Chapitre I : Introduction à la sécurité des réseaux

La sécurité d'un réseau vise à assurer la facilité d'utilisation et l'intégrité du réseau

et des données. Elle comprend des technologies de matériel et des technologies
logicielles. La sécurité réseau est le domaine de la cybersécurité qui se concentre
sur la protection des réseaux informatiques contre les menaces et les failles de
sécurité. Elle comprend des politiques et des pratiques adoptées pour prévenir et
surveiller l'accès non autorisé, la modification abusive ou le refus d'un réseau
informatique et l'accès aux ressources du réseau.

 Les réseaux sont des cibles

Les réseaux sont régulièrement attaqués.
Les attaques réseaux sont des actions malveillantes visant à compromettre les systèmes,
les réseaux et les programmes informatiques. Il existe différents types d'attaques
réseaux, comme les attaques directes, les attaques indirectes ou par réponses. Ces
attaques peuvent avoir pour objectif d'accéder à des informations sensibles,
d'extorquer de l'argent, de perturber le fonctionnement normal du réseau ou de
saboter les infrastructures. Les attaques réseaux sont de plus en plus fréquentes et
dangereuses, et nécessitent des mesures de cybersécurité.

 Les failles de sécurité des réseaux

Les failles de sécurité réseau peuvent perturber le commerce électronique, entraîner

la perte de données commerciales, menacer la vie privée des personnes et
compromettre l’intégrité des informations. Le site Web de Cisco Talos Intelligence
Group fournit des renseignements complets sur la sécurité et les menaces. L’équipe
PSIRT (Product Security Incident Response Team) de Cisco est chargée d’enquêter
sur les vulnérabilités potentielles des produits Cisco et de les atténuer.
  Les vecteurs d’attaques

Un vecteur d’attaque est un chemin par lequel un acteur de la menace peut accéder
à un serveur, un hôte ou un réseau. Les vecteurs d’attaque proviennent de
l’intérieur ou de l’extérieur du réseau de l’entreprise. Les auteurs de menaces
peuvent cibler un réseau, pour créer une attaque de reconnaissance, une attaque de
contrôle d’accès ou créer une attaque par déni de service.

Un vecteur d’attaque est une voie ou une méthode utilisée par un hacker pour
accéder illégalement à un réseau ou un ordinateur afin de tenter d’exploiter les
vulnérabilités du système. Les hackers utilisent de nombreux vecteurs d’attaque
pour lancer des attaques qui tirent parti des faiblesses du système, provoquent une
violation de données ou volent des identifiants de connexion. Ces méthodes
comprennent le partage de logiciels malveillants et de virus, de pièces jointes d’e-
mails malveillants et de liens Web, de fenêtres contextuelles et de messages
instantanés qui impliquent que l’assaillant dupe un employé ou un utilisateur
individuel.
  Le modèle TCP/IP et ses vulnérabilités

Le modèle TCP/IP est un ensemble de protocoles permettant aux ordinateurs de

communiquer entre eux via des périphériques réseaux.

Le Transmission Control Protocol (TCP) est un standard de communication

permettant aux applications et aux appareils informatiques d'échanger des messages
sur le réseau.
Ce protocole est conçu pour envoyer des paquets via internet, et s'assurer du succès
de la livraison de données et de messages via les réseaux. C'est l'un des standards
définis par l'Internet Engineering Task Force (IETF) définissant les règles d'interne,
et l'un des protocoles les plus utilisés pour la communication informatique.
Le TCP organise les données pour qu'elles puissent être transmises entre un serveur
et un client. Il garantit l'intégrité des données communiquées via le réseau, en
commençant par établir une connexion entre une source et sa destination. Tous les
protocoles de haut niveau nécessitant de transmettre des données utilisent le TCP.
On peut citer pour exemples les méthodes de partage de fichier P2P comme File
Transfer Protocol (FTP), Secure Shell (SSH) et Telnet.
De même, TCP est utilisé pour envoyer et recevoir des emails via l'Internet
Message Access Protocol (IMAP), le Post Office Protocol (POP), et le Simple Mail
Transfer Protocol (SMTP). Il est aussi exploité pour l'accès au web via l'Hypertext
Transfer Protocol (HTTP).
L'UDP ne propose pas de séquençage de paquet, et ne signale pas la destination
avant de délivrer les données. Ce protocole est donc moins fiable que TCP, mais sa
rapidité peut être utile dans les situations où le temps est compté comme la
recherche de DNS (Domain Name System ou système de nom de domaine) ou le
streaming multimédia.
L'Internet Protocol (IP) est la méthode permettant d'envoyer des données d'un
appareil à l'autre via internet. Chaque appareil a une adresse IP servant d'identifiant
unique et permettant de communiquer et d'échanger des données avec les autres
appareils connectés à internet.
L'IP permet de définir comment les applications et les appareils échangent les
paquets de données entre eux. C'est le principal protocole de communication,
responsable des formats et des règles d'échange de données et de messages entre les
ordinateurs sur un réseau unique ou plusieurs réseaux connectés à internet.

Des protocoles utilisés au niveau applications assurent les services réseaux tels que
le web (HTTP), la messagerie (SMTP, POP et IMAP), le transfert de fichiers
(FTP), le contrôle à distance (TELNET), l’attribution des adresses IP automatiques
(DHCP), la résolution d’adresses URL en adresses IP (DNS), …

D’autres protocoles sont aussi utilisés au niveau de la couche réseau pour assurer le
test de connectivité entre hôtes (ICMP), le routage (RIP, OSPF, EIGRP, BGP, …)
Les protocoles utilisés au niveau des couches inférieures ; couche d’accès au réseau
sont des protocoles des différentes technologies de réseaux (ETHERNET, WLAN,
PPP, …)
La plupart des protocoles du modèle TCP/IP sont vulnérables. A l’origine, ils sont
réalisés pour juste assurer leurs tâches assignées.
Pour assurer la sécurité des réseaux, il faut développer un ensemble de mécanismes
pour protéger ces réseaux. Des périphériques de sécurité et une pile de protocoles
IPsec sont développés dans ce sens.

Un grand nombre d’incidents ont démontré que la vulnérabilité aux attaques

augmente lorsque les services à l’écoute des connexions sur les ports ouverts sont
non corrigés, protégés de manière insuffisante ou mal configurés, ce qui peut
entraîner la compromission des systèmes et des réseaux. Dans ces cas précis, les
acteurs de la menace peuvent utiliser les ports ouverts pour mener différentes
cyberattaques qui exploitent l’absence de mécanismes d’authentification des
protocoles TCP et UDP. Les attaques par usurpation d’identité en sont des
exemples bien connus : un acteur malintentionné réussit à se faire passer pour un
système ou un service et envoie des paquets malveillants, souvent en réalisant
également d’autres types d’attaques, comme l’usurpation d’adresse IP et des
attaques de l’homme du milieu.

N’importe quel port peut être ciblé par les acteurs de la menace, mais il est plus
probable que certains d’entre eux fassent l’objet de cyberattaques en raison des
graves lacunes qu’ils présentent habituellement, notamment les vulnérabilités des
applications, l’absence d’authentification à 2 facteurs ou encore des informations
d’identification faibles.

Plusieurs types d’attaques ciblant les différentes couches et les différents protocoles
sont déployées et portent atteinte à la sécurité des réseaux.
  Les différents types de protocoles de sécurité :

- Protocole SSL/TLS (Secure Sockets layer/Transport Layer Security)

Le protocole SSL/TLS est l’un des protocoles de sécurité les plus couramment
utilisés sur Internet. Il établit une connexion cryptée entre un serveur web et
un navigateur. Cela garantit ainsi la confidentialité et la protection des données
échangées contre les interceptions. Le protocole SSL/TLS est essentiel
pour sécuriser les transactions en ligne, les connexions bancaires, les transferts de
données sensibles, y compris les communications par e-mail.

- Protocole SSH (Secure Shell)

Le protocole SSH (Secure Shell) est un protocole de communication sécurisée
utilisé pour établir une connexion sécurisée entre un client et un serveur à travers
un réseau non sécurisé, comme Internet. Il fournit un moyen sûr d’accéder à
distance à des systèmes informatiques et d’exécuter des commandes de manière
sécurisée.

- Protocole IPSec (Internet Protocol Security)

IPSec (Internet Protocol Security) est un ensemble de protocoles de sécurité utilisés
pour sécuriser les communications sur les réseaux IP. Il fournit des mécanismes de
confidentialité, d’intégrité des données et d’authentification pour les paquets IP qui
transitent sur un réseau. Le protocole IPSec est généralement utilisé pour
sécuriser les connexions VPN (Virtual Private Network) et garantir la
confidentialité des données lorsqu’elles sont transmises sur des réseaux publics, tels
qu’Internet.

- Protocole WPA/WPA2 (Wi-fi Protected Acces)

Le protocole de sécurité WPA/WPA2 (Wi-Fi Protected Access) est composé
de différents protocoles de sécurité qui servent à sécuriser les réseaux Wi-Fi. Il est
conçu pour remplacer le protocole de sécurité précédent, le WEP (Wired
Equivalent Privacy), qui présentait des vulnérabilités
importantes. WPA et WPA2sont des versions successives du protocole. WPA2 est
la version la plus récente et la plus sécurisée.
Protocole VPN (Virtual Private Network)

- Le protocole de sécurité VPN (Virtual Private Network) est un réseau privé

virtuel qui permet de créer une connexion sécurisée et chiffrée entre un appareil et
un réseau distant via internet. Il garantit la confidentialité, l’intégrité et la sécurité
des données qui transitent entre l’appareil d’un utilisateur et le réseau distant.

En quoi les protocoles de sécurité sont-ils importants dans la protection des

données ?
Les individus, les entreprises et les gouvernements doivent de plus en plus se
pencher sur la protection des données et des informations sensibles. Par
conséquent, les protocoles de sécurité jouent un rôle clé dans cette protection, en
établissant des normes et des procédures qui permettent de prévenir les violations
de sécurité, les intrusions et les attaques malveillantes.
Ils préservent la confidentialité des données :
Les protocoles de sécurité garantissent que seules les personnes autorisées ont
accès aux informations confidentielles. Cela est souvent réalisé en utilisant
des techniques de cryptage avancées qui rendent les données illisibles pour ceux
qui ne possèdent pas la clé de déchiffrement appropriée. Grâce à ces protocoles, les
individus et les organisations peuvent échanger des informations sensibles en toute
confiance, sans qu’elles ne tombent entre de mauvaises mains.

Ils conservent l’intégrité des données :

Les différents types de protocoles de sécurité assurent que les informations ne sont
pas altérées ou modifiées sans autorisation pendant leur transmission ou leur
stockage. On utilise des techniques comme le hachage et la signature
numérique pour vérifier l’intégrité des données et s’assurer qu’elles n’aient pas été
manipulées. L’intégrité des données est essentielle pour garantir la fiabilité des
informations et la confiance dans les systèmes informatiques.

Ils garantissent la disponibilité des systèmes et des services :

Les attaques telles que les attaques par déni de service distribué (DDoS)
peuvent paralyser les réseaux et rendre les services indisponibles. Les protocoles de
sécurité aident à détecter et à atténuer ces attaques, en garantissant la disponibilité
des systèmes et en minimisant les perturbations. La disponibilité est
particulièrement critique dans les domaines des services de santé, d’urgence et
d’infrastructures essentielles, où toute interruption peut avoir de graves
conséquences.

Ils certifient l’authentification et l’autorisation des données :

Les différents protocoles de sécurité permettent de vérifier l’identité des utilisateurs
et de s’assurer qu’ils ont les autorisations appropriées pour accéder à certaines
ressources ou effectuer certaines actions. Différentes techniques sont mises en
œuvre pour garantir que seules les personnes autorisées peuvent accéder aux
systèmes et aux informations sensibles. Parmi ces techniques figurent l’utilisation
de certificats numériques, de jetons d’authentification et de listes de contrôle
d’accès. Cela aide à prévenir les intrusions et les utilisations abusives des
ressources.

Le rôle du protocole de sécurité dans la protection des systèmes :

Les protocoles de sécurité se comportent tels des règles et des procédures qui
régissent l’échange d’informations entre les différents éléments d’un système
informatique. Conçus pour prévenir les attaques et les intrusions malveillantes, ils
protègent les systèmes des menaces internes et externes. Le protocole de sécurité
fournit en effet une couche de défense supplémentaire, assurant ainsi l’intégrité, la
confidentialité et la disponibilité des données.

Les protocoles de sécurité aident à prévenir les attaques internes en mettant en

œuvre des politiques strictes de contrôle d’accès. Les systèmes d’exploitation
modernes intègrent des mécanismes de contrôle des utilisateurs et des privilèges. Il
est donc possible de définir qui peut accéder à quelles ressources et quelles
actions sont autorisées. Les protocoles tels que le protocole d’authentification
permettent également de renforcer la sécurité des connexions internes en utilisant
des tickets d’authentification pour prouver l’identité des utilisateurs et éviter les
usurpations d’identité.

Enfin, les protocoles de sécurité revêtent un rôle capital dans la détection et la

prévention des attaques. Les pare-feu, par exemple, sont des protocoles de sécurité
qui surveillent et contrôlent le trafic réseau entrant et sortant, en bloquant les
connexions non autorisées et les tentatives d’intrusion. Les systèmes de détection
d’intrusion (IDS) et les systèmes de prévention d’intrusion (IPS) sont également
utilisés pour analyser le trafic réseau, à la recherche de schémas suspects. Ils
servent aussi à bloquer les attaques en temps réel.
Chapitre II : Revue des attaques réseaux

1- Menaces, Vulnérabilités, surface d’attaque, exploit et risque

Pour comprendre la sécurité du réseau, il est important de comprendre les termes

menace, vulnérabilité, surface d’attaque, exploit et risque. Quatre façons courantes
de gérer les risques sont énumérées ci-dessous.

Gestion du risque Explication

Acceptation du C’est lorsque le coût des options de gestion des
risque risques l’emporte sur le coût du risque lui-même.
Le risque est accepté et aucune mesure n’est prise.

Evitement du Cela signifie éviter toute exposition au risque en

risque éliminant l’activité ou l’appareil qui présente le
risque. En éliminant une activité pour éviter les
risques, tous les avantages qui sont possibles de
l’activité sont également perdus.

Réduction du Cela réduit l’exposition au risque ou réduit l’impact

risque du risque en prenant des mesures pour réduire le
risque. C’est la stratégie d’atténuation des risques la
plus couramment utilisée. Cette stratégie exige une
évaluation minutieuse des coûts des pertes, de la
stratégie d’atténuation et des avantages tirés de
l’exploitation ou de l’activité à risque.

Transfert du Une partie (ou la totalité) du risque est transférée à un

risque tiers consentant, tel qu’une compagnie d’assurance.
 - Acteurs de menace (Threat Actor) et Cybercriminels :

Acteur de menace Explication

Script Kiddies Les script kiddies sont apparus dans les années 1990.
Ce sont des adolescents ou des acteurs de menaces
inexpérimentés exécutant des scripts, des outils et des
exploits existants pour causer des dommages, mais
généralement pas à but lucratif.

Vulnerability Les courtiers en vulnérabilité sont des pirates

Brokers informatiques au chapeau gris qui tentent de
découvrir des exploits et de les signaler aux
fournisseurs, parfois pour des prix ou des
récompenses.

Réduction du Cela réduit l’exposition au risque ou réduit l’impact

risque du risque en prenant des mesures pour réduire le
risque. C’est la stratégie d’atténuation des risques la
plus couramment utilisée. Cette stratégie exige une
évaluation minutieuse des coûts des pertes, de la
stratégie d’atténuation et des avantages tirés de
l’exploitation ou de l’activité à risque.

Hacktivists Les hacktivistes sont des hackers au chapeau gris qui

se rassemblent et protestent contre différentes idées
politiques et sociales.

Cybercriminals Cybercriminel est un terme désignant les pirates

informatiques qui sont soit des travailleurs
indépendants, soit travaillant pour de grandes
organisations de cybercriminalité.

State- Sponsored Les pirates informatiques parrainés par l’État sont des
acteurs de la menace qui volent des secrets
gouvernementaux, recueillent des renseignements et
sabotent les réseaux de gouvernements étrangers, de
groupes terroristes et d’entreprises.

Les cybercriminels sont des acteurs de la menace qui sont motivés à gagner de
l’argent en utilisant tous les moyens nécessaires.
• Bien que certains cybercriminels travaillent indépendamment, ils sont
plus souvent financés et parrainés par des organisations criminelles.
• On estime qu’à l’échelle mondiale, les cybercriminels volent des
milliards de dollars aux consommateurs et aux entreprises chaque année.
 - Tâches de la cybersécurité :

Les organisations doivent agir pour protéger leurs actifs, leurs utilisateurs et leurs
clients. Ils doivent élaborer et mettre en pratique des tâches de cybersécurité,
notamment les suivantes :
• Faire appel à un fournisseur informatique digne de confiance
• Maintenir les logiciels de sécurité à jour
• Effectuer des tests de pénétration réguliers
• Sauvegarder sur le cloud et le disque dur
• Changer périodiquement le mot de passe WIFI
• Maintenir la politique de sécurité à jour
• Imposer l’utilisation de mots de passe forts
• Utiliser l’authentification à deux facteurs
• Implémenter et configurer les technologies des Firewalls
• Implémenter les technologies IDS/IPS

De nombreuses attaques réseau peuvent être évitées en partageant des informations

sur les indicateurs de compromission (IOC). Chaque attaque possède des attributs
uniques et identifiables. Les indicateurs de compromission sont la preuve qu’une
attaque a eu lieu.
Les IOC peuvent être des fonctionnalités qui identifient les éléments suivants :
• Fichiers malveillants (Exploits)
• Adresses IP des serveurs utilisés dans les attaques
• Noms de fichiers
• Modifications caractéristiques apportées au logiciel
• Système final
 2- Les outils des acteurs de menaces

Pour exploiter une vulnérabilité, un acteur de la menace doit disposer d’une

technique ou d’un outil. Au fil des ans, les outils d’attaque sont devenus plus
sophistiqués et hautement automatisés. La mise en œuvre de ces nouveaux outils
nécessite moins de connaissances techniques.
Le piratage éthique utilise de nombreux types d’outils différents pour tester le
réseau et les terminaux. Pour valider la sécurité d’un réseau et de ses systèmes, de
nombreux outils de test d’intrusion réseau ont été développés. Cependant, bon
nombre de ces outils peuvent également être utilisés par des acteurs de la menace
à des fins d’exploitation.

- Evolution des outils :

Catégorie des Description

outils
password Les mots de passe sont la menace de sécurité la plus
crackers vulnérable. Les outils de craquage de mot de passe sont
souvent appelés outils de récupération de mot de passe
et peuvent être utilisés pour déchiffrer ou récupérer le
mot de passe. Les crackers de mots de passe font des
suppositions à plusieurs reprises afin de déchiffrer le
mot de passe et d’accéder au système. Des exemples
d’outils de craquage de mot de passe incluent John the
Ripper, Ophcrack, L0phtCrack, THC Hydra,
RainbowCrack et Medusa.

wireless Les outils d’analyse réseau sont utilisés pour sonder les
hacking tools périphériques réseau, les serveurs et les hôtes à la
recherche de ports TCP ou UDP ouverts. Des exemples
d’outils d’analyse incluent Nmap, SuperScan, Angry IP
Scanner et NetScanTools.

packet crafting Les outils de fabrication de paquets sont utilisés pour

tools sonder et tester la robustesse d’un pare-feu à l’aide de
paquets falsifiés spécialement conçus. Des exemples de
tels outils incluent Hping, Scapy, Socat, Yersinia,
Netcat, Nping et Nemesis.

packet sniffers Les outils de renifleur de paquets sont utilisés pour

capturer et analyser les paquets dans les réseaux locaux
Ethernet traditionnels ou WLAN. Les outils incluent
Wireshark, Tcpdump, Ettercap, Dsniff, EtherApe, Paros,
Fiddler, Ratproxy et SSLstrip.

rootkit Un détecteur de rootkit est un vérificateur d’intégrité de

detectors répertoire et de fichier utilisé par les pirates
informatiques white hat pour détecter les rootkits
 installés. Des exemples d’outils incluent AIDE,
Netfilter, et PF: OpenBSD Packet Filter.

fuzzers Les fuzzers sont des outils utilisés par les acteurs de la
menace lorsqu’ils tentent de découvrir les vulnérabilités
de sécurité d’un système informatique. Des exemples de
fuzzers incluent Skipfish, Wapiti et W3af.

forensic tools Les pirates informatiques au chapeau blanc utilisent des

outils médico-légaux pour détecter toute trace de preuve
existant dans un système informatique particulier. Des
exemples d’outils incluent Sleuth Kit, Helix, Maltego et
Encase.

debuggers Les outils de débogage sont utilisés par les pirates

informatiques au chapeau noir pour désosser des fichiers
binaires lors de l’écriture d’exploits. Ils sont également
utilisés par les pirates informatiques white hat lors de
l’analyse des logiciels malveillants. Les outils de
débogage incluent GDB, WinDbg, IDA Pro et Immunity
Debugger.

hacking Les systèmes d’exploitation de piratage sont des

operating systèmes d’exploitation spécialement conçus préchargés
systems avec des outils et des technologies optimisés pour le
piratage. Des exemples de systèmes d’exploitation de
piratage spécialement conçus incluent Kali Linux,
SELinux, Knoppix, Parrot OS et BackBox Linux.

encryption tools Ces outils protègent le contenu des données d’une

organisation lorsqu’elles sont stockées ou transmises.
Les outils de chiffrement utilisent des schémas
d’algorithmes pour coder les données afin d’empêcher
tout accès non autorisé aux données. Des exemples de
ces outils incluent VeraCrypt, CipherShed, Open SSH,
OpenSSL, OpenVPN et Stunnel.

vulnerability Ces outils identifient si un hôte distant est vulnérable à

exploitation une attaque de sécurité. Des exemples d’outils
tools d’exploitation des vulnérabilités incluent Metasploit,
Core Impact, Sqlmap, Social Engineer Tool Kit et
Netsparker.

vulnerability Ces outils analysent un réseau ou un système pour

scanners identifier les ports ouverts. Ils peuvent également être
utilisés pour rechercher des vulnérabilités connues et
analyser des machines virtuelles, des périphériques
BYOD et des bases de données client. Des exemples de
ces outils incluent Nipper, Securia PSI, Core Impact,
Nessus, SAINT et Open VAS.
- Catégories des attaques :

Catégories des attaques Description

man-in-the-middle attack Une attaque MiTM se produit lorsque des acteurs
(MiTM) de la menace se sont positionnés entre une source
et une destination. Ils peuvent désormais surveiller,
capturer et contrôler activement la communication
de manière transparente.

Compromised key attack Une attaque par clé compromise se produit

lorsqu’un acteur malveillant obtient une clé
secrète. C’est ce qu’on appelle une clé
compromise. Une clé compromise peut être utilisée
pour accéder à une communication sécurisée sans
que l’expéditeur ou le destinataire ne soit au
courant de l’attaque.

sniffer attack Un renifleur est une application ou un périphérique

capable de lire, de surveiller et de capturer les
échanges de données réseau et de lire les paquets
réseau. Si les paquets ne sont pas chiffrés, un
renifleur fournit une vue complète des données à
l’intérieur du paquet. Même les paquets encapsulés
(tunnelisés) peuvent être ouverts et lus à moins
qu’ils ne soient chiffrés et que l’auteur de la
menace n’ait pas accès à la clé.

eavesdropping attack Une attaque d’écoute clandestine se produit

lorsqu’un acteur malveillant capture et écoute le
trafic réseau. Cette attaque est également appelée
reniflement ou fouinage.

data modification attack Les attaques de modification de données se

produisent lorsqu’un acteur de la menace a capturé
le trafic de l’entreprise et a modifié les données
contenues dans les paquets à l’insu de l’expéditeur
ou du destinataire.

IP address spoofing attack Une attaque d’usurpation d’adresse IP se produit

lorsqu’un acteur malveillant construit un paquet IP
qui semble provenir d’une adresse valide à
l’intérieur de l’intranet de l’entreprise.

password-based attacks Les attaques par mot de passe se produisent

lorsqu’un acteur malveillant obtient les
informations d’identification d’un compte
d’utilisateur valide. Les auteurs de menaces
utilisent ensuite ce compte pour obtenir des listes
d’autres utilisateurs et des informations réseau. Ils
peuvent également modifier les configurations du
 serveur et du réseau, et modifier, réacheminer ou
supprimer des données.

denial-of-service (DoS) Une attaque DoS empêche l’utilisation normale

attack d’un ordinateur ou d’un réseau par des utilisateurs
valides. Après avoir accédé à un réseau, une
attaque DoS peut faire planter des applications ou
des services réseau. Une attaque DoS peut
également inonder un ordinateur ou l’ensemble du
réseau de trafic jusqu’à ce qu’un arrêt se produise
en raison de la surcharge. Une attaque DoS peut
également bloquer le trafic, ce qui entraîne une
perte d’accès aux ressources réseau par les
utilisateurs autorisés.

- Les malwares :

Malware est l’abréviation de logiciel malveillant ou code malveillant. Il s’agit d’un

code ou d’un logiciel spécialement conçu pour endommager, perturber, voler ou
généralement infliger une autre action « mauvaise » ou illégitime sur les données,
les hôtes ou les réseaux. Les terminaux sont particulièrement exposés aux attaques
de logiciels malveillants.
Les trois types de logiciels malveillants les plus courants sont :
• Virus
• Ver
• Cheval de Troie

 Virus :

Un virus est un type de logiciel malveillant qui se propage en insérant une copie de
lui-même dans un autre programme. Une fois le programme exécuté, les virus se
propagent d’un ordinateur à l’autre, infectant les ordinateurs. La plupart des virus
ont besoin de l’aide humaine pour se propager.
Un virus simple peut s’installer à la première ligne de code dans un fichier
exécutable. Lorsqu’il est activé, le virus peut rechercher d’autres exécutables sur le
disque afin qu’il puisse infecter tous les fichiers qu’il n’a pas encore infectés.

Les virus peuvent également être programmés pour muter afin d’éviter d’être
détectés.
La plupart des virus se propagent désormais par les lecteurs USB, les CD, les
DVD, les partages réseau et les e-mails.
  Cheval de Troie :

Les chevaux de Troie malveillants sont des logiciels qui semblent légitimes, mais
qui contiennent du code malveillant qui exploite les privilèges de l’utilisateur qui
l’exécute. Souvent, les chevaux de Troie sont attachés aux jeux en ligne.

Les utilisateurs sont souvent amenés à charger et à exécuter le cheval de Troie sur
leurs systèmes. En jouant au jeu, l’utilisateur ne remarquera pas de problème. En
arrière-plan, le cheval de Troie a été installé sur le système de l’utilisateur. Le code
malveillant du cheval de Troie continue de fonctionner même après la fermeture du
jeu.

Le concept de cheval de Troie est flexible. Il peut causer des dommages immédiats,
fournir un accès à distance au système ou un accès par une porte dérobée. Il peut
également effectuer des actions comme indiqué à distance, telles que « envoyez-
moi le fichier de mot de passe une fois par semaine ».

Type du cheval de Description

Troie
Remote-access Fournit à l’auteur de la menace des données sensibles,
telles que des mots de passe.

Data-sending Fournit à l’auteur de la menace des données sensibles,

telles que des mots de passe.

Destructive Corrompre ou supprime des fichiers.

Proxy Utilise l’ordinateur de la victime comme périphérique

source pour lancer des attaques et effectuer d’autres
activités illégales.

FTP Active les services de transfert de fichiers non autorisés

sur les terminaux.

Security software Empêche les programmes antivirus ou les pare-feu de

disabler fonctionner.

Denial of Service Ralentit ou arrête l’activité du réseau.

(DoS)

Keylogger Tente activement de voler des informations

confidentielles, telles que des numéros de carte de crédit,
en enregistrant les frappes qui ont été saisies dans un
formulaire Web.
  Vers (Worms) :

Les vers informatiques sont comme les virus parce qu’ils se répliquent et peuvent
causer le même type de dommages. Plus précisément, les vers se répliquent en
exploitant indépendamment les vulnérabilités des réseaux. Les vers peuvent ralentir
les réseaux lorsqu’ils se propagent d’un système à l’autre.
SQL Slammer, connu comme le ver qui mangeait Internet, était une attaque par
déni de service (DoS) qui exploitait un bogue de débordement de tampon dans SQL
Server de Microsoft. À son apogée, le nombre de serveurs infectés doublait de taille
toutes les 8,5 secondes. Il a infecté 250,000 + hôtes dans les 30 minutes, comme le
montre la figure.

 Ransomware :

Actuellement, le malware le plus dominant est le ransomware.

• Un ransomware est un logiciel malveillant qui refuse l’accès au système
informatique infecté ou à ses données.
• Les cybercriminels exigent alors un paiement pour libérer le système
informatique.
• Les ransomware ont évolué pour devenir le type de malware le plus
rentable de l’histoire.
• Il existe des dizaines de variantes de ransomware.
• Les ransomware utilisent fréquemment un algorithme de chiffrement
pour chiffrer les fichiers et les données système.
• Les paiements sont généralement payés en Bitcoin parce que les
utilisateurs de Bitcoin peuvent rester anonymes.
• Les e-mails et la publicité malveillante, également connus sous le nom
de publicité malveillante, sont des vecteurs de campagnes de
ransomware. L’ingénierie sociale est également utilisée.

 Autres malwares :

Type de malware Description

Spyware Utilisé pour recueillir des informations sur un utilisateur et
envoyer les informations à une autre entité sans le
consentement de l’utilisateur. Les logiciels espions peuvent
être un moniteur système, un cheval de Troie, un logiciel
publicitaire, des cookies de suivi et des enregistreurs de
frappe.

Adware Affiche des pop-ups ennuyeux pour générer des revenus

pour son auteur. Le logiciel malveillant peut analyser les
intérêts des utilisateurs en suivant les sites Web visités. Il
peut ensuite envoyer de la publicité pop-up pertinente pour
ces sites.
 Scareware Comprend les logiciels frauduleux qui utilisent l’ingénierie
sociale pour choquer ou induire de l’anxiété en créant la
perception d’une menace. Il est généralement dirigé vers
un utilisateur sans méfiance et tente de persuader
l’utilisateur d’infecter un ordinateur en prenant des
mesures pour faire face à la fausse menace.

Phishing Tente de convaincre les gens de divulguer des informations

sensibles. Par exemple, recevoir un e-mail de leur banque
demandant aux utilisateurs de divulguer leurs numéros de
compte et de code PIN.

Rootkits Installé sur un système compromis. Une fois installé, il

continue de cacher son intrusion et de fournir un accès
privilégié à l’acteur de la menace.

- Les attaques réseaux courantes : reconnaissance, accès et ingénierie sociale

Pour atténuer les attaques, il est utile de catégoriser d’abord les différents types
d’attaques. En catégorisant les attaques réseau, il est possible de traiter les types
d’attaques plutôt que les attaques individuelles.
Bien qu’il n’existe pas de méthode normalisée pour catégoriser les attaques réseau,
la méthode utilisée dans ce cours classe les attaques en trois catégories principales.
• Attaques de reconnaissance
• Attaques d’accès
• Attaques DoS

 Attaques de reconnaissance :

La reconnaissance est la collecte d’informations. Les auteurs de menaces utilisent

des attaques de reconnaissance (ou de reconnaissance) pour effectuer une
découverte et une cartographie non autorisées de systèmes, de services ou de
vulnérabilités. Les attaques de reconnaissance précèdent les attaques d’accès ou les
attaques DoS. Certaines des techniques utilisées par les acteurs malveillants de la
menace pour mener des attaques de reconnaissance sont décrites dans le tableau.
 Technique Description
Effectuer une requête L’auteur de la menace recherche des informations
d’informations d’une initiales sur une cible. Divers outils peuvent être
cible utilisés, y compris la recherche Google, le site Web des
organisations, whois, etc.

Lancer un balayage La requête d’informations révèle généralement

ping du réseau cible l’adresse réseau de la cible. L’auteur de la menace peut
désormais lancer un balayage ping pour déterminer
quelles adresses IP sont actives.

Lancer une analyse de Ceci est utilisé pour déterminer quels ports ou services
port des adresses IP sont disponibles. Des exemples d’analyseurs de ports
actives incluent Nmap, SuperScan, Angry IP Scanner et
NetScanTools.

Exécutez des scanners Il s’agit d’interroger les ports identifiés pour

de vulnérabilité déterminer le type et la version de l’application et du
système d’exploitation qui s’exécutent sur l’hôte. Des
exemples d’outils incluent Nipper, Secuna PSI, Core
Impact, Nessus v6, SAINT et Open VAS.

Exécuter des outils L’acteur de la menace tente maintenant de découvrir

d'exploitation des services vulnérables qui peuvent être exploités. Il
existe une variété d’outils d’exploitation des
vulnérabilités, notamment Metasploit, Core Impact,
Sqlmap, Social Engineer Toolkit et Netsparker.

 Attaques d’accès :

Les attaques Access exploitent les vulnérabilités connues des services

d’authentification, des services FTP et des services Web. Le but de ce type
d’attaque est d’accéder à des comptes Web, des bases de données confidentielles et
d’autres informations sensibles.

Technique Description
Attaque de mot de Dans une attaque par mot de passe, l’auteur de la menace
passe tente de découvrir les mots de passe système critiques en
utilisant diverses méthodes.

Attaque Dans les attaques d’usurpation d’identité, l’appareil de

d’usurpation l’acteur de la menace tente de se faire passer pour un autre
appareil en falsifiant les données. Les attaques
d’usurpation courantes incluent l’usurpation IP,
l’usurpation MAC et l’usurpation DHCP.
 Exploitation de la Dans une attaque d’exploitation de confiance, un acteur de
confiance la menace utilise des privilèges non autorisés pour accéder
à un système, ce qui peut compromettre la cible.

Redirection de port Dans une attaque de redirection de port, un acteur

malveillant utilise un système compromis comme base
pour des attaques contre d’autres cibles.

Homme du milieu Dans une attaque de l’homme du milieu, l’acteur de la

menace est positionné entre deux entités légitimes afin de
lire ou de modifier les données qui transitent entre les deux
parties.

Attaque Dans une attaque par débordement de la mémoire tampon,

débordement buffer l’acteur de la menace exploite la mémoire tampon et la
submerge de valeurs inattendues. Cela rend généralement
le système inutilisable, ce qui entraîne une attaque DoS.

 Attaques de l’ingénierie sociale :

L’ingénierie sociale est une attaque d’accès qui tente de manipuler des individus
pour qu’ils effectuent des actions ou divulguent des informations confidentielles.
Les informations sur les techniques d’ingénierie sociale sont présentées dans le
tableau.

Technique Description
Pretexting Un acteur de la menace prétend avoir besoin de données
personnelles ou financières pour confirmer l’identité du
destinataire.

Hameçonnage Un acteur de la menace envoie des courriels frauduleux qui

(Phishing) sont déguisés en provenant d’une source légitime et fiable
pour inciter le destinataire à installer des logiciels
malveillants sur son appareil ou pour partager des
informations personnelles ou financières.

Spear phishing Un acteur de la menace crée une attaque de phishing ciblée

adaptée à une personne ou à une organisation spécifique.

Spam Aussi connu sous le nom de courrier indésirable, il s’agit

d’un courrier électronique non sollicité qui contient
souvent des liens nuisibles, des logiciels malveillants ou du
contenu trompeur.

Something for Parfois appelé « contrepartie », c’est lorsqu’un acteur

Something malveillant demande des renseignements personnels à une
partie en échange de quelque chose comme un cadeau.
 Appâtage (Baiting) Un acteur malveillant laisse un lecteur flash infecté par un
logiciel malveillant dans un lieu public. Une victime trouve
le lecteur et l’insère sans méfiance dans son ordinateur
portable, installant involontairement un logiciel
malveillant.

Imitation Dans ce type d’attaque, un acteur de la menace prétend être

(Impertionation) quelqu’un d’autre pour gagner la confiance d’une victime.

Talonnage C’est là qu’un auteur de la menace suit rapidement une

(Tailgating) personne autorisée dans un endroit sécurisé pour accéder à
une zone sécurisée.

Surf d’épaule C’est là qu’un acteur de la menace regarde discrètement

(Shoulder surfing) par-dessus l’épaule de quelqu’un pour voler ses mots de
passe ou d’autres informations.

Plongée dans les C’est là qu’un acteur malveillant fouille dans les poubelles
bennes (Dumpster pour découvrir des documents confidentiels.
diving)

- Attaques de déni de service DoS et DDoS

Une attaque par déni de service (DoS) crée une sorte d’interruption des services
réseau pour les utilisateurs, les appareils ou les applications.

Il existe deux principaux types d’attaques DoS :

• Quantité écrasante de trafic
• Paquets formatés de manière malveillante

Une attaque DoS distribuée (DDoS) est comme une attaque DoS, mais elle provient
de sources multiples et coordonnées.

Si les auteurs de menaces peuvent compromettre de nombreux hôtes, ils peuvent

effectuer une attaque DoS distribuée (DDoS). Les attaques DDoS ont une intention
similaire à celle des attaques DoS, sauf qu’une attaque DDoS augmente en ampleur
parce qu’elle provient de sources multiples et coordonnées. Les termes suivants
sont utilisés pour décrire les composants d’une attaque DDoS :
Composants DDoS Description
zombies Il s’agit d’un groupe d’hôtes compromis (c’est-à-dire des
agents). Ces hôtes exécutent du code malveillant appelé
robots (c’est-à-dire des robots). Le malware zombie tente
continuellement de s’auto-propager comme un ver.

bots Les bots sont des logiciels malveillants conçus pour

infecter un hôte et communiquer avec un système de
gestionnaire. Les bots peuvent également enregistrer les
frappes au clavier, collecter des mots de passe, capturer et
analyser des paquets, etc.

botnet Il s’agit d’un groupe de zombies qui ont été infectés à

l’aide de logiciels malveillants auto-propagés (c’est-à-dire
des robots) et qui sont contrôlés par des gestionnaires.

handlers Il s’agit d’un serveur maître de commande et de contrôle

(CnC ou C2) contrôlant des groupes de zombies. L’auteur
d’un botnet peut utiliser Internet Relay Chat (IRC) ou un
serveur Web sur le serveur C2 pour contrôler à distance les
zombies.

botmaster C’est l’acteur de la menace qui contrôle le botnet et les

gestionnaires.
 3- Attaques de couche 2

Les administrateurs du réseau implémentent régulièrement des solutions de sécurité

pour protéger les éléments de la couche 3 à la couche 7. Ils utilisent des VPN, des
pare-feu et des périphériques IPS pour protéger ces éléments. Cependant, si la
couche 2 est compromise, toutes les couches supérieures sont aussi affectées. Par
exemple, si un acteur de menace ayant accès au réseau interne a capturé des trames
de couche 2, alors toute la sécurité mise en œuvre sur les couches ci-dessus serait
inutile. L'acteur de menace pourrait causer de nombreux dommages à
l'infrastructure réseau LAN de couche 2.

La sécurité n'est aussi solide que le lien le plus faible du système, et la couche 2 est
considéré comme ce lien faible.

Catégorie d’attaques Exemples

Les Attaques de table Il comprend les attaques par inondation de l'adresse
MAC MAC.

Attaques de VLAN Il comprend les attaques par saut et par revérifier

VLAN. Il aussi comprend les attaques entre les
périphériques sur un VLAN commun.

Les attaques ARP Il comprend les attaques d'usurpation ARP et les

attaques d'empoisonnement ARP.

Attaques par Il comprend les attaques d'usurpation d'adresse MAC et

usurpation d'adresse d'adresse IP.

Les attaques STP Il comprend les attaques de manipulation du protocole

Spanning Tree.
Pour atténuer les attaques de couche 2, les configurations suivantes sur les
commutateurs sont nécessaires.

Solutions aux attaques Description

Sécurité des ports Empêche de nombreux types d'attaques, y compris les
attaques d'inondation d'adresses MAC et les attaques
d'insuffisance DHCP.

Espionnage Empêche l'insuffisance DHCP et les attaques

(snooping) DHCP d'usurpation du DHCP.

Protection de la source Empêche les attaques d'usurpation d'adresse MAC et IP.

IP (IPSG)

 Attaque des tables d’adresse MAC :

- Inondation (flooding) des tables MAC :

Toutes les tables MAC ont une taille fixe et par conséquent, un commutateur peut
manquer de ressources pour stocker les adresses MAC. Les attaques par inondation
d'adresses MAC profitent de cette limitation en bombardant le commutateur avec
de fausses adresses sources MAC (avec l’outil macof) jusqu'à ce que la table
d'adresses MAC du commutateur soit pleine.

Lorsque cela se produit, le commutateur traite la trame comme une monodiffusion

inconnue et commence à inonder tout le trafic entrant sur tous les ports du même
VLAN sans référencer la table MAC. Cette condition permet désormais à un acteur
de menace de capturer toutes les trames envoyées d'un hôte à un autre sur le LAN
local ou le VLAN local.

Ce qui rend les outils tels que macof si dangereux, c'est qu'un attaquant peut créer
une attaque de débordement de table MAC très rapidement. Il peut aussi affecter les
autres commutateurs connectés à celui-ci.
 - Atténuation de l’attaque d’inondation des tables MAC :

Pour atténuer les attaques de débordement de table d'adresse MAC, les

administrateurs réseau doivent implémenter la sécurité des ports. La sécurité des
ports ne permettra d'apprendre qu'un nombre spécifié d'adresses MAC sources sur
le port.
  Les attaques VLAN :

- Les attaques de saut de VLAN :

Une attaque par saut de VLAN permet au trafic d'un VLAN d'être détecté par un
autre VLAN sans l'aide d'un routeur. Dans une attaque de base de saut de VLAN,
l'acteur de menace configure un hôte pour qu'il agisse comme un commutateur afin
de profiter de la fonction de port de trunk automatique activée par défaut sur la
plupart des ports de commutateur.

L'acteur de menace configure l'hôte pour usurper la signalisation 802.1Q et la

signalisation DTP (Dynamic Trunking Protocol) propriétaire de Cisco pour le trunk
avec le commutateur de connexion. En cas de succès, le commutateur établit une
liaison de trunk avec l'hôte, comme illustré dans la figure. L'acteur de menace peut
accéder tous les VLAN sur le commutateur. L'acteur de menace peut envoyer et
recevoir du trafic sur n'importe quel VLAN, sautant efficacement entre les VLAN.

- Les attaques de double étiquetage :

Un acteur de menace est une situation spécifique qui pourrait incorporer une
étiquette 802.1Q cachée dans la trame qui a déjà une étiquette 802.1Q. Cette balise
permet à la trame d'accéder à un VLAN que l'étiquette 802.1Q d'origine n'a pas
spécifié.

Étape 1 : L'acteur de menace envoie une trame 802.1Q double étiquetage au

commutateur. L'en-tête externe a une étiquette VLAN de l'acteur de menace, qui est
identique au VLAN natif du port trunk.

Étape 2 : La trame arrive sur le premier commutateur, qui examine la première

étiquette 802.1Q de 4 octets Le commutateur voit que la trame est destinée au
VLAN natif. Le commutateur transfère le paquet sur tous les ports VLAN natifs
après avoir divisé l'étiquette VLAN. La trame n'est pas réétiquetée car elle fait
partie du VLAN natif. À ce stade, l'étiquette VLAN interne est toujours intacte et
n'a pas été inspectée par le premier commutateur.

Étape 3 : La trame arrive au deuxième commutateur qui ne sait pas qu'elle était
destinée au VLAN natif. Le trafic VLAN natif n'est pas étiqueté par le
commutateur d'envoi selon la spécification 802.1Q. Le deuxième commutateur ne
concerne que l'étiquetage 802.1Q interne que l'acteur de menace a insérée et
indique que la trame est destinée au VLAN cible. Le deuxième commutateur
envoie la trame à la cible ou l'inonde, selon qu'il existe une entrée de table
d'adresses MAC existante pour la cible.

- Atténuation des attaques VLAN :

Les attaques de saut de VLAN et de double étiquetage VLAN peuvent être évitées
en mettant en œuvre les directives de sécurité de trunk suivantes, comme indiqué
dans un module précédent :
• Désactivez trunking sur tous les ports d'accès.
• Désactivez trunking automatique sur les liaisons de trunk afin que les
trunks doivent être activées manuellement.
• Assurez-vous que le VLAN natif n'est utilisé que pour les liaisons de
trunk.

 Les attaques DHCP :

Les serveurs DHCP fournissent aux clients les informations de configuration IP,
notamment l'adresse IP, le masque de sous-réseau, la passerelle par défaut, les
serveurs DNS, etc., et ce de manière dynamique. Une révision de la séquence de
l'échange de messages DHCP entre le client et le serveur est illustré dans la figure.
Deux types d'attaques DHCP sont l'insuffisance DHCP et l'usurpation DHCP. Les
deux attaques sont atténuées en mettant en œuvre l'espionnage DHCP.

- L'attaque par insuffisance DHCP :

L'objectif d'une attaque par insuffisance DHCP est de créer un déni de service
(DoS) pour connecter les clients. Les attaques par épuisement des ressources
DHCP reposent sur un outil d'attaque, Gobbler, par exemple. Gobbler a la
possibilité d'examiner l'intégralité des adresses IP louables et essaie de toutes les
louer. Plus précisément, il crée des messages de découverte DHCP avec de fausses
adresses MAC.

- Attaque d'usurpation DHCP :

Cela se produit lorsqu'un serveur DHCP non autorisé (rogue) se connecte au réseau
et fournit des paramètres de configuration IP incorrects aux clients légitimes. Un
serveur non autorisé peut fournir des informations différentes trompeuses, y
compris les suivantes :
• Passerelle par défaut incorrecte - Le serveur non
autorisé fournit une passerelle non valide ou l'adresse IP
de son hôte pour créer une attaque d'homme au milieu.
Cette approche peut passer totalement inaperçue, car
l'intrus intercepte le flux de données via le réseau.
• Serveur DNS incorrect - Le serveur non autorisé fournit
une adresse de serveur DNS incorrecte pointant
l'utilisateur vers un site Web néfaste.
• Adresse IP incorrecte - Le serveur non autorisé fournit
une adresse IP invalide créant efficacement une attaque
DoS sur le client DHCP.

- Atténuation des attaques DHCP :

Les attaques d'usurpation DHCP peuvent être atténuées en utilisant la surveillance

DHCP sur les ports approuvés.

La surveillance DHCP filtre les messages DHCP et limite le trafic DHCP sur les
ports non approuvés.

• Les périphériques sous contrôle administratif (par exemple, les

commutateurs, les routeurs et les serveurs) sont des sources fiables.
• Les interfaces sécurisées (par exemple, liaisons de jonction, ports de serveur)
doivent être explicitement configurées comme sécurisées.
 • Les périphériques en dehors du réseau et tous les ports d'accès sont
généralement traités comme des sources non fiables.

Une table DHCP est créée qui inclut l'adresse MAC source d'un périphérique sur un
port non approuvé et l'adresse IP attribuée par le serveur DHCP à ce périphérique.

• L'adresse MAC et l'adresse IP sont liées ensemble.

• Par conséquent, cette table est appelée table de liaison d'espionnage DHCP.

Les étapes suivantes activent la surveillance DHCP (snooping) :

Étape 1. Activez la surveillance DHCP à l'aide de la commande de configuration

globale ip dhcp snooping.

Étape 2. Sur les ports approuvés, utilisez la commande de configuration de

l'interface ip dhcp snooping trust.

Étape 3 : sur les interfaces non fiables, limitez le nombre de messages de

découverte DHCP pouvant être reçus à l'aide de la commande de configuration
d'interface ip dhcp snooping limit rate packets-per-second .

Étape 4. Activez la surveillance DHCP par VLAN, ou par une portée de VLAN, en
utilisant la commande de configuration globale ip dhcp snooping vlan.

• La surveillance DHCP est d'abord activée sur S1.

• L'interface en amont du serveur DHCP est explicitement approuvée.
• F0 / 5 à F0 / 24 ne sont pas approuvés et sont donc limités à six paquets par
seconde.
• Enfin, la surveillance DHCP est activée sur les VLANS 5, 10, 50, 51 et 52.
  Les attaques ARP :

Les hôtes diffusent des requêtes ARP pour déterminer l'adresse MAC d'un hôte
avec une adresse IP de destination. Tous les hôtes du sous-réseau reçoivent et
traitent la requête ARP. L'hôte dont l'adresse IP correspond à la requête ARP
envoie une réponse ARP.

Un client peut envoyer une réponse ARP non sollicitée appelé «ARP gratuite». Les
autres hôtes du sous-réseau stockent l'adresse MAC et l'adresse IP contenue par
l'ARP gratuite dans leurs tables ARP.

Un attaquant peut envoyer un message ARP gratuit contenant une adresse MAC
usurpée à un commutateur, et le commutateur mettrait à jour sa table MAC en
conséquence. Dans une attaque typique, un acteur de menace peut envoyer des
réponses ARP non sollicitées à d'autres hôtes du sous-réseau avec l'adresse MAC
de l'acteur de menace et l'adresse IP de la passerelle par défaut, configurant
efficacement une attaque d'homme au milieu.

Il existe de nombreux outils disponibles sur Internet pour créer des attaques ARP
homme-au-milieu.

- Atténuation des attaques ARP :

L'usurpation ARP et l'empoisonnement ARP sont atténués par la mise en œuvre de

l'inspection ARP dynamique (DAI).
L'inspection ARP dynamique (DAI) nécessite la surveillance DHCP et aide à
prévenir les attaques ARP en :
• Ne pas relayer les réponses ARP non valides ou gratuites vers
d'autres ports du même VLAN.
• Interception de toutes les demandes et réponses ARP sur des
ports non approuvés.
• Vérification de chaque paquet intercepté pour une liaison IP-
MAC valide.
• Abandon et journalisation des réponses ARP provenant de non
valides pour empêcher l'empoisonnement ARP.
• Erreur-désactivation de l'interface si le nombre DAI de paquets
ARP configuré est dépassé.
Dans la topologie précédente, S1 connecte deux utilisateurs sur le VLAN 10.
• DAI sera configuré pour atténuer les attaques d'usurpation ARP et
d'empoisonnement ARP.
• La surveillance DHCP est activée car DAI nécessite la table de liaison de
surveillance DHCP pour fonctionner.
• Ensuite, la surveillance DHCP et l'inspection ARP sont activés pour les PC
sur VLAN10.
• Le port de liaison montante vers le routeur est approuvé et est donc
configuré comme approuvé pour la surveillance DHCP et l'inspection ARP.
  Les attaques STP :

Les attaquants du réseau peuvent manipuler le protocole STP (Spanning Tree

Protocol) pour mener une attaque en usurpant le pont racine et en modifiant la
topologie d'un réseau. Les attaquants peuvent alors capturer tout le trafic pour le
domaine commuté immédiat.

Pour mener une attaque de manipulation STP, l'hôte attaquant diffuse des unités de
données de protocole de pont STP (BPDU) contenant de configuration et de
topologie obligera à réévaluer le spanning-tree. Les BPDU envoyés par l'hôte
attaquant annoncent une priorité de pont inférieure pour tenter d'être élu pont
racine.

- Atténuation des attaques STP :

PortFast contourne les états d'écoute et d'apprentissage STP pour minimiser le

temps que les ports d'accès doivent attendre pour que STP converge.
• Activer PortFast uniquement sur les ports d'accès.
• PortFast sur les liaisons inter-commutateurs peut créer une boucle de
spanning-tree.

PortFast peut être activé :

• Sur une interface - Utilisez la commande de configuration d’interface
spanning-tree portfast.
• Globalement - Utilisez la commande de configuration globale spanning-tree
portfast default pour activer PortFast sur tous les ports d'accès.
 4- Menaces liées au protocole IP:

L'usurpation d'adresse IP est lorsqu'un acteur de menace détourne une adresse IP

valide d'un autre périphérique sur le sous-réseau ou utilise une adresse IP aléatoire.

L'usurpation d'adresse IP est difficile à atténuer, en particulier lorsqu'elle est

utilisée à l'intérieur d'un sous-réseau auquel appartient l'IP.

Les attaques d'usurpation d'adresse MAC se produisent lorsque les acteurs de

menace modifient l'adresse MAC de leur hôte pour correspondre à une autre
adresse MAC connue d'un hôte cible. Le commutateur remplace l'entrée de table
MAC actuelle et attribue l'adresse MAC au nouveau port. Il transfère ensuite par
inadvertance des trames destinées à l'hôte cible à l'hôte attaquant.

Lorsque l'hôte cible envoie du trafic, le commutateur vérifiera l'erreur, en réalignant

l'adresse MAC sur le port d'origine. Pour empêcher le commutateur de ramener
l'affectation de port à son état correct, l'acteur de menace peut créer un programme
ou un script qui enverra constamment des trames au commutateur afin que le
commutateur conserve les informations incorrectes ou usurpées.

Il n'y a pas de mécanisme de sécurité de couche 2 qui permet à un commutateur de

vérifier la source des adresses MAC, ce qui le rend très vulnérable à l'usurpation.

L'usurpation d'adresse IP et MAC peut être atténuée en implémentant IPSG.

5- Menaces liées aux protocoles TCP et UDP:

 Attaques TCP :

- TCP SYN Attaque par inondation

1. L'acteur de menace envoie plusieurs demandes SYN à un serveur Web.

2. Le serveur Web répond avec des SYN-ACK pour chaque demande SYN et
attend de terminer la négociation à poignée de main à trois voies. L'acteur de
menace ne répond pas aux SYN-ACK.
3. Un utilisateur valide ne peut pas accéder au serveur Web car le serveur Web
possède trop de connexions TCP semi-ouvertes.
 - TCP RST Attaque par réinitialisation TCP :

La fin d'une session TCP utilise le processus d'échange à quatre voies comme suit:

1. Quand le client n'a plus de données à envoyer dans le flux, il envoie un

segment dont l'indicateur FIN est défini.
2. Le serveur envoie un segment ACK pour informer de la bonne réception du
segment FIN afin de fermer la session du client au serveur.
3. Le serveur envoie un segment FIN au client pour mettre fin à la session du
serveur au client.
4. Le client répond à l'aide d'un segment ACK pour accuser réception du
segment FIN envoyé par le serveur.

Un acteur de menace pourrait effectuer une attaque de réinitialisation TCP et

envoyer un paquet usurpé contenant un TCP RST à un ou aux deux points de
terminaison.
 - TCP Attaque détournement de session :

Le détournement de session TCP apparaît comme une autre vulnérabilité TCP.

Bien que difficile à mener, un acteur de menace prend le contrôle d'un hôte déjà
authentifié lors de sa communication avec la cible. L'acteur de menace doit usurper
l'adresse IP d'un hôte, prédire le numéro de séquence suivant et envoyer un ACK à
l'autre hôte. En cas de succès, l'acteur de menace pourrait envoyer, mais pas
recevoir, des données de l'appareil cible.

 Attaque UDP : flooding

L'acteur de menace utilise un outil comme UDP Unicorn ou Low Orbit Ion
Cannon. Ces outils envoient un flot de paquets UDP, souvent à partir d'un hôte
usurpé, vers un serveur du sous-réseau. Le programme balaye tous les ports connus
afin de trouver les ports fermés. Par conséquent, le serveur répond avec un message
Port ICMP inaccessible. Étant donné qu'il existe de nombreux ports fermés sur le
serveur, cela crée beaucoup de trafic sur le segment, qui utilise la majeure partie de
la bande passante. Le résultat est très similaire à celui d'une attaque DoS.

6- Menaces liées aux protocoles de service

Les attaques des protocoles au niveau de la couche d’application sont nombreuses.

Certains protocoles sont vulnérables et ne comportent pas des mécanismes de
sécurité comme la cryptographie et l’authentification. D’autres protocoles sont mis
en œuvre pour les remplacer comme HTTPS, SFTP, SSH …

 Attaques DNS :

• Le protocole DNS (Domain Name Service) définit un service automatisé qui

fait correspondre les noms de ressources, tels que [Link], avec
l'adresse réseau numérique requise, telle que l'adresse IPv4 ou IPv6. Il inclut
le format des requêtes, des réponses et des données, et utilise les
enregistrements de ressource (RR) pour identifier le type de réponse DNS.
• La sécurisation du protocole DNS est souvent négligée. Toutefois, celui-ci
est indispensable à l'exploitation d'un réseau et doit être sécurisé en
conséquence.
• Les attaques DNS sont les suivantes:

- Attaques DNS résolveur ouvert

- Attaques furtives DNS
- Les attaques de shadowing de domaine DNS
- Attaques de Tunnellisation (tunneling) DNS
- Attaques résolveur DNS :

Vulnérabilités Description
résolveur DNS
Attaques Les acteurs de menace envoient des informations de
d'empoisonnement ressource d'enregistrement (RR) falsifiées à un
du cache DNS résolveur DNS pour rediriger les utilisateurs de sites
légitimes vers des sites malveillants. Les attaques
d'empoisonnement du cache DNS peuvent toutes
être utilisées pour informer le résolveur DNS
d'utiliser un serveur de noms malveillant qui fournit
des informations RR pour les activités
malveillantes.

Attaques par Les acteurs de menace utilisent des attaques DoS ou

amplification et DDoS sur les résolveurs ouverts DNS pour
réflexion du DNS augmenter le volume des attaques et masquer la
véritable source d'une attaque. Les acteurs de
menace envoient des messages DNS aux résolveurs
ouverts en utilisant l'adresse IP d'un hôte cible. Ces
attaques sont possibles car le résolveur ouvert
répondra aux requêtes de toute personne posant une
question.

Attaques Une attaque DoS qui consomme les ressources des

d'utilisation des résolveurs ouverts DNS. Cette attaque DoS
ressources DNS consomme toutes les ressources disponibles pour
affecter négativement les opérations du résolveur
ouvert DNS. L'impact de cette attaque DoS peut
nécessiter le redémarrage du résolveur ouvert DNS
ou l'arrêt et le redémarrage des services.
 - Attaques furtives DNS :

Techniques DNS furtives Description

Flux rapide Les auteurs de menace utilisent cette technique pour
masquer leurs sites de phishing et de diffusion de
logiciels malveillants derrière un réseau en évolution
rapide d'hôtes DNS compromis. Les adresses IP du
protocole DNS changent continuellement après
quelques minutes. Les botnets utilisent souvent des
techniques Flux rapide pour cacher efficacement la
détection de serveurs malveillants.

Double flux IP Les acteurs de menace utilisent cette technique pour

changer rapidement le nom d'hôte en mappages
d'adresses IP et également pour changer le serveur de
noms faisant autorité. Cela augmente la difficulté
d'identifier la source de l'attaque.

Algorithmes de Les auteurs de menace utilisent cette technique dans

génération de domaine les logiciels malveillants pour générer de manière
aléatoire des noms de domaine qui peuvent ensuite
être utilisés comme points de rendez-vous vers leurs
serveurs de commande et de contrôle (C&C).

- Attaques shadowing du domaine DNS :

La surveillance de domaine implique que l'acteur de menace recueille des

informations sur le compte du domaine afin de créer silencieusement plusieurs
sous-domaines à utiliser lors des attaques. Ces sous-domaines pointent
généralement vers des serveurs malveillants sans alerter le propriétaire réel du
domaine parent.

- Attaques tunneling DNS :

• Les acteurs de menace qui utilisent la tunnellisation DNS placent le

trafic non DNS dans le trafic DNS. Cette méthode contourne souvent
les solutions de sécurité lorsqu'un acteur de menace souhaite
communiquer avec des bots à l'intérieur d'un réseau protégé ou exfiltrer
des données de l'organisation. Voici comment fonctionne la
tunnelisation DNS pour les commandes CnC envoyées à un botnet:
 1. Les données de commande sont divisées en plusieurs
blocs codés.
2. Chaque bloc est placé sous une étiquette de nom de
domaine d'un niveau inférieur à celui de la requête DNS.
3. Étant donné qu'il n'y a pas de réponse du DNS local ou
en réseau pour la requête, la demande est envoyée aux
serveurs DNS récursifs du ISP.
4. Le service DNS récursif transmet la requête au serveur
de noms faisant autorité de l'acteur de menace.
5. Le processus est répété jusqu'à ce que toutes les requêtes
contenant les blocs soient envoyées.
6. Lorsque le serveur de noms faisant autorité de l'acteur
de menace reçoit les requêtes DNS des appareils
infectés, il envoie des réponses pour chaque requête
DNS, qui contiennent les commandes CnC encapsulées
et encodées.
7. Le logiciel malveillant (malware) sur l'hôte compromis
recombine les morceaux et exécute les commandes
cachées dans l'enregistrement DNS.

• Pour arrêter la tunnellisation DNS, l'administrateur réseau doit utiliser

un filtre qui inspecte le trafic DNS. Portez une attention particulière aux
requêtes DNS qui sont plus longues que la moyenne, ou celles qui ont
un nom de domaine suspect.
Chapitre III : Authentification, Autorisation et Accounting
(AAA)

La méthode la plus simple d’authentification d’accès à distance consiste à

configurer une combinaison de login et de mot de passe sur la console, les lignes
vty et les ports aux.

Cette méthode n’offre aucune reddition de comptes. Toute personne disposant du

mot de passe peut accéder à l’appareil et modifier la configuration.
La personne ayant l’accès n’est pas identifiée et responsabilisé sur les opérations
qu’il a effectuées.

SSH est une forme d'accès à distance plus

sécurisée :

• Il nécessite un nom d'utilisateur et un mot de passe.

• Le nom d'utilisateur et le mot de passe peuvent être authentifiés locale.
La méthode de la base de données locale a certaines limites :

• Les comptes d'utilisateurs doivent être configurés localement sur chaque

périphérique qui n'est pas évolutif.
• La méthode ne fournit aucune méthode d'authentification de secours.

1- Caractéristiques de AAA

La sécurité AAA réseau et administrative dans l’environnement réseau comporte

trois composants fonctionnels :

Authentification - Les utilisateurs et les administrateurs doivent prouver leur

identité avant d’accéder au réseau et aux ressources réseau. L’authentification peut
être établie à l’aide de combinaisons de nom d’utilisateur et de mot de passe, de
questions de stimulation et de réponse, de cartes à jetons et d’autres méthodes. Par
exemple : « Je suis l’utilisateur 'étudiant' et je connais le mot de passe pour le
prouver. »

Autorisation - une fois l’utilisateur authentifié, les services d’autorisation

déterminent les ressources auxquelles l’utilisateur peut accéder et les opérations
qu’il est autorisé à effectuer.
Un exemple est « L’utilisateur 'étudiant' peut accéder au serveur hôte XYZ en
utilisant SSH uniquement. »

Accounting et Audit - enregistre ce que fait l’utilisateur, y compris ce qui est

consulté, la durée d’accès à la ressource et toutes les modifications apportées. La
comptabilité permet de suivre la façon dont les ressources réseau sont utilisées. Un
exemple est « L’utilisateur 'étudiant' a accédé au serveur hôte XYZ en utilisant SSH
pendant 15 minutes. »

Il existe deux modes d’authentification AAA :

• Local AAA Authentification - Local AAA utilise une base de données

locale pour l’authentification. Cette méthode est parfois appelée
authentification autonome. Dans ce cours, il sera appelé authentification
locale AAA.
• Server-Based AAA Authentification - Avec la méthode basée sur le
serveur, le routeur accède à un serveur AAA central.
Le serveur AAA central contient les noms d’utilisateur et les mots de
passe de tous les utilisateurs. Les périphériques réseaux utilisent les
protocoles RADIUS (Remote Authentification Dial-In User Service) ou
TACACS+ (Terminal Access Controller Access Control System) pour
communiquer avec le serveur AAA.
 2- Configurations Local AAA

La configuration des services AAA locaux pour authentifier l’accès administrateur

nécessite quelques étapes de base :

Étape 1. Ajoutez des noms d’utilisateur et des mots de passe à la base de données
du routeur local pour les utilisateurs qui ont besoin d’un accès
administratif au périphérique réseau.
Étape 2. Activez AAA globalement sur le routeur.
Étape 3. Configurez les paramètres AAA sur le périphérique réseau.
Étape 4. Confirmez et dépannez la configuration AAA.

Utilisez la commande aaa authentication login default, pour activer

l’authentification des lignes console, aux et vty. Le mot clé default applique
l’authentification à toutes les lignes.
Jusqu’à quatre méthodes peuvent être définies pour authentifier les utilisateurs, en
fournissant des méthodes de secours si une méthode n’est pas disponible. Pour
activer l’authentification locale à l’aide d’une base de données locale
préconfigurée, utilisez le mot-clé local ou local-case. Pour spécifier qu’un
utilisateur peut s’authentifier à l’aide du mot de passe enable, utilisez le mot clé
enable. Le tableau affiche les méthodes courantes qui peuvent être spécifiées.

Méthode Description
Enable Utilise le mot de passe d’activation pour l’authentification.

Local Utilise la base de données de noms d’utilisateur locale pour

l’authentification.

Local-case Utilise l’authentification de nom d’utilisateur local sensible à la

casse.

None Aucune Authentification

Group radius Utilise la liste de tous les serveurs RADIUS pour

l’authentification.

Group tacacs+ Utilise la liste de tous les serveurs TACACS+ pour

l’authentification.

Pour plus de flexibilité, différentes listes de méthodes peuvent être appliquées à

différentes interfaces et lignes à l’aide de la commande aaa authentication log
list-name. La liste nommée doit être explicitement activée sur la ligne à l’aide de la
commande login authentication en mode de configuration line.

Exemple : (Travaux Pratiques : Lab - Configurer Local AAA Authentification)

 3- Configurations basées sur Serveur

Un ou plusieurs serveurs AAA peuvent être utilisés pour gérer les besoins d’accès
utilisateur et administratif pour l’ensemble d’un réseau d’entreprise. Le logiciel
serveur AAA peut créer une base de données d’accès utilisateur et administrative
centrale à laquelle tous les périphériques du réseau peuvent se référer. Il peut
également fonctionner avec de nombreuses bases de données externes, y compris
Active Directory et LDAP (Light weight Directory Access Protocol). Ces bases de
données stockent les informations de compte d’utilisateur et les mots de passe, ce
qui permet une administration centralisée des comptes d’utilisateurs. Pour une
redondance accrue, plusieurs serveurs peuvent être implémentés.

TACACS+ et RADIUS sont tous deux des protocoles d’authentification utilisés

pour communiquer avec les serveurs AAA. Comme indiqué dans le tableau, chacun
prend en charge différentes capacités et fonctionnalités.

Il existe quatre étapes de base pour configurer l’authentification basée sur le

serveur :

Étape 1. Permettre globalement AAA d’autoriser l’utilisation de tous les éléments

AAA. Cette étape est une condition préalable à toutes les autres
commandes AAA.
Étape 2. Spécifier le serveur qui fournira les services AAA pour le routeur. Il peut
s’agir d’un serveur TACACS+ ou RADIUS.
Étape 3. Configurer la clé de chiffrement nécessaire pour chiffrer le transfert de
données entre le périphérique réseau et le serveur AAA.
Étape 4. Configurer la liste des méthodes d’authentification AAA pour faire
référence au serveur TACACS+ ou RADIUS.

Pour la redondance, il est possible de configurer plusieurs serveurs.

• Pour configurer un serveur TACACS+, activer globalement AAA à
l’aide de la commande aaa new-model.
• Utiliser la commande tacacs server name.
• En mode de configuration de TACACS+ server, configurer l’adresse
IPv4 du TACACS+ server. La commande address ipv4 permet de
modifier le port d’authentification et le port de accounting.
• Utiliser la commande à connexion unique pour améliorer les
performances TCP. Si nécessaire, plusieurs serveurs TACACS+ peuvent
être identifiés en entrant leurs adresses IPv4 respectives à l’aide de la
commande tacacs server name.
• la commande key est utilisée pour configurer la clé secrète partagée afin
de chiffrer le transfert de données entre le serveur TACACS+ et le
routeur AAA.

• Pour configurer un serveur RADIUS, utiliser la commande radius server

name.
• Si nécessaire, plusieurs serveurs RADIUS peuvent être identifiés en
entrant une commande radius server pour chaque serveur.
• En mode de configuration du serveur RADIUS, configurez l’adresse
IPv4 du serveur RADIUS à l’aide de la commande address ipv4 ipv4-
address.
• Pour configurer la clé secrète partagée pour chiffrer le mot de passe,
utiliser la commande key.
Lorsque les serveurs de sécurité AAA ont été identifiés, ils doivent être inclus dans
la liste des méthodes de la commande aaa authentication login. Les serveurs AAA
sont identifiés à l’aide des mots-clés group tacacs+ ou group radius.

Pour configurer une liste de méthodes pour la connexion par défaut afin de
s’authentifier d’abord à l’aide d’un serveur TACACS+, ensuite avec un serveur
RADIUS et enfin avec une base de données de noms d’utilisateur locale, spécifiez
l’ordre avec la commande par défaut de aaa authentication log

Exemple : (Travaux Pratiques : Lab - Configurer Authentification AAA basée sur

serveur)
Chapitre IV : Les listes de contrôle d’accès (ACL) et
filtrage de paquets

1- Introduction aux ACL

Une liste de contrôle d’accès au réseau (ACL) est constituée de règles qui
permettent l’accès à un environnement informatique ou le refusent. D’une certaine
manière, un ACL est comme une liste d’invités dans un club exclusif. Seuls ceux
de la liste sont autorisés dans les portes. Cela permet aux administrateurs de
s’assurer que, à moins que les informations d’identification appropriées ne soient
présentées par le dispositif, il ne peut pas y accéder.

- Définition d’une ACL :

Une liste de contrôle d'accès (ou ACL) est une série de commandes qui déterminent
si un périphérique réseau achemine ou abandonne les paquets en fonction des
informations contenues dans l'en-tête de paquet.

Par défaut, aucune ACL n'est configurée sur un périphérique réseau. Toutefois,
lorsqu'une liste de contrôle d'accès est appliquée à une interface, périphérique
réseau évalue en outre tous les paquets réseau lorsqu'ils traversent l'interface pour
déterminer s'ils peuvent être acheminés.

• Une ACL utilise une liste séquentielle de déclarations d'autorisation ou

de refus, connues sous le nom d'entrées de contrôle d'accès (ACE). Les
ACE sont couramment appelées des instructions de liste de contrôle
d'accès.
• Lorsque le trafic réseau traverse une interface configurée avec une liste
de contrôle d'accès, le périphérique réseau compare les informations du
paquet à chaque ACE, dans l'ordre séquentiel, afin de déterminer si le
paquet correspond à l'une des entrées ACE. C’est ce que l’on appelle le
filtrage de paquet.

Plusieurs tâches effectuées par les périphériques réseau nécessitent l'utilisation

d'ACL pour identifier le trafic :

• Limiter le trafic du réseau pour en augmenter les performances

• Elles contrôlent le flux de trafic.
• Elles fournissent un niveau de sécurité de base pour l'accès réseau.
• Elles filtrent le trafic en fonction de son type.
• Contrôler les hôtes pour autoriser ou refuser l'accès aux services de réseau
• Donner la priorité à certaines classes de trafic réseau
- Le filtrage de paquets :

• Le filtrage de paquets contrôle l'accès à un réseau en analysant les paquets

entrants et/ou sortants et en les transmettant ou en les abandonnant en
fonction de critères donnés.
• Le filtrage des paquets peut être effectué au niveau de la couche 3 ou de la
couche 4.
• Les périphériques réseau prennent en charge deux types de ACLs :
• ACL standard - Les ACL filtrent uniquement au niveau de la couche
3 à l'aide de l'adresse IPv4 source uniquement.
• ACL étendues - Filtre ACL à la couche 3 à l'aide de l'adresse IPv4
source et/ou destination. Ils peuvent également filtrer au niveau de la
couche 4 en utilisant les ports TCP et UDP, ainsi que des informations
facultatives sur le type de protocole pour un contrôle plus fin.

• Les listes de contrôle d'accès définissent des règles de contrôle pour les
paquets arrivant par les interfaces d'entrée, passant par le périphérique réseau
et atteignant leur destination par les interfaces de sortie.
• Les listes de contrôle d'accès peuvent être configurées pour s'appliquer au
trafic entrant et au trafic sortant :
• Une ACL entrant filtre les paquets avant qu'ils ne soient acheminés vers
l'interface sortante. Une liste de contrôle d’accès entrante est efficace car elle
réduit la charge des recherches de routage en cas d’abandon du paquet.
• Les listes de contrôle d'accès sortantes filtrent les paquets après qu'ils ont été
routés, et ce, quelle que soit l'interface de sortie.
Lorsqu'une ACL est appliquée à une interface, elle suit une procédure
d'exploitation spécifique. Voici les étapes opérationnelles utilisées lorsque le trafic
est entré dans une interface d’un périphérique réseau avec une ACL IPv4 standard
entrante configurée :

1. Le périphérique réseau extrait l'adresse IPv4 source de l'en-tête du paquet.

2. Le périphérique réseau commence en haut de l'ACL et compare l'adresse
IPv4 source à chaque ACE dans un ordre séquentiel.
3. Lorsqu'une correspondance est établie, le routeur exécute l'instruction, soit
en autorisant soit en refusant le paquet, et les ACE restants dans l'ACL, le
cas échéant, ne sont pas analysés.
4. Si l'adresse IPv4 source ne correspond à aucun ACE de l'ACL, le paquet est
ignoré car un ACE de refus implicite est automatiquement appliqué à toutes
les ACLs.

La dernière instruction d'une liste de contrôle d'accès est toujours une instruction
deny implicite bloquant tout le trafic. Il est caché et non affiché dans la
configuration.

Remarque : Une liste ACL doit avoir au moins une déclaration d'autorisation sinon
tout le trafic sera refusé en raison de l'instruction ACE de refus implicite.

- Opérations ACL :

L'utilisation des listes de contrôle d'accès nécessite beaucoup de précision et de

soin. Les erreurs peuvent vous coûter cher et se solder par des pannes de réseau,
d’importants efforts de dépannage et des services réseau médiocres. Une
planification de base est nécessaire avant de configurer une ACL.
 Directive Description
Créez vos listes de contrôle d'accès Vous serez ainsi certain
conformément à la stratégie de sécurité d'implémenter les instructions
de votre entreprise. relatives à la sécurité
organisationnelle.

Écrivez ce que vous voulez que l'ACL Vous éviterez ainsi de créer
fasse. d'éventuels problèmes d'accès par
mégarde.

Utilisez un éditeur de texte pour créer, Vous pourrez ainsi créer une
modifier et enregistrer les listes de bibliothèque de listes de contrôle
contrôle d'accès. d'accès réutilisables.

Documentez les ACL à l'aide de la Cela vous aidera (et d'autres) à

commande remark. comprendre le but d'une ACE.

Testez vos listes de contrôle d'accès Vous éviterez ainsi de commettre

sur un réseau de développement avant des erreurs coûteuses.
de les implémenter sur un réseau de
production.

2- Implémentation et configuration des ACL

- ACL standards et étendues

Types de listes de contrôle d'accès IPv4 :

• ACL standard - Ces listes autorisent ou refusent les paquets basés

uniquement sur l'adresse IPv4 source.

• ACL étendues - Ces listes autorisent ou refusent les paquets basés sur
l'adresse IPv4 source et l'adresse IPv4 de destination, le type de protocole,
les ports TCP ou UDP source et destination et plus encore.
 R1(config)# access-list ?
<1-99> IP standard access list
<100-199> IP extended access list
Listes de contrôle
<700-799> d’accès
48-bit MACnumérotées
address access
: list
<1300-1999> IP standard access list (expanded range)
<200-299> Protocol type-code access list
<2000-2699> IP extended access list (expanded range)
• Les ACL48-bit
<700-799> MAC 1-99
numérotées address access sont
ou 1300-1999 listdes ACL standard, tandis que
rate-limit Simple rate-limit
les ACL numérotées specific sont
100-199 ou 2000-2699 access list
des ACL étendues.
template Enable IP template acls
Router(config)# access-list

Listes de contrôle d'accès nommées :

• Les ACL nommées sont la méthode préférée à utiliser lors de la

configuration des ACL. Plus précisément, les listes ACL standard et
étendues peuvent être nommées pour fournir des informations sur l'objet de
la liste ACL. Par exemple, nommer un ACL FTP-FILTER étendu est
beaucoup mieux que d'avoir une ACL numérotée 100.

• La commande de configuration globale ip access-list est utilisée pour créer

une liste ACL nommée, comme illustré dans l'exemple suivant.

R1(config)# ip access-list extended FTP-FILTER

R1(config-ext-nacl)# permit tcp [Link] [Link] any eq ftp
R1(config-ext-nacl)# permit tcp [Link] [Link] any eq ftp-data
R1(config-ext-nacl)#

- Consignes de configuration des ACL :

Où placer les listes de contrôle d'accès

• Chaque liste de contrôle d'accès doit être placée là où elle aura le plus
grand impact sur les performances.
• Les listes de contrôle d'accès étendues doivent être placées le plus près
possible de la source du trafic à filtrer.
• Les listes de contrôle d'accès standard doivent être placées le plus près
possible de la destination.
Exemple : (ACL standard)

Sur la figure, l'administrateur souhaite empêcher le trafic provenant du réseau

[Link]/24 d'accéder au réseau [Link]/24.
En suivant les instructions de placement de base, l'administrateur place une liste
ACL standard sur le routeur R3.
Exemple : (ACL étendue)

• Les ACL étendus doivent être situés aussi près que possible de la
source.
• Cependant, l'organisation ne peut placer des ACL que sur les appareils
qu'elle contrôle. Par conséquent, cet emplacement doit être déterminé
par la portée du contrôle dont dispose l’administrateur réseau.
• Dans la figure, par exemple, la société A veut refuser le trafic Telnet et
FTP au réseau [Link]/24 de la société B à partir de son réseau
[Link]/24 tout en autorisant tout autre trafic.

 Pour créer une liste ACL standard numérotée, utilisez la commande access-
list
  Pour créer une liste ACL standard nommée, utilisez la commande ip access-
list standard.

Les noms des listes de contrôle d'accès doivent contenir uniquement des
caractères alphanumériques, sont sensibles à la casse et doivent être uniques.

Vous n’êtes pas obligés de mettre des majuscules aux noms des listes de
contrôle d’accès. En revanche, si vous le faites, vous les verrez bien mieux en
affichant la sortie de la commande running-config.

 Une fois qu'une ACL IPv4 standard est configurée, elle doit être liée à une
interface ou à une fonctionnalité.
• La commande ip access-group est utilisée pour lier une ACL IPv4
standard numérotée ou nommée à une interface.
• Pour supprimer une ACL d'une interface, entrez d'abord la commande de
configuration de l'interface no ip access-group

Exemple : (Liste de contrôle d’accès standard numérotée)

L'exemple ACL autorise le trafic à partir de l'hôte [Link] et de tous les

hôtes sur l'interface de sortie réseau [Link]/24 série 0/1/0 sur le routeur R1.
Exemple : (Liste de contrôle d’accès standard nommée)

L'exemple ACL autorise le trafic à partir de l'hôte [Link] et de tous les

hôtes sur l'interface de sortie réseau [Link]/24 série 0/1/0 sur le routeur R1.
  Pour créer une liste ACL étendue, utilisez la commande access-list
(numérotée) ou ip access-list extended (nommée).

Les ACL étendues offrent un plus grand degré de contrôle. Ils peuvent filtrer sur
l'adresse source, l'adresse de destination, le protocole (c'est-à-dire IP, TCP,
UDP, ICMP) et le numéro de port.

Les ACL étendues peuvent être créées comme suit :

• ACL étendu numérotée - Créé à l'aide de la commande de configuration
globale access-list access-list-number.
• ACL étendu nommée - Créé à l'aide de la commande ip access-list
extended access-list-name.

Les ACL étendues peuvent filtrer sur protocoles et ports d'internet. Utiliser le ?
pour obtenir de l'aide lors de la saisie d'un ACE complexe. Les quatre
protocoles mis en évidence sont les options les plus populaires.

La sélection d'un protocole influence les options de port. De nombreuses options de

port TCP sont disponibles, comme indiqué dans la sortie.
Exemple : (Configuration de protocole et nos de port)

Les ACL étendues peuvent filtrer sur différentes options de numéro de port et de
nom de port.
Cet exemple montre comment configurer une ACL 100 étendue pour filtrer le trafic
HTTP. Le premier ACE utilise le nom de port www. Le deuxième ACE utilise le
numéro de port 80. Les deux ACE obtiennent exactement le même résultat.

La configuration du numéro de port est requise lorsqu'aucun nom de protocole

spécifique n'est répertorié tel que SSH (numéro de port 22) ou HTTPS (numéro de
port 443), comme indiqué dans l'exemple suivant.
Dans cet exemple, l'ACL permet à la fois le trafic HTTP et HTTPS à partir du
réseau [Link] d'accéder à n'importe quelle destination.
Les ACL étendues peuvent être appliquées à différents endroits. Cependant, elles
sont couramment appliquées près de la source. Ici ACL 110 est appliquée en
entrant sur l'interface R1 G0/0/0.

Si vous attribuez un nom à une liste de contrôle d'accès, il vous sera plus facile d'en
comprendre la fonction. Pour créer une liste ACL étendue nommée, utilisez la
commande de configuration ip access-list extended.
Dans l'exemple, une liste ACL étendue nommée NO-FTP-ACCESS est créée et
l'invite est modifiée en mode de configuration ACL étendue nommée. Les
instructions ACE sont entrées dans le mode de sous-configuration ACL étendu
nommé.

Exemple : (Configuration ACL étendue nommée)

• L'ACL PERMIT-PC1 autorise PC1 ([Link]) l'accès TCP au trafic

FTP, SSH, Telnet, DNS, HTTP et HTTPS.
• La liste ACL REPLY-PC1 permettra le retour du trafic vers PC1.
 • La liste ACL PERMIT-PC1 est appliquée en entrée et la liste ACL REPLY-
PC1 est appliquée en sortie sur l'interface R1 G0/0/0.

(Ateliers de travail sur les configurations des ACL)

 3- Atténuation des attaques réseaux avec des ACL

 Sécuriser les ports VTY à l'aide d'une liste de contrôle d'accès IPv4
standard :

Une liste ACL standard peut sécuriser l'accès administratif à distance à un

périphérique à l'aide des lignes vty en implémentant les deux étapes suivantes :

• Créez une liste ACL pour identifier les hôtes administratifs qui doivent être
autorisés à accéder à distance.
• Appliquez l'ACL au trafic entrant sur les lignes vty.

Exemple : (Liste de contrôle d’accès pour sécuriser les lignes vty)

Cet exemple montre comment configurer une liste ACL pour filtrer le trafic vty.

• Tout d'abord, une entrée de base de données locale pour un utilisateur

ADMIN et mot de passe class est configurée.
• Les lignes vty sur R1 sont configurées pour utiliser la base de données locale
pour l'authentification, autoriser le trafic SSH et utiliser l'ACL ADMIN-
HOST pour restreindre le trafic.
Une fois que la liste de contrôle d'accès aux lignes VTY est configurée, il est
important de vérifier qu'elle fonctionne correctement.
Pour vérifier les statistiques ACL, exécutez la commande show access-lists .
• La correspondance dans la ligne d'autorisation de la sortie est le résultat
d'une connexion SSH réussie par l'hôte avec l'adresse IP [Link].
• La correspondance à l'instruction «deny» est due à l'échec de la de la
tentative de créer une connexion SSH à partir d'un appareil sur un autre
réseau.
Chapitre V : Les technologies de Firewall
1- Réseaux sécurisés avec Firewall

Tous les pare-feu partagent des propriétés communes :

• Les pare-feu sont résistants aux attaques réseau.
• Les pare-feu sont le seul point de transit entre les réseaux internes de
l’entreprise et les réseaux externes, car tout le trafic passe par le pare-feu.
• Les pare-feu appliquent la stratégie de contrôle d’accès.
Différents types de pare-feu ont des avantages et des limites différents.

Il est important de comprendre les différents types de pare-feu et leurs capacités

spécifiques afin que le bon pare-feu soit utilisé pour chaque situation.

Pare-feu de filtrage de paquets (sans état) (stateless)- Ils font généralement

partie d’un pare-feu de routeur, qui autorise ou refuse le trafic en fonction des
informations de couche 3 et de couche 4. Il s’agit de pare-feu sans état (stateless)
qui utilisent une simple recherche de table de stratégies qui filtre le trafic en
fonction de critères spécifiques.
Pare-feu avec état (statefull) – Ce sont les technologies de pare-feu les plus
polyvalentes et les plus courantes utilisées. Les pare-feu avec état fournissent un
filtrage de paquets avec état à l’aide des informations de connexion conservées
dans une table d’état. Le filtrage avec état est une architecture de pare-feu au
niveau de la couche réseau.
Pare-feu Application Gateway (proxy) – Ils filtrent les informations aux couches
3, 4, 5 et 7. La plupart du contrôle et du filtrage du pare-feu sont effectués dans le
logiciel. Lorsqu’un client a besoin d’accéder à un serveur distant, il se connecte à
un serveur proxy.
Pare-feu de nouvelle génération (NGFW) – Ceux-ci vont au-delà des pare-feu
dynamiques en fournissant une prévention intégrée des intrusions, la connaissance
et le contrôle des applications, des chemins de mise à niveau pour inclure les futurs
flux d’informations et des techniques pour faire face aux menaces de sécurité en
constante évolution.

Avantages des pare-feu de filtrage de paquets (Stateless):

• Ils implémentent des ensembles de règles simples d’autorisation ou de
refus.
• Ils ont un faible impact sur les performances du réseau.
• Ils sont faciles à mettre en œuvre et sont pris en charge par la plupart des
routeurs.
• Ils fournissent un degré initial de sécurité au niveau de la couche réseau.
• Ils effectuent de nombreuses tâches d’un pare-feu haut de gamme à un
coût beaucoup plus faible.
Limitations des pare-feu de filtrage de paquets :
• Ils sont sensibles à l’usurpation IP.
• Ils ne filtrent pas de manière fiable les paquets fragmentés.
• Ils utilisent des ACL complexes, qui peuvent être difficiles à mettre en
œuvre et à maintenir.
• Ils ne peuvent pas filtrer dynamiquement certains services.
• Ils sont sans états.

Le tableau répertorie les avantages et les limites des pare-feu avec état (Statefull).

Bénéfices Limitations
Premiers moyens de défense Aucune inspection de la couche
d’application

Filtrage de paquets puissant Suivi limité des protocoles sans état

Performances améliorées par Difficile à défendre contre la négociation

rapport aux filtres de paquets portuaire dynamique

Journal de données plus riche

Défense contre l'usurpation Pas de prise en charge de l'authentification

d'identité et les attaques DoS
 2- Firewall dans la conception des réseaux

La conception du pare-feu concerne principalement les interfaces de périphérique

autorisant ou refusant le trafic en fonction de la source, de la destination et du type
de trafic.
Voici trois conceptions de pare-feu courantes :
• Privées et Publiques
• zones démilitarisées (DMZ)
• Stratégies basées sur les zones (Zone Based Policy)

 Privé et public - Le réseau public (ou le réseau externe) n’est pas approuvé
et le réseau privé (ou réseau interne) est approuvé.

 Zone démilitarisée (DMZ) - Il s’agit d’une conception de pare-feu où il y a

généralement une interface interne connectée au réseau privé, une interface
externe connectée au réseau public et une interface DMZ.
 Stratégie basée sur une zone - Les pare-feu de stratégie basés sur les zones
(ZPF) utilisent le concept de zones pour offrir une flexibilité supplémentaire.
Une zone est un groupe d’une ou plusieurs interfaces qui ont des fonctions
ou des caractéristiques similaires. Les zones vous aident à spécifier où une
règle ou une stratégie de pare-feu Cisco IOS doit être appliquée.
Une défense en couches utilise différents types de pare-feu qui sont combinés en
couches pour ajouter de la profondeur à la sécurité d’une organisation. Les
stratégies peuvent être appliquées entre les couches et à l’intérieur des couches.

L’exemple suivant illustre quatre couches de sécurité.

1. Sécurité de base du réseau - Protège contre les

logiciels malveillants et les anomalies de trafic,
applique les politiques réseaux et assure la capacité de
survie
2. Sécurité du périmètre - Sécurise les limites entre
les zones
3. Sécurité des communications - Fournit une
assurance de l’information
4. Sécurité des terminaux - Assure la
conformité aux stratégies de sécurité des identités
et des appareils

Cette liste partielle des meilleures pratiques peut servir de point de départ pour une
stratégie de sécurité de pare-feu.
• Placez les pare-feu aux limites de sécurité.
• Les pare-feu sont un élément essentiel de la sécurité du réseau, mais il
n’est pas sage de compter exclusivement sur un pare-feu pour la sécurité.
• Refuser tout le trafic par défaut.
• N’autorisez que les services nécessaires.
• Assurez-vous que l’accès physique au pare-feu est contrôlé.
• Surveillez régulièrement les journaux du pare-feu.
• Pratiquez la gestion des modifications pour les modifications de
configuration du pare-feu.
• N’oubliez pas que les pare-feu protègent principalement contre les
attaques techniques provenant de l’extérieur.
 3- Firewall de stratégie basée sur les zones

Il existe deux modèles de configuration pour Firewall :

• Classic Firewall - Modèle de configuration traditionnel dans lequel la

stratégie de pare-feu est appliquée aux interfaces.
• Zone-based Policy Firewall (ZPF) - Le nouveau mode de configuration
dans lequel les interfaces sont affectées aux zones de sécurité et la
stratégie de pare-feu est appliquée au trafic circulant entre les zones.

Il y a plusieurs avantages d’une ZPF:

• Il ne dépend pas des ACL.

• La posture de sécurité du routeur est de bloquer sauf autorisation
explicite.
• Les politiques sont faciles à lire et à dépanner avec le langage Cisco
Common Classification Policy Language (C3PL). C3PL est une
méthode structurée pour créer des politiques de trafic basées sur des
événements, des conditions et des actions. Cela offre une évolutivité car
une stratégie affecte un trafic donné, au lieu d’avoir besoin de plusieurs
listes de contrôle d’accès et actions d’inspection pour différents types de
trafic.
• Les interfaces virtuelles et physiques peuvent être regroupées en zones.
• Les stratégies sont appliquées au trafic unidirectionnel entre les zones.

La conception des ZPF implique plusieurs étapes :

• Étape 1. Déterminez les zones. Une zone définit une limite où le trafic
est soumis à des restrictions de stratégie lorsqu’il traverse une autre
région du réseau.
• Étape 2. Établissez des politiques entre les zones. Définissez les sessions
que les clients des zones sources peuvent demander aux serveurs des
zones de destination.
• Étape 3. Concevoir l’infrastructure physique. Cela inclut de dicter le
nombre d’appareils entre les zones les plus sécurisées et les moins
sécurisées et de déterminer les appareils redondants.
• Étape 4. Identifiez les sous-ensembles au sein des zones et fusionnez les
exigences de trafic. Bien qu’il s’agisse d’une considération importante,
la mise en œuvre de sous-ensembles de zones dépasse la portée de ce
programme.
Exemple de LAN - Internet

Exemple : Pare-feu avec des serveurs publics

Exemple : Pare-feu redondants

Exemple : Pare-feu complexe

- Présentation des zones

• Le pare-feu présente plusieurs interfaces réseaux auxquelles on attribue des

adresses IP.
• Chaque interface peut être affectée à une zone
• Chaque zone présente un niveau de sécurité
• Dans les topologies classiques, il existe trois zones principales ; zone interne
(réseau LAN des utilisateurs), zone externe (internet) et zone DMZ
(serveurs).
 - Conception des zones

La première étape consiste à créer les zones. Cependant, avant de créer les
zones, répondez à quelques questions : Quelles interfaces doivent être incluses
dans les zones ? Quel sera le nom de chaque zone ? Quel trafic est nécessaire
entre les zones et dans quelle direction ?

Dans l’exemple de topologie, nous avons deux interfaces, deux zones et le trafic
circulant dans une direction. Le trafic provenant de la zone publique ne sera pas
autorisé. Créez les zones privées et publiques pour le pare-feu à l’aide de la
commande zone security, comme illustré ici.

- Opérations et actions sur le trafic entre les zones

Les stratégies identifient les actions que le ZPF effectuera sur le trafic réseau. Trois
actions possibles peuvent être configurées pour traiter le trafic par protocole, zones
source et destination (paires de zones) et autres critères.
• Inspect - Effectue l’inspection des paquets avec état Cisco
IOS.
• Drop - Analogue à une instruction deny dans une liste de
contrôle d’accès. Une option de journalisation (log) est
disponible pour consigner les paquets rejetés.
• Pass - Analogue à une déclaration permit dans une ACL.
L’action de passage ne suit pas l’état des connexions ou des
sessions dans le trafic.
 - Configurations des zones

Étape 1 : Créez les zones.

Étape 2 : Identifiez le trafic avec un mappage de classes.
Étape 3 : Définissez une action avec une carte de stratégie.
Étape 4 : Identifiez une paire de zones et associez-la à une carte de stratégie.
Étape 5 : Attribuez des zones aux interfaces appropriées.
Chapitre VI : Les technologies IDS/IPS

1- Caractéristiques IDS/IPS

- Attaques Zero-Day

Une attaque zero-day est une cyberattaque qui tente d’exploiter des vulnérabilités
logicielles inconnues ou non divulguées par le fournisseur de logiciels. Le terme
zero-day décrit le moment où une menace jusque-là inconnue est identifiée.

- Surveillance des attaques

Des systèmes de détection d’intrusion (IDS) ont été mis en œuvre pour surveiller
passivement le trafic sur un réseau. La figure montre qu’un périphérique
compatible IDS copie le flux de trafic et analyse le trafic copié plutôt que les
paquets transférés réels. Une meilleure solution consiste à utiliser un appareil
capable de détecter et d’arrêter immédiatement une attaque.

Un système de prévention des intrusions (IPS) remplit cette fonction.

- Périphériques de détection et de prévention des intrusions
 Solution Avantages Inconvénients
IDS • Aucun impact sur le • L’action de réponse ne peut
réseau (latence, gigue) pas arrêter les paquets
• Aucun impact sur le déclencheurs
réseau en cas de • Réglage correct requis pour
défaillance du capteur les actions de réponse
• Aucun impact sur le • Plus vulnérable aux
réseau en cas de surcharge techniques d’évasion de
du capteur sécurité réseau

IPS • Arrête les paquets de • Les problèmes de capteur

déclenchement peuvent affecter le trafic
• Peut utiliser des réseau
techniques de • La surcharge du capteur a
normalisation de flux un impact sur le réseau
(latence, gigue)

2- Implémentations IPS

- Types IPS

Il existe deux principaux types d’IPS disponibles :

• l’IPS basé sur l’hôte (HIPS) et l’IPS basé sur le réseau. HIPS peut être
considéré comme une combinaison de logiciel antivirus, de logiciel
antimalware et d’un pare-feu. Un exemple de HIPS est Windows Defender.
Il fournit une gamme de mesures de protection pour les hôtes Windows.

• Un IPS basé sur le réseau (NIPS) peut être implémenté à l’aide d’un
périphérique IPS dédié ou non dédié tel qu’un routeur. Les implémentations
IPS basées sur le réseau sont un élément essentiel de la prévention des
intrusions. Les solutions IDS/IPS basées sur l’hôte doivent être intégrées à
une implémentation IPS basée sur le réseau pour garantir une architecture de
sécurité robuste.
Les capteurs IPS basés sur le réseau peuvent être mis en œuvre de plusieurs façons
• Sur une appliance Firewall NGWF (Cisco Firepower Fortinet Fortigate,
…)
• Sur un périphérique pare-feu matériel
• Sur un routeur ISR
• En tant que NGIPSv pour Vmware
Le matériel de tous les capteurs basés sur le réseau comprend trois composants :
• NIC - L’IPS basé sur le réseau doit pouvoir se connecter à n’importe
quel réseau, tel que Ethernet, Fast Ethernet et Gigabit Ethernet.
• Processeur - La prévention des intrusions nécessite la puissance du
processeur pour effectuer une analyse de détection d’intrusion et une
correspondance de modèles.
• Mémoire - L’analyse de détection d’intrusion est gourmande en
mémoire. La mémoire affecte directement la capacité d’un IPS basé sur
le réseau à détecter efficacement et précisément une attaque.)

- Déploiement IPS

Les capteurs IDS et IPS peuvent fonctionner en mode en ligne (également

appelé mode de paire d’interface en ligne) ou en mode promiscuité (également
appelé mode passif).
Mode en ligne

Mode promiscuité

- Composants IPS

Un capteur IPS comporte deux composants :

• Moteur de détection et d’application IPS : pour valider le trafic, le moteur

de détection compare le trafic entrant avec les signatures d’attaque connues
incluses dans le package de signatures d’attaque IPS.
• Package de signatures d’attaque IPS - Il s’agit d’une liste de signatures
d’attaque connues contenues dans un fichier. Le pack de signatures est mis à
jour fréquemment à mesure que de nouvelles attaques sont découvertes. Le
trafic réseau est analysé pour les correspondances avec ces signatures.

Le moteur de détection et d’application IPS qui peut être implémenté dépend de la

plate-forme du routeur :
• Système de prévention des intrusions (IPS) Cisco IOS Cisco
• Snort IPS
  Cisco IOS IPS

L’administrateur réseau peut configurer Cisco IOS IPS pour choisir la réponse
appropriée à diverses menaces. Par exemple, lorsque les paquets d’une session
correspondaient à une signature, Cisco IOS IPS pourrait être configuré pour
répondre comme suit :
• Envoyer une alarme à un serveur syslog ou à une interface de gestion
centralisée.
• Déposer le paquet.
• Réinitialisez la connexion.
• Refuser le trafic provenant de l’adresse IP source de la menace pendant une
durée spécifiée.
• Refuser le trafic sur la connexion pour laquelle la signature a été vue pendant
une durée spécifiée.
  Snort IPS

• De nombreux périphériques prenant en charge Cisco IOS IPS ne sont plus

disponibles ou ne sont plus pris en charge. Les nouveaux routeurs à
intégration de services (ISR) de la gamme Cisco 4000 fournissent des
services IPS à l’aide de la fonction Snort IPS.

• Snort est un IPS réseau open source qui effectue une analyse du trafic en
temps réel et génère des alertes lorsque des menaces sont détectées sur les
réseaux IP. Il peut également effectuer une analyse de protocole, rechercher
ou faire correspondre le contenu, et détecter une variété d’attaques et de
sondes, telles que les débordements de tampon, les analyses de ports furtifs,
etc. Le moteur Snort s’exécute dans un conteneur de service virtuel sur les
ISR de la gamme Cisco 4000. Un conteneur de service virtuel est une
machine virtuelle qui s’exécute sur le système d’exploitation du routeur ISR.
Les conteneurs de service sont des applications qui peuvent être hébergées
directement sur les plates-formes de routage Cisco IOS XE. Le conteneur
Snort est distribué en tant que fichier OVA (Open Virtualization Appliance)
installé sur le routeur.

Les signatures IPS Snort sont transmises automatiquement à l’ISR par Cisco Talos.
Snort peut personnaliser les ensembles de règles et fournir des fonctionnalités de
déploiement et de gestion centralisées pour les ISR de la série 4000. Snort peut être
activé en mode IDS ou IPS :
• mode IDS - Snort inspecte le trafic et signale les alertes, mais ne prend
aucune mesure pour empêcher les attaques.
• Mode IPS - En plus de la détection des intrusions, des mesures sont
prises pour empêcher les attaques.
En mode de détection et de prévention des intrusions réseau, Snort effectue les
actions suivantes :
• Surveille le trafic réseau et analyse par rapport à un ensemble de règles
défini.
• Effectue la classification des attaques. Appelle des actions contre des
règles correspondantes.

Caractéristiques Bénéfices
Snort
Signature-based L’IPS open source Snort, capable d’effectuer une analyse
intrusion detection du trafic en temps réel et une journalisation des paquets sur
system (IDS) et les réseaux IP, s’exécute sur le conteneur de service ISR de
intrusion prevention la série 4000 sans qu’il soit nécessaire de déployer un
system (IPS) périphérique supplémentaire dans la succursale.

Régle Snort set La régle Snort set updates pour la série 4000, les ISR sont
updates générés par Cisco Talos, un groupe d’experts en sécurité
réseau de pointe qui travaillent jour et nuit pour découvrir,
évaluer et répondre de manière proactive aux dernières
tendances en matière d’activités de piratage, de tentatives
d’intrusion, de logiciels malveillants et de vulnérabilités.

Régle Snort set Le routeur pourra télécharger des ensembles de règles

pull directement à partir de [Link] ou [Link] vers un
serveur local, à l’aide de commandes uniques ou de mises à
jour automatisées périodiques.

Régle Snort set Un outil de gestion centralisé peut pousser les ensembles
push de règles en fonction d’une politique préconfigurée, au lieu
que le routeur télécharge directement par lui-même.

Signature allowed La liste autorisée permet de désactiver certaines signatures

listing de l’ensemble de règles. Les signatures désactivées
peuvent être réactivées à tout moment.
Chapitre VII : VPN

1- Présentation des VPN

Pour sécuriser le trafic réseau entre les sites et les utilisateurs, les organisations
utilisent des réseaux privés virtuels (VPN) pour créer des connexions réseau privé
de bout en bout. Un VPN est virtuel en ce sens qu’il transporte des informations au
sein d’un réseau privé, mais ces informations sont transportées sur un réseau
public. Un VPN est privé en ce sens que le trafic est crypté pour garder les données
confidentielles pendant leur transport sur le réseau public. La figure montre une
collection de différents types de VPN gérés par le site principal d’une entreprise. Le
tunnel permet aux sites distants et aux utilisateurs d’accéder aux ressources réseau
du site principal en toute sécurité.

Les VPN modernes prennent désormais en charge les fonctionnalités de cryptage,

telles que les VPN IPsec (Internet Protocol Security) et SSL (Secure Sockets
Layer) pour sécuriser le trafic réseau entre les sites.
Les principaux avantages des VPN sont présentés dans le tableau.
 Bénéfices des VPN Description
Economies de coûts Avec l’avènement de technologies rentables à large bande
passante, les organisations peuvent utiliser des VPN pour
réduire leurs coûts de connectivité tout en augmentant
simultanément la bande passante de connexion à distance.

Sécurité Les VPN offrent le plus haut niveau de sécurité disponible,

en utilisant des protocoles de cryptage et d’authentification
avancés qui protègent les données contre tout accès non
autorisé.

Evolutivité Les VPN permettent aux organisations d’utiliser Internet, ce

qui facilite l’ajout de nouveaux utilisateurs sans ajouter
d’infrastructure importante.

Compatibilité Les VPN peuvent être mis en œuvre sur une grande variété
d’options de liaison WAN, y compris toutes les technologies
haut débit populaires. Les travailleurs à distance peuvent
tirer parti de ces connexions haut débit pour obtenir un accès
sécurisé à leurs réseaux d’entreprise.

2- Topologies VPN

 Site-à-Site et VPNs accès distant

Un VPN de site à site est créé lorsque des périphériques de terminaison VPN,
également appelés passerelles VPN, sont préconfigurés avec des informations pour
établir un tunnel sécurisé. Le trafic VPN n’est crypté qu’entre ces appareils. Les
hôtes internes ne savent pas qu’un VPN est utilisé.
Un VPN d’accès à distance est créé dynamiquement pour établir une connexion
sécurisée entre un client et un périphérique de terminaison VPN. Par exemple, un
VPN SSL d’accès à distance est utilisé lorsque vous vérifiez vos informations
bancaires en ligne.

- VPN accès distant

Les VPN d’accès à distance sont généralement activés dynamiquement par

l’utilisateur lorsque cela est nécessaire. Les VPN d’accès à distance peuvent être
créés à l’aide d’IPsec ou SSL. Un utilisateur distant doit initier une connexion VPN
d’accès à distance. La figure montre deux façons dont un utilisateur distant peut
initier une connexion VPN d’accès à distance : VPN sans client et VPN basé sur
client.
 - VPN site à site

 SSL VPNs

SSL utilise l’infrastructure à clé publique et les certificats numériques pour

authentifier les homologues. Les technologies VPN IPsec et SSL offrent un accès à
pratiquement toutes les applications ou ressources réseau. Toutefois, lorsque la
sécurité est un problème, IPsec est le meilleur choix. Si la prise en charge et la
facilité de déploiement sont les principaux problèmes, envisagez SSL. Le type de
méthode VPN implémenté est basé sur les exigences d’accès des utilisateurs et les
processus informatiques de l’organisation. Le tableau compare les déploiements
d’accès à distance IPsec et SSL.

Fonctionnalité IPsec VPN SSL VPN

Applications Vaste - Toutes les Limité - Seules les
supportées applications IP sont prises en applications Web et le
charge. partage de fichiers sont pris
en charge.

Force Fort - Utilise Modéré - Utilisation d’une

d’authentification l’authentification authentification
bidirectionnelle avec des clés unidirectionnelle ou
partagées ou des certificats bidirectionnelle.
numériques.

Force de Fort - Utilise des longueurs Modéré à fort - Avec des

chiffrement de clé de 56 bits à 256 bits. longueurs de clé de 40 bits à
256 bits.

Compléxité de Moyen - Parce qu’il Faible - Il ne nécessite

connexion nécessite un client VPN qu’un navigateur Web sur un
préinstallé sur un hôte. hôte.

Option de Limité - Seuls des appareils

connexion spécifiques avec des
configurations spécifiques
peuvent se connecter.
  Site-à-Site IPsec VPNs

La passerelle VPN encapsule et chiffre le trafic sortant. Il envoie ensuite le

trafic via un tunnel VPN via Internet vers une passerelle VPN sur le site cible.
Dès réception, la passerelle VPN de réception supprime les en-têtes, déchiffre le
contenu et relaie le paquet vers l’hôte cible à l’intérieur de son réseau privé. Les
VPN de site à site sont généralement créés et sécurisés à l’aide de la sécurité IP
(IPsec).

 Technologies IPsec

À l’aide de l’infrastructure IPsec, IPsec fournit les fonctions de sécurité essentielles

suivantes :

• Confidentialité - IPsec utilise des algorithmes de chiffrement pour

empêcher les cybercriminels de lire le contenu des paquets.
• Intégrité - IPsec utilise des algorithmes de hachage pour s’assurer que les
paquets n’ont pas été modifiés entre la source et la destination.
• Authentication d’origine- IPsec utilise le protocole IKE (Internet Key
Exchange) pour authentifier la source et la destination. Méthodes
d’authentification, y compris l’utilisation de clés prépartagées (mots de
passe), de certificats numériques ou de certificats RSA.
• Diffie-Hellman - Échange de clés sécurisé utilisant généralement divers
groupes de l’algorithme DH.
3- Configurations VPN

 Configurer un client VPN sous Windows:

1- Cliquer sur l’icône réseau dans la barre des tâches

2- Ouvrir le centre réseau et partage

3- Configurer une nouvelle connexion ou un nouveau réseau :

4- Choisir une option de connexion connexion à votre espace de travail

5- Choisir utiliser ma connexion internet (VPN)

6- Choisir l’adresse internet (adresse IP publique) du site

7- Saisir le nom utilisateur et mot de passe

8- Noter la connexion figurant en cliquant sur l’icône réseau

 CONFIGURER UN VPN IPSec SITE A SITE SUR ROUTEUR CISCO

Le VPN IPSec configuré sur routeurs Cisco des deux sites reliés par une liaison WAN
permet de :

IPSEC spécifie plusieurs protocoles à utiliser afin de fournir un standard de sécurité. Les
protocoles spécifiés par IPSec sont : InternetKey Exchange : IKE
IKE va nous permettre de négocier des paramètres de sécurités et créer les clés
d’authentification utilisées par le VPN. IKE va permettre d’établir un échange de clé de
manière sécurisée sur un réseau « non sécurisé ».

Encapsulating Security Payload: ESP

Le plus utilisé par IPSec, ESP va encrypter les données. ESP protège également contre des
attaques basées sur du trafic « replayed ». (rejoue)
Plus tard, dans notre configuration nous utiliserons ESP puisqu’il permet de crypter les
données en utilisant DES, 3DES ou AES.
Routeur EPB BEJAIA Routeur EPB SETIF

Voici les différentes étapes de configuration :

1. Définir les règles de sécurité ISAKMP

2. Configurer les « transform set »
3. Configurer une ACL qui spécifiera quel trafic peut/doit emprunter le VPN.
4. Configurer une « crypto-map »
5. Appliquer la « crypto-map » sur l’interface
6. Configurer une ACL si besoin sur l’interface « outside » (en option)

Routeur EPB Béjaia Routeur EPB Sétif

1- Définir une règle de sécurité ISAKMP

Nous devons d’abord activer le moteur « isakmp »en utilisant la commande :

EPB_BEJAIA (config)# crypto isakmp enable
EPB_SETIF (config)# crypto isakmp enable
Nous utiliserons la commande suivante afin d’activer le moteur « software » au cas où
notre routeur ne disposerait pas de moteur « hardware ».
EPB_BEJAIA (config)# crypto engine software ipsec
EPB_SETIF (config)# crypto engine software ipsec
Dans cet exemple, nous utiliserons une « clé partagée » (PreShared Key) pour
l’authentification. Elle doit être associée à un routeur distant qui utilise la même clé
partagée.
EPB_BEJAIA (config)#crypto isakmp key EPB06000 address [Link]
EPB_SETIF (config)# crypto isakmp key EPB06000 address [Link]
Nous allons maintenant utiliser les paramètres suivants pour notre VPN sur les deux
routeurs :

&Password » ou des certificats).

bits)
ie-Hellman groupe à utiliser : 1 ou 2 (groupe 1 est basé sur 768 bits et groupe 2 est
basé sur 1024 bits).

heure.(Par défaut 86400 secondes, une journée)

EPB_BEJAIA (config)#crypto isakmp policy 1

EPB_BEJAIA (config-isakmp)# encryption aes 192
EPB_BEJAIA (config-isakmp)# authentication pre-share
EPB_BEJAIA (config-isakmp)# group 2
EPB_SETIF (config)#crypto isakmp policy 1
EPB_SETIF (config-isakmp)# encryption aes 192
EPB_SETIF (config-isakmp)# authentication pre-share
EPB_SETIF (config-isakmp)# group 2

2- Configuration des « transform-set »

Une « transform-set » est une combinaison d’algorithmes et protocoles de sécurité

«acceptables». Les routeurs essaieront de trouver la meilleure combinaison possible selon
les configurations et capacités de chaque point de chute du VPN en se basant sur les «
transform-set » disponibles.
EPB_BEJAIA (config)#crypto ipsec transform-set TSET esp-aes192 esp-sha1-hmac
EPB_SETIF (config)#crypto ipsec transform-set TSET esp-aes192 esp-sha1-hmac
* TSET est le nom du « transform-set » situé sur le routeur (portée locale)
* “esp-aes” précise que nous allons encrypter en utilisant ESP et AES.
* “192” est le nombre de bits utilisés pour le cryptage.
* esp-sha1-hmac comme méthode d’authentification
Après avoir entré cette commande nous avons un nouveau mode de configuration où
nous pouvons configurer notre VPN en mode « Transport » ou « Tunnel »
Le mode « Tunnel » encryptera tout le datagramme (y compris les IP sources et
destination) alors que le mode « Transport » encryptera seulement la donnée présente
dans le paquet IP (peut poser un problème de sécurité car une personne malveillante peut
ainsi voir les vrai IP source et destination de chaque paquet IP).
Nous allons utiliser, donc, le mode « Tunnel » :
EPB_BEJAIA (config)#mode tunnel
EPB_SETIF (config)#mode tunnel

3- Configurer une ACL qui spécifiera quel trafic peut/doit emprunter le VPN

Nous allons autoriser le trafic depuis le LAN d’EPB_SETIF vers le LAN d’EPB_BEJAIA. Il faut
utiliser une ACL étendue.
EPB_BEJAIA (config)#access-list 101 permit ip [Link] [Link] [Link] [Link]
EPB_SETIF (config)#access-list 101 permit ip [Link] [Link] [Link] [Link]

4- Configurer la « crypto-map »

Une « crypto-map » est comme un profil, qui va associer les ACL (crypto-ACL) , «
transform-set »
EPB_BEJAIA (config-crypto-map)#crypto map VPN-2-MAIN 10 ipsec-isakmp match address
101
EPB_BEJAIA (config-crypto-map)#set peer [Link]
EPB_BEJAIA (config-crypto-map)#set transform-set TSET
EPB_SETIF (config-crypto-map)#crypto map VPN-2-REMOTE 10 ipsec-isakmp match
address 101
EPB_SETIF (config-crypto-map)#set peer [Link]
EPB_SETIF (config-crypto-map)#set transform-set TSET
Appliquer la « Crypto-map » sur l’interface
EPB_SETIF (config-if)#crypto map VPN-2-REMOTE
EPB_BEJAIA (config-if)#crypto map VPN-2-MAIN
Comme nous pouvons le voir dans la table de routage, tout trafic provenant du LAN
[Link]/24 vers [Link]/24 utilisera la liaison WAN principale.
Si celle-ci est inutilisable, nous pouvons ajouter une route statique sur l’autre liaison en
passant par l’autre routeur soit un routeur périmètre de l’entreprise ou un routeur d’un
fournisseur d’accès à internet..
EPB_SETIF (config)#ip route [Link] [Link] [Link]
EPB-BEJAIA (config)#ip route [Link] [Link] [Link]
Nous pouvons tester cela :
Sur l’ordinateur A nous utilisons la commande tracert vers l’ordinateur B :
 Maintenant, si nous allons tester la route statique quand la liaison principale est non
utilisable.

Vérifions la commande tracert une autre fois :

Si la connexion entre les deux routeurs EPB_BEJAIA et EPB_SETIF n’est pas une ligne dédiée
(ligne louée ou spécialisée), c'est-à-dire une ligne publique (par internet) avec des adresses IP
publiques et que le 3ème routeur est un routeur du FAI.
Soit les adresses suivantes :
- L’interface S1 du routeur EPB-BEJAIA d’adresse [Link]/30 est remplacée par l’adresse
publique [Link]/27 et la passerelle [Link]/27, celle de l’interface S1 du 3ème
routeur d’adresse [Link]/30.
- L’interface S0 du routeur EPB-SETIF d’adresse [Link]/30 est remplacée par l’adresse
publique [Link]/27 et la passerelle [Link]/27, celle de l’interface S0 du 3ème
routeur d’adresse [Link]/30.
- Si l’adresse privée du serveur de l’EPB BEJAIA est [Link]/8. Il est possible de le joindre de
l’extérieur, donc du réseau de SETIF, en configurant la translation d’adresse NAT. De même
pour le serveur de SETIF d’adresse [Link].
Nous procédons comme suit :
EPB_BEJAIA# configure terminal
EPB_BEJAIA (config)#interface s1
EPB_BEJAIA (config-if)#ip address [Link] [Link]
EPB_BEJAIA (config-if)#no shutdown
EPB_BEJAIA (config-if)#end
EPB_BEJAIA (config)#ip default-gateway [Link]
EPB_BEJAIA (config)#interface fa0/0
EPB_BEJAIA (config-if)#ip nat inside
EPB_BEJAIA (config-if)# exit
EPB_BEJAIA (config)#interface s1
EPB_BEJAIA (config-if)#ip nat outside
EPB_BEJAIA (config-if) exit
EPB_BEJAIA (config) ip nat inside source static [Link] [Link]
EPB_BEJAIA (config) exit
EPB_BEJAIA#show ip nat translations

Pro Inside global Inside local Outside local Outside global

--- [Link] [Link] --- ---

EPB_SETIF# configure terminal

EPB_SETIF(config)#interface s0
EPB_SETIF (config-if)#ip address [Link] [Link]
EPB_SETIF (config-if)#no shutdown
EPB_SETIF (config-if)#end
EPB_SETIF (config)#ip default-gateway [Link]
EPB_SETIF (config)#interface fa0/0
EPB_SETIF (config-if)#ip nat inside
EPB_SETIF (config-if)#exit
EPB_SETIF (config)#interface s0
EPB_SETIF (config-if)#ip nat outside
EPB_SETIF (config-if) exit
EPB_SETIF (config) ip nat inside source static [Link] [Link]
EPB_SETIF (config) exit
EPB_SETIF#show ip nat translations

Pro Inside global Inside local Outside local Outside global

--- [Link] [Link] --- ---
Chapitre VIII : Appliance Security Adaptative
(Cisco ASA)

1- Présentation du Firewall Cisco ASA

La famille de produits Cisco ASA avec FirePOWER Services fournit des services
de pare-feu dédiés dans un seul appareil. Il s’agit de dispositifs de pare-feu de
nouvelle génération (NGFW) qui offrent une défense intégrée contre les menaces
tout au long du continuum d’attaque. Ils combinent des pare-feu ASA éprouvés
avec la menace Sourcefire et une protection avancée contre les logiciels
malveillants dans un seul appareil. Il s’agit notamment de Cisco Firepower 1000,
Cisco Firepower 2100, Cisco Firepower 4100, Cisco Firepower 9300. Tous les
modèles offrent des fonctionnalités avancées de pare-feu avec état et des
fonctionnalités VPN. La plus grande différence entre les modèles est le débit de
trafic maximal géré par chaque modèle et le nombre et les types d’interfaces.

Cisco prend également en charge la virtualisation de l’infrastructure informatique

en tirant parti de la disponibilité accrue de l’alimentation des serveurs x86
modernes. Cisco Adaptive Security Virtual Appliance (ASAv) apporte la puissance
des appliances ASA au domaine virtuel.

Pour répondre aux besoins des clients, Cisco ASAv est disponible en cinq modèles
: Cisco ASAv5, Cisco ASAv10, Cisco ASAv30, Cisco ASAv50, Cisco ASAv100.
Ce module se concentrera sur l’ASA 5506-X qui est conçu pour les petites
entreprises, les succursales et les implémentations de télétravailleurs d’entreprise.

La famille de produits Cisco ASA avec FirePOWER Services fournit des services
de pare-feu dédiés dans un seul appareil. Il s’agit de dispositifs de pare-feu de
nouvelle génération (NGFW) qui offrent une défense intégrée contre les menaces
tout au long du continuum d’attaque. Ils combinent des pare-feu ASA éprouvés
avec la menace Sourcefire et une protection avancée contre les logiciels
malveillants dans un seul appareil. Il s’agit notamment de Cisco Firepower 1000,
Cisco Firepower 2100, Cisco Firepower 4100, Cisco Firepower 9300. Tous les
modèles offrent des fonctionnalités avancées de pare-feu avec état et des
fonctionnalités VPN. La plus grande différence entre les modèles est le débit de
trafic maximal géré par chaque modèle et le nombre et les types d’interfaces.
Cisco prend également en charge la virtualisation de l’infrastructure informatique
en tirant parti de la disponibilité accrue de l’alimentation des serveurs x86
modernes. Cisco Adaptive Security Virtual Appliance (ASAv) apporte la puissance
des appliances ASA au domaine virtuel.
Pour répondre aux besoins des clients, Cisco ASAv est disponible en cinq modèles
: Cisco ASAv5, Cisco ASAv10, Cisco ASAv30, Cisco ASAv50, Cisco ASAv100.
Ce module se concentrera sur l’ASA 5506-X qui est conçu pour les petites
entreprises, les succursales et les implémentations de télétravailleurs d’entreprise.
Cisco a lancé une nouvelle gamme de pare-feu de nouvelle génération (NGFW) qui
combine leur technologie de pare-feu éprouvée avec les capacités avancées de
détection des menaces et des logiciels malveillants de Sourcefire. Ces NGFW
consolident plusieurs couches de sécurité en une seule plate-forme, éliminant ainsi
le coût d’achat et de gestion de plusieurs solutions. Cette approche intégrée
combine la meilleure technologie de sécurité de sa catégorie avec une protection
multicouche intégrée dans un seul appareil.
Les périphériques Cisco ASA 5500-X avec FirePOWER Services font partie des
nouveaux Cisco NGFW. Conçu pour les petites et moyennes succursales, l’ASA
5500-X avec FirePOWER Services fusionne les fonctionnalités de pare-feu
dynamique ASA 5500 avec certaines des fonctionnalités avancées de détection des
menaces et des logiciels malveillants suivantes :

• IPS nouvelle génération (NGIPS)

• Protection avancée contre les logiciels malveillants (AMP)
• Contrôle des applications et filtrage d’URL

Lorsque vous discutez des réseaux connectés à un pare-feu, il y a quelques termes

généraux à prendre en compte :
• Outside network - Réseau/zone qui se trouve en dehors de la
protection du pare-feu.
• Inside network - Le réseau/la zone protégée et derrière le pare-feu.
• DMZ - Zone démilitarisée qui permet aux utilisateurs internes et
externes d’accéder aux ressources réseau protégées.
Les pare-feu protègent les réseaux internes contre tout accès non autorisé par les
utilisateurs qui se trouvent sur un réseau externe. Ils protègent également les
utilisateurs du réseau intérieur les uns des autres. Par exemple, en créant des zones,
un administrateur peut séparer le réseau qui héberge les serveurs de gestion des
autres réseaux d’une organisation.
La figure illustre comment ces zones interagissent pour le trafic refusé :

• Le trafic provenant du réseau extérieur à destination du réseau interne est

refusé.
• Le trafic provenant du réseau DMZ à destination du réseau interne est refusé.

Les niveaux de sécurité définissent le niveau de fiabilité d’une interface. Chaque

interface opérationnelle doit avoir un nom et un niveau de sécurité de 0 (le plus
bas) à 100 (le plus élevé).
Comme le montre la figure, le niveau 100 doit être affecté au réseau le plus
sécurisé, tel que le réseau interne. Le niveau 0 peut être attribué au réseau extérieur,
qui est connecté à Internet. Les DMZ et autres réseaux peuvent se voir attribuer un
niveau de sécurité compris entre 0 et 100
 2- Configurations de base de Cisco ASA

L’interface de ligne de commande (CLI) ASA est un système d’exploitation

propriétaire, qui a une apparence similaire à celle du routeur IOS.
Par exemple, l’interface de ligne de commande ASA contient des invites de
commande similaires à celles d’un routeur Cisco IOS.

• Abréviation des commandes et des mots-clés

• Utilisation de la touche Tab pour exécuter une commande partielle
• Utilisation de la touche d’aide (?) après une commande pour afficher
une syntaxe supplémentaire

Les commandes de l’interface de ligne de commande ASA peuvent être exécutées

quelle que soit l’invite du mode de configuration actuel.

L’ASA 5506-X avec FirePOWER Services est livré avec une configuration par
défaut qui, dans la plupart des cas, est suffisante pour un déploiement SOHO de
base. Utilisez la commande configure factory default global configuration mode
pour restaurer la configuration par défaut d’usine.
Le nom d’hôte par défaut est ciscoasa. Par défaut, les mots de passe EXEC et de
ligne de console privilégiée ne sont pas configurés.
Ces paramètres peuvent être modifiés comme suit :
Utilisation manuelle de l’interface de ligne de commande
• De manière interactive à l’aide de l’assistant d’initialisation de
l’installation de l’interface de ligne de commande
• Utilisation de l’assistant de démarrage ASDM
L’invite utilisateur ASA par défaut de ciscoasa> s’affiche lorsqu’une configuration
ASA est effacée, que le périphérique est redémarré et que l’utilisateur n’utilise pas
l’assistant de configuration interactive.

Pour passer en mode EXEC privilégié, utilisez la commande enable user EXEC
mode. Initialement, un ASA n’a pas de mot de passe configuré ; par conséquent,
lorsque vous y êtes invité, laissez l’invite d’activation du mot de passe vide et
appuyez sur Entrée.

La date et l’heure ASA doivent être définies manuellement ou à l’aide du protocole

NTP (Network Time Protocol). Pour définir la date et l’heure, utilisez la commande
clock set en mode EXEC privilégié.

Entrez en mode de configuration globale à l’aide de la commande configure

terminal en mode EXEC préviligié.

Un ASA doit être configuré avec des paramètres de gestion de base. Le tableau
affiche les commandes permettant d’accomplir cette tâche.
 Commande ASA Description
hostname name • Spécifie un nom d’hôte de 63 caractères maximum.
• Un nom d’hôte doit commencer et se terminer par
une lettre ou un chiffre et n’avoir comme
caractères intérieurs que des lettres, des chiffres ou
un trait d’union.

domain-name name Définit le nom de domaine par défaut.

enable password • Définit le mot de passe d’activation pour le mode

password EXEC privilégié.
• Définit le mot de passe sous la forme d’une chaîne
sensible à la casse de 3 à 32 caractères
alphanumériques et spéciaux (à l’exclusion d’un
point d’interrogation ou d’un espace).

banner motd Fournit une notification légale et configure le système

message pour afficher une bannière de message du jour lors de la
connexion à l’ASA.

key config-key • Définit la phrase secrète entre 8 et 128 caractères.

password- • Permet de générer la clé de chiffrement.
encryption [ new-
pass [ old-pass ]]

password Active le chiffrement des mots de passe et chiffre

encryption aes tous les mots de passe des utilisateurs.

Le mot de passe EXEC privilégié est automatiquement chiffré à l’aide de MD5.

Cependant, un cryptage plus fort utilisant AES doit être activé. Pour ce faire, une
phrase secrète principale doit être configurée et le chiffrement AES doit être activé.
Pour modifier la phrase secrète principale, utilisez la commande key config-key
password-encryption password. Pour déterminer si le chiffrement de mot de passe
est activé, utilisez la commande show password encryption.
L’ASA-5506-X dispose de huit interfaces Gigabit Ethernet qui peuvent être
configurées pour transporter le trafic de différents réseaux. L’interface G1/1 est
utilisée par convention comme interface externe et est configurée pour recevoir son
adresse IP via DHCP par défaut.

Les interfaces restantes, G1/2-G1/8, peuvent être affectées à des réseaux internes
ou à des DMZ. De plus, un port Gigabit Ethernet est dédié à la gestion intra bande.
Il est désigné comme Management1/1. Il existe également des connexions de
console RJ45 et USB pour la gestion hors bande.

L’adresse IP d’une interface peut être configurée à l’aide de l’une des options
suivantes :
• Manuellement - Couramment utilisé pour attribuer une adresse IP et un
masque à l’interface.
• DHCP - Utilisé lorsqu’une interface se connecte à un périphérique en
amont fournissant des services DHCP.

Configuration Commande ASA Description

Manuellement ip address ip-address netmask Attribue une adresse IP à
l’interface.

DHCP ip address dhcp L’interface demandera

une configuration
d’adresse IP à l’appareil
en amont.

Chaque interface doit avoir un niveau de sécurité compris entre 0 (le plus bas) et
100 (le plus élevé).

Les commandes ci-dessous sont utilisées pour configurer les paramètres d’interface
de base.

Vérifiez l’adressage et l’état de l’interface à l’aide de la commande show interface

ip brief comme indiqué ci-dessous. Notez qu’il n’est pas nécessaire de saisir la
commande show en mode User EXEC.
Commande ASA Description
nameif if_name • Nommez l’interface à l’aide d’une chaîne de
texte de 48 caractères maximum.
• Le nom n’est pas sensible à la casse.
• Vous pouvez modifier le nom en entrant à
nouveau cette commande avec une nouvelle
valeur.
• N’entrez pas le formulaire no, car cette
commande entraîne la suppression de toutes
les commandes qui font référence à ce nom.

security-level value Définit le niveau de sécurité, où nombre est un entier

compris entre 0 (le plus bas) et 100 (le plus élevé).

no shutdown Activation interface.