Scribd
Importer
77 vues47 pages

CA Module 12

Le module 12 aborde l'infrastructure de sécurité du réseau, en expliquant comment les topologies, les périphériques et les services renforcent la sécurité. Il décrit les différents types de réseaux, notamment LAN et WAN, ainsi que les modèles de conception hiérarchique et les architectures de sécurité comme les pare-feu. Enfin, il présente divers dispositifs de sécurité, y compris les systèmes de détection et de prévention des intrusions, en soulignant leurs avantages et inconvénients.

Transféré par

zainebbrahem6
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd
77 vues47 pages

CA Module 12

Le module 12 aborde l'infrastructure de sécurité du réseau, en expliquant comment les topologies, les périphériques et les services renforcent la sécurité. Il décrit les différents types de réseaux, notamment LAN et WAN, ainsi que les modèles de conception hiérarchique et les architectures de sécurité comme les pare-feu. Enfin, il présente divers dispositifs de sécurité, y compris les systèmes de détection et de prévention des intrusions, en soulignant leurs avantages et inconvénients.

Transféré par

zainebbrahem6
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd

Module 12: L'infrastructure de

sécurité du réseau
CyberOps Associate v1.0
Objectifs du module
Titre du Module: Infrastructure de sécurité du réseau

Objectif du Module: Expliquer comment les périphériques et les services renforcent la


sécurité du réseau.
Titre du Rubrique Objectif du Rubrique
Topologies réseau Expliquer comment les conceptions de réseau influent sur le flux de trafic transitant via le réseau.

Périphérique de sécurité Expliquer comment les périphériques spécialisés renforcent la sécurité du réseau.

Services de sécurité Expliquer comment les services renforcent la sécurité du réseau.

© 2020 Cisco et/ou ses filiales. Tous droits réservés. Informations


confidentielles de Cisco 2
12.1 Les topologies du réseau

© 2020 Cisco et/ou ses filiales. Tous droits réservés. Informations


confidentielles de Cisco 3
L'infrastructure de sécurité réseau
Représentations réseau
• Schémas de réseaux, souvent appelées
diagrammes de topologie, utilisent des
symboles pour représenter les
périphériques au sein du réseau.
• Les terminologies importantes à
connaître sont les suivantes :
• Carte réseau (NIC)
• Port physique
• Interface

Remarque: les termes «port» et


«interface» sont souvent utilisés l'un pour
l'autre.
© 2020 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 4
L'infrastructure de sécurité réseau
Diagrammes topologiques
Les diagrammes de topologie physique Des diagrammes de topologie logique
illustrent l'emplacement physique des illustrent les dispositifs, les ports et le système
dispositifs intermédiaires et de d'adressage du réseau.
l'installation des câbles.

© 2020 Cisco et/ou ses filiales. Tous droits réservés. Informations


confidentielles de Cisco 5
L'infrastructure de sécurité réseau
Réseaux de tailles diverses
• Les petits réseaux domestiques relient
quelques ordinateurs entre eux et à
Internet.
• Le réseau SOHO (réseau de petits
bureaux/bureaux à domicile) permet aux
ordinateurs d'un bureau à domicile ou
d'un bureau distant de se connecter à un Petite maison SOHO
réseau d'entreprise ou d'accéder à des
ressources centralisées et partagées.
• Moyens et grands réseaux – plusieurs
emplacements où des centaines, voire
des milliers d'ordinateurs interconnectés
• Réseaux mondiaux - connectent des
centaines de millions d'ordinateurs dans Moyen/Grand monde
© 2020 Cisco et/ou ses filiales. Tous droits réservés. Informations
le monde entier - tels que l'internet confidentielles de Cisco 6
Topologies réseau
LAN et WAN
• Les infrastructures de réseau varient
beaucoup en termes de :
• La taille de la zone couverte
• Le nombre d'utilisateurs connectés
• Le nombre et les types de services
disponibles
• Le domaine de responsabilité
• Les deux types d'infrastructures
réseau les plus répandus sont :
• Réseaux locaux (LAN)
• Réseaux étendus (WAN)

LAN connectés à un WAN


© 2020 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 7
Topologies réseau
LAN et WAN (suite)
Un LAN est une infrastructure de réseau Un WAN est une infrastructure de réseau qui
qui couvre une zone géographique couvre une vaste zone géographique.
restreinte.

Réseau local (LAN) Réseau étendu (WAN)


Interconnecter les périphériques terminaux dans une Interconnecter les réseaux locaux sur de vastes zones
zone limitée. géographiques.
Administré par une seule organisation ou un seul Les WAN sont habituellement géréspar plusieurs prestataires
individu. de services.
Les réseaux locaux fournissent une bande passante à Généralement, ils fournissent des liaisons à vitesse plus lente
haut débit aux périphériques terminaux internes et aux entre les réseaux locaux.
© 2020 Cisco et/ou ses filiales. Tous droits réservés. Informations
périphériques intermédiaires. confidentielles de Cisco 8
Infrastructure de sécurité réseau
Modèle de conception de réseau à trois couches
• Le réseau local câblé du campus utilise un
modèle de conception hiérarchique pour
séparer la topologie du réseau en groupes
ou couches modulaires.
• Une conception de réseau local
hiérarchique inclut les trois couches
suivantes:
• Accès - Fournit aux terminaux et aux
utilisateurs un accès direct au réseau..
• Distribution - agrège le trafic et
assure la connectivité aux services.
• Cœur - Assure la connectivité entre
les couches de distribution pour les
environnements LAN de grande taille. Modèle de conception hiérarchique
© 2020 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 9
Infrastructure de sécurité réseau
Modèle de conception de réseau à trois couches (Suite)
• Bien que le modèle hiérarchique
compte trois couches, certains réseaux
d'entreprise plus modestes peuvent
implémenter une conception
hiérarchique à deux niveaux.
• Dans une conception hiérarchique à
deux niveaux, les couches de
distribution et cœur de réseau sont
regroupées en une seule couche, ce
qui permet de réduire les coûts et la
complexité.

Cœur de réseau regroupé


© 2020 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 10
Infrastructure de sécurité réseau
Vidéo - Modèle de conception de réseau à trois couches
Lisez la vidéo pour visionner une démonstration du modèle de conception de réseau à trois
couches.

© 2020 Cisco et/ou ses filiales. Tous droits réservés. Informations


confidentielles de Cisco 11
Infrastructure de sécurité réseau
Architectures de sécurité communes
La conception des pare-feu repose principalement sur des interfaces d'appareils qui
autorisent ou refusent le trafic en fonction de la source, de la destination et du type de trafic.
Les trois conceptions de pare-feu sont les suivantes :
• Publique et privée
• Le réseau public (ou extérieur) n'est pas fiable et le réseau privé (ou intérieur) est
fiable.

© 2020 Cisco et/ou ses filiales. Tous droits réservés. Informations


confidentielles de Cisco 12
Infrastructure de sécurité réseau
Architectures de sécurité communes (Suite)
• Zone démilitarisée (DMZ)
• Conception de pare-feu où il
y en a généralement un :
• Interface interne
connectée au réseau privé
• Interface externe
connectée au réseau
publique
• Interface DMZ

© 2020 Cisco et/ou ses filiales. Tous droits réservés. Informations


confidentielles de Cisco 13
Infrastructure de sécurité réseau
Architectures de sécuritécommunes (Suite)
• Pare-feu à politique basée sur les
zones (ZPFs)
• Les pare-feu à politique basée sur les
zones (ZPF) utilisent le concept de
zones pour assurer une meilleure
flexibilité.
• Une zone est un groupe d'une ou
plusieurs interfaces partageant des
fonctions ou des caractéristiques
similaires.
• Les zones vous aident à spécifier à
quel endroit une règle ou une
politique de pare-feu Cisco IOS doit
être appliquée.
© 2020 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 14
Infrastructure de sécurité réseau
Packet Tracer - Identifier le flux de paquets
Dans cette activité Packet Tracer, vous allez effectuer les opérations suivantes:
• Flux de paquets dans une topologie LAN et WAN.
• Changement dans le chemin de flux des paquets lorsqu'il y a un changement dans
la topologie du réseau.

© 2020 Cisco et/ou ses filiales. Tous droits réservés. Informations


confidentielles de Cisco 15
12.2 Les périphériques de
sécurité

© 2020 Cisco et/ou ses filiales. Tous droits réservés. Informations


confidentielles de Cisco 16
Périphériques de sécurité
Vidéo - Périphériques de sécurité
Regardez la vidéo pour en savoir plus sur les services de sécurité .

© 2020 Cisco et/ou ses filiales. Tous droits réservés. Informations


confidentielles de Cisco 17
Périphériques de sécurité
Pare-feu
Un pare-feu est un système, ou un Cliquez sur Lecture dans la figure pour afficher une
groupe de systèmes, qui impose une animation du fonctionnement d'un pare-feu.
politique de contrôle d'accès entre des
réseaux.
Propriétés communes des pare-feu:
• Résistance aux attaques réseau.

• Les pare-feu sont les seuls points de


transit entre les réseaux d'entreprise
internes et les réseaux externes car
tout le trafic passe par le pare-feu.
• Les pare-feu appliquent la politique de
contrôle d'accès.

© 2020 Cisco et/ou ses filiales. Tous droits réservés. Informations


confidentielles de Cisco 18
Périphériques de sécurité
Pare-feu (Suite)
Voici les avantages et les limites des pare-feu :

Avantages du pare-feu Limitations du pare-feu


Il empêche les utilisateurs non fiables Un pare-feu mal configuré peut avoir des conséquences
d'accéder aux hôtes, aux ressources et graves pour le réseau. Il peut par exemple constituer un point
aux applications sensibles. de défaillance unique.
Il assainit le flux de protocoles pour Les données de nombreuses applications ne peuvent pas
empêcher l'exploitation des failles. traverser les pare-feu en toute sécurité.
Les utilisateurs peuvent rechercher proactivement des façons
Il bloque les données malveillantes
de contourner le pare-feu afin de recevoir des données
provenant des serveurs et des clients.
bloquées, ce qui expose le réseau à des attaques potentielles.
Il simplifie la gestion de la sécurité. Les performances du réseau peuvent baisser.
Le trafic non autorisé peut être placé en tunnel ou masqué
comme trafic légitime à travers le pare-feu.

© 2020 Cisco et/ou ses filiales. Tous droits réservés. Informations


confidentielles de Cisco 19
Périphériques de sécurité
Description des types de pare-feu
Il existe plusieurs types de pare-feu:
• Pare-feu de filtrage (Sans état) de
paquets
• Les pare-feu de filtrage de paquets
font généralement partie d'un pare-
feu de routeur, qui autorise ou
interdit le trafic en fonction des
informations des couches 3 et 4.
• Des Pare-feu «sans état» qui
effectuent une recherche simple
dans une table de politiques afin de
filtrer le trafic en fonction de critères
précis.
© 2020 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 20
Périphériques de sécurité
Description des types de pare-feu (Suite)
• Pare-feu dynamiques (stateful)
• Les pare-feu dynamiques (stateful)
représentent les technologies de pare-
feu les plus polyvalentes et les plus
courantes actuellement utilisées.
• Les pare-feu avec état effectuent un
filtrage dynamique des paquets à l'aide
d'informations de connexion mises à
jour dans une table d'états.

© 2020 Cisco et/ou ses filiales. Tous droits réservés. Informations


confidentielles de Cisco 21
Périphériques de sécurité
Description des types de pare-feu (Suite)
• Pare-feu de passerelle applicative
(pare-feu proxy)
• Un pare-feu de la passerelle
d'applications filtre les informations
au niveau des couches 3, 4, 5 et 7 du
modèle de référence OSI.
• La majeure partie du contrôle et du
filtrage des pare-feu est effectuée par
le logiciel.

© 2020 Cisco et/ou ses filiales. Tous droits réservés. Informations


confidentielles de Cisco 22
Périphériques de sécurité
Description des types de pare-feu (Suite)
• Pare-feu de nouvelle génération (NGFW)

• NGFW va au-delà des pare-feu avec état en


fournissant:
• La prévention des intrusions intégrée
• La reconnaissance et le contrôle des
applications pour détecter et bloquer
celles qui présentent un risque
• Des voies d'évolution afin d'inclure les
futurs flux d'informations
• Des techniques pour faire face à
l'évolution des menaces pour la sécurité

© 2020 Cisco et/ou ses filiales. Tous droits réservés. Informations


confidentielles de Cisco 23
Périphériques de sécurité
Description des types de pare-feu (Suite)
• Voici d'autres méthodes d'implémentation d'un pare-feu :
• Pare-feu d'hôte (serveur et personnel) : un PC ou serveur sur lequel s'exécute le
logiciel de pare-feu.
• Pare-feu transparent : filtre le trafic IP entre une paire d'interfaces reliées par un pont.
• Pare-feu hybride - Une combinaison des divers types de pare-feu.

© 2020 Cisco et/ou ses filiales. Tous droits réservés. Informations


confidentielles de Cisco 24
Dispositifs de sécurité
Dispositifs de prévention et de détection des intrusions
• Un changement de paradigme de
l'architecture réseau est nécessaire
pour se défendre contre les attaques
qui évoluent rapidement. Cela doit
comprendre des systèmes rentables et
de prévention tels que :
• Systèmes de détection des
intrusions (IDS)
• Systèmes de protection contre les
intrusions (IPS)
• L'architecture du réseau intègre ces
solutions dans les points d'entrée et de
sortie du réseau.
• La figure montre comment un IPS gère
le trafic malveillant refusé. © 2020 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 25
Dispositifs de sécurité
Avantages et inconvénients d'IDS et IPS
Le tableau récapitule les avantages et les inconvénients des IDS et IPS.
La solution Avantages Inconvénients
IDS • Aucune incidence sur le réseau (latence, • Les mesures d'intervention n'arrêtent pas les
gigue) paquets déclencheurs
• Aucune incidence sur le réseau en cas de • Le bon réglage est requis pour les mesures
panne du capteur d'intervention
• Aucune incidence sur le réseau en cas de • Plus vulnérable aux techniques de contournement
surcharge du capteur des défenses du réseau
IPS • Les problèmes de capteur peuvent avoir une
• Arrête les paquets déclencheurs
incidence sur le trafic réseau
• Peut utiliser des techniques de normalisation
• La surcharge du capteur affecte le réseau
des flux
• Une certaine incidence sur le réseau (latence, gigue)

Conseils de déploiement:
• En fait, les technologies IDS et IPS peuvent se compléter.
• Le choix de l'implémentation à utiliser repose sur les objectifs de sécurité de l'entreprise définis dans
sa politique de sécurité réseau.
© 2020 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 26
Dispositifs de sécurité
Types d'IPS
Il existe deux principaux types d'IPS :
• IPS d'hôte
• IPS en réseau
• IPS basé sur l'hôte (HIPS)

L'IPS d'hôte (HIPS) est un logiciel installé sur un hôte pour surveiller et analyser toute activité
suspecte.
Avantages Inconvénients

• Offre une protection spécifique à un système d'exploitation • Dépend du système d'exploitation


hôte • Doit être installé sur tous les hôtes
• Offre une protection au niveau du système d'exploitation
et des applications
• Protège l'hôte après déchiffrement du message

© 2020 Cisco et/ou ses filiales. Tous droits réservés. Informations


confidentielles de Cisco 27
Dispositifs de sécurité
Types d'IPS (Suite)
• IPS basé sur le réseau

• Un IPS en réseau peut être


implémenté en utilisant un
dispositif IPS dédié ou non.
• Il existe des solutions IDS/IPS
d'hôte, mais elles doivent être
intégrées avec une
implémentation IPS réseau afin
d'assurer une architecture de
sécurité robuste.
• Les capteurs détectent en
temps réel toute activité
malveillante et non autorisée, et
peuvent prendre des mesures si © 2020 Cisco et/ou ses filiales. Tous droits réservés. Informations

nécessaire. confidentielles de Cisco 28


Dispositifs de sécurité
Appareils de sécurité spécialisés
Quelques exemples d'appareils de sécurité spécialisés.

Cisco Advanced Malware L'appareil de sécurité Internet (WSA) L'appareil de sécurité de la messagerie
Protection (AMP) (ESA)
Solution intégrée d'analyse et de Une passerelle web sécurisée qui ESA/Cisco Cloud Email Security est en mesure
protection contre les malwares associe les meilleures protections pour d'atténuer lesmenaces basées sur le courrier
qui visent les entreprises. permettre aux entreprises de répondre électronique et l'ESA défend les systèmes de
aux défis croissants de la sécurisation messagerie critiques
et du contrôle du trafic web.
Elle fournit aux entreprises une WSA protège le réseau en bloquant Cisco ESA est constamment mis à jour par des
protection complète contre les automatiquement les sites à risque et flux en temps réel de Cisco Talos, qui détecte
logiciels malveillants avant, en testant les sites inconnus avant de et met en corrélation les menaces à l'aide d'un
pendant et après une attaque : permettre aux utilisateurs d'y accéder. système de surveillance reposant sur une base
de données mondiale.
Fonctionnalités : informations globales sur les
menaces, blocage du spam, protection
avancée contre les logiciels malveillants,
contrôle des messages sortants

© 2020 Cisco et/ou ses filiales. Tous droits réservés. Informations


confidentielles de Cisco 29
12.3 Les services de sécurité

© 2020 Cisco et/ou ses filiales. Tous droits réservés. Informations


confidentielles de Cisco 30
Périphériques de sécurité
Vidéo - Services de sécurité
Regardez la vidéo pour en savoir plus sur les différents services de sécurité.

© 2020 Cisco et/ou ses filiales. Tous droits réservés. Informations


confidentielles de Cisco 31
Services de sécurité
Contrôle du trafic avec des ACL
• Une liste de contrôle d'accès (ACL, Access Control List) est une série de commandes qui
déterminent si un appareil achemine ou abandonne les paquets en fonction des informations
contenues dans l'en-tête de paquet.
• Une fois configurées, les listes de contrôle
d'accès assurent les tâches suivantes :
• Elles limitent le trafic réseau pour accroître les
performances réseau.
• Elles contrôlent le flux de trafic.
• Elles fournissent un niveau de sécurité de
base pour l'accès réseau.
• Elles filtrent le trafic en fonction de son type.
• Elles filtrent les hôtes pour autoriser ou
refuser l’accès aux services sur le réseau.
Un exemple de topologie avec des ACL
appliquées aux routeurs R1, R2 et R3.
© 2020 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 32
Services de sécurité
ACL : fonctionnalités importantes
Il y a deux types de listes de contrôle d'accès IPv4 Cisco:
• Les listes de contrôle d'accès standard - utilisées pour autoriser ou refuser le trafic
uniquement depuis des adresses IPv4 source.
• Les listes de contrôle d'accès étendues - filtrent les paquets IPv4 en fonction de
plusieurs critères :
• Type de protocole
• Adresse IPv4 source
• Adresse IPv4 de destination
• Ports TCP ou UDP source
• Ports TCP ou UDP de destination
• Informations facultatives sur le type de protocole pour un contrôle plus précis
• Les listes de contrôle d'accès standard et étendues et leur liste d'instructions peuvent être
identifiées par un numéro ou par un nom.
© 2020 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 33
Services de sécurité
Packet Tracer – Démonstration des listes de contrôle d'accès
Dans cette activité, vous observerez ce qui suit :
• Comment une liste de contrôle d'accès peut être utilisée pour empêcher une
requête ping d'atteindre les hôtes sur des réseaux distants.
• Après le retrait de la liste de contrôle d'accès de la configuration, les requêtes
ping aboutiront.

© 2020 Cisco et/ou ses filiales. Tous droits réservés. Informations


confidentielles de Cisco 34
Services de sécurité
SNMP
• SNMP est un protocole de couche Application qui procure un format pour les messages de
communication entre les gestionnaires et les agents.
• Il permet aux administrateurs réseau d'effectuer les opérations
suivantes :
• Il permet aux administrateurs de gérer les appareils tels que
les serveurs, les stations de travail, les routeurs, les
commutateurs et les appliances de sécurité.
• Surveillez et gérez les performances du réseau.
• Recherchez et résolvez les problèmes de réseau.
• Planifier la croissance du réseau.
• Le système SNMP se compose de trois éléments:
• Le gestionnaire SNMP: Exécute le logiciel de gestion
SNMP.
• Des agents SNMP: correspondent aux nœuds surveillés et
gérés. © 2020 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 35
Services de sécurité
NetFlow
• NetFlow est une technologie Cisco IOS qui fournit des statistiques sur les paquets traversant
un routeur ou un commutateur multicouche Cisco.
• NetFlow fournit des données pour activer :
• Sécurité et surveillance du réseau
• Planifier la mise en œuvre du réseau
• analyse du trafic pour inclure l'identification
des goulots d'étranglement du réseau
• Comptabilité IP à des fins de facturation.
• Le protocole NetFlow peut contrôler la
connexion de cette application, en effectuant
le suivi du nombre d'octets et de paquets pour
ce flux d'application individuel. PC 1 se connecte au PC 2 en utilisant HTTPS
• Il envoie ensuite les statistiques
correspondantes vers un serveur externe © 2020 Cisco et/ou ses filiales. Tous droits réservés. Informations

appelé connecteur NetFlow.


confidentielles de Cisco 36
Services de sécurité
Mise en miroir du port
La mise en miroir du port est une fonctionnalité qui permet à un commutateur de dupliquer
des copies du trafic qui le traverse, puis d'envoyer les données depuis un port équipé d'un
système de surveillance du réseau.

Analyse du trafic à l'aide d'un commutateur


© 2020 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 37
Services de sécurité
Serveurs Syslog
• La méthode d'accès aux messages système la
plus couramment utilisée est un protocole
appelé Syslog.
• Le protocole Syslog permet aux périphériques
réseau d'envoyer leurs messages système sur
le réseau aux serveurs Syslog.
• Elle assure trois fonctions de base :
• La capacité à collecter les informations de
journalisation pour la surveillance et le
dépannage
• La capacité de sélectionner le type
d'information de journalisation capturée Syslog
• La capacité de spécifier la destination des
messages Syslog capturés © 2020 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 38
Services de sécurité
NTP
• Il est important de synchroniser l'heure sur tous les appareils du réseau. Les paramètres de date et d'heure
d'un appareil réseau peuvent être définis selon l'une des deux méthodes suivantes :

• Configuration manuelle de la date et de l'heure


• Configuration du protocole NTP (Network Time Protocol)
• Les réseaux NTP utilisent un système hiérarchique de
sources temporelles et chaque niveau de ce système est
appelé une strate. Les serveurs NTP sont disposés en trois
niveaux, appelés strates :
• Strate 0- Un réseau NTP obtient l'heure à partir de
sources horaires faisant autorité.
• Strate 1: Dispositifs directement connectés aux sources
de temps faisant autorité.
• Les périphériques de strate 2, tels que les clients NTP,
synchronisent leur horloge à l'aide des paquets NTP des
serveurs de la strate 1.
Niveaux de strate NTP
© 2020 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 39
Services de sécurité
Serveurs AAA
Le tableau répertorie les trois fonctions de sécurité indépendantes fournies par le cadre
architectural AAA.
Fonctions Description
• Les utilisateurs et les administrateurs doivent prouver leur identité.
• L'authentification peut se faire à l'aide de combinaisons de nom d'utilisateur et de mot de passe, de
Authentification
questions d'authentification, de jetons et d'autres méthodes.
• L'authentification AAA centralise le contrôle d'accès réseau.
• Une fois que l'utilisateur est authentifié, les services d'autorisation déterminent les ressources
auxquelles l'utilisateur peut accéder et les opérations qu'il est autorisé à effectuer.
Autorisation
• Par exemple « L'utilisateur « student » peut accéder à l'hôte serverXYZ en utilisant uniquement
SSH. »
• Les services de gestion des comptes consignent les actions de l'utilisateur, notamment les ressources
auxquelles il accède et pendant combien de temps, et toutes les modifications apportées.
Gestion des
• Ces services permettent de contrôler la manière dont les ressources réseau sont utilisées.
comptes
• Par exemple «L'utilisateur peut accéder à l'hôte serveur XYZ en utilisant uniquement SSH pendant 15
minutes.»

© 2020 Cisco et/ou ses filiales. Tous droits réservés. Informations


confidentielles de Cisco 40
Services de sécurité
Serveurs AAA (Suite)
Les protocoles de sécurité TACACS+ (Terminal Access Controller Access Control System Plus) et
RADIUS (Remote Authentication Dial-In User Service) sont utilisés pour contrôler l'accès aux
réseaux.
TACACS+ RADIUS
Combine l'authentification et l'autorisation mais
Fonctionnalités Sépare AAA selon l'architecture AAA,
sépare la comptabilité,
Standard Principalement pris en charge par Cisco Standard RFC/ouvert
Transport TCP UDP
Défis et réponses bidirectionnels comme dans le Défis et réponses unidirectionnels du serveur de
Protocole CHAP
protocole d'authentification CHAP sécurité RADIUS vers le client RADIUS
Confidentialité Chiffrement des paquets complets Mot de passe chiffré
Autorise les commandes des routeurs en fonction Pas de possibilité d'autoriser les commandes des
Personnalisation
de l'utilisateur et du groupe routeurs en fonction de l'utilisateur et du groupe
Gestion des
Limitée Étendue
comptes

© 2020 Cisco et/ou ses filiales. Tous droits réservés. Informations


confidentielles de Cisco 41
Services de sécurité
VPN
• Un VPN est un réseau privé qui est créé sur un
réseau public, généralement Internet.
• Un VPN utilise des connexions virtuelles
acheminées via Internet entre l'entreprise et le site
distant.
• Un VPN est un environnement de communication
dans lequel l'accès est strictement contrôlé de
manière à autoriser les connexions homologues au
sein d'une communauté définie d'intérêt.
• La confidentialité est assurée en chiffrant le trafic
dans le VPN.
Réseau privé virtuel
• En bref, VPN connecte deux points de terminaison
sur un réseau public, pour former une connexion
logique qui peut être établie au niveau de la couche
2 ou de la couche 3.
© 2020 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 42
12.4 Récapitulation de
l'infrastructure de sécurité du
réseau

© 2020 Cisco et/ou ses filiales. Tous droits réservés. Informations


confidentielles de Cisco 43
Résumé de l'infrastructure de sécurité réseau
Qu'ai-je appris dans ce module ?
• Les topologies de réseau sont généralement représentées sous forme de réseaux
physiques et de réseaux logiques.
• Une topologie physique représente les connexions physiques et la façon dont les
périphériques finaux sont connectés alors qu'une topologie logique fait référence aux
normes et protocoles utilisés par les périphériques pour communiquer.
• Les deux types d'infrastructures de réseau les plus courants sont les réseaux locaux (LAN)
et les réseaux étendus (WAN).
• La conception LAN câblée du campus se compose de couches hiérarchiques (accès,
distribution, noyau) avec chaque couche assignée des fonctions spécifiques.
• Les architectures de sécurité communes définissent les limites du trafic entrant et sortant
du réseau.
• Les différents types de pare-feu sont les pare-feu de filtrage de paquets, pare-feu
d'inspection dynamique, pare-feu de passerelle d'application, pare-feu de nouvelle
© 2020 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 44
génération.
Récapitulation de l'infrastructure de sécurité réseau
Qu'est-ce que j'ai appris dans ce module? (suite)
• Les systèmes de prévention des intrusions (IPS) et les systèmes de détection des intrusions (IDS) sont
utilisés pour détecter les risques potentiels de sécurité et alerter/arrêter le trafic dangereux.
• Des appliances de sécurité spécialisées sont disponibles, notamment Cisco Advanced Malware
Protection (AMP), Cisco Web Security Appliance (WSA) et Cisco Email Security Appliance (WSA).
• Les listes de contrôle d'accès sont une série de commandes qui déterminent si un routeur achemine ou
abandonne les paquets en fonction des informations contenues dans l'en-tête de paquet.
• SNMP permet aux administrateurs réseau de contrôler et de gérer les performances du réseau,
d'identifier et de résoudre les problèmes et d'anticiper la croissance du réseau.
• NetFlow est une technologie Cisco qui fournit des statistiques sur les paquets transitant par un routeur ou
un commutateur multicouche Cisco.
• Mise en miroir du port est une fonctionnalité qui permet à un commutateur de dupliquer des copies du
trafic qui le traverse, puis d'envoyer les données depuis un port équipé d'un système de surveillance du
réseau.
© 2020 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 45
Récapitulation de l'infrastructure de sécurité réseau
Qu'est-ce que j'ai appris dans ce module? (suite)
• Les serveurs Syslog permet d'accéder aux messages système générés par les
périphériques réseau.
• NTP synchronise l'heure sur tous les appareils du réseau afin d'assurer un horodatage
précis et cohérent des messages système.
• AAA est un cadre pour configurer les services d'authentification, d'autorisation et de
comptabilité des utilisateurs. Il utilise généralement un serveur TACACS+ ou RADIUS à
cette fin.
• Les VPN sont des réseaux privé créés entre deux terminaux sur un réseau public.

© 2020 Cisco et/ou ses filiales. Tous droits réservés. Informations


confidentielles de Cisco 46

Vous aimerez peut-être aussi