LASSE9

La sécurité des réseaux

RAHAM Rkia
IDSIT 2024
 Introduction à la sécurité des réseaux

La sécurité des réseaux c’est l'ensemble des technologies utilisées pour protéger
l'intégrité , la confidentialité et la disponibilité des données et des ressources des réseaux .

Terminologie de la sécurité:
Termes couramment utilisés :

• Vulnérabilité : Une faiblesse dans un système info qui peut être exploitée pour causer un
dommage. ( ex: password trop simple)
• Risque : c’est la possibilité qu’un problème arrive à cause d’une vulnérabilité.
• Attaque :Toute action susceptible d’exploiter une vulnérabilité pour causer un
dommage.
• Contremesure /Mitigation : une solution pour réduire ou bloquer le risque.
Sécurité LAN et sécurité WAN

Switch L2 et Switch L3
 Sécurité WAN
problématique
imaginons une entreprise veut partager des données avec ses succursales, il les partage via le WAN. Comment
assurer sécurité?
 Important
Types d’Attaques Social Engineering Attacks

La sécurité est basée sur la cryptographie

Les composants de la crypto :
La confidentialité
L'intégrité
La Disponibilité
 Introducing the Cisco SecureX Architecture
Important
1-Cisco SecureX
une plateforme en cybersécurité cree pas cisco , sert a centraliser , surveiller , et automatiser la sécurité

=>SecureX = Un tableau de bord qui coordonne tous les outils de sécurité pour gérer les attaques efficacement.

2-Les domaines de SecureX

➤ Secure Mobility
Sécurise les accès même en dehors du réseau de l’entreprise. Dans un réseau
informatique,
➤ Server Edge and Branch l’edge désigne
Edge: l'élément frontale qui délimite votre réseau interne à l’exterieur la limite entre
Sécurise les connexions entre le siège et les sites distants(Les agents). ton réseau
interne (privé)
➤ Secure Email and Web
les protections contre les menaces par email et Internet
et le monde
extérieur
➤ Secure Access (internet ou
Contrôle qui peut accéder à quoi (les droits d'accès) autres
réseaux).
➤ Secure Data Center and Virtualization
Protection des centres de données, machines virtuelles, et environnements cloud.
 NFP Framework Important
Une conception ou un cadre (vision theorique) proposee par cisco pour protegere les bases de l’infrastructure
dans un reseau .
il ete cree pour la plateforme SECURE X
NFP =conception et SecureX = realisation
NFP propose la séparation de la sécurité en trois zones (control, managemnt, data)
La sécurité du Management Plane
protège les décisions de routage et de
protège la gestion des
commutation pour éviter que des équipements réseau :
Control Managemnt
attaques ne faussent les chemins du Empêcher un accès non autorisé
plane plane
réseau ou ne le surchargent. aux équipements réseau
1. AutoSecure Utiliser SSH au lieu de Telnet
2. Routing Protocol Authentication Authentification centralisée (AAA, RADIUS,
garantit que seuls les routeurs autorisés Data TACACS+)
peuvent participer à l’échange de routes. Accès basé sur des privilèges
[Link] (Control Plane Policing) plane SNMPv3 uniquement (pas SNMPv1/v2)
Limite le trafic vers le Control Plane Journalisation et surveillance (Syslog)
Ça protège le routeur d’une surcharge ou attaque
DoS.
[Link]

La sécurité du Data Plane protège le trafic de données réel (ce

qui circule entre les utilisateurs), pour éviter qu’il soit intercepté,
modifié ou bloqué.
ACL: lorsqu'elles sont appliquées comme filtres sur les interfaces,
peuvent contrôler quel trafic (trafic de transit) est autorisé sur le plan
de données.
Antispoofing :On bloque les messages avec des fausses identités
 Securing Network Devices

Comment securiser les equipements reseau?

surtout comment proteger Router-Edge (celui qui
connecte ton reseau a Internet).

Edge: l'élément Firewalls: Filtre le trafic réseau (entrées et sorties).

frontale qui délimite Bloque ou autorise des connexions selon des
votre réseau interne à règles de sécurité.
l’exterieur Peut protéger contre des attaques.

Il ya 4 approches pour La sécurité d’un routeur Edge :

 Securing Network Devices

Approche Description simple Avantage

Simple à mettre en place

Single Router Approach Internet→R → LAN Moins coûteu

Sécurité multicouche
Defense Router Approach Internet→R → FW→ R → LAN Plus robuste face aux attaques

Sécurité du réseau interne (LAN)

La DMZ empêche les attaquants d’accéder
Internet → R → FW─→ R → LAN directement au LAN
DMZ Approach | Regroupement des services accessibles
DMZ depuis l'extérieur
La DMZ centralise les équipements LAN qui communiq
avec l’exterieur(server WEB , server Mail
 Approche Description simple Avantage

DMZ Double Firewall Approach Deux firewalls :

(FW à FW ou DOS à DOS) 1 entre Internet et DMZ, Double filtrage = Double protection
1 entre DMZ et LAN

Recommandations pour l’approche

1- Utiliser un FW2 interne plus robuste :

2- Ne pas utiliser le même FW pour les deux rôles

Chaque FW doit être indépendant, avec ses propres règles et politiques de sécurité.
Par EX :
Si quelqu’un réussit à passer par le FW1, ça sera facile de passer le second s’ils sont identiques ou liés.
Areas of Router Security Important
Plan managemnt : Type d'Accès de Gestion des equipements

In-Band Out-of-Band
 Plan managemnt : Accès administratif sécurisé Important
2-Améliorer la sécurité d'accès
1-Strong Passwords

service password-encryption
permet d'activer le chiffrement des
mots de passe en texte clair dans la
configuration de l'appareil

3-Algorithmes de mots de passe secrets 4-Améliorer le processus de connexion

Des délais entre les tentatives de connexion

Désactiver les connexions si une attaque DoS est suspectée

Générer des messages syslog à chaque tentative de connexion

Configuration SSH Important

1. Configuration du nom de domaine :

2. Génération des clés RSA pour SSH :

3. Activer SSH version 2 :

4. Créer un utilisateur avec mot de passe chiffré :
 Plan managemnt : Gestion des privilèges Important

Privilege Levels
Controler les commandes que
les utilisateurs peuvent exécuter Views
level Description
AAA
0 Très limité
pour un user
1 o n
qui se connecte. ti
l u
2-14 Personnalisees So

15 Accès complet
Attribuer un level à une commande

« Il n'y a pas d'indépendance absolue entre les niveaux » signifie que les niveaux de privilège
Limitations dans Cisco sont liés hiérarchiquement et ne sont pas totalement séparés les uns des autres.
Ona pas la notion de Role
 Plan managemnt : Views ( Accès basé sur les rôles)
Une meilleure approche pour gérer l’accès est de créer des rôles spécifiques avec des droits personnalisés.

"View" est le terme technique utilisé dans la configuration Cisco.

"Rôle" est le concept logique qu’on attribue à un utilisateur

Les Role-Based Views (RBV) sont une

fonctionnalité avancée de Cisco IOS qui
permet de définir des vues pour contrôler
l'accès aux commandes du routeur ou du
switch en fonction des rôles attribués aux
utilisateurs

Les Role-Based Superviews permettent

de regrouper plusieurs views en une
seule, afin de donner à un utilisateur un
accès combiné à plusieurs ensembles de
commandes
 Plan managemnt : Views and superviews Configuration)
Important
Configuring Role-Based Views Configuring role-Based Superviews
Activation du mode view

Création d'une nouvelle superview

Création d'une nouvelle view

Définit le mot de passe chiffré

Définit le mot de passe chiffré

Ajouter des views dans la Superview

configurer uniquement cette interface. donne accès à une commande CLI spécifique.
 Recovering a Router Password Important

Les étapes 1 à 14 permettent de

récupérer l’accès au routeur
(récupérer un mot de passe perdu)

Quand : Avant de déployer le périphérique dans un environnement sécurisé ou lors de

Cela empêche d'accéder au mode de
la préparation pour un usage à long terme dans un environnement à haut niveau de récupération des mots de passe s'ils
sécurité.
Où : En mode configuration globale sur l'appareil Cisco. redémarrent l'équipement.
 Introduction to Syslog Important
Syslog Qu'est-ce que les Severity Levels ? Client Syslog
Pour centraliser les Sont des codes de gravité (de 0 à 7) indiquant Un équipement réseau
actions de journalisation l'importance du message .
(sans avoir à se déplacer
pour chaque
equipement..), on utilise
un serveur Syslog et on
configure les
équipements réseau
pour qu’ils envoient une
copie des événements

Que fait-on au niveau du client Syslog ?

1. Indiquer à quel serveur Syslog les messages doivent être envoyés
2. Définir le level
3. Spécifier l’interface source
4. Activer la journalisation
 Introduction to SNMP Important

SNMP Recommandations pour la version de SNMP

c’est un Syslog + gestion des équipements sur le réseau Il est recommandé d’utiliser la dernière version de SNMP (v3)
Gestion des équipements à distance Car elle offre :
Échange bidirectionnel Authentification
Hashing
Agent SNMP Manager SNMP
Chiffrement

Limitez l'accès au serveur

SNMP à partir du réseau
autorisé.
Vulnérabilités de SNMP
Dans la version 1, les événements envoyés Définissez ce qu'un
utilisateur peut voir sur
automatiquement par un équipement sont appelés traps, le périphérique.
alors que dans les versions 2 et 3, ils sont appelés Cela indique que le groupe utilise un chiffrement pour sécuriser les communications.

notifications
Configurer un groupe
Les opérations GET et SET peuvent être très dangereuses, SNMP
surtout en SNMP v1 et v2, car les données ne sont pas
chiffrées Configurer un
utilisateur en tant
que membre du
groupe SNMP
 Network Time Protocol (NTP) Important
Le Network Time Protocol (NTP) est un protocole de communication utilisé pour synchroniser l'heure de l'ordinateur ou du
dispositif réseau avec une source de temps fiable, telle qu'un serveur de temps.

Tu configures ici l’authentification NTP pour éviter que le routeur

n’accepte l’heure que de serveurs de confiance

[Link] l’authentification NTP

2.Définir la clé d’authentification (clé partagée avec le serveur)
3.Définir la clé comme étant fiable :
Le routeur fera confiance aux serveurs qui utilisent cette clé.
 Protocole AAA Important

Le protocole AAA est un protocole qui permet de centraliser les opérations de :

Authentification Autorisation Comptabilité

Authentification sans AAA

o n
ti
lu
S o
Limitations
Un utilisateur pour chaque profil.
Lorsqu'on a un grand nombre d'équipements,
il est difficile de tout gérer avec un seul
utilisateur.
pas de journalisation
 Protocole AAA:processus

Types d’Authentification Authorization Accounting

1. Lorsqu’un utilisateur est Au debut : le serveur AAA génère un
1- Local AAA Authentication authentifié, une session "start message" pour commencer
Un routeur lorsqu'il reçoit les est établie avec le serveur Accounting.
données de l'utilisateur, il utilise une À la fin : le serveur AAA génère un
AAA.
BD locale pour vérifier si les données "stop message"pour indiquer la fin
2. on appel AAA pour vérifier de l'accounting.
sont correctes.
le droit du service
2-Server-Based AAA Authentication souhaité.
3. Le serveur AAA répond
Un routeur lorsqu'il reçoit les
données de l'utilisateur, il fait appel avec une autorisation
à un serveur AAAA pour vérifier si les acceptée (PASS) ou
données sont correctes. refusée (FAIL).
 Protocoles AAA: RADIUS ET TACACS+ Important
sont deux protocoles AAA qui permettent de contrôler l'accès des utilisateurs aux réseaux et équipements
informatiques, en centralisant l'authentification, l'autorisation et la journalisation des connexions.

Combine authentification et autorisation dans un seul message. Sépare bien authentification, autorisation et accounting
Envoie le password chiffrés (mais pas tout le message). Chiffre tout le message
 Protocoles AAA: RADIUS ET TACACS+

Authentication TACACS+ VS Authentication RADIUS

6 etapes
12 etapes utilise UDP
utilise TCP plus rapide
moins rapide Non Fiable
Fiable
 PROTOCOL AAA :configuration Important
configuration d’un serveur TACACS+

configuration d’un serveur RADIUS

Authentification

Autorisation

Accounting
La signification de qlqs abréviations

Virus Vs Warm
Llaah Iwf9kom