COURS DE SECURITE INFORMATIQUE

(Classes : GL& RT durée : 30 heures Année académique : 2022-2023)

Enseignant : M. SIASSIAMO

Objectifs généraux du cours

Le but de ce cours consiste à :

- Se familiariser avec les concepts de la sécurité informatique.

- Connaitre et implémenter quelques techniques de sécurité réseaux et Systèmes
- Connaitre quelques risques liés aux attaques sur les systèmes d'information.
- identifier les menaces de sécurité qui pèsent sur les réseaux d'entreprise et de décrire les
méthodes permettant d'y faire face.
- Connaître les différents services de sécurité.
- Connaitre et implémenter quelques outils utilisés pour lutter contre les attaques

Programme

Chapitre 1 : Généralité sur la sécurité informatique (les concepts de sécurité)

Chapitre 2 : la sécurité réseau

Chapitre 3 : La sécurité système

Chapitre 4 : les vulnérabilités et les techniques d’attaques

Objectifs spécifiques: permettre aux étudiants de connaitre le but et quelques concepts de base de
sécurité

Contenu :

- Connaitre ce que c’est que la sécurité informatique

- Maitriser les concepts de base de sécurité
- Connaitre la démarche de sécurité

Introduction
La sécurité des informations a toujours constitué un enjeu majeur dans les relations entre les hommes.
L’information est au centre de toutes les communications et par conséquent toute entité possédant cette
ressource fondamentale devrait prendre des précautions pour s’en protéger. L’évolution de la
technologie et particulièrement l’informatique a accentué davantage la méfiance qui existe dans les
relations humaines. Nous vivons aujourd’hui dans un monde où toute transaction ou échange
d’information doit être garantie d’une mesure de sécurité.

1. Définition de la notion de sécurité

La sécurité d’une manière générale est un ensemble de techniques et moyens mis en place pour
empêcher à une personne non autorisée à accéder à une information qui ne lui est pas destinée.

La sécurité informatique consiste à protéger des systèmes, des services, des données contre des menaces
accidentelles ou volontaires (délibérées) tout en conservant leur confidentialité, leur intégrité et leur
disponibilité. Elle consiste également à mettre en place des politiques de sécurité dans le but de limiter le
risque informationnel. Elle permet :

- De prévenir un système d’information des attaques multiformes (gestion des risques)

- D’empêcher qu’une attaque prenne effet (supervision (IDS))
- De maintenir un système informatique en état de fonctionner normalement dans le but de
restreindre l’accès à certaines informations aux utilisateurs autorisés à les consulter.
- D’éviter le pire

2. Autres définitions
- Un système est une combinaison de procédés destinés à produire un résultat
- Un système informatique est l’ensemble d’équipements informatiques mis en commun dans le
but de traiter l’information
- Un système d’information est l’ensemble des éléments participant à la gestion, au traitement, au
transport, au stockage et à la diffusion de l’information au sein d’une organisation
- L’information veut dire renseignement ou élément de connaissance susceptible d’être
représentée sous forme adaptée à un enregistrement ou à la communication d’un message
 - Une donnée est une représentation conventionnelle d’une information sous une forme convenant
à son traitement par un système numérique.

3. Les concepts de base de sécurité

La sécurité informatique repose sur les services de base suivants :

 La confidentialité

 L’intégrité

 La disponibilité

 L’authentification

 La non répudiation

Toute manipulation de l’information doit tenir compte de ces critères. Ces concepts constituent donc les
fondamentaux de la sécurité.

On peut aussi citer des critères secondaires tels que le contrôle d’accès et la traçabilité. Tout système doit
pouvoir vérifier l’identité et les droits d’un utilisateur afin de l’admettre dans le système et Permettre de
savoir qui a fait quoi.

3.1. La confidentialité
C’est la Propriété d’une information qui n’est ni disponible, ni divulguée aux personnes, entités ou
processus non autorisés.

3.2. L'intégrité
C’est la Garantie que le système et l’information traitée ne soient modifiés que par une action volontaire
et légitime.

3.3. La disponibilité
C’est la Capacité à assurer le fonctionnement sans interruption, délai ou dégradation, au moment où la
sollicitation en est faite.

3.4. L’Authentification
Elle permet de vérifier l'identité revendiquée par une entité, ou l'origine d'un message, ou d'une donnée.

3.5. La non répudiation

Cette propriété Permet de se protéger contre la contestation d'envoi et de réception de données lors
d'une communication

Parmi les services cités ci-dessus on peut les restreindre en trois principaux et incontournables en
sécurité : il s’agit de la confidentialité, l’intégrité et la disponibilité

4. But de la sécurité
La sécurité informatique a pour but de garantir pour une information donnée les services de base de la
sécurité vus précédemment. Elle renvoie à une chaine de valeurs constituée des utilisateurs, des
informations et du matériel qui doivent être protégés afin de garantir la sécurité du système
d’information.

5.1. La démarche de sécurité :

5.1. La prévention
La prévention de la sécurité passe par les étapes suivantes

Etape1 : analyser et évaluer votre système, l’objectif c’est de dire quel risque, quelle menace pèse sur le
système, il faut donc ressortir la cartographie des risques ;

Etape2 : recherche des parades (qu’est-ce que je sécurise, quand et comment) ;

Etape3 : définir la politique de sécurité qui se présente sous forme d’un cahier de charge qui fixe les
normes de la sécurité

Etape4 : mettre en œuvre les protections

Etape5 : faire la mise à jour

5.2. La détection
- détection des attaques : on utilise ici des outils de détection d’intrusion

Exemple : SNORT, NAGIOS

5.3. La réaction
Il s’agit de réagir aux attaques mais le plus important est la rapidité de la réaction afin d’éviter le pire

Exemple : fermeture des ports, débrancher les câbles réseaux, faire une analyse antivirale,
renforcer les mesures de sécurité des pares feu,…

6. Notion de politique de sécurité

Les politiques de sécurité définissent la démarche ou la méthode utilisée pour réduire le risque. Les
politiques de sécurité sont dictées par les cadres supérieurs de l’entreprise décrivant le rôle de la sécurité
au sein de l'entreprise afin d'assurer les objectifs d'affaire.

Pour mettre en œuvre ces politiques, il faut qu’une bonne organisation soit mise en place et que les rôles,
les responsabilités et les imputabilités des uns et des autres soient bien définis

Conclusion
On peut remarquer que la sécurité informatique renvoie à une chaine de valeurs constituée de plusieurs
maillons. Chaque maillon est un élément plus ou moins vulnérable du système qu’il faut protéger. Le
maillon le plus essentiel dans cette chaine est l’homme, c’est lui qui est au centre de tout et par
conséquent ses capacités à renforcer le système doivent être améliorées en tout temps. Le but principal
de la sécurité est de protéger l’information. Cette information doit être transmise par des canaux sures
afin d’en garantir la confidentialité, raison pour laquelle La sécurité réseau en ait donc une nécessité.
Objectifs spécifiques: permettre aux étudiants de comprendre la sécurité réseau et d’implémenter
quelques solutions

Contenu :

À la fin de ce cours, l’étudiant doit être à mesure de :

- Comprendre le fonctionnement de quelques techniques de sécurité réseaux

- Connaitre comment configurer les VPN, les listes de contrôle d’accès, les VLAN et les pare feu

Introduction
Les réseaux informatiques permettent aujourd’hui à toute entité de pourvoir communiquer avec n’importe quelle
autre à travers le monde. Il faut cependant trouver des solutions non seulement pour protéger les communications
mais aussi les différentes ressources partagées du réseau. Le but de ce cours est donc de connaitre ces solutions et
de pouvoir les implémenter.

1. Principe générale
On sécurise un réseau informatique pour protéger les ressources qui en font partie, on peut citer des serveurs, des
routeurs, des postes de travail et des informations diverses capitales pour l’entreprise. La sécurité est d’abord
interne avant d’être externe. L’on doit d‘abord commencer à craindre son collègue de bureau avant de craindre
l’ennemi de l’extérieur. La sécurité réseau est basée sur les droits d’accès qu’ont des utilisateurs par rapport aux
ressources du réseau. Lorsqu’une ressource est partagée, les restrictions et les autorisations s’imposent aux
différents utilisateurs par rapport à cette ressource. Il en va de même avec le réseau tout entier. Ce dernier doit
être protégé contre toutes les menaces qui pèsent sur lui. Des politiques de sécurité doivent être déployés afin de
restreindre l’accès aux personnes non autorisées

2. Les techniques de sécurité réseaux

2.1. La segmentation
La segmentation apporte de la souplesse dans la gestion d’un réseau, elle permet de réduire les domaines de
collision et optimise les performances du réseau. Du point de vu sécurité, le découpage d’un réseau en plusieurs
sous réseau réduit fondamentalement les menaces qui pèsent dans un réseau. Avec cette politique les utilisateurs
sont logiquement séparés, l’accès aux ressources est mieux contrôlé et il est par conséquent facile d’appliquer des
politiques de sécurité en fonction des groupes de personnes.

 Formule de calcul
Nombre de sous-réseau (Nsr) : 2n n représente le nombre de bits empruntés à la partie réseau

Nombre d’ hôte par sous-réseau (Nh) : 2h-2 h représente le Nombre de bit restant de la partie hôte.

Exercice :

Soit l’adresse 192.168.4.0/255.255.255.0, segmenter cette adresse en sous réseaux de 41 hôtes

11111111.11111111.11111111.11000000

Nombre de sous réseaux : 22=4 nombre d’hôtes par sous réseaux : 26-2=62 PAS de sous réseaux :64

Sous réseaux Masque de sous Adresses de Plage d’hôtes utilisables

réseaux broadcast
192.168.4.0 255.255.255.192 192.168.4.63 192.168.4.1 à 192.168.4.62
192.168.4.64 255.255.255.192 192.168.4.127 192.168.4.65 à 192.168.4.126
192.168.4.128 255.255.255.192 192.168.4.191 192.168.4.129 à 192.168.4.190
192.168.4.192 255.255.255.192 192.168.4.255 192.168.4.193 à 192.168.4.254

 Formule magique

n 8

r q

n représente le nombre après le slash, q le nombre d’octet fixe de la partie réseau et r le nombre de bit emprunté
pour la partie réseau

exemple

Exemple d’application: segmenter l’adresse 192.17.0.0/18, présenter dans un tableau les adresses de sous réseaux,
de broadcast, le masque de SR et la plage d’adresses

18 8

2 2

Nombre de SR = 𝑁 =2 =4

Pas Masque de SR = = 8 − 2 = 6 ⟹ Pas de SR = 2 = 64

Masque de SR = 256 − 2 = 192 𝑙𝑎 𝑣𝑎𝑟𝑖𝑎𝑡𝑖𝑜𝑛 𝑠 𝑒𝑓𝑓𝑒𝑐𝑡𝑢𝑒 à 𝑝𝑎𝑟𝑡𝑖𝑟 𝑑𝑢 3è𝑚𝑒 𝑜𝑐𝑡𝑒𝑡

𝑑𝑜𝑛𝑐 Masque de SR = 255.255.192.0

Adresse de
Adresse de SR Masque de SR Plage d’adresses uilisables
broadcast
192.17.0.0 255.255.192.0 192.17.0.1 à 192.17.63.254 192.17.63.255
192.17.64.0 255.255.192.0 192.17.64.1 à 192.17.127.254 192.17.127.255
192.17.128.0 255.255.192.0 192.17.128.1 à 192.17.191.254 192.17.191.255
 192.17.192.0 255.255.192.0 192.17.192.1 à 192.17.255.254 192.17.255.255

Exemple d’application: segmenter l’adresse 10.0.0.0/19, présenter dans un tableau les adresses de sous réseaux,
de broadcast, le masque de SR et la plage d’adresses

Solution

19 8

3 2

Nombre de SR = 𝑁 =2 =8

Pas Masque de SR = = 8 − 3 = 5 ⟹ Pas de SR = 2 = 32

Masque de SR = 256 − 2 = 224 𝑙𝑎 𝑣𝑎𝑟𝑖𝑎𝑡𝑖𝑜𝑛 𝑠 𝑒𝑓𝑓𝑒𝑐𝑡𝑢𝑒 à 𝑝𝑎𝑟𝑡𝑖𝑟 𝑑𝑢 3è𝑚𝑒 𝑜𝑐𝑡𝑒𝑡

𝑑𝑜𝑛𝑐 Masque de SR = 255.255.224.0

Adresse de
Adresse de SR Masque de SR Plage d’adresses
broadcast
10.0.0.0 255.255.224.0 10.0.0.1 à 10.0.31.255 10.0.31.255
10.0.32.0 255.255.224.0 10.0.32.1 à 10.0.63.255 10.0.63.255
10.0.64.0 255.255.224.0 10.0.64.1 à 10.0.95.255 10.0.95.255
10.0.96.0 255.255.224.0 10.0.96.1 à 10.0127.255 10.0127.255
10.0.128.0 255.255.224.0 10.0.128.1 à 10.0.159.255 10.0.159.255
10.0.160.0 255.255.224.0 10.0.160.1 à 10.0.191.255 10.0.191.255
10.0.192.0 255.255.224.0 10.0.192.1 à 10.0.223.255 10.0.223.255
10.0.224.0 255.255.224.0 10.0.224.1 à 10.0.255.255 10.0.255.255

Exercices à faire à domicile

Execice1

Segmenter les réseaux suivants

- 11.0.0.0/10
- 15.0.0.0/25
- 13.14.0.0/29

Exercice2

a) quel réseau appartient l’adresse 192.168.100.25/30

b) Quel est le broadcast de 192.168.162.10/29
c) Quelle est la quantité d’hôte disponible pour une adresse de C avec /29
1. L’adressage VLSM (principe et segmentation)
VLSM signifie Variable Length Subnet Mask c’est-à-dire masque de sous-réseaux à longueur variable. C’est une
technique utilisée pour optimiser la gestion des adresses IP dans un réseau. Pour mieux comprendre le VLSM, nous
allons l’appliquer dans un cas pratique qu’on rencontre généralement en entreprise.

Exercice d’application :

Une entreprise est constituée de 3 départements : le département administratif ( 59 personnes), de production (25
personnes) et commercial (78 personnes). Le directeur général veut que chaque département soit dans un sous-
réseau différent des autres et qu’il est possible que d’autres départements soient créés au fur et à mesure de
l’évolution de l’entreprise. On vous demande de segmenter le réseau 192.168.30.0/24 en respectant la politique du
directeur général.

Solution

2.2. Les VLAN

VLAN signifie Virtual LAN c’est-à-dire réseau local virtuel. C’est un réseau logique de niveau 2. Il permet de
découper un seul réseau local en des réseaux logiques totalement disjoints et aussi de regrouper les utilisateurs qui
ont besoins d’accéder aux mêmes ressources. Elle permet d’augmenter la sécurité et mieux gérer les
communications dans le réseau.

a) Les types de VLAN

Il existe principalement trois types de VLAN

 Les Vlan par port (Vlan de niveau 1) :

On affecte chaque port des commutateurs à un VLAN. L’appartenance d’une trame à un VLAN est alors déterminée
par la connexion de la carte réseau à un port du commutateur. Les ports sont donc affectés statiquement à un
VLAN. Si on déplace physiquement une station il faut désaffecter son port du Vlan puis affecter le nouveau port de
connexion de la station au bon Vlan. Si on déplace logiquement une station (on veut la changer de Vlan) il faut
modifier l’affectation du port au Vlan.

 Les Vlan par adresse MAC (Vlan de niveau 2) :

On affecte chaque adresse MAC à un VLAN. L’appartenance d’une trame à un VLAN est déterminée par son adresse
MAC. En fait il s’agit, à partir de l’association Mac/VLAN, d‘affecter dynamiquement les ports des commutateurs à
chacun des VLAN en fonction de l’adresse MAC de l’hôte qui émet sur ce port. L'intérêt principal de ce type de
VLAN est l'indépendance vis-à-vis de la localisation géographique. Si une station est déplacée sur le réseau
physique, son adresse physique ne changeant pas, elle continue d’appartenir au même VLAN (ce fonctionnement
est bien adapté à l'utilisation de machines portables). Si on veut changer de Vlan il faut modifier l’association Mac /
Vlan.

 Les Vlan par adresse de Niveau 3 (VLAN de niveau 3) :

On affecte une adresse de niveau 3 à un VLAN. L’appartenance d’une trame à un VLAN est alors déterminée par
l’adresse de niveau 3 ou supérieur qu’elle contient (le commutateur doit donc accéder à ces informations). En fait,
il s’agit à partir de l’association adresse niveau 3/VLAN d‘affecter dynamiquement les ports des commutateurs à
chacun des VLAN. Dans ce type de VLAN, les commutateurs apprennent automatiquement la configuration des
VLAN en accédant aux informations de couche 3.
Il existe également un autre type de VLAN appelé VLAN par protocoles C’est à dire qu’on associe une trame à un
Vlan en fonction du protocole qu’elle transporte. On va par exemple définir l’appartenance à un VLAN à un
protocole particulier : un VLAN pour IP, un autre VLAN pour le trafic Appletalk.

b) Configuration des VLAN

Pour configurer des VLAN on procède de la manière suivante :

Étape1 : on crée les VLAN

Étape2 : on attribue les ports du switch aux VLAN créés

Étape4 on active le mode trunk sur l’interface du Switch où se fera le trunkage des VLAN,

Étape3 : on affecte les adresses IP aux VLAN

Étape5 : fait du routage inter VLAN : pour faire du routage, on active au préalable l’interface du routeur où se fera
l’interconnexion des VLAN et enfin faire de l’encapsulation pour chacun des vlan

c) Les commandes
Un switch dispose d’un vlan par défaut qui est le VLAN 1 appelé VLAN NATIVE, il contient tous les ports par défaut

Création de VLAN
 Switch#vlan database
 Switch(config)#vlan id_vlan name nom_vlan
 Switch#conf t
 Switch(config)#vlan id_vlan
 Switch(config-vlan)#name nom_vlan
Attribution des ports aux VLAN
 Switch#conf t
 Switch(config)#interface fastethernet 0/5(par exemple)(pour l’attribution de plusieurs ports à la fois saisir
la commande:interface range fastethernet0/5-0/10 par exemple)
 Switch(config-if)#switchport mode access(pour le mode access)
 Switch(config-if)#switchport access id_vlan
 Switch(config-if)#no shutdown
Routage inter VLAN

Activer d’abord l’interface du routeur

 Routeur#conf t
 Routeur(config)#interface fastethernet 0/0(par exemple)
 Routeur(config-if)#no shutdown
 Faire l’encapsulation
 Routeur#conf t
 Routeur(config)#interface fastethernet 0/0.id_vlan
 Routeur(config-subif)#encapsulation dot1q id_vlan
 Routeur(config-subif)#ip address 192.168.0.254 255.255.255.0
 Routeur(config-subif)#no shutdown
 Routeur(config-subif)#end
Faire du routage avec la commande « ip route » ou avec celle du protocole utilisé
 ip route 0.0.0.0 0.0.0.0 adr_IP_interface_VLAN
 Enregistrement des configurations
 Routeur#copy running-config startup-config
Mettre les passerelles sur chacune des machines connectées au vlan

d) Implémentation
LAB1

Soit la figure ci-dessous

Création de VLAN

Switch>en

Switch#vlan database

Switch(vlan)#vlan 10 name gl2a

VLAN 10 added:

Name: gl2a

Switch(vlan)#vlan 20 name gl2b

VLAN 20 added:

Name: gl2b

Switch(vlan)#exit

APPLY completed.

Exiting....

Switch#conf t

Enter configuration commands, one per line. End with CNTL/Z.

Switch(config)#int f0/1
Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan 10

Switch(config-if)#no sh

Switch(config-if)#exit

Switch(config)#int f0/2

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan 10

Switch(config-if)#no sh

Switch(config-if)#exit

Switch(config)#int f0/3

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan 20

Switch(config-if)#no sh

Switch(config-if)#exit

Switch(config)#int f0/4

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan 20

Switch(config-if)#no sh

Switch(config-if)#exit

Switch(config)#int f0/4

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan 20

Switch(config-if)#no sh

Switch(config-if)#exit

Switch(config)#int f0/5

Switch(config-if)#switchport mode trunk

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5, changed state to down

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5, changed state to up

Switch(config-if)#no sh
Switch(config-if)#exit

Switch(config)#

Création des sous-interfaces au niveau du routeur

Router>en

Router#conf t

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#int f0/0

Router(config-if)#no sh

Router(config-if)#exit

Router(config)#int f0/0.10

Router(config-subif)#encapsulation dot1Q 10

Router(config-subif)#ip address 192.168.1.254 255.255.255.0

Router(config-subif)#no sh

Router(config-subif)#exit

Router(config)#int f0/0.20

Router(config-subif)#encapsulation dot1Q 20

Router(config-subif)#ip address 192.168.2.254 255.255.255.0

Router(config-subif)#no sh

Router(config-subif)#

On adresse les PC en renseignant les passerelles

Un PC du VLAN etudiant
Un PC du VLAN prof

Adressage d’un PC du VLAN admin

Ping d’un PC du VLAN 20 à un PC du VLAN 10

LAB2

CONFIG SWITCH SERVEUR

Switch>en

Switch#vlan database

Switch(vlan)#vtp domain IAI

Changing VTP domain name from NULL to IAI

Switch(vlan)#VTp server

Device mode already VTP SERVER.

Switch(vlan)#vlan 10 name gl2a

VLAN 10 added:

Name: gl2a

Switch(vlan)#vlan 20 name gl2b

VLAN 20 added:

Name: gl2b

Switch(vlan)#exit

APPLY completed.

Exiting....

Switch#conf t

Enter configuration commands, one per line. End with CNTL/Z.

Switch(config)#int f0/1

Switch(config-if)#switchport access vlan 10

Switch(config-if)#no sh

Switch(config-if)#exit

Switch(config)#int f0/2

Switch(config-if)#switchport access vlan 10

Switch(config-if)#no sh

Switch(config-if)#exit

Switch(config)#int f0/3

Switch(config-if)#switchport access vlan 20

Switch(config-if)#no sh

Switch(config-if)#exit

Switch(config)#int f0/5

Switch(config-if)#switchport mode trunk

Switch(config-if)#no sh

Switch(config-if)#exit

Switch(config)#int f0/4

Switch(config-if)#switchport mode trunk

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/4, changed state to down

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/4, changed state to up

Switch(config-if)#switchport trunk allowed vlan all

Switch(config-if)#no sh

Switch(config-if)#end

%SYS-5-CONFIG_I: Configured from console by console

Switch#conf t

Enter configuration commands, one per line. End with CNTL/Z.

Switch(config)#hostname switchserveur

switchserveur(config)#

CONFIG SWHITCH VTP CIENT

Switch(vlan)#vtp domain IAI

Domain name already set to IAI.

Switch(vlan)#vtp client

Setting device to VTP CLIENT mode.

Switch(vlan)#vlan 20 na

Switch(vlan)#vlan 20 name gl2b

Apply not allowed when device is in CLIENT state.

Switch(vlan)#vlan 10 name gl2a

Apply not allowed when device is in CLIENT state.

Switch(vlan)#exit

APPLY completed.

Exiting....

Switch#conf t

Enter configuration commands, one per line. End with CNTL/Z.

Switch(config)#int f0/1

Switch(config-if)#switchport access vlan 10

Switch(config-if)#no sh

Switch(config-if)#exit

Switch(config)#int f0/2

Switch(config-if)#switchport access vlan 20

Switch(config-if)#no sh

Switch(config-if)#exit

Switch(config)#int f0/3

Switch(config-if)#switchport access vlan 20

Switch(config-if)#no sh

Switch(config-if)#exit

Switch(config)#int f0/4

Switch(config-if)#switchport mode trunk

Switch(config-if)#switchport trunk allowed vlan all

Switch(config-if)#no sh

Switch(config-if)#exit

Switch(config)#HOS

Switch(config)#HOStname SWITCHCLIENT

SWITCHCLIENT(config)#

CONFIG ROUTEUR

Router>en

Router#conf t

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#int f0/0

Router(config-if)#no sh

%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up

Router(config-if)#exit

Router(config)#int f0/0.10
%LINK-5-CHANGED: Interface FastEthernet0/0.10, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0.10, changed state to upRouter(config-

subif)#en

Router(config-subif)#encapsulation dot1Q 10

Router(config-subif)#ip address 192.168.1.254 255.255.255.0

Router(config-subif)#no sh

Router(config-subif)#exit

Router(config)#int f0/0.20

%LINK-5-CHANGED: Interface FastEthernet0/0.20, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0.20, changed state to upRouter(config-

subif)#enc

Router(config-subif)#encapsulation dot1Q 20

Router(config-subif)#ip address 192.168.2.254 255.255.255.0

Router(config-subif)#no sh

Router(config-subif)#exit

Router(config)#

Projet 1 : découpage d’un réseau en Vlan

2.3. Les listes de contrôle d’accès

2.3.1. Définition
Les listes de contrôle d’accès (ou ACL) sont des instructions qui s’appliquent sous forme de règles supplémentaires
sur les paquets reçus et transmis par le routeur. Elles sont très utilisées pour sécuriser le trafic dans un réseau.(((
Les instructions in, out, permit, deny, implicit deny, host, any sont les plus utilisées.))))

2.3.2. Algorithme de vérification

• Lorsque le routeur détermine s'il doit acheminer ou bloquer un paquet, l’IOS examine le paquet en
fonction de chaque instruction dans l'ordre dans lequel les instructions ont été créées.
• Si le paquet arrivant à l’interface du routeur satisfait à une condition, il est autorisé ou refusé (suivant
l’instruction) et les autres instructions ne sont pas vérifiées.
• Si un paquet ne correspond à aucune instruction dans l’ACL, le paquet est rejeté. ((((Ceci est le résultat de
l’instruction implicite deny any à la fin de chaque ACL.)))))

2.3.3. Types d’ACL

On distingue principalement deux types d’ACL : les ACL étendus et les ACL standards.

 Les ACL standards

Le filtrage est basé uniquement sur les adresses IP sources, on ne tient pas compte des services. Tout flux en
provenance d’une adresse IP dont l’ACL interdit l’accès sera tout simplement rejetté. Les ACL standards utilisent
les numéros de ports compris entre 1 et 99 et entre 1300 à 1999

 Les ACL étendus

En plus des adresses IP, les ACL étendus filtrent également les numéros de ports et les protocoles. Elles utilisent les
numéros de ports compris entre 100 et 199 et entre 2000 et 2699

Listes d’accès Appletalk 600 à 699

Listes d’accès IPX standard 800 à 899

Listes d’accès IPX étendues 900 à 999

Listes d’accès IPX SAP 1000 à 1099

3. Notion de masque de bits générique (WILCARD)

Un masque générique est un numéro tout comme une adresses IP qui permet d’ identifier une adresse unique ou
plusieurs adresses dans le but d'effectuer des vérifications visant à accorder ou interdire l'accès. Entre d’autres
termes le masque générique (WILCARD) est l’inverse du NETMASK. Dans un masque générique, 0 signifie " vérifier
la valeur du bit sur l’adresse IP de référence, " 1 signifie " ne pas vérifier (ignorer) la valeur du bit sur l’adresse IP de
référence

Pour déterminer le masque générique on applique la formule 𝑊 = 255.255.255.255 − 𝑀𝑎𝑠𝑞𝑢𝑒 𝑑𝑒 𝑠𝑜𝑢𝑠 𝑟é𝑠𝑒𝑎𝑢

1. Quel est le masque générique de chacune des addresses IP suivantes : 121.46.14.5/27 ; 228.98.53.119/23 ;
Rep 121.46.14.5/27 a pour masque 255.255.255.248 W = 0.0.0.7
228.98.53.119/23 a pour masque 255.255.254.0 = 0.0.1.255
2. Quelle est le masque générique de la plage d’adresse suivante : 196.200.221.8/29 – 196.200.221.15/29

Rep : Le bloc deviens 196.200.221.8 0.0.0.7

Pour spécifier une machine on renseigne son adresse IP suivie de 0.0.0.0 comme Wildmask

Exemple : 196.200.221.1 0.0.0.0

- Pour spécifier tous les hôtes d’un réseau /24 on renseigne une adresse IP du réseau suivi de 0.0.0.255

Exemple : 196.200.220.1 0.0.0.255

Les commandes host et any

• Ces deux commandes sont des abréviations permettant de simplifier la lecture ainsi que l’écriture des listes

de contrôle d’accès :

- any : n’importe quelle adresse (équivaut à 0.0.0.0 255.255.255.255)

- host : abréviation du masque générique Ex: host 172.16.33.5 équivaut à 172.16.33.5 255.255.255.255

4. Syntaxe des ACL

D’une manière générale, les ACL se codent sur deux lignes, si on permet un paquet à la première ligne, on deny à
la 2ème et inversement
- ACL standard
access-list n°_ACL {deny | permit} adresse d’origine masque générique
access-list n°_ACL {deny | permit} any
interface [interface]
ip access-group N°_ACL {in | out}

- ACL étendu
access-list N°_ACL {permit | deny} protocol adresse_IP_origine masque_générique adresse_destination
masque_générique operateur_operande [N°_port]
access-list N°_ACL {permit | deny} protocol adresse_IP_origine masque_générique adresse_destination
masque_générique operateur_operande [N°_port]
interface [interface]
ip access-group access-list-number {in | out}

Operateur operande : lt, gt, eq neq suivi d’un numéro de port

Lt pour lower than (plus petit que)

Gt pour greater than (plus grand que)

Eq pour equal (égal à)

Neq pour non equal (différent de)

Established permet au trafic TCP de passer si les bit ACK sont activées.

- ACL nommés
access-list {standard | extended} nom_ACL instructions

Exemple

1. On veut interdire au réseau « Invité » d’accéder au réseau « Comptabilité »

2. Interdire l’hôte ayant l’adresse 192.168.10.5 /29 d’accéder à internet

Exercice 2
 1. Interdire au stagiaire d’accéder au serveur TFTP (utiliser une ACL étendue)
2. Faire la même question que la précédente mais en utilisant une ACL nommée

Solution

1.
- access-list 100 deny udp host 212.16.23.6 host 10.23.4.6 eq tftp
- access-list 100 permit ip any any
- int e0
- ip access-group 100 out
2.
- access-list extended Stagiaire deny udp host 212.16.23.6 host 10.23.4.6 eq tftp
- access-list Stagiaire permit ip any any
- ip access-group Stagiaire out

3.1. Les VPN

Un VPN est un réseau privé virtuel Qui permet à plusieurs postes distants de communiquer de manière sure tout en
empruntant un reseau public. Ce type de réseau est né du besoin des entreprises d’interconnecter leurs sites de
façon simple et économique

3.1.1. Principe de fonctionnement des VPN

Le principe repose sur le protocole de tunnelisation dont le rôle est d’établir sur un réseau public un canal virtuel
privé. En réalité, les données partant d’un nœud local vers un autre sont chiffrés à l’aide d’un crypto système

3.1.2. Les différents types de VPN

- Les sites to site VPN ou VPN intranet
- Les VPN d’accès
Utilisé pour connecter un utilisateur itinérant au réseau d’entreprise. en déplacement. Un client VPN
accède aux ressources de l’entreprise indépendemment de sa localisation géographique. ((((Vous
pouvez être aux USA et configurer le serveur d’entreprise qui se trouve au cameroun))))
- Les VPN d’extranet

3.1.3. Connecter l’entreprise aux réseaux des partenaires

I- Les protocoles VPN

Ils sont classés en fonction de leur position sur le modèle OSI

Couche 2 :
 - PPTP point to point tunneling protocol
- L2TP layer tunneling protocol
- PPP Point to point protocol
- VLAN virtual local area network

Couche 3

- IPsec internet protocol security

- MPLS: multi-protocol label switching

Couche 4

- TLS: transport layer security

En quoi IPsec est plus sécurisé que IP: avec IP les informations circulent en clair, aucun chiffrement n’est appliqué
aux données alors qu’avec IPsec les données sont chiffrées.

Le protocole PPP (point to point protocol) : c’est un protocole de la couche2 adapté pour les transmissions grande
distance. Il permet de transporter les données sur un lien synchrone ou asynchrone. Il est full duplex et l’ordre
d’arrivée des trames. Le protocole PPP n’est pas sécurisé mais sert de support au protocoles L2TP et PPTP.

Le protocole PPTP

Le protocole PPTP (point to point tunneling protocol) est un protocole qui utilise le protocole PPP à travers un
réseau IP sur un tunnel VPN. Il utilise deux protocoles d’authentification :

- le PAP (password accès protocol),

- le CHAP (challenge access protocol) il s’appuit sur le secret partagé, il n’y a pas de communication de mot
de passe

le role de PPTP est de chiffrer la trame PPP avant de l’envoyer. Il chiffre en réalité le paquet IP qui est contenu dans
la trame (((puisqu’il n’y a pas ré encapsulation))))

Le protocole L2TP

Il est issu de la convergence de PPTP et L2F (layer two forwarding. Il permet l’encapsulation des paquets PPP au
niveau de la couche 2 (frame relay et ATM) et de la couche3

3.1.4. LE PROTOCOLE IPSEC

C’est un protocole qui vise l’échange sécurisée des données de niveau 3. Les données sont rendues inintelligibles
par un algorithme de chiffrement qui permettent une transmission sécurisée de ces données dans le réseau public

IPsec a deux mécanismes : le premier est basé sur AH (authentification header), le deuxième sur ESP (
encapsulation security protocol)

AH fournit les service d’intégrité et d’authenticité du datagramme IP. Il est lié à chaque paquet IP.

ESP permet de combiner plusieurs services de sécurité à savoir la confidentialité et l’intégrité, l’unicité des paquets
également.

3.1.5. Les modes de VPN

Le mode transport : il est adapté pour les transmissions point à point, la caractéristique principale est que l’en-tête
IP initial ne change pas.
Le mode tunnel : on chiffre tout le paquet IP c’est-à-dire l’en-tête et les données. Celui qui intercepte le paquet en
route est incapable de savoir à qui est destiné le paquet

Le protocole d’établissement et de gestion du tunnel sécurisé

- ISAKMP (internet security association key management protocol) : son rôle est d’établir, de modifier, de
gérer et de supprimer les SA
- Le protocole IKE (internet exchange est le protocole qui permet de négocier la connexion) une fois que la
SA est mise sur pied

Gestion du flux

Les flux IPsec sont gérés unidirectionnelement. Ainsi, une communication bidirectionnelle entre deux machines
utilisant IPsec sera défini par divers processus on chacun des sens de la communication

- Security policy : une SP definit ce qui doit être traité sur un flux, comment nous pouvons transporter un
paquet ? il y sera donc indiqué pour un flux de données :
 L’adresse IP de l’emetteur et du recepteur (unicast, broadcast ou multicast)
 L’indication sur le mecanisme IPsec qui sera utilisé (AH ou ESP)
 Le mode de VPN qui sera utilisé (mode transport ou mode tunnel)
 Le sens de la liaison entrante ou sortante
- Security association (SA) : une SA definit comment sera traité le paquet en fonction de sa SP associé. Elles
ne sont que la réalisation de la SP. Elle possède l’ensemble des propété de la liaison ainsi elle sera
representée par une structure de données contenant les informations suivantes :
 Un compteur permettant de gérer les numéros de séquence des en-têtes AH et ESP
 Un flag
 Une fenêtre d’anti répétition
 Les informations sur l’en-tête AH (algorithme d’authentication, clé, durée de vie)
 Les informations sur l’en-tête ESP (algorithme de chiffrement, authentification, les clés…)
 La durée de vie de la SA
 Le MTU (maximum transmission unit)
 L’adresse IP de destination (unicast, multicast, broadcast…)
 Le SPI
- La SPD (Security Policy Database) qui spécifie pour chaque datagramme IP s’il est nécessaire de le protéger
et si oui les services de sécurité à mettre en œuvre et la SAD
C’est l’administrateur qui configure la SPD
Pour configurer les protocoles de gestion des clés, on utilise les commandes suivantes

Crypto isakmp poli

4. Le MPLS
MPLS signifie Multi Protocol Label-Switching. C’est un protocole qui permet le transport des paquets IP sur des
réseaux travaillant en mode commuté. Il intègre le paradigme de la transmission par commutation de labels couplé
au routage de la couche réseau.

4.1. Principe de fonctionnement

Réseau MPLS

LSR

LER LER
CE1 CE2
SITE A LSR
SITE B

Les paquets IP qui partent d’un réseau A à un réseau B sont labélisés par le routeur d’entrée du réseau MPLS
appelé LER (Label Edge Router). Les routeurs situés dans le cœur du réseau MPLS (encore appelé LSR= Label Switch
Router) utilisent ces labels pour faciliter le routage de ces paquets IP. Le routeur de sortie à son tour va enlever ce
label puis router le paquet vers sa destination. Un label est un numéro (nombre entier) associé à un paquet
lorsqu’il circule dans le réseau MPLS. Le protocole qui attribue ces labels est appelé LDP (Label distribution
protocol)

En réalité les routeurs PE (Provider Edge) reçoivent des routeurs CE des tables de routage et les insèrent dans une
VRF. Une VRF est à peu près comme la table de routage des VPN. Il se crée donc au niveau des VRF des RD(Route
Distinguisher) qui permettront de definir des RT (Route Target) qui ne sont rien d’autres que des routes de VPN.
Dès lors la création des labels MPLS et des labels VPN sera effective en VPNv4 grâce aux RT et ainsi de suite
jusqu’au prochain routeur PE. Au sein du dernier PE du nuage, les RT indiquent vers uels VRF les routes
d’importations sont destinées, ensuite les RD sont retirés des VPNv4 puis attendent leur acheminement vers le CE

4.2. Méthodes d’implémentation

La mise sur pied d’un MPLS/VPN se fait en deux grandes étapes à savoir la mise sur pied du nuage MPLS et la
configuration du VPN entre les custumer Edge (routeur d’entrée des réseaux client)

Création du nuage MPLS

Pour implémenter le nuage MPLS

- On configure les protocoles LDP, MPLS et le protocole de routage intra nuage

- On crée les VRF
- On associe les interfaces aux VRF
- On configure les protocoles de routage dans les VRF
- On adresse les interfaces du routeur sans oublier les interfaces loopback
- On crée les liaisons VPNv4 en configurant le MP-BGP
- On gère la distribution des prefixe
- On crée les sessions VPN entre les routeurs d’extrémités du nuage
- On configure les custumer edge (CE)

Après la création du nuage, on implémente maintenant la politique de sécurité du VPN au niveau des custumer
edge (CE)

4.3. Les commandes

Configuration du protocole MPLS sur les routeurs du nuage

LSR (config)# mpls label protocol ldp

LSR (config)#interface loopback loopback_interface_number

LSR (config-if)# ip add @_ip_loopback mask

Les addresses de loopback sont différentes des addresses d’interface serie, ells ont pour masque de SR
255.255.255.255

LSR (config-if)#exit

LSR (config)#multilink bundle-name authenticated

Configuration des interfaces series du routeur

LSR (config)# int sx/y

LSR (config-if)# ip add @_ip mask

LSR (config-if)# mpls ip

LSR (config-if)# serial restart-delay number_restart-delay

LSR (config-if)# clock rate number_clock-rate

Configuration du protocole OSPF pour le routage intra nuage

Pour LSP
LSR (config)# router ospf process_ID

LSR (config-router)#network @_ip_destination Wildmask area ospf_area_ID

Pour LER

LER (config)# router ospf process_ID

LER (config-router)# log-adjacency-changes

LSR (config-router)#network @_ip_destination Wildmask area ospf_area_ID // on annonce les routes

adjacentes de l’interface

Creation des VRF et assignation des ports

LER (config)# ip vrf forwarding_instance_name

LER (config-vrf)# rd ASN:number

LER (config-vrf)# route-target export ASN:number

LER (config-vrf)# route-target import ASN:number

LER (config)#int sx/y

LER (config-if)#ip vrf forwarding table_name

LER (config-if)# ip add @_ip mask

LER (config-if)# serial restart-delay number_restart-delay

LER (config-if)# clock rate number_clock-rate

Configuration des protocoles de routage dans les VRF

LER (config)#router rip

LER (config)# version 2

LER (config)# address-family ipv4 nom_vrf

LER (config)# redistribute bgp 1 metric 1

LER (config)#network @_ip_rséau_interface (agregée)

LER (config)# network @_ip_rséau_interface (agregée)

LER (config)#no auto-summary

LER (config)#exit-address-family

Creation des liaisons VPNv4 par configuration du MP-BGP

LER (config)# router bgp N°

LER (config-router)# no bgp defaults ipv4-unicast

LER (config-router)# neighbor 3.3.3.3 remote-as 1

LER (config-router)# neighbor 3.3.3.3 update-source loopback N°_loopback

LER (config-router)#address-family vpnv4

LER (config-router)#neighbor 3.3.3.3 activate

LER (config-router)# neighbor 3.3.3.3 activate send-community extended

LER (config-router)#exit

LER (config-router)# address-familly ipv4 nom_vrf

LER (config-router-af)#redistribute rip

On demande également à ce que l’IP source des paquets qui s’échangent entre les pairs BPG soit bien celle de
notre IP de loopback c’est à dire 3.3.3.3 pour LER1

LER (config)# router bgp

LER (config-router)#no bgp default ipv4-unicast

LER (config-router)#Bgp log-neighbor-changes

LER (config-router)#neigbor 3.3.3.3 remote-as 1

LER (config-router)# neighbor update-source lopback 0

LER (config-router)# address-family vpnv4

LER (config-router)# neighbor 3.3.3.3 activate

LER (config-router)#neighbor 3.3.3.3 send-community extended

LER (config-router)#exit-address-family

Gestion de la distribution des prefixes (il faut configure les LER de telle sorte à ce que la distribution des rotes
soit effective mutuellement dans les deux sens entre BGP et OSPF

Redistribution du RIP version2 vers BGP

LER (config)# address-family ipv4 vrf nom_vrf

LER (config)# redistribute rip

LER (config)# No synchonisation

LER (config)# exit-address-family

Redistribution du BGP version2 vers RIP version2

LER (config)# address-family ipv4 vrf nom_vrf

LER (config)#Redistribute bgp 1 metric 1

LER (config)#Network @_ip_reseau_interface

LER (config)#Network @_ip_reseau_interface

LER (config)#No auto-summary

LER (config)#Exit-address-family

Creation des sessions VPN

On configure une session vpn entre LER1 et l’interface loopback 0 de LER2

LER (config)#router ospf 1

LER (config-router)# no network @loopback_routeur_correspondant wildmask area 0

LER (config-router)# network @_loopback_routeur_courant wildmask area 0

Configuration des customer edge

CE (config-)#int s1/0

CE (config-if)# ip address @_ip_interface mask

CE (config-if)#clockrate N°_clockrate

CE (config-if)#no sh

CE (config)#int f2/0

CE (config-if)# ip address @_ip_interface mask

CE (config-if)# no sh

CE (config)#router rip

CE (config-router)# version 2

CE (config-router)# no auto summary

CE (config-router)# network @_reseau-interface_routeur

Mise en oeuvre de la politique de securité

Configuration d’IPsec et d’ISAKMP

CE (config)# crypto isakmp policy N°

CE (config-isakmp)# authentication pre-share

CE (config-isakmp)# crypto isakmp key 0 cenadi address 0.0.0.0 0.0.0.0

CE (config)#crypto ipsec transform-set nom_profile esp-aes esp-sha-hmac

CE (cfg-crypto-trans)#crypto ipsec profile nom_profile

CE (cfg-crypto-trans)#exit

CE (config)#int tunnel0

CE (config-if)#tunnel protection ipsec profile nom_profile

 5. Les pare-feu
Un pare feu est un outil de sécurité dans un réseau, il peut être matériel ou logiciel et permet de limiter les accès
aux utilisateurs par rapport à certains services. C’est une véritable barrière qui empêche aux personnes externes
d’atteindre facilement le réseau d’entreprise. Il peut faire le filtrage par protocole, par adresses IP ou par service.
Dans un réseau, un pare-feu peut prendre des positions variées tout dépend de la politique de sécurité qui a été
définie.

Exemple de pare-feu :logiciel : Ipchain, pfsense physiqye : Netbarrier, checkpoint

INTERNET

Position du pare feu

ROUTEUR DMZ

Position du pare feu

PC
SWITCH

SV

Exercice pratique : configuration d’un pare-feu

6. Les détections d’intrusions

La détection des intrusions regroupe les méthodes et les systèmes capables de détecter les actes de malveillance
ou tout simplement des actes qui ne sont pas conformes à la « politique de sécurité. Un outil de détection
d’intrusion (IDS) permet donc à un administrateur réseau de déceler tout comportement anormal ou trafic
suspect. C’est un outil qui vient grâce à sa surveillance renforcer la sécurité. Son rôle est de détecter et d’alerter
afin que des dispositions soient prises pour empêcher à l’attaquant d’effectuer des dégâts. Tout comme un pare-
feu, on peut également positionner un IDS où veut en fonction de la politique de sécurité qu’on a mise en place

Exemple d’IDS : SNORT, NAGIOS, EYESOFNETWORK

 INTERNET
Position de l’IDS

Position de l’IDS
Position de l’IDS
Pare feu

ROUTEUR DMZ

Position de l’IDS

PC
SWITCH

SV
IDS
Introduction

Un système d’exploitation est le logiciel qui gère les applications et le matériel de l’ordinateur.il est le garant de la
sécurité de toutes les ressources qui s’y trouvent. Un utilisateur accède à une ressource à travers un certain
nombre droits qui sont définis. Un droit d’accès est la permission que possède un utilisateur par rapport à une
ressource. Le but de ce cours est donc de comprendre la gestion de ces droits qu’ont les utilisateurs par rapport
aux ressources locales ou partagées.

1. Panorama sur la sécurité système

1.1. La gestion des ressources
Dans un ordinateur du réseau, on peut identifier deux types de ressources :

- Les ressources partagées : c’est l’ensemble des ressources disponibles via le réseau
- Les ressources non partagées (les ressources locales) : c’est l’ensemble des ressources accessible uniquement
via le poste en local

1.2. Méthodes d’accès aux ressources partagées

L’accès à une ressource partagée peut se faire de plusieurs manières :

- L’utilisation d’un chemin UNC (uni

-
- versal Name convention). Le chemin UNC a la forme suivante : \\nomserveur[\non_partage[\nom_fichier]]
- L’utilisation d’un favoris réseau
La convention suivante est souvent utilisée pour définir les permissions des utilisateurs par rapport aux
ressources : U  A/P c’est-à-dire que l’utilisateur U reçoit la permission A par rapport à la ressources P
Interpretation :
U est un utilisateur ou un groupe d’utilisateur
A est une autorisation ou une permission par rapport à une ressource
P c’est la ressource partagée

1.3. Liste des autorisations de partage

Il existe quatre niveaux d’autorisation

- NA (No access) c’est-à-dire que l’utilisateur ou le groupe d’utilisateur ne possède aucune permission sur la
ressource concernée
- R (read) c’est-à-dire l’utilisateur ou le groupe d’utilisateur possède la permission de lecture
- C (change) l’utilisateur ou le groupe d’utilisateur peut non seulement lire la ressource mais la modifier
également
- FC (full control (ou control total)) l’utilisateur ou le groupe d’utilisateur a toutes les permissions

1.4 Permission de ressources locales (permission NTFS)

Ces permissions s’appliquent au dossier et au fichier et permettent de mettre en service une sécurité locale en plus
d’une sécurité au niveau du réseau.

Permission Dossier fichier

NA(aucun accès) Rien rien
R(read) Afficher le dossier et les sous- Afficher le fichier ainsi que ses
dossiers attributs
W (Write) Ajout de fichier ou de dossier, Modifier les attributs et le
modification des attributs contenu du fichier
X(execute) Modifie les sous dossiers et Execute un fichier((binaire)),
afficiche les permissions affiche les attributs et les
permissions
D(delete) Supprimer l’arborescence Supprimer le fichier
P(change permission) Changer les permissions Changer les permissions
O(take ownerchip) Prendre possession Prendre possession

2. La sécurité sous Windows

Les systèmes Windows peuvent également être utilisés pour garantir la sécurité des données dans une
entreprise. L’inconvénient de ces systèmes est qu’ils sont payants et par conséquent subissent beaucoup
d’attaques. Tout comme sous linux, la sécurité sous Windows est aussi basée sur les droits qu’on attribue
aux utilisateurs par rapport aux ressources. on peut aussi installer des outils de sécurité pour renforcer la
sécurité des informations. Windows a aussi un pare feu configurable graphiquement ainsi que les
navigateurs web pour le traffic Web. Son controlleur de domaine active directory est aussi efficace pour
limiter les droits aux utilisateurs.
Exercice :
Créer dans « mes documents » un dossier nomme docGL.
Créer dans ce dossier un fichier texte nommé fichierGL2.txt, mettez un contenu quelconque dans ce fichier
Définissez les droits aux utilisateurs de votre système par rapport à ce fichier
Exerice2 : configuration du navigateur Web
Exercice3 : configuration du pare feu

Objectifs spécifiques: connaitre quelques méthodes utilisées par les pirates pour mettre en cause les
systèmes d’informations

Introduction

L’information est le bien le plus précieux qui puisse être protégé pour garantir la survie de l’entreprise.
Les moyens déployés pour la sécurité de cette information peut définir l’indice de vulnérabilité du SI.
Raison pour laquelle la plupart des entreprises investissent le plus sur La sécurité. Aujourd’hui les
méthodes d’attaques se multiplient, chaque entreprise doit pouvoir s’adapter et trouver les moyens
nécessaires pour se protéger contre ces attaques.

1. Les attaques d’accès

Les attaques d’accès sont celles entreprises par des personnes qui veulent accéder à des informations
alors qu’ils ne possèdent pas les droits. Elles mettent en cause la confidentialité des informations. On
distingue :

1.1. L’ingénierie sociale

Elle n’est pas réellement considérée comme une attaque informatique mais plutôt comme une méthode
utilisée par une tierce personne pour accéder à certaines informations telles ques les mots de passes,
login, numéro de compte, données,…

1.2. Le cheval de troie

Un cheval de troie est un programme qui s’installe dans un ordinateur ayant pour but de faciliter l’accès à
d’autres programmes malveillants ou à un pirate informatique. Il peut aussi voler des mots de passe,
copier des données, exécuter des actions nuisibles.

1.3. Le sniffing

Ce type d’attaque consiste à intercepter tous les paquets qui circulent sur un réseau afin d’en avoir le
contenu et l’utiliser à des fins diverses. On utilise généralement un logiciel appelé renifleur de paquets
(sniffer) permettant de capturer les paquets transitant sur le réseau.

1.4. La porte dérobée

Le but principal d’une porte dérobée est de faciliter l’accès au pirate informatique de manière à ce que
l’administrateur du réseau ne s’aperçoive pas et qu’il puisse être capable à tout moment de reprendre
facilement le contrôle du système. Le pirate peut alors récupérer les données qu’il souhaite, voler des
mots de passe ou même détruire des données.

Il existe différents types de portes dérobées :

• Création d’un nouveau compte administrateur avec un mot de passe choisi par le pirate.

• Création de compte ftp

• Modification des règles du pare-feu pour qu’il accepte des connections externes.

1.5. Le craquage de mot de passe

Ce type d’attaque consiste à faire plusieurs essais jusqu’à trouver le bon mot de passe. Il est vrai que cela
n’est pas évident parce qu’il n’existe pas des mots de passes standards, chaque utilisateur personnalise
son mot de passe.

Il existe plusieurs méthodes :

• L’utilisation de dictionnaires : le mot testé est pris dans une liste prédéfinie contenant les mots de
passe les plus courants et aussi des variantes de ceux-ci (à l’envers, avec un chiffre à la fin…). Les
dictionnaires actuels contiennent environ 50 000 mots voir plus et sont capables de faire une grande
partie des variantes.

• La méthode brute : toutes les possibilités sont faites dans l’ordre jusqu’à trouver la bonne solution.

 L’utilisation des utilitaires de craquage de mots de passe.

1.6. Les intrusions

Les intrusions sont en principe des attaques d’accès comme celles citées ci-dessus. Elle consiste à entrer
dans un réseau sans autorisation et en faire des dégâts plus ou moins destructifs. Le principal moyen pour
prévenir les intrusions est le pare-feu (firewall).

2. Les attaques par modification

Ce type d’attaque met en cause l’intégrité des données et consiste à modifier les informations contenues
dans un système. C’est en réalité des virus qui sont maitres de ce type d’attaque. On peut citer

 Les vers qui sont des virus capables de se propager dans le réseau;

• Les « chevaux de Troie » créant des failles dans un système;

• Les canulars envoyés par mail.

3. Les attaques par saturation (dénie de service)

Les attaques par saturation sont des attaques informatiques qui consiste à envoyer des milliers de
messages depuis des dizaines d'ordinateurs, dans le but de submerger les serveurs d'une société, de
paralyser pendant plusieurs heures son site Web et d'en bloquer ainsi l'accès aux internautes.

Il existe différentes attaques par saturation :

• Le flooding

Cette attaque consiste à envoyer à une machine de nombreux paquets IP de grosse taille. La machine
cible ne pourra donc pas traiter tous les paquets et finira par se déconnecter du réseau.

 le ping flood: c’est un ping intensif et répété vers un serveur

 Le mailbombing: il se caractérise par l’envoi massif de courrier électroniques pour saturer une
boîte aux lettres

• Le TCP-SYN flooding

Le TCP-SYN flooding est une variante du flooding qui s’appuie sur une faille du protocole TCP. En effet, on
envoie un grand nombre de demande de connexions au serveur (SYN) à partir de plusieurs machines. Le
serveur va envoyer un grand nombre de paquet SYN-ACK et attendre en réponse un paquet ACK qui ne
viendra jamais. Si on envoie les paquets plus vite que le timeout des « demi-connexion » (connexions
autorisées mais non terminé), le serveur sature et finit par se déconnecter.
• Le smurf (comme usurpation d’adresse)

Le smurf est une attaque qui s’appuie sur le ping et les serveurs de broadcast . On falsifie d’abord son
adresse IP pour se faire passer pour la machine cible. On envoie alors un ping sur un serveur de
broadcast. Il le fera suivre à toutes les machines qui sont connectées qui renverront chacune un « pong »
au serveur qui fera suivre à la machine cible. Celle-ci sera alors inondée sous les paquets et finira par se
déconnecter.

• Le débordement de tampon

Cette attaque se base sur une faille du protocole IP. On envoie à la machine cible des données d’une taille
supérieure à la capacité d’un paquet. Celui-ci sera alors fractionné pour l’envoi et rassemblé par la
machine cible. A ce moment, il y aura débordement des variables internes. Suite à ce débordement,
plusieurs cas se présentent : la machine se bloque, redémarre.

4. Les attaques de répudiation

La répudiation est une attaque contre la responsabilité. Elle consiste à tenter de donner de fausses
informations ou de nier qu’un événement ou une transaction se soient réellement passé.

Conclusion
La sécurité informatique est le garant de l’intégrité des données d’une entreprise. Elle est indispensable.
De nos jours, quel que soit l’endroit où on se trouve, on peut toujours être attaqué. D’énormes moyens
doivent pour cela être déployés pour garantir cette intégrité. Pour limiter les risques, chaque entreprise
doit toujours faire la police de tout son SI afin de détecter les différentes failles et y apporter des
solutions adéquates.