCP non autorisé (rogue) se
connecte au réseau et fournit la configuration IP incorrects aux clients légitimes, telles que :
 Passerelle par défaut incorrecte - une passerelle invalide ou fournit l'adresse IP de son hôte
(attaque d'homme au milieu).
 Serveur DNS incorrect - une adresse de serveur DNS incorrecte pointant l'utilisateur vers un
site Web néfaste.
 Adresse IP incorrecte - une adresse IP invalide créant efficacement une attaque DoS sur le
client DHCP.
 Les deux attaques sont atténuées en mettant en œuvre l'espionnage DHCP.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 17

Les menaces de sécurité dans un LAN

Les attaques de LAN : Attaques d’ARP
 ARP détermine l'adresse MAC d'un hôte avec son adresse IP :
1. Tous les hôtes du sous-réseau la reçoivent + la traitent.
2. L'hôte dont l'adresse IP correspond à la requête ARP envoie une réponse ARP.
 ARP gratuite est la réponse ARP non sollicitée envoyé par un client ARP
=> Les autres hôtes stockent les adresses MAC & IP contenues en ARP gratuite dans leurs
tables ARP.
1. Ex. l’attaquant peut envoyer des réponses ARP non sollicitées avec son adresse MAC et
l'adresse IP de Gateway (attaque d'homme au milieu).
2. L’attaquant peut envoyer un message ARP gratuit avec une adresse MAC usurpée à un
commutateur/hôte (Le commutateur/hôte mettrait à jour sa table MAC / ARP).
 La découverte de voisin ICMPv6 est utilisée pour la résolution d'adresse de couche 2 (IPv6).
 IPv6 comprend des stratégies pour atténuer l'usurpation de publicité de voisin, de la même
manière que IPv4 empêche une réponse ARP usurpée.
 L'usurpation ARP & l'empoisonnement ARP sont atténués par la mise en œuvre de
l'inspection ARP dynamique (DAI). © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 18
Les menaces de sécurité dans un LAN
Les attaques de LAN : Attaques par usurpation d'adresse
 L'usurpation d'adresse IP / MAC est lorsqu'un acteur de menace détourne une adresse IP
(MAC) valide d'un autre hôte du LAN / utilise une adresse IP aléatoire.
 => Il est difficile à l’atténuer, en particulier si elle est utilisée à l'intérieur d'un sous-réseau
auquel appartient l'IP.
 Les attaques d'usurpation d'adresse MAC :
 le commutateur remplace l'entrée de table MAC actuelle & attribue l'adresse MAC au
nouveau port.
 => Il transfère ensuite par inadvertance des trames destinées à l'hôte cible à l'hôte
attaquant.
 lorsque l'hôte cible envoie du trafic, le commutateur vérifiera l'erreur, en réalignant l'adresse
MAC sur le port d'origine.
 des programmes / scripts peuvent être créer pour envoyer constamment des trames au
commutateur afin que le commutateur conserve les informations incorrectes ou usurpées.
 Il n'y a pas de mécanisme de sécurité au couche 2 qui permet à un commutateur de vérifier la
source des adresses MAC, ce qui le rend très vulnérable à l'usurpation.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
 L'usurpation d'adresse IP & MAC peut être atténuée en implémentant la protection de la source
confidentielles de Cisco 19

IP (IPSG).

Les menaces de sécurité dans un LAN

Les attaques de LAN : Attaques de STP
 Les attaquants du réseau peuvent manipuler le protocole STP pour mener une attaque en
usurpant le pont racine => modifiant la topologie d'un réseau.
 Les attaquants peuvent alors capturer tout le trafic pour le domaine commuté immédiat.
 Pour mener une attaque de manipulation STP, l'hôte attaquant diffuse des unités de données
de protocole de pont STP (BPDU) contenant de configuration de topologie l’obligera à
réévaluer le spanning-tree.
 Les BPDU envoyés par l'hôte attaquant, annoncent une priorité de pont inférieure pour tenter
d'être élu pont racine.
 Elle peut être atténuée par l'implémentation de BPDU Guard sur tous les ports d'accès.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 20