Sécurité Des Réseaux Info1111-1 PDF

SECURITE DES RESEAUX INFORMATIQUES
LYCEE TECHNIQUE AL KHAWARIZMI SAFI

1
Sécurité des réseaux informatiques
LES MENACES SUR LES RESEAUX MODERNES DE DONNEES

I- Les menaces communes
Lorsqu’il est question de sécurité des réseaux, trois notions interviennent :
La vulnérabilité : Degré de faiblesse inhérent à tout réseau ou périphérique.
Les vulnérabilités ou faiblesses principales sont au nombre de trois :
Faiblesses technologiques (vulnérabilité du protocole TCP/IP, vulnérabilité des systèmes
d’exploitation " UNIX, Linux, Mac OS, Windows…", vulnérabilité des équipements réseau "
routeurs, pare-feu, commutateurs…")
Faiblesses de configuration (comptes utilisateurs non sécurisés, comptes système avec mots de
passe faciles à deviner, équipement réseau mal configuré…)
Faiblesses dans la stratégie de sécurité (absence de stratégie de sécurité écrite, manque de
continuité, absence d’un plan de reprise après sinistre…)
Les menaces : Viennent de l’exploitation de la vulnérabilité
et des faiblesses de sécurité.
On peut parler de menaces physiques
(matérielles, environnementales, d'électricité,
de maintenance), ou menaces envers les
réseaux (menaces externes et menaces
internes : ils peuvent être organisées ou non)
Les attaques : Reconnaissance, accès, deni de servise,

vers, virus…
II- Les vers, virus et chevaux de Troie

Des logiciels malveillants peuvent être installés sur un ordinateur hôte dans le but d’endommager ou d’altérer un
système, de se reproduire ou d’empêcher l’accès à des réseaux, systèmes ou services.
Les virus
Un virus est un logiciel malveillant intégré à un autre programme pour exécuter des fonctions particulières indésirables
sur l’ordinateur de l’utilisateur. Par exemple, un programme intégré à command.com (interpréteur de commandes
principal des systèmes Windows) qui efface certains fichiers et infecte toute autre version de command.com qu’il peut
découvrir.
Un virus a besoin d’un mécanisme de livraison (vecteur de transmission), comme un fichier zip ou autre fichier exécutable
joint à un courriel, pour transmettre son code d’un système à l’autre. Le virus informatique se distingue
fondamentalement du ver par le fait qu’une interaction humaine est nécessaire pour le propager.
Les virus qui ont causé des problèmes à travers Internet :
early 1970's Creeper Virus on ARPAnet 1983 Term "Computer Virus" Coined 1995 Concept Macro Virus
1974 Rabbit Virus 1986 Brain Boot Sector Virus 1999 Melissa Virus
1975 ANIMAL Virus 1989 Ghostball Virus 2001 Simile Multi-OS Virus
1982 Elk Cloner Virus 1991 Michelangelo Virus
Les vers
Un ver exécute un code et installe des copies de lui-même dans la mémoire de l’ordinateur infecté, ce qui infecte par la
suite d’autres ordinateurs hôtes. En général, les vers sont des programmes autonomes qui attaquent un système en
tentant d’exploiter une vulnérabilité spécifique. Lorsque l’exploitation de la vulnérabilité réussit, le ver recopie son
programme de l’hôte assaillant vers les systèmes nouvellement exploités et le cycle recommence.
Bien souvent, la présence des vers ne peut être détectée que lorsque leur développement est tellement important qu'il
nuit aux performances en consommant une grande quantité de ressources système, et en ralentissant ou en
interrompant les autres tâches.
Voici les étapes recommandées pour limiter les attaques de vers :
2
− limitez la diffusion
− appliquer les correctifs du système et des logiciels
− Déconnectez, retirez ou bloquez les machines infectées du réseau.
− nettoyez tous les systèmes infectés.
Autres vers qui ont causé des problèmes à

travers Internet :
1988 Morris Worm
1999 Melissa Worm (a mass-
mailing macro virus)
Mai 2000 Love Bug Worm
July 2001 Code Red Worm
August 2003 Blaster Worm
August 2003 Nachi Worm
January 2004 MyDoom Worm
April 2004 Sasser Worm
August 2005 Zotob Worm
January 2006 Nyxem Worm
January 2007 Storm Worm
2007 MS RPC 0Day Worm
June 2008 JTV Worm
Les chevaux de Troie

Un cheval de Troie (Trojan Horse) est un
logiciel en apparence légitime, mais qui
contient une malveillance. Son rôle est de faire
entrer ce parasite sur l'ordinateur et de l'y
installer à l'insu de l'utilisateur.
Le programme contenu est appelé la "charge
utile". Il peut s'agir de n'importe quel type de
parasite : virus, keylogger, logiciel espion...
C'est ce parasite, et lui seul, qui va exécuter
des actions au sein de l'ordinateur victime. Le
cheval de Troie n'est rien d'autre que le
véhicule, celui qui fait "entrer le loup dans la
bergerie". Il n'est pas nuisible en lui-même car
il n'exécute aucune action, si ce n'est celle de
permettre l'installation du vrai parasite.
Exemples de chevaux de Troie
998 NetBus 2004 Vundo
998 Back Orifice 2005 SpySheriff En 2014, une étude de l'Association of Internet Security Professionnals
999 Sub7 2005 Zlob révèle qu'un ordinateur sur trois est infecté par un logiciel malveillant et
003 ProRat 2007 Storm que 73 % de ces infections proviennent d'un cheval de Troie
III- Cisco Self Defending Infrastructure
CSA : Cisco Security Agent

NAC : Network Admission control
Durcissement Durcissement Contrôle

du réseau des serveurs renforcé
et des postes de l’accès au
de travail réseau
IOS CSA NAC
3
L'architecture de sécurité « Cisco Self-Defending Networks » (SDN) s'appuie sur l'infrastructure pour identifier,
répondre et s'adapter automatiquement aux menaces pour garantir performance et continuité de fonctionnement du
réseau, intégrité des systèmes et confidentialité des données.
Cette architecture combine des services de sécurité intégrés dans l’infrastructure avec des équipements dédiés
dans une approche système, d'architecture. Les services de sécurité sont virtualisés, collaborent et deviennent
adaptatifs, pour une meilleure protection, plus de visibilité, et plus de simplicité d'exploitation.
IV- Les méthodes pour sécuriser un réseau

Politique de sécurité :
La politique de sécurité est l'ensemble des orientations suivies par une organisation (à prendre au sens large) en termes
de sécurité. A ce titre, elle se doit d'être élaborée au niveau de la direction de l'organisation concernée, car elle concerne
tous les utilisateurs du système.
Cela signifie qu’elle doit être abordée dans un contexte global :
La sécurité physique, soit la sécurité au niveau des infrastructures matérielles
La sécurité des systèmes, des BD et des applications,
La sécurité des réseaux …
Ainsi, il ne revient pas aux administrateurs informatiques de définir les droits d'accès des utilisateurs mais aux
responsables hiérarchiques de ces derniers. Le rôle de l'administrateur informatique est donc de faire en sorte que les
ressources informatiques et les droits d'accès à celles-ci soient en cohérence avec la politique de sécurité retenue. De
plus, étant donné qu'il est le seul à connaître parfaitement le système, il lui revient de faire remonter les informations
concernant la sécurité à sa direction, éventuellement de le conseiller sur les stratégies à mettre en œuvre, ainsi que
d'être le point d'entrée concernant la communication aux utilisateurs des problèmes et recommandations en terme de
sécurité.
Méthodes pour sécuriser les réseaux :
Plusieurs méthodes sont utilisées pour sécuriser les réseaux, on distingue ainsi :
Authentification : Authentifier un acteur peut se faire en utilisant une ou plusieurs de ses éléments :
Ce qu'il sait. Par ex. : votre mot de passe, la date anniversaire de votre grand-mère
Ce qu'il a. Par ex. : une carte à puce
Ce qu'il est. Par ex. : la biométrie (empreinte digitale, oculaire ou vocale)
Contrôle d’accès : vérifie les droits d’accès d'un acteur aux données. N'empêche pas l'exploitation d'une
vulnérabilité.
Contrôle d'accès aux communications : le moyen de communication n'est utilisé que par des acteurs autorisés par
VPN ou tunnels.
Contrôle du routage : sécurisation des chemins (liens et équipements d'interconnexion).
Chiffrement des données : algorithme généralement basé sur des clefs et transformant les données. Sa sécurité est
dépendante du niveau de sécurité des clefs. Le chiffrement garantie la confidentialité des
données.
Distribution de clefs : distribution sécurisée des clefs entre les entités concernées.
Signature numérique : données ajoutées pour vérifier l'intégrité ou l'origine des données.
Certification : c’est la preuve d'un fait ou d'un droit accordé. Utilisation d’un tiers de confiance pour
l’assurer.
Horodatage : marquage sécurisé des instants significatifs.
V- Présentation des dispositifs de sécurité

Plusieurs dispositifs logiciel ou matériel sont utilisés pour sécuriser les réseaux, on distingue ainsi :
La protection physique : peut fournir une protection totale, mais qui peut être exagérée. Par ex. isoler complètement
son système est une solution qui peut être trop radicale.
Antivirus : logiciel censé protéger l’ordinateur contre les logiciels (ou fichiers potentiellement
exécutables) néfastes. Ne protège pas contre un intrus qui emploie un logiciel légitime, ou
contre un utilisateur légitime qui accède à une ressource alors qu'il n'est pas autorisé à le
faire.
Le pare-feu : un élément du réseau informatique contrôlant les communications qui le traversent. Il a
pour fonction de faire respecter la politique de sécurité du réseau, celle-ci définissant quels
sont les communications autorisés ou interdites. N'empêche pas un attaquant d'utiliser une
connexion autorisée pour attaquer le système. Ne protège pas contre une attaque venant
du réseau intérieur (qui ne le traverse pas).
Détection d'intrusion : repère les activités anormales ou suspectes sur le réseau surveillé. Ne détecte pas les
accès incorrects mais autorisés par un utilisateur légitime.
Journalisation ("logs") : Enregistrement des activités de chaque acteur. Permet de constater que des attaques ont
eu lieu, de les analyser et potentiellement de faire en sorte qu'elles ne se reproduisent pas.
Analyse des vulnérabilités ("security audit") : identification des points de vulnérabilité du système. Ne détecte pas les
attaques ayant déjà eu lieu, ou lorsqu'elles auront lieu.
4
VI- Sécuriser les commutateurs Catalyst Cisco

Concernant la configuration des options des mots de passe, de Telnet et de SSH, elle sera abordée en détail dans le
chapitre qui suit (Sécurisation des routeurs Cisco).
Configuration de la sécurité des ports

Adresses MAC sécurisées statiques :
switchport port-security mac-address adresse_mac
Les adresses MAC configurées de cette manière sont stockées dans la table d’adresses et sont ajoutées à la
configuration en cours sur le commutateur.
Adresses MAC sécurisées dynamiques :
Les adresses MAC sont assimilées de manière dynamique et stockées uniquement dans la table d’adresses. Les
adresses MAC configurées ainsi sont supprimées au redémarrage du commutateur.
Adresses MAC sécurisées rémanentes :
Vous pouvez configurer un port pour assimiler dynamiquement des adresses MAC, puis enregistrer ces dernières
dans la configuration en cours.
switchport port-security mac-address sticky
Exemple :
Comm1(config-if)# switchport port-security maximum 50
Comm1(config-if)# switchport port-security mac-address sticky
Cet exemple présente la syntaxe de commande Cisco IOS utilisée pour fixer le nombre maximal d’adresses MAC
à 50. Par défaut, le mode de violation est shutdown.
Modes de violation de sécurité
Lorsque le nombre d’adresses MAC sécurisées atteint la limite autorisée sur le port, des paquets munis
d’adresses source inconnues sont ignorés jusqu’à ce que vous supprimiez un nombre suffisant d’adresses MAC
sécurisées ou augmentiez le nombre maximal d’adresses à autoriser .
En fonction de l’action à entreprendre en cas de violation, vous pouvez configurer l’interface pour l’un des trois
modes de violation
protect : Aucun message de notification ne vous est adressé en cas de violation de la sécurité.
restrict : Vous permet d’être informé si une violation de la sécurité constatée. Un message syslog est consigné et
le compteur de violation est incrémenté.
shutdown : Toute violation de sécurité entraîne immédiatement la désactivation de l’enregistrement des erreurs
dans l’interface et celle de la LED du port. Une interruption SNMP est également transmise, un message syslog
est consigné et le compteur de violation est incrémenté. Il s’agit du mode par défaut.
Comm1(config-if)#switchport port-security violation protect|restrict|shutdown
Désactivation des ports inutilisés
Accédez à chaque port inutilisé et taper la commande : shutdown
On peut utiliser la commande interface range pour sélectionner plusieurs interfaces inutilisées puis les
désactiver.
Exemple :
Comm1(config)# interface range FastEthernet 0/6 - FastEthernet 0/10
Comm1(config-if-range)# shutdown
Remarque : La commande précédente peut être abrégée en « in r f0/6-10 »
5
SECURISATION DES ROUTEURS CISCO

I- Problème de sécurité des routeurs
Comme les routeurs sont des passerelles vers d’autres réseaux, ils constituent des cibles évidentes et sont
soumis à une variété d’attaques. Voici quelques exemples des différents problèmes de sécurité rencontrés :
Un contrôle d’accès compromis peut révéler les détails de configuration du réseau et faciliter ainsi les attaques
contre d’autres parties du réseau.
Des tables de routage compromises peuvent réduire les performances, refuser des services de
communication et exposer des données sensibles.
Un filtre de trafic mal configuré sur un routeur peut exposer les parties internes du réseau à des attaques, ce
qui permet aux assaillants de passer plus facilement inaperçus.
La sécurisation des routeurs situés en périphérie du réseau est la première étape de la sécurisation.
La sécurité des routeurs s’envisage en réfléchissant aux aspects suivants :
Sécurité physique: installez le routeur dans un local fermé à clé dont l’accès n’est donné qu’au personnel
autorisé, protégé contre les interférences électrostatiques et magnétiques, équipé d’un système de régulation de la
température, de l’humidité et d'alimentation sans.
Dotez le routeur du maximum de mémoire possible. Une grande quantité de mémoire disponible peut être utile
pour la prise en charge d’une large gamme de services de sécurité.
Pour un résultat optimal des fonctions de sécurité de votre système d’exploitation, utilisez la version la plus stable
qui correspond aux besoins de votre réseau.
Copie de sauvegarde de la configuration et du logiciel IOS en cas de panne du routeur. À des fins de
sauvegarde, gardez une copie sécurisée de l’image du logiciel IOS et de la configuration du routeur sur un serveur
TFTP.
II- Application des fonctions de sécurités aux routeurs CISCO

Pour configurer les fonctions de sécurité d’un routeur, vous devez disposer d’un plan pour toutes les étapes de
configuration assurant la sécurité du logiciel Cisco IOS.
Étapes de sécurisation d’un routeur :
Étape 1. Gestion de la sécurité du routeur
Étape 2. Sécurisation des accès administratifs à distance aux routeurs
Étape 3. Journalisation de l’activité du routeur
Étape 4. Sécurisation des services et des interfaces vulnérables du routeur
Étape 5. Sécurisation des protocoles de routage
Étape 6. Contrôle et filtrage du trafic réseau
III- Gestion de la sécurité des routeurs

La sécurisation de base d’un routeur consiste à définir des mots de passe. Un mot de passe fort est l’élément le
plus fondamental d’un contrôle d’accès sécurisé à un routeur. Il convient donc de toujours configurer des mots de
passe forts.
Voici quelques méthodes recommandées :
Ne notez pas les mots de passe sur des bouts de papier conservés à des endroits visibles sur votre bureau ou
sur votre moniteur.
Évitez d’utiliser les mots d’un dictionnaire, des noms, des numéros de téléphone et des dates. Les mots de
passe contenant des mots de dictionnaire sont vulnérables aux attaques par dictionnaire.
Utilisez une combinaison de lettres, de chiffres et de symboles. Le mot de passe doit comprendre au moins
une minuscule, une majuscule, un chiffre et un caractère spécial.
Faites volontairement des fautes d’orthographe. Par exemple, Smith peut s’écrire Smyth ou comprendre un
chiffre comme dans 5mYth. Le mot Security écrit sous la forme 5ecur1ty est un autre exemple.
6
Composez de longs mots de passe. Il est recommandé d’utiliser au moins huit caractères. Vous pouvez
appliquer la longueur minimale à l’aide d’une fonction disponible sur les routeurs Cisco IOS, qui est présentée
plus loin dans ce chapitre.
Changez les mots de passe aussi souvent que possible. Votre stratégie de sécurité doit définir le moment et la
fréquence du changement des mots de passe. Le changement fréquent des mots de passe offre deux
avantages. Cette méthode limite la période pendant laquelle un pirate peut casser un mot de passe, ainsi que
la période d’exposition une fois le mot de passe compromis.
Remarque : les espaces au début d’un mot de passe sont ignorés, mais les espaces après le premier caractère
sont pris en compte.
Phrases de passe
Pour créer des mots de passe forts et complexes, il est recommandé d’utiliser des phrases de passe. Une phrase
de passe est essentiellement une locution ou une expression qui sert de mot de passe plus sûr. Veillez à choisir
un groupe de mots suffisamment long pour qu’il soit difficile à deviner mais facile à retenir et tapez-le avec
précision.
Pour constituer la base de votre mot de passe fort ou de votre phrase de passe, choisissez une phrase extraite
d’un livre ou les paroles d’une chanson que vous pouvez mémoriser facilement. La figure présente quelques
exemples de phrases de passe.
Lorsque vous les entrez sur un routeur. Cette façon de faire n’est pas sûre, étant donné qu’une personne passant
derrière vous peut jeter un coup d’œil par dessus votre épaule pendant que vous regardez la configuration d’un
routeur.
Les commandes enable password ou username nom_utilisateur password mot_de_passe
afficheraient ces mots de passe pendant l’étude de la configuration courante.
Exemple :
R1(config)# username Student password cisco123
R1(config)# do show run | include username
username Student password 0 cisco123
R1(config)#
Le 0 affiché dans la configuration courante indique que le mot de passe n’est pas masqué.
Pour chiffrer les mots de passe à l’aide de la méthode de type 7, utilisez la commande de configuration globale
service password-encryption, comme illustré dans la figure. Cette commande empêche l’affichage en clair
des mots de passe.
Exemple :
R1(config)# service password-encryption
username Student password 7 03075218050061
R1(config)#
Le 7 affiché dans la configuration courante indique que le mot de passe est masqué.
Cisco recommande l’utilisation du chiffrement de type 5 au lieu du type 7, dans la mesure du possible. Le
chiffrement MD5 est une méthode de chiffrement forte. Elle doit être utilisée autant que possible. Cette méthode
est définie par le mot clé password avec secret.
Les noms d’utilisateur de la base de données locale doivent également être configurés à l’aide de la commande de
configuration globale username nom_utilisateur secret mot_de_passe.
Exemple :
R1(config)# username Student secret cisco
username Student secret 5 $1$z245$lVSTJzuYgdQDJiacwP2Tv/
R1(config)#
Les versions 12.3(1) et ultérieures du logiciel Cisco IOS autorisent les administrateurs à définir la longueur
minimale en caractères de tous les mots de passe du routeur à l’aide de la commande de configuration globale
security passwords min-length 10. Cette commande améliore la sécurité d’accès au routeur en
permettant de spécifier une longueur minimale de mot de passe. Cela permet d’éliminer les mots de passe
courants qui prédominent sur la plupart des routeurs, comme « lab » et « cisco ».
IV- Définir les mots de passe du routeur avec SDM

Présentation de CISCO SDM
Qu’est-ce que Cisco SDM ?
Cisco Router and Security Device Manager (SDM) est un outil Web de gestion des périphériques facile à utiliser. Il
est conçu pour configurer les fonctions de réseau local, de réseau étendu et de sécurité sur les routeurs doté du
logiciel Cisco IOS.
7
Cisco SDM prend en charge la plupart des versions du logiciel Cisco IOS. Il est préinstallé par défaut sur tous les
nouveaux routeurs Cisco à services intégrés.
Si Cisco SDM est préinstallé sur le routeur, Cisco vous recommande de l’utiliser pour effectuer la configuration
initiale.
Fonctionnalités de Cisco SDM
• Outil de gestion intégré à interface Web

• Assistants intelligents
• Outils pour utilisateurs avancés
- ACL
- Éditeur « crypto map » pour VPN
- Aperçu de l’interface CLI de Cisco IOS
Les assistants intelligents de Cisco SDM guident les utilisateurs étape par étape dans la configuration du routeur et
de la sécurité, en configurant systématiquement les interfaces de réseau local et de réseau étendu, le pare-feu, le
système de protection contre les intrusions et les réseaux privés virtuels.
Les assistants intelligents de Cisco SDM détectent automatiquement les erreurs de configuration et proposent des
corrections.
Configuration du routeur pour la prise en charge de CISCO SDM
Pour configurer Cisco SDM sur un routeur en exploitation, sans interrompre le trafic, procédez comme suit :
Étape 1 : Accédez à l’interface ILC du routeur Cisco à l’aide de la connexion de console ou Telnet.
Étape 2 : Activez les serveurs HTTP et HTTPS sur le routeur.
Étape 3 : Créez un compte utilisateur avec niveau de privilège 15 (activez les privilèges).
Étape 4 : Configurez SSH et Telnet pour une session locale avec niveau de privilège 15.
R1(config)# ip http server
R1(config)# ip http secure-server
R1(config)# ip http authentication local
R1(config)# username Student privilege 15 secret cisco
R1(config)# line vty 0 4
R1(config-line)# privilege level 15
R1(config-line)# login local
R1(config-line)# transport input telnet ssh
Démarrage de CISCO SDM
CISCO SDM est stocké dans la mémoire flash du routeur. Il peut également résider sur un PC local. Pour lancer
Cisco SDM, utilisez le protocole HTTPS et tapez l’adresse IP du routeur dans le navigateur.
Exemple : https://198.162.20.1
Entrez par la suite le nom d’utilisateur et le mot de passe du compte privilégié du routeur
Une fois Cisco SDM lancé et la session ouverte, la première page qui s’affiche est la page de présentation. En
particulier, elle présente des informations de base sur le matériel, le logiciel et la configuration du routeur.
Principalement elle est constituée de deux zones:
Zone information routeur (about your router)
Zone configuration (configuration overview)
8
Remarque: Cisco SDM

présente un certain
nombre d’assistants
pour vous aider à
configurer un routeur
Cisco ISR (Routeur à
Services Intégrés)
Créer un compte utilisateur d’un routeur avec SDM
Security Audit (SDM)

C'est une fonction accessible via la SDM qui
compare la configuration courante du routeur à
une base de bonnes pratiques. Il existe 2
possibilités :
• security audit : la configuration est
passée en revue et chaque point
négatif est affiché ; on peut alors
“corriger” le point négatif (“fix it !”) ou
ne rien faire.
• one-step lockdown : analyser et
appliquer les paramètres
recommandés sans interaction avec
l'utilisateur.
9
V- Sécurisation des accès administratifs à distance aux routeurs

Les administrateurs réseau peuvent se connecter à un routeur ou à un
commutateur de manière locale ou à distance.
L’accès à distance est plus pratique que l’accès local pour les
administrateurs qui doivent gérer un grand nombre de périphériques.
Toutefois, si cet accès n’est pas réalisé de manière sécurisée, un
assaillant peut alors collecter des informations confidentielles.
Telnet peut se révéler particulièrement peu sûre. Telnet transmet tout le
trafic réseau en texte clair. Pour sécuriser les accès administratifs aux
routeurs et aux commutateurs, commencez par sécuriser les lignes
d’administration (VTY, AUX), puis configurez le périphérique réseau de
manière à chiffrer le trafic dans un tunnel SSH.
Empêcher l'ouverture de sessions sur des lignes inutilisées
R1(config)# line aux 0
R1(config-line)# no password
R1(config-line)# login
Contrôle des accès VTY entrants Depuis Windows Vista, le protocole Telnet n'est
plus activé par défaut. Pour l'activer :
Prise en charge des sessions Telnet et ssh entrantes
pkgmgr /iu:"TelnetClient"
R1(config)# line vty 0 4 pkgmgr /iu:"TelnetServer"
R1(config-line)# no transport input
R1(config-line)# transport input telnet ssh Ou bien, Panneau de configuration
Prise en charge des sessions ssh uniquement /Désinstaller un programme
R1(config)# line vty 0 4 /Activer ou désactiver des fonctionnalités
R1(config-line)# no transport input Windows, en cochant Client Telnet et/ou
R1(config-line)# transport input ssh Serveur Telnet.
L’accès par une ligne de terminal SSH permet aux administrateurs de configurer des routeurs et d’effectuer les
tâches suivantes de manière sécurisée :
Connexion à un routeur doté de plusieurs lignes de terminal reliées à des consoles ou aux ports série d’autres
routeurs, commutateurs et périphériques.
Connexion simplifiée à un routeur depuis n’importe quel endroit par une liaison spécifique au serveur de
terminaux.
Raccordement de modems aux routeurs utilisés pour des communications sortantes sécurisées.
Authentification exigée sur chaque ligne par un nom d’utilisateur et un mot de passe définis localement ou par
un serveur de sécurité comme les serveurs TACACS+ ou RADIUS.
Les routeurs Cisco sont capables d’agir en tant que

client et serveur SSH.
Ces deux fonctions sont activées par défaut sur le
serveur lorsque le protocole SSH est activé.
En tant que client, un routeur peut établir une
connexion SSH à un autre routeur.
En tant que serveur, un routeur peut accepter des
connexions de clients SSH.
Configuration de la sécurité SSH

Pour activer le protocole SSH sur un routeur, vous devez définir les paramètres suivants :
Nom d’hôte
Nom de domaine
Clés asymétriques
Authentification locale
Les paramètres de configuration facultatifs comprennent :
les délais d’attente ;
le nombre de tentatives.
Voici les étapes de la configuration SSH sur un routeur.
Étape 1 : réglage des paramètres du routeur
Configurez le nom d’hôte du routeur à l’aide de la commande hostname nom d’hôte en mode de
configuration.
10
Étape 2 : définition du nom de domaine

Un nom de domaine doit exister pour pouvoir activer le protocole SSH. Dans l’exemple affiché, la
commande ip domain-name cisco.com est utilisée en mode de configuration globale.
Étape 3 : génération de clés asymétriques
Vous devez générer une clé que le routeur utilisera pour chiffrer le trafic de gestion SSH. Pour cela,
utilisez la commande crypto key generate rsa en mode de configuration. Le routeur répond par un
message indiquant la convention des noms de clé. Choisissez la taille du module de clé dans la plage
360 à 2048 pour vos clés d’usage général. Un module de clé supérieur à 512 peut demander quelques
minutes. Cisco recommande d’utiliser une taille de module minimale de 1024. Vous devez être conscient
que la génération et l’utilisation d’un module de grande taille demandent plus de temps, mais la sécurité
offerte est renforcée.
La commande crypto key est présentée avec plus de détails dans le cours sur la sécurité des réseaux.
Étape 4 : configuration de l’authentification locale et VTY
Vous devez définir un utilisateur local et affecter la communication SSH aux lignes VTY comme illustré
dans la figure.
Étape 5 : configuration des délais d’attente SSH (facultatif)
Les délais d’attente permettent d’améliorer la sécurité en terminant les connexions inactives persistantes.
Pour activer les délais d’attente et les tentatives d’authentification, servez-vous de la commande ip ssh
time-out secondes authentication-retries entier. Réglez le délai d’attente SSH sur 15 secondes et le
nombre de tentatives sur 2.
Pour vous connecter à un routeur configuré en SSH, vous pouvez utiliser une application cliente SSH comme
PuTTY ou TeraTerm. Vous devez veiller à choisir l’option SSH et à utiliser le port TCP 22.
Router(config)# hostname R2
R2(config)# ip domain-name cisco.com
R2(config)# crypto key generate rsa
R2(config)# username student secret cisco

R2(config-Iine)# transport input ssh
R2(config-line)# login local
R2(config)# ip ssh time-out 15

R2(config)# ip ssh authentication-retries 2
VI- Les niveaux de privilèges

Il ya 16 niveaux de privilèges au total.
Les niveaux 0, 1 et 15 ont des paramètres prédéfinis.
Certains administrateurs doivent être en mesure de configurer et de surveiller toutes les parties du routeur (niveau 15).
D’autres n’ont besoin que de suivi, pas de configurer le routeur (niveaux personnalisé 2 à 14 ).
16 niveaux de privilèges
Niveau 0 prédéfinis pour les privilèges d'accès au niveau utilisateur. Rarement utilisé, mais comprend cinq
commandes : disable, enable, exit, help, and logout
Niveau 1 Le niveau par défaut pour la connexion avec l’invite routeur>. L’utilisateur ne peut pas apporter des
modifications ou afficher le fichier de configuration en cours.
Niveaux 2 –14 Peuvent être personnalisés. Un utilisateur avec un niveau de privilège 10, se voit accordé également
l'accès aux commandes autorisées à des niveaux de privilèges inferieurs (0 à 10 s’ils sont définis). Il
ne peut pas accéder aux commandes accordées à niveau de privilège 11 (ou supérieur).
Niveau 15 Un utilisateur autorisé pour le niveau de privilège 15 peut exécuter toutes les commandes Cisco IOS.
Affectation des niveaux de privilège
Router(config)# privilege mode {level level command | reset} command
Les niveaux de privilège doivent également être configurés pour l'authentification :

enable secret level level password
username name privilege level secret password
Dans l’exemple suivant, quatre comptes d'utilisateurs ont été créés

• Un compte USER de niveau 1. Le niveau 1 n’est pas personnalisé il est défini. Le mode d'utilisateur par défaut est
équivalent au niveau 1 (Routeur>)
• Un compte SUPPORT avec le niveau 5 et un accès à la commande ping
• Un compte JR-ADMIN avec les mêmes privilèges que le compte SUPPORT ainsi qu'un accès à la commande
reload.
• Un compte ADMIN qui a accès à toutes les commandes
11
R1(config)# username USER privilege 1 secret cisco

R1(config)#
R1(config)# privilege exec level 5 ping
R1(config)# enable secret level 5 cisco5
R1(config)# username SUPPORT privilege 5 secret cisco5
R1(config)#
R1(config)# privilege exec level 10 reload
R1(config)# enable secret level 10 cisco1O
R1(config)# username JR-ADMIN privilege 10 secret cisco1O
R1(config)#
R1(config)# username ADMIN privilege 15 secret ciscol23
User Access Verification

Username: USER
Password: <cisco>
Rl> show privilege
Current privilege level is 1
Rl> ping 10.10.10.1
^
% Invalid input detected at '^' marker.
Rl>
R1> enable 5
Password: <cisco5>
R1# show privilege
R1# ping 10.10.10.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.10.1, timeout is 2 seconds:
! ! ! ! !
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
R1# reload
...
% Unknown command or computer name, or unable to find computer address
R1#
R1# enable 10
Password: <ciscol0>
R1# show privilege
R1# ping 10.10.10.1
! ! ! ! !
R1# reload
System configuration has been modified. Save? [yes/no]: ^C
R1# show running-config
^
% Invalid input detected at '^' marker.
R1#
Rl# enable 15
Password: <ciscol23>
Rl# show running-config
Building configuration...
Current configuration : 1145 bytes
!
version 12.4
...
VII- Sécurisation par les rôles CLI

Pour offrir plus de souplesse que les niveaux de privilège, Cisco a introduit la fonctionnalité d'accès CLI basée sur les
rôles dans Cisco IOS version 12.3 (11) T.
Accès CLI basée sur les rôles permet à l'administrateur de réseau de créer des vues différentes des configurations du
routeur pour les différents utilisateurs.
Chaque vue définit les commandes CLI que chaque utilisateur peut accéder.
12
Les rôles CLI fournissent trois types de vues:

• Root view (vue racine)
• CLI view
• Superview
Créer et configurer une vue
Avant Après création, configuration et

entrés dans la vue ADMIN-RESEAU
Avant toute chose, il est indispensable d'activer AAA avec la commande aaa new-model puis de se déconnecter du
mode privilégié avant de configurer l'équipement suivant l'exemple suivant.
R1>enable view
Password:
R1#
*Mar 1 02:42:51.331: %PARSER-6-VIEW_SWITCH: successfully set to view 'root'.
La première commande suivie du mot de passe enable permet d'entrer dans la vue root à partir de laquelle on peut
paramétrer les autres vues.
R1(config)#parser view ADMIN-RESEAU
R1(config-view)#
La vue portant le nom ADMIN-RESEAU est créée à partir de la vue root.
R1(config-view)# secret 0 cisco
R1(config-view)# commands configure include all interface
R1(config-view)# commands exec include traceroute
R1(config-view)# commands exec include ping
R1(config-view)# commands exec include configure terminal
R1(config-view)# commands exec include configure
R1(config-view)# commands exec include all show ip
À cette vue sont ajoutées les commandes jugées nécessaires pour ce rôle d'administration. Le mot de passe secret de
cette vue sera naturellement chiffré par le système.
13
R1>enable view ADMIN-RESEAU

Password:
R1#
*Mar 1 02:58:17.631: %PARSER-6-VIEW_SWITCH: successfully set to view 'ADMIN-RESEAU'.
Pour accéder au rôle, il faut tout d'abord entrer la commande enable view suivie du nom de la vue. Le message
SYSLOG indique l’entrés avec succès dans cette vue.
En entrant le point d'interrogation seul on observe toutes les commandes disponibles dans le mode Exec.
R1#?
Exec commands:
configure Enter configuration mode
enable Turn on privileged commands
exit Exit from the EXEC
ping Send echo messages
show Show running System information
traceroute Trace route to destination
R1#show ?
ip IP information
On peut aussi examiner les options disponibles après la commande show.
Dans le cas présent, seules les commandes commençant par show ip sont disponibles.
R1(config)#?
Configure commands:
do To run exec commands in config mode
exit Exit from configure mode
interface Select an interface to configure
En mode de configuration global, comme prévu, seul le mode de configuration des interfaces est proposé.
Affectation des niveaux de privilège et de vue avec SDM
VIII- Sécuriser les images IOS et les fichiers de configuration

La fonction Cisco IOS
Resilient Configuration
permet une récupération plus
rapide si quelqu'un reformate
la mémoire flash ou efface le
fichier de configuration de
démarrage dans la mémoire
NVRAM.
Cette fonctionnalité permet à
un routeur de résister aux
tentatives malveillantes à
effacer les fichiers en
sécurisant l'image du routeur
et de maintenir une copie de
travail sécurisé de la
configuration courante.
Quand une image Cisco IOS est sécurisée, la fonction Cisco IOS Resilient Configuration refuse toute demande de sa
copie, de sa modification, ou de sa suppression. La copie sécurisée de la configuration de démarrage est stockée en
14
mémoire flash avec l'image IOS sécurisé. Cet ensemble image Cisco IOS et le fichier d’exécution de la configuration du
routeur est appelé le bootset.
Deux commandes de configuration globale sont disponibles pour configurer les fonctionnalités Cisco IOS Resilient
Configuration :
secure boot-image et secure boot-config.
IX- Syslog
Journalisation de l'activité d'un routeur
Les journaux vous permettent de vérifier le fonctionnement d’un routeur et de déterminer s’il a été compromis ou
non. Dans certains cas, un journal peut indiquer les types de sondages ou d’attaques tentés contre le routeur ou le
réseau protégé.
La configuration des journaux (Syslog) sur le routeur est une opération à effectuer avec précaution. Envoyez les
journaux du routeur à un hôte de journalisation désigné. L’hôte de journalisation doit être connecté à un réseau de
confiance ou à un réseau protégé, ou encore à une interface de routeur isolée et spécialisée. Les routeurs
prennent en charge différents niveaux de journalisation. La plage de 8 niveaux va de 0 (urgences indiquant que le
système est instable) à 7 (messages de débogage reprenant toutes les données de routage).
Utilisation de Syslog pour la sécurité du réseau
Mettre en œuvre une fonction de journalisation du routeur est une partie importante de toute politique de sécurité du
réseau.
Exemple de message de journalisation :
Niveau et Nom Syslog Définition Exemple

Une condition de panique normalement diffusé à tous Logiciel Cisco IOS n'a pas pu
0 LOG_EMERG
les utilisateurs charger
Une condition qui doit être corrigée immédiatement, Température trop élevée
1 LOG_ALERT
comme une base de données du système corrompu
Conditions critiques; par exemple, les erreurs de Impossible d'allouer de la mémoire
2 LOG_CRIT
périphérique Disque
3 LOG_ERR erreurs Taille de la mémoire non valide
4 LOG_WARNING messages d'avertissement opération ce chiffrement a échoué
Conditions non-erreur qui peuvent nécessiter un Interface a changé d'état, up ou
5 LOG_NOTICE
traitement spécial down
6 LOG_INFO messages d'information Paquet refusé par une ACL
Les messages qui contiennent des informations qui Type non valide de paquets
7 LOG_DEBU sont normalement utilisés uniquement lors du
débogage d'un programme
Les routeurs Cisco peuvent envoyer des messages de journalisation à plusieurs installations différentes concernant les
modifications de configuration, violations ACL, état de l'interface, et de nombreux autres types d'événements.
Vous devez configurer le routeur pour envoyer des messages de journal à un ou plusieurs des éléments suivants.
Console (Par défaut) : Des messages peuvent être consultés lors de la modification ou du test du routeur en
utilisant un logiciel d'émulation de terminal tout en étant connecté au port console du routeur.
Ligne Terminal : peuvent être configurés pour recevoir des messages de journaux sur les lignes terminales.
Comme pour console, les messages ne sont pas stockés par le routeur et, par conséquent,
ne sont utiles que pour l'utilisateur sur cette ligne.
Journalisation tamponné (Buffered logging ) : un peu plus utile comme un outil de sécurité parce que les messages
de journaux sont stockés dans la mémoire du routeur pendant un temps. Cependant, les
événements sont effacés lorsque le routeur est redémarré.
SNMP Traps : Certains seuils peuvent être préconfigurés sur des routeurs et autres dispositifs. Les
événements dépassant un seuil, peuvent être traités par le routeur et transmis comme traps
SNMP à un serveur SNMP externe.
Syslog : Les routeurs Cisco peuvent être configurés pour transmettre les messages du journal à un
service syslog externe. Ce service peut résider sur n’importe quel nombre de serveurs ou de
postes de travail, sous Microsoft Windows, UNIX, ou sur des appareils Cisco Security MARS.
Syslog est l'installation la plus populaire de la journalisation des messages, car il offre des
15
capacités de stockage de journal à long terme et d'un emplacement central pour tous les
messages de routeur.
Configuration de la journalisation syslog
Étape 1. Définir l'hôte de journalisation de destination en utilisant la

commande logging host
Étape 2. (Facultatif) Réglez le niveau journal de gravité (trap) en
utilisant la commande logging trap level
Étape 3. Réglez l'interface source en utilisant la commande
logging source-interface.
Étape 4. Activez la journalisation avec la commande logging on.
Rl(config)# logging host 10.2.2.6

Rl(config)# logging trap informational
Rl(config)# logging source-interface loopback 0
Rl(config)# logging on
Activation de la journalisation syslog sur un routeur à l'aide de SDM
X- Authentification de routage
Pour sécuriser l’échange d’informations de routage, les routeurs d’une zone spécifique peuvent être configurés pour
s’authentifier mutuellement.
Chaque interface peut présenter une clé d’authentification à l’usage des routeurs qui envoient des informations aux
autres routeurs du segment. La clé d’authentification, ou mot de passe, est un secret partagé entre les routeurs. Elle
permet de générer les données d’authentification dans l’en-tête de paquet d’information. Le mot de passe peut
comporter jusqu’à huit caractères.
Authentification OSPF
Authentification en texte clair :
16
Si vous configurez une authentification simple, le mot de passe est envoyé sous forme de texte en clair. Cela veut
dire qu’il peut être facilement décodé si un analyseur de paquets capture un paquet OSPF.
Router(config-if)# ip ospf authentication-key mot-de-passe
Une fois le mot de passe configuré, l’authentification doit être activée:
Router(config-router)# area numéro-de-zone authentication
Authentification cryptée :
Il est recommandé de crypter les informations d’authentification. Pour envoyer des informations d’authentification
cryptées et pour renforcer la sécurité, le mot-clé MD5 (Message Digest 5) est utilisé. Le mot-clé MD5 spécifie le
type d’algorithme de hachage (MD) à utiliser, et le champ de type de cryptage correspond au type de cryptage, où
0 signifie aucun et où 7 signifie propriétaire.
Router(config-if)#ip ospf message-digest-key identificateur-de-clé
md5 type-d-encryption clé
identificateur-de-clé: identifiant dont la valeur est comprise entre 1 et 255.
clé : mot de passe alphanumérique qui comporte jusqu’à seize caractères.
Les routeurs voisins doivent utiliser le même identifiant de clé et la même valeur de clé.
La commande suivante est configurée en mode de configuration de routeur:
Router(config-router)#area id-de-zone authentication message-digest
R1(config)#interface s0/0/0
R1(config-if)#ip ospf message-digest-key 1 md5 cisco
R1(config-if)#ip ospf authentication message-digest
R1(config)#router ospf 10
R1(config-router)#area 0 authentication message-digest
Authentification RIPv2
Pour l'authentification RIP v2 comme OSPF, il y a deux options : texte clair ou cryptée.
Configurez les paramètres d'authentification
R1(config)# key chain MonRipKeyChain

R1(config-keychain)# key 1
R1(config-keychain-key)# key-string RGjtl5ANYa
R2(config)# key chain MonRipKeyChain

R2(config-keychain-key)# key-string RGjtl5ANYa
Le nom de la chaîne principale, " RIP_KEY ", est défini par l'utilisateur et peut être ce que vous voulez. Il n'a pas
besoin d'être la même sur les deux routeurs.
Le numéro d'identification de la clé d'authentification, " key 1 ", n'a pas besoin d'être identique, sauf si vous utilisez
l'authentification MD5.
La chaîne de clé, " key - string RGjtl5ANYa ", est le mot de passe réel. Il doit correspondre sur les deux côtés.
Les seules choses qui reste à faire est de permettre l'authentification sur les interfaces série 0 / 0 et de spécifier la
méthode d'authentification que vous allez utiliser. Authentification en texte clair est la valeur par défaut.
Configurer l'authentification en texte clair
R1(config)# interface serial 0/0

R1(config-if)# ip rip authentication key-chain MonRipKeyChain
R2# interface serial 0/0

Vérification de l'authentification en texte clair

Nous pouvons vérifier que l'authentification est activée à l'aide de "debug ip rip " , comme indiqué ici:
17
R1# debug ip rip

RIP protocol debugging is on
...
*Mar 1 01:37:02.695: RIP: received packet with text authentication RGjtl5ANYa
*Mar 1 01:37:02.695: RIP: received v2 update from 10.0.1.2 on Serial0/0
...
R1# undebug all
Le mot de passe est clairement visible dans les mises à jour RIP reçues. Non seulement il est visible pour nous,
mais il serait visible à des oreilles indiscrètes sur le réseau. Ainsi l’authentification en texte clair n’a pas d’effet.
Configurer et vérifier MD5 authentification

L'authentification MD5 est juste une commande qu’il faut ajouter en mode de configuration d'interface. Par défaut,
c'est le mode en texte clair qui est activé.
On configure l'authentification MD5 seulement sur R1, puis on active le débogage RIP sur R2 :

R1(config-if)# ip rip authentication mode md5
R1# debug ip rip

*Mar 1 01:50:29.963: RIP: ignored v2 packet from 10.0.1.2 (invalid authentication)
On remarque que le paquet est ignoré en raison de " l'authentification invalide ". C'est parce que l'authentification
MD5 avait déjà été activé sur R1, mais pas sur R2.

R2(config-if)# ip rip authentication mode md5

R1# debug ip rip
*Mar 1 01:50:56.823: RIP: received packet with MD5 authentication
*Mar 1 01:50:56.827: RIP: received v2 update from 10.0.1.2 on Serial0/0
...
R1# undebug all
Notez que la clé d'authentification n'est pas visible, contrairement à l'authentification en texte clair.
18
Authentification du protocole EIGRP
R1(config)# key chain MonEigrpKeyChain

R1(config-keychain-key)# key-string cisco
R1(config-keychain-key)# exit
R1(config-keychain)# exit
R1(config)# interface s0/0/0

R1(config-if)# ip authentication mode eigrp 1 md5
R1(config-if)# ip authentication key-chain eigrp 1 MonEigrpKeyChain
Authentification du protocole OSPF
R1(config)# router ospf 10

R1(config-router)# area 0 authentication message-digest
R1(config)# interface s0/0/0

R1(config-if)# ip ospf message-digest-key 1 md5 $aFi0T
R1(config-if)# exit
19
LISTES DE CONTROLE D’ACCES (ACL)

Un routeur, en tant que périphérique de couche 3, peut filtrer les paquets qui le traversent. En effet le routeur se réfère à
des règles pour déterminer s’il doit autoriser ou refuser un paquet en fonction des adresses IP source et de destination,
du port source, du port de destination ou du protocole à l’issu du paquet. Ces règles sont définies sous forme de listes
de contrôle d’accès ACL.
Une ACL est composée d’une liste d’ACE (Access Control Entry) ces ACEs vont être interprétées de manières
séquentielles c’est-à-dire, lorsqu’un paquet arrivera sur l’interface du routeur où nous avons configuré notre ACL celui-ci
va regarder la première ACE si celle-ci correspond au trafic qu’il analyse, il va appliquer ce qui est décrit dans l’ACE, si la
première ACE ne correspond pas au trafic il va regarder la seconde et ainsi de suite jusqu’à trouver une correspondance.
S’il ne trouve aucune correspondance le paquet sera supprimé, en effet lors de la création d’une ACL tout ceux qui ne
sont pas directement autorisés dans l’ACL est interdit
I- Fonctionnement des listes de contrôle d’accès

Les listes de contrôle d’accès définissent des règles de contrôle accru pour les paquets arrivant par les interfaces
d’entrée, passant par le routeur et atteignant leur destination par les interfaces de sortie.
1. Listes de contrôle d’accès entrantes
Les paquets entrants sont traités avant d’être routés vers l’interface de sortie. Une liste de contrôle d’accès entrante
est efficace car elle réduit la charge des recherches de routage en cas d’abandon du paquet. Si le paquet est
autorisé à l’issue des tests, il est soumis au routage.
2. Listes de contrôle d’accès sortantes

Les paquets entrants sont routés vers l’interface de sortie puis traités par le biais de la liste de contrôle d’accès
sortante.
Remarque:
Vous trouverez une instruction implicite de critères « deny all traffic » à la fin de chaque liste de contrôle d’accès.
On l’appelle parfois instruction implicite « deny any ». Par conséquent, si un paquet ne correspond pas aux entrées
de la liste de contrôle d’accès, il est automatiquement bloqué. L’instruction implicite « deny all traffic » correspond
au comportement par défaut des listes de contrôle d’accès ; vous ne pouvez pas la modifier.
3. Numérotation et attribution d'un nom aux listes de contrôle d'accès
Vous affectez un numéro en fonction du type de filtrage :
(1 à 99) et (1300 à 1999) : liste de contrôle d’accès IP standard
(100 à 199) et (2000 à 2699) : liste de contrôle d’accès IP étendue
20
NB (pas d’édition) : On ne peut pas modifier ou supprimer des entrées dans la liste de contrôle d’accès (pour arriver
à modifier une ACE, on la supprime entièrement puis on la recrée).
Vous affectez un nom en indiquant celui de la liste de contrôle d’accès :
Les noms peuvent comporter des caractères alphanumériques.
Il est recommandé d’écrire le nom en MAJUSCULES.
Les noms ne peuvent pas contenir d’espaces ou de marques de ponctuation ; ils doivent commencer par une
lettre.
NB (possibilité d’édition) : modifier ou supprimer des entrées dans la liste de contrôle d’accès.
4. Traitement des instructions d'une ACL
Quand un paquet arrive à un routeur filtre :
− Le paquet est comparé aux instructions de la liste de contrôle d’accès selon leur ordre d’entrée.
− Tant qu’une concordance n’a pas été détectée, le routeur traite les instructions de l'ACL.
− S’il ne trouve aucune concordance le paquet est supprimé.
C’est pourquoi il est recommandé que:
− les ACE soient bien formulées
− les ACE soient minutieusement ordonnées dans l’ACL en fonction des besoins en filtrage
− Une ACL doit comporter au moins une ACE d’autorisation, sans quoi tout le trafic est bloqué.
Dans cet exemple, les deux listes de contrôle d’accès (101 et 102) ont le même effet. Le réseau 192.168.30.0 est
autorisé à accéder au réseau 192.168.10.0
- access-list 101 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
- access-list 102 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 102 deny ip any any
II- Listes de contrôle d’accès standard

Les listes de contrôle d’accès standard permettent d’autoriser et de refuser le trafic en provenance d’adresses IP source.
La destination du paquet et les ports concernés n’ont aucune incidence.
Exemple: access-list 10 permit 192.168.30.0 0.0.0.255
Dans cet exemple, tout trafic en provenance du réseau 192.168.30.0/24 est autorisé. Compte tenu de l’instruction
implicite « deny any » à la fin de la liste, tout autre trafic est bloqué avec cette liste. Les listes de contrôle d’accès
standard sont créées en mode de configuration globale.
1. Logique de la liste de contrôle d’accès standard

Dans cet exemple, les adresses source sont vérifiées pour les paquets d'une interface:
access-list 2 deny 192.168.10.1
access-list 2 permit 192.168.10.0 0.0.0.255
access-list 2 deny 192.168.0.0 0.0.255.255
access-list 2 permit 192.0.0.0 0.255.255.255
Si les paquets sont autorisés, ils sont acheminés via le routeur
vers une interface de sortie. Dans le cas contraire, ils sont
abandonnés sur l’interface d’entrée.
21
2. Configuration des listes de contrôle d’accès standard

La syntaxe complète de la commande des listes de contrôle d’accès standard est la suivante :
Routeur(config)# access-list numéro-liste deny | permit | remark ip-source [masque-
générique-source] [log]
Paramètre Désignation
numéro-liste- Numéro d’une liste de contrôle d’accès. C’est un nombre décimal entre 1 et 99, ou entre 1300
accès et 1999 (pour une liste de contrôle d’accès standard).
deny Refuse l’accès si les conditions sont respectées.
permit Autorise l’accès si les conditions sont respectées.
remark Ajoutez une remarque sur les entrées dans une liste de contrôle d’accès IP pour en faciliter la
compréhension et la recherche.
source Numéro du réseau ou de l’hôte d’où provient le paquet. Il existe deux moyens de spécifier la
source :
Utilisez une séquence de 32 bits en notation décimale à quatre parties.
Utilisez le mot clé any comme abréviation d’une source et le masque-générique-source 0.0.0.0
255.255.255.55.
masque- (Facultatif) Bits de masque générique à appliquer à la source. Il existe deux moyens de
générique- spécifier le masque-générique-source :
source Utilisez une séquence de 32 bits en notation décimale à quatre parties. Placez les uns dans
les positions de bits à ignorer.
Utilisez le mot clé any comme abréviation d’une source et le masque-générique-source 0.0.0.0
255.255.255.55.
log (Facultatif) Provoque un message de journalisation informatif au sujet du paquet
Pour supprimer la liste de contrôle d’accès, utilisez la commande de configuration globale:

Routeur(config)# no access-list numéro-liste
3. Application des ACLs aux interfaces

Après sa configuration, une liste de contrôle d’accès standard est liée à une interface à l’aide de la commande ip
access-group :
Routeur(config-if)#ip access-group {numéro-liste-accès | nom-liste-accès} {in | out}
Procédures de configuration des listes de contrôle d’accès standard:
1. Routeur(config)#access-list 1 permit 192.0.0.0 0.255.255.255 (création de la ACL)
2. Routeur(config)#interface fastEthrnet 0/0 (sélection de l'interface)
3. Routeur(config-if)#ip access-group 1 out (active l’ACL pour les paquets sortants de
l'interface)
Exemples:
ACL pour autoriser un réseau uniquement
R1(config)# access-list 1 permit 192.168.10.0 0.0.0.255
R1(config)# interface S0/0/0
R1(config-if)# ip access-group 1 out
ACL pour refuser un hôte spécifique
R1(config)# no access-list 1
R1(config)# access-list 1 deny 192.168.10.10 0.0.0.0
ACL pour refuser un sous réseau spécifique
R1(config)# no access-list 1
R1(config)# access-list 1 deny 192.168.10.10 0.0.0.0
4. Utilisation d’une liste de contrôle d’accès pour contrôler l’accès VTY
Cisco recommande d’utiliser SSH pour toute connexion administrative aux routeurs et aux commutateurs. Si l’image
du logiciel Cisco IOS ne prend pas en charge le protocole SSH sur le routeur, vous pouvez améliorer en partie la
sécurité des lignes administratives en limitant l’accès VTY
Pour cela utilisez la commande access-class pour filtrer les sessions Telnet entrantes et sortantes en fonction de
l’adresse source et pour appliquer le filtrage aux lignes VTY.
La syntaxe de la commande access-class est la suivante :
Routeur(config)# access-class numéro-liste-accès {in [vrf-also] | out}
22
Exemple:
R1(config)# access-list 21 deny any
R1(config-line)# login
R1(config-line)# password secret
R1(config-line)# access-class 21 in
Remarques : Seules des listes de contrôle d’accès numérotées peuvent être appliquées aux lignes VTY.
Vous devez définir les mêmes restrictions sur toutes les lignes VTY car un utilisateur peut tenter de
se connecter à n’importe laquelle.
5. Édition des listes de contrôle d’accès numérotées
Lors de la configuration d’une ACL, les instructions sont ajoutées dans leur ordre de saisie à la fin de la liste de
contrôle d’accès. Cependant, il n’existe aucune fonction d’édition intégrée vous permettant de modifier une ACL.
Vous ne pouvez pas sélectionner les lignes à insérer ou supprimer.
Il est fortement recommandé de créer une ACL dans un éditeur de texte, tel que le Bloc-notes. Ainsi, vous pourrez
créer ou modifier une liste de contrôle d’accès, puis la coller dans la configuration du routeur.
Supposons, par exemple, que l’adresse IP hôte a été entrée de manière incorrecte dans une ACL. L’hôte
192.168.10.100 a été entré alors que c’est l’hôte 192.168.10.11 qui aurait dû l’être. Voici les étapes à suivre pour
modifier et corriger cette ACL:
Étape 1. Affichez la ACL à l’aide de la commande show running-config, utilisez le mot clé include pour afficher
uniquement les instructions de la ACL.
Étape 2. Copiez depuis la CLI puis collez dans le Bloc-notes. Modifiez la liste comme nécessaire.
Étape 3. En mode de configuration globale, désactivez la liste de contrôle d’accès à l’aide de la commande
no access-list. Sinon, les nouvelles instructions sont ajoutées à la suite de la liste de contrôle
d’accès existante. Collez la nouvelle liste de contrôle d’accès dans la configuration du routeur.
III- Listes de contrôle d’accès étendues

Les listes de contrôle d’accès étendues filtrent les paquets IP en fonction de plusieurs attributs, dont le type de protocole,
l’adresse IP source, l’adresse IP de destination, les ports TCP ou UDP source, les ports TCP ou UDP de destination, et
les informations facultatives sur le type de protocole pour une meilleure précision du contrôle.
Pour un filtrage du trafic plus précis, utilisez des listes de contrôle d’accès étendues et numérotées entre 100 et 199,
2000 et 2699 afin de prendre en charge un maximum de 799 listes de contrôle d’accès étendues. Vous pouvez
également attribuer un nom aux listes de contrôle d’accès étendues.
Exemple : access-list 103 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Les listes de contrôle d’accès étendues sont créées en mode de configuration globale.
1. création des listes de contrôle d’accès etendues

Remarques
Pour générer une liste de numéros de port et mots clés à utiliser lors de la création d’une liste de contrôle d’accès
utiliser la commande access-list 101 permit tcp any eq ?
access-list numéro {deny | permit | remark} Protocole
@ip-source [masque] [opérateur] [numéro-port ou nom]
@ip-destination [ masque][ opérateur] [numéro-port ou nom][established]
paramètre désignation
numéro-liste- Identifie la liste de contrôle d’accès à l’aide d’un numéro entre 100 et 199 ou entre 2000 et
accès 2699
protocole Nom ou numéro d’un protocole Internet. Les mots clés communs comprennent icmp, ip, tcp
ou udp.
@ip source Numéro du réseau ou de l’hôte d’où provient le paquet.
@ip destination Numéro du réseau ou de l’hôte auquel le paquet est envoyé.
opérateur (Facultatif) Compare le port source et le port de destination. Les opérateurs éventuels sont
23
les suivants : lt (inférieur à), gt (supérieur à), eq (égal), neq (non égal) et range (plage
inclusive)
port (Facultatif) Numéro décimal ou nom d’un port TCP ou UDP.
established (Facultatif) Pour le protocole TCP uniquement : indique une connexion établie.
Les autres paramètres ont la même signification qu'une ACL standard
Exemple:
Créer une ACL 103 qui autorise le trafic en
provenance de toute adresse sur le réseau
192.168.10.0 à accéder à n’importe quelle
destination, à condition que le trafic soit
transféré vers les ports 80 (HTTP) et 443
(HTTPS).
Créer une une ACL 104 qui bloque tout

trafic entrant (SYN=1), à l’exception des
connexions établies (HTTP établit des
connexions en commençant par la
demande initiale avant de passer aux
échanges de messages ACK=1ou RST=1).
R1(config)# access-list 103 permit tcp 192.168.10.0 0.0.0.255 any eq 80
R1(config)# access-list 104 permit tcp any 192.168.10.0 0.0.0.255 established
Sans le paramètre established dans la liste 104, dans l’instruction de la liste de contrôle d’accès, les clients
peuvent envoyer le trafic vers un serveur Web mais ils ne peuvent pas le recevoir.
Vous pouvez désigner un port connu par son nom. Exemple eq 80 peut être remplacée par eq www
2. Application d'ACL étendues aux interfaces
Il s’agit d’appliquer une ACL à une interface dans le sens « entrant » ou « sortant » suivant le besoin.
Exemple : Refuser Telnet sortant par une interface.
R1(config)# access-list 101 deny tcp 192.168.11.0 0.0.0.255 any eq 23
R1(config)# access-list 101 permit ip any any
R1(config)# interface Fa0/0
Cet exemple refuse tout trafic Telnet en provenance de 192.168.11.0 vers toute autre source (any), mais autorise
tout autre trafic IP en provenance de toute autre source vers toute destination à la sortie de Fa0/0.
Remarque : any signifie en provenance de n’importe quelle source ou vers n’importe quelle destination.
Autre exemple: L’administrateur réseau doit limiter l’accès Internet pour n’autoriser que la navigation sur le Web.
La liste de contrôle d’accès 103 s’applique au trafic provenant du réseau 192.168.10.0 ; la liste de contrôle
d’accès 104 s’applique au trafic à destination du réseau.
R1(config)# access-list 104 permit tcp any 192.168.10.0 0.0.0.255 established
R1(config-if)# ip access-group 104 in
IV- Utilisation des ACL standards et étendues en pratique

Dans la pratique, étant donné que les ACL standards ne peuvent prendre en compte que les adresse IP sources, il est
logique qu’elles soient souvent utilisées pour filtrer les datagrammes proches de la destination finale, sur un passage
« obligé » pour joindre le destinataire final.
24
Spécifications :
Empêcher le trafic du réseau 192.168.1.0 d'accéder au réseau 192.168.4.0.
Autoriser 192.168.1.0 à atteindre les autres réseaux.
Mauvais emplacement :
Répond à certaines spécifications.
192.168.2.0/24
Empêche le trafic du réseau 192.168.1.0
d'accéder aux réseaux 192.168.2.0 et
192.168.3.0 Fa0/0 Fa0/0
ENT SOR
192.168.1.0/24 192.168.4.0/24
192.168.3.0/24 bon emplacement :
Répond à toutes les
ACL spécifications.
access-list 9 deny 192.168.1.0 0.0.0.255
access-list 9 permit any
En revanche, les ACL étendues prenant aussi en compte les adresses destination, peuvent être utilisées au contraire sur
les routeurs les plus proches des équipements sources concernés, ceci afin d’éviter du trafic superflu sur le réseau.
Spécifications :
Utiliser l'ACL étendue pour empêcher le trafic du réseau 192.168.1.0 d'accéder au réseau 192.168.4.0.
Autoriser 192.168.1.0 à atteindre les autres réseaux.
Bon emplacement :
L’ACL étendue est positionnée au plus
192.168.2.0/24
près de la source, ce qui empêche le
trafic du réseau 192.168.1.0 d'atteindre
192.168.4.0, mais l'autorise à atteindre Fa0/0 Fa0/0
les autres réseaux. ENT SOR
192.168.1.0/24 192.168.4.0/24
192.168.3.0/24
ACL
access-list 109 deny 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255
access-list 109 permit ip any any
V- ACL nommées
1. Création des ACL nommées
Si vous attribuez un nom à une liste de contrôle d’accès, il vous sera plus facile d’en comprendre la fonction. Par
exemple, vous pouvez utiliser NO_FTP pour appeler une liste de contrôle d’accès refusant le trafic FTP. Lorsque
vous identifiez une liste de contrôle d’accès par un nom plutôt qu’un numéro, le mode de configuration et la syntaxe
de commande sont légèrement différents.
- En mode de configuration globale, utilisez la commande:
Routeur(config)#ip access-list [standard | extendend] name
- En mode de configuration de la liste de contrôle d’accès nommée, utilisez les instructions permit ou deny pour
spécifier une ou plusieurs conditions afin de déterminer si un paquet est transféré ou abandonné.
Routeur(config-std-nacl)# permit| deny source
Remarque : Les noms des listes de contrôle d’accès sont alphanumériques, ils doivent être uniques et ne peuvent
pas commencer par un numéro.
Verification des ACLs :
Pour afficher les ACL utilisez la commande : show access-lists
25
2. Exemples de création des ACLs étendues nommées

L’ACL nommée SURFING autorise des requêtes vers les ports 80 et 443 (HTTP et SHTTP)
L’ACL nommée BROWSING autorise des réponses établies HTTP et SHTTP
R1(config)# ip access-list extended SURFING
R1(config-ext-nacl)# permit tcp 192.168.10.0 0.0.0.255 any eq 80
R1(config-ext-nacl)# permit tcp 192.168.10.0 0.0.0.225 any eq 443
R1(config)# ip access-list extended BROWSING
R1(config-ext-nacl)# permit tcp any 192.168.10.0 0.0.0.255 established
3. Exemples d’application d'ACLs étendues nommées aux interfaces
R1(config-if)# ip access-group SURFING 103 out
R1(config-if)# ip access-group BROWSING 104 in
4. Edition des ACL nommées
Les ACL nommées présentent un gros avantage par rapport aux ACL numérotées dans la mesure où leur édition
est plus facile. Depuis la version 12.3 du logiciel Cisco IOS, les ACL IP nommées permettent d'utilisez des numéros
de séquence pour insérer des entrées n’importe où dans la liste de contrôle d’accès nommée. Ce qui permet de
supprimer des entrées, modifier l'ACL sans la supprimer ni la reconfigurer dans son intégralité.
Exemple 1 :
R1# show access-lists
Standard IP access list WEBSERVER
10 permit host 192.168.10.11
20 deny 192.168.10.0, wildcard bits 0.0.0.255
R1# conf t
R1(config)# ip access-list standard WEBSERVER
R1(config-std-nacl)# 15 permit host 192.168.11.10
R1(config-std-nacl)# end
Rl# sho access-lists
Standard IP access list WEBSERVER
10 permit host 192.168.10.11
15 permit host 192.168.11.10
5. Suppression (exemples):
Pour supprimer une liste de contrôle d’accès standard nommée WEBSERVER :
Routeur(config)# no ip access-list standard WEBSERVER
Pour supprimer une entrée dans des listes de contrôle d’accès standard et étendu nommées :
R1(config-ext-nacl)# no permit host 192.168.10.11
R1(config-std-nacl)# no deny tcp 192.168.20.0 0.0.0.225 any eq telnet
VI- Listes de contrôle d’accès complexes

1. Liste de contrôle d’accès dynamique (de verrou)
Les utilisateurs souhaitant traverser le routeur

R3 sont bloqués tant qu’ils n’utilisent pas
Telnet pour se connecter au routeur et tant
qu’ils n’ont pas été authentifiés.
1. PC1 utilise Telnet pour se connecter au

routeur R3 et pour authentifier les
utilisateurs.
2. Pendant une période donnée, PC1 peut

utiliser FTP et HTTP pour se connecter au
routeur R3.
26
R3(config)# username Student password 0 Crée un nom de connexion et un mot de passe pour une
cisco authentification.
R3(config)# access-list 101 permit any host Autorise l’utilisateur à établir une connexion Telnet sur le
10.2.2.2 eq telnet routeur.
R3(config)# access-list 101 dynamic testlist L’entrée de la liste de contrôle d’accès dynamique est
timeout 15 permit ip ignorée tant que la fonction de verrou n’a pas été
192.168.10.0 0.0.0.255 déclenchée.
192.168.30.0 0.0.0.255 La fenêtre sera ouverte pendant 15 minutes avant de se
refermer automatiquement qu’elle soit utilisée ou non.
R3(config)# interface serial 0/0/1 Applique la liste de contrôle d’accès 101 à l’interface
R3(config-if)# ip access-group 101 in S0/0/1.
R3(config)# line vty 0 4 Après l’authentification de l’utilisateur à l’aide de Telnet, la
R3(config-line)# login local commande autocommand s’exécute et la session Telnet
R3(config-line)# autocommand access-enable est arrêtée. L’utilisateur peut dorénavant accéder au
host timeout 5 réseau 192.168.30.0. Si la fenêtre est inactive pendant 5
minutes, elle est fermée.
2. Liste de contrôle d’accès réflexive

Les administrateurs réseau utilisent les listes de contrôle d’accès réflexives pour autoriser le trafic IP pour des
sessions provenant de leur réseau tout en refusant le trafic IP pour les sessions dont la source est extérieure au
réseau. Ces listes de contrôle d’accès permettent au routeur de gérer le trafic de session de manière dynamique.
L’ACL réflexive Permet de filtrer les paquets IP en fonction

des informations de session (qui a commencé ?) des
couches supérieures. On peut ainsi autoriser un certain trafic,
seulement s’il a été initié depuis l’intérieur du réseau.
On pouvait déjà obtenir ce fonctionnement avec des ACL
étendues, en utilisant l’option established, mais cette
option ne vaut que pour TCP.
Les ACL réflexives permettent de faire le même type de
filtrage avec TCP, mais aussi UDP et ICMP
En effet le routeur examine le trafic sortant. Lorsqu’il
détecte une nouvelle connexion, il ajoute une entrée à une
liste de contrôle d’accès provisoire pour autoriser les
réponses. Les listes de contrôle d’accès réflexives
comprennent uniquement des entrées provisoires. Elles sont
supprimées automatiquement à la clôture d’une session.
Exemple :
La topologie
Un LAN internet (192.168.0.0/24) est connecté à
Internet par l’intermédiaire de R2 qui est configuré
pour faire du NAT overload.
R1 a une route par défaut qui pointe vers R2, R2
une route par défaut vers R3. R3 ne connait que
80.0.0.0/30.
Objectif
Configurer R2 de sorte qu’il n’autorise les paquets provenant d’Internet à l’unique condition qu’ils correspondent à une
« conversation » initiée depuis le LAN interne.
Méthode générale
1. Configurer une ACL définissant le trafic autorisé à sortir (LAN vers Internet) en spécifiant l’ACL dynamique à peupler.
2. Appliquer cette ACL sur une interface.
3. Créer un ACL correspondant au trafic autoriser à entrer où l’on fait évaluer l’ACL dynamique.
4. Appliquer cette ACL en sens inverse de l’ACL pour le trafic sortant.
Considération dans le cas présent

Il faut garder en mémoire que l’opération du NAT (modification de l’adresse source du paquet) est effectuée avant le
filtrage. Dès lors si on n’y prête pas attention on risque fort de ne pas arriver à identifier correctement le trafic.
Dés lors il faut commencer par se fixer une base de travail, à savoir, à quel moment le filtrage aura lieu. Si on le fait sur
l’interface de R2 côté LAN, on devra tenir compte des adresses locales, si on filtre à la sortie de l’interface côté publique,
il faudra traiter les données en fonction de l’adresse utilisée par le NAT.
Pour la configuration, on filtrera le trafic côté LAN de R2. L’avantage majeur est que l’on peut distinguer les adresses
privées, l’inconvénient c’est que le routeur fera l’opération de routage même si les paquets seront ignorés juste après.
27
Configuration
Commençons par créer l’ACL autorisant le trafic sortant:
R2(config)#ip access-list extended ACL-L2W
R2(config-ext-nacl)#permit ip 192.168.0.0 0.0.0.255 any reflect ACL-REFLECTED
ACL-L2W (Lan to Wan) sera l’ACL que l’on appliquera sur l’interface côté LAN de R2 en « input ». On y autorise le traffic
ip (n’importe quel protocole) provenant de 192.168.0.0/24 vers n’importe quelle direction.
L’instruction reflect indique au routeur qu’il devra créer une règle réflexive (correspondant au trajet inverse) dans
l’access-list dynamique ACL-REFLECTED.
Créons maintenant l’ACL qui filtrera le trafic entrant et que l’on appliquera de nouveau sur l’interface LAN de R2 mais
cette fois en « output ».
R2(config)#ip access-list extended ACL-W2L
R2(config-ext-nacl)#evaluate ACL-REFLECTED
ACL-W2L (Wan to Lan) ne contient ici qu’une seule instruction, evaluate ACL-REFLECTED, qui indique au routeur qu’il
doit utiliser les règles contenues dans l’ACL ACL-REFLECTED.
Il reste maintenant à appliquer ces deux ACL sur l’interface LAN (Fa0/0 dans le cas présent) de R2.
R2(config)#interface fa0/0
R2(config-if)#ip access-group ACL-L2W in
R2(config-if)#ip access-group ACL-W2L out
Vérification
Commençons par vérifier si R1 arrive bien à communiquer avec R3, cela devrait fonctionner puisqu’il génèrerait des
paquets provenant de 192.168.0.10 à destination de 80.0.0.1, ce qui correspond à la clause « permit » de ACL-L2W.
R1#ping 80.0.0.1
!!!!!
R2#show access-lists
Standard IP access list 1
10 permit 192.168.0.0, wildcard bits 0.0.0.255 (5 matches)
Extended IP access list ACL-L2W
10 permit ip 192.168.0.0 0.0.0.255 any reflect ACL-REFLECTED (5 matches)
Reflexive IP access list ACL-REFLECTED
permit icmp host 80.0.0.1 host 192.168.0.10 (5 matches) (time left 286)
Extended IP access list ACL-W2L
10 evaluate ACL-REFLECTED
L’access-list 1 est utilisée ici pour le NAT, elle est utile pour la vérification. Ce qui nous intéresse ici, c’est l’ACL-L2W …
« 5 matches » … les 5 paquets icmp générés par le ping sont bien passés et ont été traités correctement par l’ACL.
Mieux encore … l’ACL-REFLECTED contient une règle qui correspond au traffic correspondant à la réponse de R3 au
ping de R1: des paquets ICMP en provenance de 80.0.0.1 à destination de 192.168.0.10.
Quelques remarques
• Le NAT est assez gênant dans le sens où il impose de travailler en in et out du même côté de R2. Si les ACLs étaient
appliquées du côté WAN de R2, il aurait fallu remplacer la règle « permit ip 192.168.0.0 0.0.0.255 …. » par « permit
ip host 80.0.0.2 any … »
• Point important … l’utilisation d’access-list réflexive ne peut se faire que dans des access-list étendues.
• Il est tout à fait possible de mélanger des règles statiques avec une ou plusieurs instructions « evaluate », il faut juste
garder en tête qu’une ACL s’exécute séquentiellement, règle après règle, par ordre de séquence. Les règles
contenues dans l’ACL évaluées seront donc exécutées comme si elles étaient définies à cet endroit dans l’ACL.
• En l’absence de NAT, il vaut clairement mieux appliquer l’ACL autorisant le trafic sortant côté interne en input, et
l’ACL filtrant le trafic entrant côté extérieur en input également.
3. Liste de contrôle d’accès basée sur le temps
28
R1(config)# time-range EVERYOTHERDAY Définissez tout d’abord la plage horaire pour

R1(config-time-range)# periodic Monday Wednesday implémenter une liste de contrôle d’accès et
Friday 8:00 to 17:00 appelez-la EVERYOTHERDAY, dans cet
exemple.
R1(config)# access-list 101 permit tcp Appliquez la plage horaire à la liste de contrôle
192.168.10.0 0.0.0.255 any eq telnet time-range d’accès.
EVERYOTHERDAY
R1(config)# interface s0/0/0 Appliquez la liste de contrôle d’accès à

R1(config-if)# ip access-group 101 out l’interface.
VII- Méthode de travail

Il est important de respecter les conseils suivants :
– il faut d’abord bien réfléchir à ce que l’on veut autoriser et interdire
– ce travail doit se faire avant de faire quoi que ce soit sur les routeurs
– il faut s’arranger pour pouvoir « copier/coller » les ACLs
– ne pas hésiter à stocker des ACLs dans des fichiers texte pour faire une sorte de « librairie » d’ACLs
– si possible, tester les ACLs hors ligne avant de les installer sur le réseau exploité
VIII- TD sur les listes de contrôle d’accès

Enoncés :
Exercice 1 Masque générique
Donnez l’ensemble des adresses IP concernées par les notations suivantes :
1. 192.168.10.0 0.0.0.255
2. 172.16.0.0 0.0.255.255
3. 10.0.0.0 0.255.255.255
4. 192.168.50.1 0.0.0.254
5. 192.168.0.0 0.0.254.255
6. 192.168.10.61 0.0.0.95
Trouvez les notations « masque générique » qui correspondent aux réseaux suivants :
7. 10.250.50.112 255.255.255.224
8. 192.168.16.0 à 192.168.16.127
9. 172.250.16.32 à 172.250.31.63
10. 192.168.10.128 à 192.168.10.159 et 192.168.10.192 à 192.168.10.223
Exercice 2 ACL standard et Masque générique
Compléter le tableau ci-dessous :
Instructions ACL Adresse source du paquet IP Autorisé Refusé
access-list 16 permit 192.168.122.128 0.0.0.63 192.168.122.195
Exercice 3 ACL standard et étendue
29
Router(config)# access-list 1 permit 172.16.0.0 0.0.255.255

Router(config)# interface Ethernet 0
Router(config-if)# ip access-group 1 out
Router(config)# interface ethernet 1
Router(config-if)# ip access group 1 out
1. Comment peut-on reconnaître qu’il s’agit d’une ACL standard ?
2. A quoi sert-elle ?
3. Est-il possible d’obtenir le même fonctionnement en plaçant la même ACL autrement ?
4. Est-il possible d’obtenir le même fonctionnement en plaçant une ACL standard différente sur une autre interface ?
5. Ecrivez une ACL étendue qui permette d’obtenir le même fonctionnement
6. Comment placez-vous cette ACL étendue ?
7. Quel avantage voyez-vous à cette solution ?
Exercice 4 ACL standard (Topologie identique à celle de l’exercice 3)
Router(config)# access-list 1 deny 172.16.4.13 0.0.0.0
Router(config)# interface ethernet 0
Router(config)# ip access-group 1 out
1. A quoi sert cette ACL ?
2. Proposez une modification pour qu’elle produise effectivement l’effet attendu
Exercice 5 ACL étendue
Router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21

Router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20
Router(config)#access-list 101 permit ip any any
Router(config)#interface ethernet 0
Router(config-if)# ip access-group 101 out
1. A quoi sert cette ACL ?
2. Pourquoi fallait-il filtrer les deux ports 21 et 20 ?
3. Proposez une entrée qui remplace (résume) les deux premières lignes de l’ACL
4. Trouvez une ACL standard qui produit le même effet
Exercice 6 ACL étendue (Topologie identique à celle de l’exercice 5)
On souhaite empêcher les hôtes du réseau 172.16.4.0/24 de dialoguer avec le serveur web 172.16.3.12/24. Pour cela,
l’administrateur réseau a choisi de ne pas bloquer les requêtes qui sortent du réseau 172.16.4.0/24, mais plutôt de
bloquer les réponses du serveur.
1. Quelle syntaxe proposeriez vous ?
2. A quelle interface et dans quel sens appliquez-vous cette ACL ?
3. Que doit obligatoirement faire le routeur pour qu’une telle ACL puisse fonctionner ?
4. Quelle est la meilleure manière pour empêcher les hôtes du réseau 172.16.4.0/24 de dialoguer avec le serveur
web 172.16.3.12/24 ? Est-ce filtrer les requêtes ou les réponses HTTP ?
Exercice 7 ACL étendue
Router(config)#access-list 101 deny tcp 192.168.10.0 0.0.0.255 any neq 80
Router(config)#access-list 101 deny tcp 192.168.10.0 0.0.0.255 any neq 21
Router(config)#access-list 101 permit ip any any
Router(config-if)# ip access-group 101 in
1. Quel est l’effet de cette ACL ?
2. En devinant l’intention de l’administrateur, proposez une ACL correcte
Exercice 8 ACL réflexives
1. Quelle est l’utilité particulière des ACL réflexives ?
2. Est-il possible de faire la même chose avec des ACL étendues ?
3. Es-il possible de faire la même chose avec des ACL étendues, sans utiliser l’option « established » ?
4. Finalement, quelle est réellement la différence entre ACL étendue et ACL réflexive ?
30
Corrigé :
Exercice 1
1. de 192.168.10.0 à 192.168.10.255
2. de 172.16.0.0 à 172.16.255.255
3. de 10.0.0.0 à 10.255.255.255
4. toutes les machines impaires du réseau 192.168.50.0/24
5. Tous les sous-réseaux pairs sur le réseau principal 192.168.0.0
192.168.0.0 à 192.168.0.255 et 192.168.2.0 à 192.168.2.255
et 192.168.4.0 à 192.168.4.255 … et 192.168.254.0 à 192.168.254.255
6. 192.168.10.32 à 192.168.10.63 et 192.168.10.96 à 192.168.10.127
7. 10.250.20.112 0.0.0.31
8. 192.168.16.32 0.0.0.127
9. 172.250.16.32 0.0.0.31
10. 192.168.10.128 0.0.0.95
Exercice 2
Instructions ACL Adresse du paquet IP Autorisé Refusé
access-list 16 permit 192.168.122.128 0.0.0.63 192.168.122.195 :
access-list 36 permit 192.168.223.32 0.0.0.31 192.168.223.60 ;
Exercice 3
1. son numéro est compris entre 1 et 99 ; par ailleurs, seule l’adresse IP source est mentionnée
2. Elle oblige le réseau de droite à n’accepter que les paquets qui viennent du réseau de gauche et inversement
3. non
4. non
5. il suffit d’interdire tout le trafic entrant sur la liaison série : access-list 100 deny ip any any
6. dans le sens entrant : interface serial0/0/0
ip access-group 100 in
7. le routeur n’aura pas à traiter le trafic venant de l’extérieur avant de l’interdire
Exercice 4
1. cette ACL est fausse, elle interdit en fait tout le trafic sortant de E0 (c'est-à-dire vers le réseau 172.16.3.0/24. L’idée
de l’administrateur était de n’interdire que le trafic qui vient du serveur 172.16.4.13
2. il faut ajouter : access-list 1 permit ip any any
Exercice 5
1. elle empêche les machines du réseau de droite d’utiliser ftp sur le réseau de gauche. Il faut remarquer que cette ACL
aurait pu avantageusement être placée en entrée de l’interface E1.
2. il faut filtrer les deux ports car l’application ftp les utilise tous les deux (21 : contrôle ; 20 : données)
3. access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 range 20 21
4. impossible, car les ACLs standards ne permettent pas de spécifier un numéro de port
Exercice 6
1. access-list 100 deny tcp host 172.16.3.12 eq 80 172.16.4.0 0.0.0.255
access-list 100 permit ip any any
2. interface ethernet0
ip access-group 100 in
3. il faut que le routeur filtre le port 80, mais attention, dans cette situation, le port 80 source en provenance du serveur
4. la meilleure manière est de filtrer les requêtes et pas les réponses.
Exercice 7
1. elle interdit tout car : si le paquet n’est pas à destination du port 21, il est refusé par la première ligne, si le paquet est
à destination du port 80, il est refusé par la deuxième ligne
2. On devine que l’administrateur voulait interdire tout, sauf les ports 80 et 21. Il aurait dû écrire :
Router(config)#access-list 101 permit tcp 192.168.10.0 0.0.0.255 any eq 80
Router(config)#access-list 101 permit tcp 192.168.10.0 0.0.0.255 any eq 21
Router(config)#access-list 101 deny ip any any
Router(config-if)#access-group 101 in
Exercice 8
1. elle permet de tenir compte des informations de connexion du protocole TCP, et pour ICMP et UDP, elles permettent
de « pister » les connexions en observant la cohérence des identifiants de connexion (les couples @IP, n° de port)
2. oui, mais seulement evec TCP en utilisant l’option « established »
3. non
4. la vérification de UDP et ICMP, avec en plus une notion très importants : le temps. En effet, une ACL réflexive
laissera passer le trafic motivé par une session en cours, mais seulement pendant un certain temps (programmable)
31
PRESENTATION ET CONFIGURATION D'AAA

I- AAA
Authentification : des utilisateurs et des
administrateurs doivent prouver qu'ils sont
bien ceux qu’ils prétendent être.
L'authentification peut être établi en
utilisant l'identifiant et le mot de passe, des
combinaisons de défi et de réponse aux
questions, les cartes à jeton, et d'autres
méthodes.
Autorisation : Une fois l'utilisateur
authentifié, les services d'autorisation
déterminent à quelles ressources
l'utilisateur peut accéder et quelles
opérations l'utilisateur est autorisé à
effectuer. Un exemple
"l’utilisateur 'student' peut accéder à l’hôte
serverXYZ en utilisant Telnet seulement."
Comptabilité (Accounting) : enregistre
ce que l'utilisateur fait, y compris ce qui est
accessible, la quantité de temps ... Un
exemple "l’utilisateur 'student' a accédé à
serverXYZ en utilisant Telnet pendant 15
minutes."
Authentification AAA locale
AAA locale utilise une base de données locale pour l'authentification. Cette méthode stocke les noms d'utilisateur et mots
de passe localement dans le routeur Cisco, et les utilisateurs s’authentifient à la base de données locale. Cette base de
données est la même que celle requise pour établir les rôles CLI. AAA locale est idéale pour les petits réseaux.
1. Le client établit une connexion avec le routeur.
2. Le routeur AAA demande à l'utilisateur un nom
d'utilisateur et mot de passe.
3. Le routeur authentifie le nom d'utilisateur et mot de
passe en utilisant sa base de données locale et
l'utilisateur est autorisé à accéder au réseau ou non en
fonction des informations dans cette base de données.
Exemple de configuration du service AAA sur un routeur cisco

R1(config)# usemame JR-ADMIN secret Str0ngPa55w0rd
R1(config)# username ADMIN secret Str0ng5rPa55w0rd
R1(config)# aaa new-model
R1(config)# aaa authentication login default group tacacs+
R1(config)# aaa authentication login TELNET-LOGIN local-case
R1(config)# aaa authorization exec group tacacs+
R1(config)# aaa authorization network group tacacs+
R1(config)# aaa accounting exec start-stop group tacacs+
R1(config)# aaa accounting network start-stop group tacacs+
R1(config-line)# login authentication TELNET-LOGIN
Authentification AAA basée sur le serveur
La méthode basée sur le serveur utilise une ressource de serveur de base de données externe qui s’appuie sur des
protocoles RADIUS ou TACACS +. Les exemples incluent Cisco serveur Secure Access Control (ACS) pour Windows
Server, Cisco Secure ACS Solution Engine, ou Cisco Secure ACS Express. S’il ya plusieurs routeurs, AAA basée sur le
serveur est plus approprié.
1. Le client établit une connexion avec le routeur.
2. Le routeur AAA demande à l'utilisateur un nom
d'utilisateur et mot de passe.
3. Le routeur authentifie le nom d'utilisateur et mot de
passe en utilisant un serveur AAA distant.
4. L'utilisateur est autorisé à accéder au réseau en
fonction des informations sur le Serveur AAA
distant.
32
II- Fonctionnalité d'AAA TACACS+ RADIUS

L’authentification est la première étape à réaliser lors d’un accès distant, avant les étapes d’autorisation et de
comptabilité (accounting).
De nombreux protocoles ont été conçus dans cette optique, tels TACACS+, RADIUS (Remote Authentication Dial-In User
Server), Kerberos, etc.
Les protocoles RADIUS et TACACS+ sont les plus utilisés dans le monde des opérateurs de télécommunications pour
leur simplicité d’implémentation et leur efficacité.
TACACS+
TACACS+ est la dernière version du protocole TACACS.
Développé à l’origine par BBN puis repris par Cisco, il a
été étendu une première fois avec XTACACS (eXtended
TACACS), compatible avec TACACS, puis par TACACS+.
TACACS+ utilise le protocole TCP et le port 49 pour son
transport. Il gère séparément les trois fonctions AAA
(Authentication, Authorization, Accounting).
Configuration du routeur client AAA TACACS+
Configuration sur un serveur AAA Cisco Secure ACS des paramètres du client AAA
Configuration d’un compte utilisateur sur un serveur AAA Cisco Secure ACS
33
RADIUS
Créé par Livingston Enterprises,
RADIUS est normalisé par les RFC
2138 et 2139 de l’IETF.
Il utilise le protocole UDP et gère les
deux premières fonctions AA
(Authentication, Authorization)
conjointement et la troisième
(Accounting) séparément.
Configuration du routeur client AAA RADIUS
Comparaison entre TACACS+ et RADIUS

TACACS + et RADIUS sont deux protocoles d'authentification. Chacun supporte différentes capacités et fonctionnalités.
Que TACACS + ou RADIUS est sélectionné dépend des besoins de l'organisation.
Par exemple, un grand fournisseur d'accès Internet pourrait sélectionner RADIUS, car il prend en charge la comptabilité
détaillée requise pour la facturation des utilisateurs. Une organisation avec différents groupes d'utilisateurs pourrait
sélectionner TACACS +, car il nécessite des politiques de sélection d'autorisation à appliquer sur bases par-utilisateur
ou par-groupe.
TACACS+ RADIUS
Protocole TCP : port 49 UDP : port 1645 (1812 normalement)
Chiffrement Chiffrement du paquet entier Chiffrement du mot de passe
Architecture AAA Les AAA sont indépendants Autorisation liée à l’authentification
Emission du profile Profil émis champs par champs à la demande Profil global envoyé au NAS lors de la fin de
du NAS (Network Attached Storage) l’authentification
Protocoles supportés Support complet ni ARA (Apple Remote Access) ni NetBEUI
Challenge / Réponse Bidirectionnel Unidirectionnel
Autres incompatible avec TACACS et XTACACS Prise en charge des technologies d'accès à
distance, 802.1x et SIP
III- Présentation de cisco ACS Server

Cisco Secure Access Control Server (ACS) est une solution éditée par CISCO, permettant de traiter de manière centralisée
les problématiques d’authentification, d’autorisation et de comptabilité (Authentification Authorization Accounting) au sein
d’un réseau. C’est un composant essentiel des services réseaux basés sur l’identité (IBNS ou Identity Based Networking
Services) tels que les imagine l’éditeur.
Ce système fonctionne comme un système RADIUS ou TACACS+ et peut être utilisé pour gérer les accès à un grand nombre
d’équipements réseau, tels que les routeurs, les réseaux privés virtuels (VPN), les pare feux, les commutateurs et les
réseaux virtuels (VLAN), la voix IP ou encore les solutions sans fil.
Depuis la version 3.2, ACS est disponible sous deux formes :
- Un logiciel pour plateforme Windows Server
- Un appareil dédié 1U (Cisco Secure ACS Solution Engine)
34
Utilisez ACS pour contrôler et fournir des rapports détaillés sur :

- Qui et quand peut accéder au périphérique du réseau et
comment ?
- Qui n'a pas réussi à accéder à tels périphériques ?
Pourquoi ?
- Quelles commandes peuvent et ont-ils exécuté ?
- Comment et quand la configuration de l'appareil a-t-elle
été changée ?
IV- Mise en place et installation du serveur ACS

Le programme d'installation lance une interface de ligne de commande Exemple
interactive (CLI). localhost login: setup
Enter hostname[]: acs-server-1
Un administrateur peut utiliser la console ou un terminal passif pour Enter IP address[]: 209.165.200.225
configurer les paramètres initiaux du réseau et de fournir les Enter IP default netmask[]: 255.255.255.0
informations initiales d'identification administrateur pour le serveur ACS Enter IP default gateway[]: 209.165.200.1
5.1 en utilisant le programme d'installation. Enter default DNS domain[]: mycompany.com
Enter Primary nameserver[]:
Pour installer le serveur ACS: 209.165.200.254
Etape 1 allumez l'appareil. L'invite de configuration apparaît: Add/Edit another nameserver? Y/N : n
Please type 'setup' to configure the Enter username [admin]: admin
appliance Enter password:
Enter password again:
localhost login: Pinging the gateway...
Étape 2 À l'invite login, entrez setup et appuyez sur Entrée. Pinging the primary nameserver...
La console affiche un ensemble de paramètres que vous Do not use 'Ctrl-C' from this point on...
Appliance is configured
devez entrer comme décrit dans le tableau. Installing applications...
Remarque Vous pouvez interrompre le processus d'installation à tout Installing acs...
moment en tapant Ctrl-C avant que la dernière valeur de configuration Generating configuration...
ne soit entrée. Rebooting...
Unr fois le serveur ACS installé, le système redémarre
automatiquement.
Description Entrée demandée Conditions
Enter the hostname Nom d'hôte Première lettre doit être un caractère ASCII.
Longueur doit être de 3 à 19 caractères.
Les caractères valides sont alphanumériques (AZ, az, 0-9), trait d'union (-), et le
premier caractère doit être une lettre.
Enter the IP address Adresse IP IPv4 Doit être une adresse IPv4 valide entre 0.0.0.0 et 255.255.255.255.
Enter a valid netmask IPv4 Netmask Doit être une adresse IPv4 valide entre 0.0.0.0 et 255.255.255.255.
Enter a valid default gateway Passerelle IPv4 Doit être une adresse IPv4 valide entre 0.0.0.0 et 255.255.255.255.
Enter the domain name Nom de domaine Vous ne pouvez pas être une adresse IP.
Les caractères valides sont des caractères ASCII, des chiffres, trait d'union (-) (.),
Et de la période.
Enter a valid name IPv4 Nom du serveur Doit être une adresse IPv4 valide entre 0.0.0.0 et 255.255.255.255.
server address principal Adresse
To configure multiple name Ajouter / Editer un autre Doit être une adresse IPv4 valide entre 0.0.0.0 et 255.255.255.255.
servers, enter Y serveur de noms
Enter the username Nom d'utilisateur Le nom du premier utilisateur administratif. Vous pouvez accepter la valeur par
défaut ou entrez un nouveau nom d'utilisateur.
Doit être 3-8 caractères, et doit être alphanumérique (AZ, az, 0-9).
Enter the password Admin Mot de passe Aucun mot de passe par défaut. Entrez votre mot de passe.
Doit être d'au moins 6 caractères, une lettre minuscule, une majuscule et un chiffre
En outre:
Si vous perdez vos informations d'identification administratives, vous pouvez
réinitialiser votre mot de passe en utilisant le CD d'installation ACS
35
LES FIREWALL ET LES IPS

Un firewall est une solution mise en place dans une architecture réseau afin de renforcer la politique de sécurité de
l’entreprise et de restreindre l’accès aux ressources du réseau.
I- Présentation des firewalls Cisco

Cisco Systems fournit plusieurs options pour les professionnels de la sécurité de réseau à mettre en œuvre une solution
de pare-feu. Il s’agit notamment de Cisco IOS Firewall, PIX Security Appliances (ce produit est maintenant en fin de vie),
et Adaptive Security Appliances (ASA).
Au moment de choisir entre les différentes options pour une solution de pare-feu, il est important d'effectuer une analyse
sur le rapport coût par des risques. Quelle que soit la décision prise pour l'achat d'un pare-feu, la conception correcte de
la sécurité du réseau est essentielle pour la réussite du déploiement d'un pare-feu.
Cisco PIX Firewall
Cisco PIX Firewall (Private Internet EXchange) est un boîtier pare-feu. Considéré comme le produit phare de Cisco en
matière de sécurité depuis 1996, il occupait la première place du marché. Installé sur un réseau, le PIX détermine si le
trafic est autorisé, dans un sens ou dans l’autre…
Cisco PIX 525E
Cisco ASA Firewall

Depuis début 2005, Cisco a lancé une gamme de boîtiers (ASA 5510, 5520 et 5540) appelée Cisco ASA pour Adaptive
Security Appliance. En effet, ces boîtiers peuvent recevoir une petite carte d'extension appelée Cisco CSC-SSM
(Content Security and Control Security Services Module) et capable de faire du filtrage d'URL, du filtrage de contenu, de
l'anti-phishing et de l'anti-spam. Cette carte d'extension qui est un ordinateur complet fait tourner un Système
d'exploitation et un IDS/IPS autonome.
Cisco ASA 5520

Cisco ASA 5500
36
Cisco IOS Firewall

Cisco IOS Firewall est une fonctionnalité spécialisée Cisco IOS qui s’exécute sur les routeurs Cisco. C’est un pare-feu de
classe entreprise pour le soutien des petites et moyennes entreprises (PME) et les succursales d'entreprise.
Cisco IOS Firewall:
• Protège les ressources du réseau - utilise les capacités de routage existantes pour offrir l'atténuation des
menaces distribuée de vers, virus et autres menaces et les exploits réseau et la couche applicative
• Aide à réduire le coût total de propriété - Réduit équipements empreinte et minimise la consommation
d'énergie
• Augmente la flexibilité de déploiement - Offre des options pour les politiques de pare-feu transparent et
virtuels sur une large variété de WAN, WLAN, LAN et interfaces VLAN
• Aide à atteindre la conformité réglementaire - Fournit un contrôle d'accès basé sur des règles pour aider à
répondre Payment Card Industry (PCI), Health Insurance Portability and Accountability Act (HIPAA), loi
Sarbanes-Oxley (SOX), et d'autres règlements
• Améliore l'intégrité de Cisco Unified Communications - permet de se assurer que les services essentiels de
communications unifiées, tels que les passerelles et de communications unifiées d'autres ressources du réseau,
restent disponibles et résistant aux exploits potentiels
Cisco IOS
Firewall Router with
Firewall
II- Configurer le filtrage (Firewall and ACL) à l’aide de CISCO SDM
37
III- Les firewall Stateless / stateful

Pare-feu sans état (stateless firewall)
C'est le plus vieux dispositif de filtrage réseau, introduit sur les routeurs. Il regarde chaque paquet indépendamment des
autres et le compare à une liste de règles (ACL) préconfigurées.
La configuration de ces dispositifs est souvent complexe et l'absence de prise en compte des machines à états des
protocoles réseaux ne permet pas d'obtenir une finesse du filtrage très évoluée. Ces pare-feux ont donc tendance à
tomber en désuétude mais restent présents sur certains routeurs ou systèmes d'exploitation.
Pare-feu à états (stateful firewall)
Certains protocoles dits « à états » comme TCP introduisent une notion de connexion. Les pare-feux à états vérifient la
conformité des paquets à une connexion en cours. C’est-à-dire qu'ils vérifient que chaque paquet d'une connexion est
bien la suite du précédent paquet et la réponse à un paquet dans l'autre sens. Ils savent aussi filtrer intelligemment les
paquets ICMP qui servent à la signalisation des flux IP.
Enfin, si les ACL autorisent un paquet UDP caractérisé par un quadruplet (ip_src, port_src, ip_dst, port_dst) à passer, un
tel pare-feu autorisera la réponse caractérisée par un quadruplet inversé, sans avoir à écrire une ACL inverse. Ceci est
fondamental pour le bon fonctionnement de tous les protocoles fondés sur l'UDP, comme DNS par exemple. Ce
mécanisme apporte en fiabilité puisqu'il est plus sélectif quant à la nature du trafic autorisé.
Note : CBAC (Context-Based Access Control) est une solution disponible avec Cisco IOS Firewall. Comme son nom
l'indique, va pouvoir filtrer sur du "context", donc jusqu'au niveau applicatif (stateful). Non seulement il est capable de
faire le filtrage traditionnel (3 et 4) ip source/destination, port source/destination (déjà "filtrables" par les ACL), mais aussi
de suivre les états des sessions, et surtout de comprendre les commandes d'un certains nombre de protocoles. Ainsi par
exemple il sera capable comprendre les commandes FTP et leurs réponses.
IV- Zone-Based Policy Firewall

Qu’est-ce que Zone Based Firewall (ZFW) ?
Zone-Based Policy Firewall (ZPF), introduit en 2006, s’articule autour de la création de zones associées à divers niveaux
de sécurité.
Avec ce nouveau modèle, les interfaces sont assignées à des
zones et une politique d'inspection est appliquée au trafic
circulant entre les zones. Un pare-feu par zone permet
d’appliquer différentes politiques d'inspection à plusieurs
groupes d'hôtes connectés à la même interface du routeur. Il a
également la possibilité d'interdire le trafic via une politique
deny-all par défaut entre les zones du pare-feu.
ZPF permet de filtrer les communications en se basant sur des zones, en effet lors de l’implémentation de ZPF vous allez
segmenter votre réseau en plusieurs zones. Puis, vous allez définir la politique à appliquer entre chaque zones c’est-à-
dire spécifier le trafic autorisé ou interdit entre les zones.
38
Les principales motivations pour les professionnels de la sécurité de réseau de migrer vers le modèle ZPF sont :
L'approche structurée : utile pour la documentation et la communication.
La facilité d'utilisation : rend implémentations de sécurité réseau plus accessible à une plus grande communauté de
professionnels de la sécurité.
Alors que de nombreuses commandes ZPF semblent similaires aux commandes du CBAC, ils ne sont pas les mêmes.
Un deuxième changement important est l'introduction de Cisco Common Classification Policy Language (C3PL). Ce
nouveau langage de configuration de la politique permet une approche modulaire dans l’implémentation du pare-feu. (Un
assistant de SDM pour ZPF est disponible)
Certains des avantages de ZPF sont les suivants:
Ne dépend pas des ACL.
La posture de sécurité du routeur est de tout bloquer à moins que le trafic ne soit explicitement autorisé.
Les politiques sont faciles à lire et à résoudre avec C3PL.
Une politique affecte tout trafic donné, au lieu d'avoir plusieurs ACL et actions d'inspection.
Les actions de ZPF
Lors de l’analyse du trafic, ZPF peut appliquer 3 actions :
Inspect (inspecter le paquet) Il autorise automatiquement le trafic de retour et les messages ICMP potentiels.
Pour les protocoles nécessitant plusieurs signalisation parallèles et sessions de données (par exemple, FTP ou
H.323), l'action inspecter gère également l’établissement de ces sessions de données.
Drop (supprimer le paquet)
Pass (autoriser le paquet)
Configurer ZPF
La configuration de ZPF se fait en plusieurs étapes :
Étape 1. Créer les zones pour le pare-feu avec la commande zone security
Étape 2. Définir les classes du trafic avec la commande class-map type inspect
Étape 3. Indiquez les politiques du pare-feu avec la commande policy-map type inspect
Étape 4. Appliquer les politiques du pare-feu à des paires de source et de destination des zones à l'aide de la
commande zone-pair security
Étape 5. Affecter des interfaces du routeur aux zones avec la commande zone-member security interface
Création des zones
Le réseau est séparé en deux zones, en rouge la zone interne et en bleu la zone externe.
R3(config)#zone security INTERNE
R3(config-sec-zone)#exit
R3(config)#zone security EXTERNE
R3(config-sec-zone)#exit
Ces commandes vont permettre de créer deux zones.
39
Création de la class-map
La class-map vont permettre de spécifier quel trafic analyser :
- selon le protocole utilisé ( TCP, UDP, ICMP…),
- en fonction d’une ACL.
Dans cet exemple, une ACL étendue va spécifier le trafic sortant du réseau interne (192.168.3.0/24) vers tous les
autres réseaux.
R3(config)#access-list 101 permit ip 192.168.3.0 0.0.0.255 any
R3(config)#class-map type inspect INTERNE-EXTERNE-ClMAP

R3(config-cmap)#match access-group 101
R3(config-cmap)#match protocol ftp
Ces commandes vont permettre de créer une class-map nommer INTERNE-EXTERNE-ClMAP et spécifier qu’il
faut analyser le trafic correspondant à une ACL précédemment créée et le trafic correspondant au protocole ftp.
Création de la policy-map
R3(config)#policy-map type inspect INTERNE-EXTERNE-PoMAP
R3(config-pmap)#class INTERNE-EXTERNE-CMAP
R3(config-pmap-c)#inspect
Ces commandes permettent de créer une policy-map nommée INTERNE-EXTERNE-PoMAP, et qui va définir
l’action inspect pour la class-map précédemment crée (vous pouvez bien sûr utiliser une autre action Drop ou
Pass).
Création de la zone paire
R3(config)#zone-pair security INTERNE-2-EXTERNE source INTERNE destination EXTERNE
R3(config-sec-zone-pair)#service-policy type inspect INTERNE-EXTERNE-PMAP
Ces commandes permettent de créer une zone paire nommer INTERNE-2-EXTERNE qui a pour zone source
INTERNE et destination EXTERNE c’est-à-dire que cette zone-pair spécifie la politique à appliquer pour le trafic
circulant de la zone INTERNE vers la zone EXTERNE, ce trafic sera alors soumis aux politiques définies dans la
policy-map.
Affectation des interfaces a une zone
Nous allons maintenant voir notre dernière étape qui consiste à affecter nos interfaces à une zone.
R3(config)#interface fastEthernet 0/1
R3(config-if)#zone-member security INTERNE
R3(config)#interface se0/0/1
R3(config-if)#zone-member security EXTERNE
Ces commandes nous permettent d’affecter l’interface fastEthernet 0/1 à la zone INTERNE et l’interface se0/0/1 à
la zone EXTERNE.
Voilà notre configuration de ZPF est fonctionnelle.
Conclusion
Cette nouvelle manière de filtrer les communications est avantageuse dans la mesure où vous n’avez plus à segmenter
votre réseau selon des interfaces physiques mais selon un raisonnement logique basées sur des zones. Dans ce cas,
uniquement le trafic ayant pour source INTERNE et pour destination EXTERNE qui a été traité mais n’oubliez pas créer
une autre zone-pair pour autoriser le trafic EXTERNE à revenir vers le trafic INTERNE.
V- Caractéristiques des IDS et IPS

Les vers et les virus Internet peuvent se propager à travers le monde en quelques minutes. Un réseau doit reconnaître
instantanément et atténuer les menaces de vers et de virus. Les pare-feu ne peuvent pas tout faire et ne peuvent pas
protéger contre les logiciels malveillants et les attaques Zero-Day.
Un exploit Zero-Day (en français « jour 0 ») est un logiciel qui tente d'exploiter les vulnérabilités des logiciels qui sont
inconnus ou non divulgués par leurs fournisseurs (ne disposant pas de correctif approprié). Une exploitation zero-day est
susceptible d'engendrer la création d'un ver car, par définition, la grande majorité des utilisateurs ne sera pas protégée
contre cette faille jusqu'à ce qu'elle soit découverte et corrigée
Les conséquences de l’exploitation Zero-Day peuvent être très lourdes : indisponibilité du système concerné, intrusion,
vol de données, etc.
Pourtant, les attaques par Zero-Day ne sont pas une fatalité : en les anticipant on peut s’en prémunir, ou du moins limiter
leur impact.
40
Les IDS (Intrusion Detection System)

Une approche pour éviter que les vers et les virus d'entrer dans un réseau est pour un administrateur de surveiller en
permanence le réseau et d'analyser les fichiers journaux générés par les dispositifs de réseau. Cette solution n’est pas
très évolutive. Analyser manuellement les informations du fichier journal est une tâche fastidieuse et offre une vue limitée
des attaques lancées contre un réseau. Durant le temps où les journaux sont analysés, l'attaque a déjà commencé.
Intrusion Detection Systems (IDS) ont été mises en place pour surveiller passivement le trafic sur un réseau.
Un périphériques IDS copie le flux de la circulation, et le compare hors ligne, avec des signatures malveillantes connues
d'une manière semblable à un antivirus. Cette mise en œuvre IDS déconnecté est appelé mode promiscuité.
L'avantage de fonctionner avec une copie du trafic, est que l'IDS n’affecte pas négativement le débit de paquets
réel du trafic transmis.
L'inconvénient de fonctionner sur une copie du trafic est que l'IDS ne peut pas arrêter le trafic malveillant.
Un IDS nécessite souvent l'aide d'autres périphériques réseau, tels que les routeurs et les pare-feu, pour répondre à une
attaque.
1. Une attaque est lancée sur un réseau qui dispose

d'un capteur déployé en mode IDS promiscuité;
par conséquent des copies de tous les paquets
sont envoyées à la sonde IDS pour être analysées.
Cependant, la machine cible fera l'expérience de
l'attaque malveillante.
2. Le capteur IDS fait correspondre le trafic

malveillant à une signature et envoie au
commutateur une commande pour refuser l'accès
au trafic malveillant.
3. L'IDS envoie une alarme à une console de gestion
4. pour la journalisation et d'autres fins de gestion.
Il est préférable de mettre en œuvre un dispositif qui détecte et fait le traitement nécessaire immédiat du problème
réseau.
Les IPS (Intrusion Prevention System)
Un système IPS s’appuie sur la technologie IDS.
Contrairement à IDS, IPS est un dispositif qui est mis en œuvre en mode en ligne. Cela signifie que tout le trafic entrant
ou sortant doit le traverser pour le traitement.
Un IPS ne permet pas aux paquets d’entrer au réseau côté confiance, avant d’être analysés. Il peut détecter et résoudre
immédiatement un problème de réseau selon les besoins.
41
Un IPS surveille le trafic au niveau des couches 3 et 4 et analyse le contenu et la charge utile des paquets pour les
attaques embarqués qui pourraient inclure des données malveillantes au niveau des couches 2 à 7.
L'avantage de fonctionner d'une manière en ligne est que l’IPS peut arrêter l’attaque d'un paquet avant d'atteindre
sa cible.
L'inconvénient est qu’un IPS mal configurés ou avec une solution inappropriée, peuvent affecter négativement le
flux des paquets du trafic transmis.
1. Une attaque est lancée sur un réseau qui dispose d'un

capteur déployé en mode IPS (mode en ligne)
2. Le capteur IPS analyse les paquets quand ils entrent dans

son interface. Il fait correspondre le trafic malveillant à une
signature, et l'attaque est immédiatement arrêtée.
3. Le capteur IPS peut envoyer une alarme à une console de

gestion pour la journalisation et d'autres fins de gestion.
4. Le trafic en violation de la politique peut être supprimé par

le capteur IPS.
VI- Implémentation des IPS

La protection contre les virus et les menaces nécessite une solution de bout-en-bout. Pour cette raison, les technologies
IDS et IPS sont généralement déployés en utilisant deux implémentations : basés sur le réseau et sur les clients.
IPS réseaux IPS clients
Des périphériques réseau tels que les routeurs ISR, pare- Installé sur des ordinateurs individuels, le logiciel hôte de
feu ASA, Catalyst 6500, ou des appareils IPS dédiés sont prévention des intrusions système (HIPS), tels que Cisco
configurés pour surveiller signatures connues. Security Agent (CSA), active la journalisation du système
et l'analyse du journal sur l'hôte. HIPS peut contrôler les
processus du système d'exploitation et protéger les
ressources critiques du système. Il combine l'analyse du
comportement et les filtres de signature (avec des logiciels
anti-virus), pare-feu réseau et les pare-feu d'applications
dans un seul paquet.
Les IPS clients

Les agents CSA fonctionnent en utilisant un ensemble de politiques qui sont sélectivement affectés à chaque nœud du
système sur le réseau par l'administrateur du réseau.
CSA contient deux composantes:
Management Center - installé sur un serveur central et est géré par un administrateur réseau.
Security Agent - installé et fonctionne sur un système hôte.
CSA examine en permanence les processus, les journaux d'événements de sécurité, des fichiers système critiques et les
registres du système à la recherche d'entrées malveillantes.
Il peut être installé sur des serveurs accessibles au public, les serveurs de messagerie, serveurs Web et postes de travail
des utilisateurs. Il rend compte des événements à un serveur de gestion centrale.
42
Les IPS réseaux

IPS réseau peuvent être mises Cisco IPS 4200 Series Sensors
en œuvre en utilisant un appareil
IPS dédié.
Ou en ajoutant des capteurs IPS à un routeur ISR en Le module Cisco ASA 5500 Series AIP-SSM-20
utilisant un IPS Advanced Integration Module (AIM) ou un
Network Module Enhanced (IPS NME), ou ajoutés à un
pare-feu ASA en utilisant un Inspection and Prevention
Security Services Module (ASA AIP-SSM). Ils peuvent
également être ajoutés à un commutateur Catalyst 6500 en
utilisant un Intrusion Detection System Services Module
(IDSM-2).
Les capteurs sont déployés à des points désignés du réseau. Ils détectent l'activité malveillante et non autorisé en temps
réel et peuvent prendre des mesures appropriées.
43
Mise en place et vérification d'un IPS

Cisco IOS IPS permet aux administrateurs de gérer la
prévention des intrusions sur les routeurs qui utilisent
Cisco IOS version 12.3 (8) T4 ou ultérieur.
Plusieurs étapes sont nécessaires pour utiliser CLI et
travailler avec les signatures IOS IPS au format 5.x.
Cisco IOS Version 12.4 (10) ou ultérieur utilise des
signatures IPS au format 4.x et certaines commandes IPS
ont changé.
Pour mettre en œuvre IOS IPS:
Étape 1. Télécharger les fichiers IOS IPS.
Étape 2. Créer un répertoire de configuration IOS IPS
dans la mémoire flash.
Etape 3. Configurer la crypto clé IOS IPS (clé publique de
Cisco.com).
Étape 4. Activez IOS IPS.
Etape 5. Charger le paquet de signature IOS IPS au
routeur.
Exemple de configuration d’IPS avec des signatures au format 5.x
Conditions préalables matérielles et de logiciels pour réaliser la configuration décrite après :
Les informations contenues dans ce document sont basées sur les versions de suivantes :
Un Integrated Services Router de Cisco (87x, 18xx, 28xx, ou 38xx)
128MB ou plus de mémoire vive dynamique et au moins de mémoire Flash libre 2MB
Connectivité de console ou de telnet au routeur
Cisco IOS version 12.4(15)T3 ou ultérieures
Un nom et un mot de passe valides d'utilisateur de connexion CCO (Cisco.com)
Un contrat de service en cours de Cisco IPS pour des services autorisés de mise à jour de signature
Étape 1. Fichiers d'IOS IPS de téléchargement
La première étape est de télécharger des fichiers de signature d'IOS IPS et la crypto clé publique de Cisco.com.
Téléchargez les fichiers de signatures requis de Cisco.com à votre PC :
Emplacement : http://www.cisco.com/pcgi-bin/tablebuild.pl/ios-v5sigup (clients enregistrés seulement)
Fichiers aux télécharger :
IOS-Sxxx-CLI.pkg : C'est le dernier module de signature.
realm-cisco.pub.key.txt : C'est la crypto clé publique utilisée par IOS IPS.
Étape 2. Créez un répertoire de la configuration d'IOS IPS sur
La deuxième étape est de créer un répertoire sur la mémoire flash de votre routeur où vous enregistrez les fichiers de
signatures et les configurations priés.
R1#mkdir ips
Create directory filename [ips]?
Created dir flash:ips
Afin de vérifier le contenu du flash :
R1#dir flash:
Directory of flash:/
5 -rw- 51054864 Feb 8 2008 15:46:14 -08:00
c2800nm-advipservicesk9-mz.124-15.T3.bin
6 -rw- 0 Feb 14 2008 11:36:36 -08:00 ips
64016384 bytes total (12693504 bytes free)
Afin de renommer le nom du répertoire, utilisez cette commande :
router#rename ips ips_new
Destination filename [ips_new]?
Étape 3. Configurez une crypto clé d'IOS IPS
Cette clé se trouve dans le fichier de realm-cisco.pub.key.txt
44
La crypto clé est utilisée pour vérifier la signature numérique pour le fichier de signatures principal (sigdef-default.xml)
dont le contenu est signé par une clé privée de Cisco pour garantir son authenticité et intégrité à chaque release.
Ouvrez le fichier texte, et copiez le contenu du fichier.
Collez le contenu de fichier texte n mode de configuration globale.
Étape 4. Activer IOS IPS
R1(config)#ip ips name iosips
Vous pouvez spécifier une liste de contrôle d'accès étendue ou standard facultative (ACL) afin de filtrer le trafic qui sera
balayé par ce nom de règle. Tout le trafic qui est permis par l'ACL est sujet à l'inspection par l'IPS. Le trafic qui est refusé
par l'ACL n'est pas examiné par l'IPS.
R1(config)#ip ips name ips list ?
<1-199> Numbered access list
WORD Named access list
R1(config)#ip ips config location flash:ips

Afin d'activer la notification d'événement IPS SDEE, employez la commande :
R1(config)#ip ips notify sdee
Afin d'utiliser SDEE, le serveur HTTP doit être activé.
L'IOS IPS prend en charge également l'utilisation du Syslog afin d'envoyer la notification d'événement. La notification de
Syslog est activée par défaut. (sinon utilisez : R1(config)#ip ips notify log)
Configurez l'IOS IPS pour utiliser une des catégories de signature de prédéfinis.
R1(config)#ip ips signature-category
R1(config-ips-category)#category all
R1(config-ips-category-action)#retired true
R1(config-ips-category-action)#exit
R1(config-ips-category)#category ios_ips basic
R1(config-ips-category-action)#retired false
R1(config-ips-category-action)#exit
R1(config-ips-category)#exit
Do you want to accept these changes? [confirm]y
R1(config)#
Employez ces commandes afin d'activer la règle IPS sur l'interface désirée, et spécifiez la direction dans laquelle la règle
sera appliquée :
R1(config)#interface GigabitEthernet 0/1
R1(config-if)#ip ips iosips in
Appliquez la règle IPS à l’interface désirée et préciser la direction.
R1(config)#interface GigabitEthernet 0/1
R1(config-if)#ip ips iosips in
R1(config-if)#ip ips iosips out
Étape 5. Chargez le module de signature d'IOS IPS au routeur
La méthode la plus couramment utilisée est FTP ou TFTP. Pour copier le paquet de signature téléchargée depuis le
serveur FTP pour le routeur, assurez-vous d'utiliser le paramètre idconf.
R1#copy ftp://cisco:cisco@10.1.1.1/IOS-S310-CLI.pkg idconf
Loading IOS-S310-CLI.pkg !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
[OK - 7608873/4096 bytes]
*Feb 14 16:44:47 PST: %IPS-6-ENGINE_BUILDS_STARTED: 16:44:47 PST Feb 14 2008
*Feb 14 16:44:47 PST: %IPS-6-ENGINE_BUILDING: multi-string - 8 signatures - 1 of 13 engines
*Feb 14 16:44:47 PST: %IPS-6-ENGINE_READY: multi-string - build time 4 ms - packets for this engine will be scanned
*Feb 14 16:44:47 PST: %IPS-6-ENGINE_BUILDING: service-http - 622 signatures - 2 of 13 engines
*Feb 14 16:44:53 PST: %IPS-6-ENGINE_READY: service-http - build time 6024 ms - packets for this engine will be scanned
|
output snipped
|
*Feb 14 16:45:18 PST: %IPS-6-ENGINE_BUILDING: service-smb-advanced - 35 signatures - 12 of 13 engines
*Feb 14 16:45:18 PST: %IPS-6-ENGINE_READY: service-smb-advanced - build time 16 ms - packets for this engine will be scanned
*Feb 14 16:45:18 PST: %IPS-6-ENGINE_BUILDING: service-msrpc - 25 signatures - 13 of 13 engines
*Feb 14 16:45:18 PST: %IPS-6-ENGINE_READY: service-msrpc - build time 32 ms - packets for this engine will be scanned
*Feb 14 16:45:18 PST: %IPS-6-ALL_ENGINE_BUILDS_COMPLETE: elapsed time 31628 ms
Afin de vérifier que le module de signature est correctement compilé.
R1#show ip ips signature count
Cisco SDF release version S310.0 ? signature package release version
Trend SDF release version V0.0
Signature Micro-Engine: multi-string: Total Signatures 8
multi-string enabled signatures: 8
multi-string retired signatures: 8
|
outpt snipped
|
Signature Micro-Engine: service-msrpc: Total Signatures 25
service-msrpc enabled signatures: 25
service-msrpc retired signatures: 18
service-msrpc compiled signatures: 1
service-msrpc inactive signatures - invalid params: 6
Total Signatures: 2136
Total Enabled Signatures: 807
Total Retired Signatures: 1779
Total Compiled Signatures:
351 ? total compiled signatures for the IOS IPS Basic category
Total Signatures with invalid parameters: 6
Total Obsoleted Signatures: 11
R1#
45
Vérification d’IPS
Configurer IPS en utilisant SDM

Remarque : Pour prendre en charge la configuration d'IPS
par SDM, PC-C doit être en cours d'exécution Java JRE
version 6 ou plus récent. (Utilisez le paramètre d'exécution -
Xmx256m)
a. Cliquez sur le bouton Configure en haut puis sélectionnez Intrusion Prevention > Create IPS
b. Cliquez sur le bouton Launch IPS Rule Wizard

c. Lisez les informations sur l'écran de l'assistant puis cliquez sur Suivant.
46
d. Dans la fenêtre Select Interfaces, cochez la case à cocher Inbound pour FastEthernet0/1 et Serial0/0/1. Cliquez
sur Suivant.
e. Dans la fenêtre Signature File and Public Key, specifiez les chemins vers IOS-Sxxx-CLI.pkg.
f. Copiez le texte entre la phrase key-string et le mot quit dans le champ Key dans la section Configure Public
Key. La fenêtre Signature File and Public Key doit ressembler à la suivante lorsque les entrées sont terminées.
g. Copier le texte entre la phrase key-string et le mot quit dans le champ Key.
h. Cliquez sur Next pour poursuivre…

Vous pouvez vous rendre compte de la simplicité de la configuration d’IPS à l’aide de l’assistant IPS de SDM, la
vérification et la modification d’IPS, le sont aussi avec SDM.
47
LES RÉSEAUX VPN

I- Protocole de tunnel GRE
Présentation
Generic routing encapsulation (GRE) est un protocole de tunneling défini dans la RFC 1702 et RFC 2784. Il a été
initialement développé par Cisco Systems pour créer un lien virtuel point à point aux routeurs Cisco à des points distants
sur un réseau d'interconnexion IP.
Il présente les caractéristiques suivantes :
Encapsule une grande variété de types de protocole de paquets à l'intérieur des tunnels IP.
Crée un lien virtuel point à point aux routeurs Cisco à des points distants sur un réseau d'interconnexion IP.
Utilise IP pour le transport.
Utilise un en-tête supplémentaire pour soutenir la multidiffusion IP et toute autre OSI protocole de couche 3
comme charge utile.
Configurer un tunnel GRE
Cinq étapes pour configurer un tunnel GRE : R1(config)# interface tunnel 0

Étape 1. Création d'une interface tunnel à l'aide R1(config-if)# ip address 10.1.1.1 255.255.255.252
de la commande interface tunnel 0 R1(config-if)# tunnel source serial 0/0/0
Étape 2. Affectation d’une adresse IP au tunnel. R1(config-if)# tunnel destination 209.165.200.225
Étape 3. Identifier l'interface du tunnel source en R1(config-if)# tunnel mode gre ip
utilisant la commande tunnel source
Étape 4. Identifier la destination du tunnel en R2(config)# interface tunnel 0
utilisant la commande tunnel R2(config-if)# ip address 10.1.1.2 255.255.255.252
destination (Destination doit figurer R2(config-if)# tunnel source serial 0/0/0
auparavant dans la table de routage) R2(config-if)# tunnel destination 209.165.201.1
Étape 5. Configurer quel protocole GRE va R2(config-if)# tunnel mode gre ip
encapsuler à l’aide de la commande
tunnel mode gre
48
GRE ou IPsec ?
Les avantages de GRE est qu'il peut être utilisé pour le
trafic non-IP sur un réseau IP.
Contrairement IPsec, qui ne prend en charge que le trafic
unicast, GRE soutient la diffusion et la multidiffusion sur la
liaison tunnel. Par conséquent, les protocoles de routage
sont pris en charge par GRE.
GRE ne prévoit pas de cryptage. Si cela est nécessaire,
IPsec doit être configuré.
II- IPSec et ses différentes méthodes de cryptographie

IPsec est un standard de l'IETF (RFC 2401-2412) qui définit comment un VPN peut être configuré en utilisant le protocole
adressage IP.
IPsec n’est pas lié à un type de cryptage spécifique, d’authentification, de sécurité, ou de chiffrement. IPsec est un cadre
de normes ouvertes qui énonce les règles pour des communications sécurisées. IPsec repose sur des algorithmes
existants pour mettre en œuvre le cryptage, l'authentification et l'échange de clés.
IPsec fonctionne au niveau de la couche réseau, il assure la protection et l'authentification des paquets IP.
Toutes les implémentations d'IPsec ont un en-tête de couche 3 en claire, il n'y a donc pas de problèmes avec le routage.
Le cadre IPsec se compose de cinq blocs de construction:
Le premier représente le protocole IPsec. Les choix

incluent ESP ou AH.
Le deuxième représente le type de la confidentialité
implémenté en utilisant un algorithme de chiffrement tels
que DES, 3DES, AES ou SEAL. Le choix dépend du
niveau de sécurité requis.
Le troisième représente l'intégrité qui peut être mis en
œuvre en utilisant soit MD5 ou SHA.
La quatrième représente comment la clé secrète partagée
est établi (à des fins d’authentification). Les deux
méthodes sont pré-partagées ou signé numériquement
en utilisant RSA.
Le dernier représente le groupe Diffie-Hellman. Il ya
quatre algorithmes d'échange de clés séparées à choisir :
Groupe DH 1 (DH1), Groupe DH 2 (DH2), Group DH 5
(DH5) et Groupe DH 7 (DH7).
Les protocoles AH et ESP

IPSec fait appel à deux mécanismes de sécurité :
format AH : Authentification Header utilisé en cas de besoin
d’authentification et d'intégrité.
format ESP : Encapsulation Security Payload utilisé en cas de besoin de

chiffrement (confidentialité).
Dans le cadre de l'utilisation de AH ou de ESP, deux 2 modes sont possibles :

le mode transport (entête IP non modifié)
- données seules (payload) sont chiffrées
- l'en-tête est inchangé
- Pas compatible avec le PAT => NAT Traversal
- Utilisé pour créer des VPN hôte à hôte
le mode tunnel (entête IP modifié)

- la totalité du paquet IP est chiffré et/ou authentifié.
- Le paquet encapsulé dans un nouveau paquet IP avec un nouvel en-
tête.
- Supporte la NAT
- utilisé entre deux sites distants, d'hôte à réseau ou bien d'hôte à hôte
49
Confidentialité
La confidentialité a été définie par l'Organisation internationale de normalisation (ISO) comme « le fait de s'assurer que
l'information n'est accessible qu'à seulement ceux dont l'accès est autorisé ». La confidentialité est rendus possibles dans
la pratique par les techniques de la cryptographie moderne.
Le degré de sécurité dépend de la longueur de la clé de l'algorithme de chiffrement. Si quelqu'un essaie de pirater la clé
par une attaque par force brute, le nombre de possibilités pour essayer est une fonction de la longueur de la clé. Le
temps pour traiter toutes les possibilités est une fonction de la puissance de calcul du dispositif d'attaque. Plus court est
la clé, plus elle est facile à briser. Une clé de 64 bits peut prendre environ un an pour la rompre avec un ordinateur
relativement sophistiqué. Une clé de 128 bits avec la même machine peut prendre environ 1019 années à décrypter.
Voici quelques algorithmes de chiffrement et longueurs de clé VPN utilisés :
DES - Utilise une clé de 56 bits, assurant le chiffrement

haute performance. DES est un système de chiffrement à
clé symétrique.
3DES - Une variante du DES 56 bits. 3DES utilise trois
cryptages à clés indépendantes de 56 bits par bloc de 64
bits, offrant un niveau de cryptage beaucoup plus fort que
DES. 3DES est un système à clé symétrique.
AES - Offre une sécurité plus forte que DES et est
mathématiquement plus efficace que 3DES. AES propose
trois longueurs différentes clés: 128 bits, 192 bits et 256
bits. AES est un système à clé symétrique.
Software-Optimized Encryption Algorithm (SEAL) - Un
chiffrement de flux développé en 1993 par Phillip
Rogaway et Don Coppersmith, il utilise une clé de 160
bits. SEAL est un système de chiffrement à clé
symétrique.
Intégrité
La seconde fonction VPN critique est l'intégrité des
données.
Supposons qu'un chèque de 100 $ est rédigé par
Jeremy Grizzly. Le chèque est ensuite envoyé à
Sonya mais interceptée par un attaquant. L'attaquant
modifie le nom et le montant sur le chèque et tente
d'encaisser.
Selon la qualité forgée du chèque altéré, l'attaquant
pourrait être couronné de succès.
Ce scénario s’applique aux VPN, car les données

sont transportées publiquement sur Internet.
Potentiellement, ces données peuvent être
interceptées et modifié.
Le procédé de prouver l'intégrité des données est nécessaire pour garantir que le contenu n'a pas été modifié. Un
algorithme d'intégrité des données peut fournir cette garantie.
Hashed Message Authentication Codes (HMAC) est
un algorithme qui garantit l'intégrité du message en
utilisant une valeur de hachage.
Au niveau du dispositif local, le message et une clé
secrète partagée sont traitées par un algorithme de
hachage qui produit une valeur de hachage. Cette
valeur est ajoutée au message, et le message est
envoyé sur le réseau. Au niveau du dispositif distant,
la valeur de hachage est recalculée et comparée à la
valeur de hachage transmise. Si le hash transmis
correspond au hachage reçu, l'intégrité des messages
est vérifiée. Toutefois, si elles ne correspondent pas,
le message a été modifié et est invalidée.
Il ya deux algorithmes HMAC communs:
HMAC-Message Digest 5 (HMAC-MD5) - Utilise une clé secrète partagée de 128 bits. Le message de longueur
variable et la clé secrète sont combinés et passent par l'algorithme de hachage HMAC-MD5. La sortie est une
table de hachage de 128 bits.
HMAC-Secure Hash Algorithm 1 (HMAC-SHA-1) - Utilise une clé secrète partagée de 160 bits. Le message de
longueur variable et la clé secrète sont combinés et passent par l'algorithme de hachage HMAC-SHA-1. La sortie
est un hachage de 160 bits.
HMAC-SHA-1 est considéré comme cryptographiquement fort que HMAC-MD5.
50
Authentification
Lorsque vous traitez des affaires sur de longues distances, il est nécessaire de connaître (authentifier) la personne à
l'autre bout du téléphone, courriel ou fax. La même chose est vraie de réseaux VPN.
Elle est la procédure qui consiste, pour un système informatique, à vérifier l'identité d'une personne ou d'un ordinateur
afin d'autoriser l'accès de cette entité à des ressources (systèmes, réseaux, applications…). L'authentification permet
donc de valider l'authenticité de l'entité en question.
L'identification permet donc de connaître l'identité d'une entité alors que l'authentification permet de vérifier cette identité.
Il existe deux principales méthodes de configuration de l'authentification :
Clés pré-partagées (Pre-shared Keys, PSK) :
Une clé secrète pré-partagée est une Clé secrète
valeur définie manuellement et est utilisé partagée
par chaque utilisateur pour authentifier son
homologue. A chaque extrémité, le PSK Même clé pour le
est combinée avec d'autres informations Que ceci
reste
U±1€i
¢z{X«mµ
chiffrement et le
pour former la clé d'authentification. entre
nous, une
Algorithme de ¬®®S²xH
¥§P0_#° déchiffrement
Chaque utilisateur doit authentifier ses vente aux
enchères
chiffrement Љϲφϕ‫҈پ‬
ѪΣΖʤœ
homologues de l’autre face avant de d’une …
Chiffrement par
considérer que le tunnel est sûr. l'Utilisateur1
PSK sont faciles à configurer
manuellement mais ne convient pas bien à Clé secrète
une grande échelle, parce que pour partagée
chaque homologue IPsec doit être
configuré avec la clé pré-partagée de tous U±1€i Que ceci
reste
les autres avec lesquels il communique. ¢z{X«mµ
¬®®S²xH entre
nous, une
¥§P0_#° Algorithme de vente aux
L : La figure ci-contre présente plutôt le Љϲφϕ‫҈پ‬
ѪΣΖʤœ déchiffrement enchères
d’une …
concept de chiffrement symétrique (à clé
Déchiffrement par
pré-partagée) et non un procédé
l'Utilisateur2
d’authentification).
Un exemple de protocole offrant l’authentification avec une clé pré-partagée est le protocole CHAP utilisé par PPP.
Signatures RSA :
Avant de parler de la signature RSA, voici un aperçu sur le Clé publique de
chiffrement asymétrique l'Utilisateur2
Aussi dite « à clé publique / clé privée » Utilisateur1
Plus récente que la cryptographie symétrique (années 70). Que ceci
reste
U±1€i
¢z{X«mµ
Les plus connus : entre
nous, une
¬®®S²xH
¥§P0_#°
1976 : Diffie Hellman vente aux
enchères Љϲφϕ‫҈پ‬
1977 : RSA par Rivest, Shamir et Adleman d’une … ѪΣΖʤœ
Les 2 clés de la paire sont liées entre elles mathématiquement Texte en clair Texte chiffré
Ce qui est chiffré avec l’une ne peut être déchiffré qu’avec
l’autre
Une des clés est révélée à tout le monde et est dite
« publique », l’autre est secrète, dite « privée », et doit le Clé privée de
rester pour authentifier son possesseur Utilisateur2 l'Utilisateur2
Propriété : connaissant la clé de chiffrement, il est Que ceci
reste
U±1€i
¢z{X«mµ
« impossible » de trouver dans un temps raisonnable la clé de entre
nous, une
¬®®S²xH
¥§P0_#°
déchiffrement (et réciproquement) vente aux
enchères Љϲφϕ‫҈پ‬
1000 fois plus lent que le chiffrement symétrique d’une … ѪΣΖʤœ
Texte en clair Texte chiffré
51
Voici une description de la signature 3 Fonction de

RSA :
Condensé hachage
L’utilisateur 1 tire un hash et le chiffre
Signature
chiffré
avec la clé publique de l’utilisateur 2. La
valeur du hachage cryptée est jointe au Clé publique de l'Utilisateur2
5
message et est transmise à l'extrémité et
se comporte comme une signature. A la Clé privée de l'Utilisateur2
réception, la valeur du hachage cryptée 2
est décryptée en utilisant la clé privée de
l’utilisateur 2. Si le hachage déchiffré Hach
correspond au hachage recalculé, la 4
signature est authentique. Chaque Fonction de
utilisateur doit authentifier son 1 hachage
homologue d’en-face avant de considéré
le tunnel comme sûr. Texte brut
Comparaison
6
Utilisateur1 (émetteur) Utilisateur2 (destinataire)
Diffie-Hellman pour un échange de clés sécurisé

Les algorithmes de chiffrement tel que DES, 3DES, AES et ainsi que les algorithmes de hachage MD5 et SHA-1, exigent
une clé partagée secrète (symétrique) pour effectuer le chiffrement et le déchiffrement.
Comment les dispositifs de chiffrement et de déchiffrement obtiennent-ils la clé secrète partagée?
Email, messagerie, express de nuit !... peuvent être utilisés pour envoyer les clés secrètes partagées pour les
administrateurs des machines. Mais sont-ils des moyens sûrs pour l’envoie d’un secret ?
La méthode la plus sûr et le plus simple est offerte par l’algorithme Diffie-Hellman. Elle commence par l'échange de clés
public et fournit ensuite un moyen aux deux pairs d’établir une clé secrète partagée que seuls eux connaissent, même
s’ils communiquent par un canal non sécurisé.
Des variantes de l'algorithme d'échange de clé DH sont connues comme groupes DH. Il existe quatre groupes DH: 1, 2, 5
et 7.
Les groupes DH 1, 2, 5 utilisent respectivement des clés taille de 768 bits, 1024 bits et 1536 bits,.
Groupe 7 prend en charge la cryptographie à courbe elliptique (ECC), qui réduit le temps nécessaire pour générer des
clés.
Lors de la configuration du tunnel, les pairs VPN négocient quel groupe DH à utiliser
III- Les protocoles IKE et ses différentes phases

Le protocole IKE
Dans le cadre de la standardisation IPsec, ISAKMP est associé en partie aux protocoles d'échanges de clés SKEME et
Oakley pour donner un protocole final du nom de Internet Key Exchange ou IKE.
Plus précisément, pour gérer les associations de sécurité et les clés de chiffrement dans un environnement IPsec, le
protocole IKE fait appel aux éléments suivants :
• un protocole de gestion des associations de sécurité comme ISAKMP (Internet Security Association and Key
Management Protocol), qui définit des formats de paquets permettant de créer, modifier et détruire des
associations de sécurité. Ce protocole sert également de support pour l'échange de clés préconisé par les
protocoles de gestion de clés. Il assure aussi l'authentification des partenaires d'une communication ;
• un protocole d'échange de clés de session basé sur SKEME et Oakley qui repose sur la génération de secrets
partagés Diffie-Hellman. Plus exactement, IKE utilise certains des modes définis par Oakley et emprunte à
SKEME son utilisation du chiffrement à clé publique pour l'authentification et sa méthode de changement de clef
rapide par échanges d'aléas ;
• un domaine d'interprétation ou DOI (Domain of Interpretation) qui définit tous les paramètres propres à
l'environnement IPsec, à savoir les protocoles d'échanges de clés, les paramètres d'associations de sécurité à
négocier,... ;
• les clés utiles lors de l'authentification mutuelle des équipements IPsec qui intervient en préalable à toute
négociation d'association de sécurité. Ces clés peuvent être des clés partagées (pre-shared key) préconfigurées
par l'administrateur, ou bien des clés privées/publiques personnelles à chaque équipement IPsec et préchargées
dans les équipements, ou bien encore un certificat électronique géré par une infrastructure à clés publiques
(PKI : Public Key Infrastructure).
52
Les phases IKE capturées par WireShark
Phase 1
Phase 1 : création
d'une première SA
Phase 2
"ISAKMP"
permettant ensuite
d'assurer la sécurité
des négociations.
Les deux premiers messages servent à négocier

l'association de sécurité ISAKMP, ou en d'autres termes les
paramètres propres à IKE : algorithme de chiffrement,
fonction de hachage, méthode d'authentification des tiers et
groupe pour Diffie- Hellman.
Les deux suivants permettent l'établissement d'un secret
partagé via l'utilisation d'un échange de valeurs publiques
Diffie-Hellman.
les deux derniers messages permettent aux tiers d'échanger
leurs identités et servent à l'authentification de l'ensemble
des données échangées.
L'initiateur propose plusieurs combinaisons d'algorithmes,

mécanismes, et méthodes, et le partenaire IKE en choisit une
Phase 2 : création d'une

SA pour le compte d'un
protocole de sécurité,
par exemple IPSec.
ISAKMP est en fait un
"toolkit" permettant de
négocier une SA selon
des directives "DOI" .
Cela permet d'employer
ISAKMP pour d'autres
protocoles que IPSec.
IV- Configuration d'un réseau VPN site à site

VPN site to site IPsec avec CLI
53
Configurations des interfaces et du routage des routeurs :

Routeur R1 Routeur R2
R1#configure terminal Même procédure pour que pour R1 avec les valeurs :
R1(config)#interface FastEthernet 0/0 R2(config)#interface FastEthernet 0/0
R1(config-if)#ip address 10.1.1.1 255.255.255.252 R2(config-if)#ip address 10.1.1.2 255.255.255.252
R1(config-if)#no shutdown ...
R1(config-if)#interface FastEthernet 0/1 R2(config)#interface FastEthernet 0/1
R1(config-if)#ip address 192.168.1.254 255.255.255.0 R2(config-if)#ip address 10.2.2.2 255.255.255.252
R1(config-if)#no shutdown ...
R2(config-router)#network 10.2.2.0
R1(config-if)#router rip R2(config-router)#network 10.1.1.0
R1(config-router)#version 2
R1(config-router)#no auto-summary Routeur R3
R1(config-router)#network 192.168.1.0 R3(config)#interface FastEthernet 0/0
R1(config-router)#network 10.1.1.0 R3(config-if)#ip address 10.2.2.1 255.255.255.252
...
R3(config)#interface FastEthernet 0/1
R3(config-if)#ip address 192.168.2.254
255.255.255.0
...
Avec une capture sur les liaisons R1/R2 ou R2/3 par un outil tel que WireShark, on peut s’apercevoir que les messages
circulant sur ces liaisons sont facilement interprétés par ce dernier.
La figure suivante montre la capture en claire du Ping (trame 45 : Echo request) entre PC1 et PC2 sur la liaison R1/R2 :
Il faut savoir que le VPN se configure juste sur les Routeurs d'extrémités dans notre cas R1 et R3.
Configuration VPN sur R1

Première étape : Activer les fonctions crypto du routeur :
R1(config)#crypto isakmp enable Fonction activée par défaut sur les IOS avec les options cryptographiques
54
Deuxième étape : Configurer la politique qui détermine quelle encryptions, Hash, type d'authentification, ... on utilise.
R1(config)#crypto isakmp policy 10
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#encryption 3des
R1(config-isakmp)#hash md5
R1(config-isakmp)#group 5
R1(config-isakmp)#lifetime 3600
R1(config-isakmp)#exit
group 5 : Spécifie l'identifiant Diffie-Hellman
lifetime : Spécifie le temps de validité de la connexion avant une nouvelle négociation des clefs.
Troisième étape : Configurer la clef :
R1(config)#crypto isakmp key S@Fi1DeuX3 address 10.2.2.1
Sur certains routeur avec certains IOS la commande ne fonctionne pas car le routeur demande si le mot de passe doit
être chiffré ou pas, tapez cette commande :
R1(config)#crypto isakmp key 6 S@Fi1DeuX3 address 10.2.2.1
Quatrième étape : Configurer les options de transformations des données :
R1(config)#crypto ipsec transform-set 50 esp-3des esp-md5-hmac
esp : signifie Encapsulation Security Protocol
N'oubliez pas d'utiliser les mêmes protocoles d'encryptions et de Hash utilisés dans la première étape.
Dans notre cas : Encryption / 3des, hash / md5
On fixe ensuite une valeur de Lifetime :
R1(cfg-crypto-trans)#crypto ipsec security-association lifetime seconds 1800
Cinquième étape : La 5éme étape consiste à créer une ACL qui va déterminer le trafic autorisé.
R1(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
Dernière étape de la configuration : Configurer la crypto map qui va associé l'access-list, le traffic, et la destination :
R1(config)#crypto map ALKHAWARIZMI 10 ipsec-isakmp
R1(config-crypto-map)#set peer 10.2.2.1
R1(config-crypto-map)#set transform-set 50
R1(config-crypto-map)#match address 101
R1(config-crypto-map)#exit
La configuration de R1 est presque terminée, appliquer la crypto map doit être appliquée sur l'interface de sortie (dans ce
cas FastEthernet 0/0) :
R1(config-if)#crypto map ALKHAWARIZMI
*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
Un message vous indique que la crypto map fonctionne.
Configuration VPN sur R3 (refaire la même configuration que sur R1) :
Première étape :
R3(config)#crypto isakmp enable
Deuxième étape :
R3(config)#crypto isakmp policy 10
R3(config-isakmp)#authentication pre-share
R3(config-isakmp)#encryption 3des
R3(config-isakmp)#hash md5
R3(config-isakmp)#group 5
R3(config-isakmp)#lifetime 3600
R3(config-isakmp)#exit
Troisième étape :
R3(config)#crypto isakmp key S@Fi1DeuX3 address 10.1.1.1
Quatrième étape :
R3(config)#crypto ipsec transform-set 50 esp-3des esp-md5-hmac
R3(cfg-crypto-trans)#crypto ipsec security-association lifetime seconds 1800
Cinquième étape :
R3(config)#access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
Dernière étape de la configuration :
R3(config)#crypto map ALKHAWARIZMI 10 ipsec-isakmp
R3(config-crypto-map)#set peer 10.1.1.1
R3(config-crypto-map)#set transform-set 50
R3(config-crypto-map)#match address 101
R3(config-crypto-map)#exit
R3(config-if)#crypto map ALKHAWARIZMI
55
Après configuration de IPSec sur les deux routeurs, un tunnel sécurisé est créée entre le site 1 et le site 2. On peut le
vérifier en lançant un ping du PC1 (192.168.1.1) vers PC2 (192.168.2.1), et en capturant le trafic sur une liaison réelle
(R1/R2 par exemple) :
Après négociation de
la politique de sécurité
et l’établissement du
tunnel IPsec, les
messages ping, ne
sont plus en clair, et
non plus reconnus par
WireShank en tant que
datagrammes ICMP,
Les adresses IP source (192.168.1.1) et

destination (192.168.2.1) sont masquées.
Le format EPS (Encapsulation Security
Payload) est reconnu par WireShark mais
n’arrive à en extraire que deux champs, le
reste est incompréhensible.
VPN site to site Ipsec avec SDM
56

Sécurité Des Réseaux Info1111-1 PDF

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Sécurité Des Réseaux Info1111-1 PDF

Загружено:

Авторское право:

Доступные форматы

SECURITE DES RESEAUX INFORMATIQUES

LYCEE TECHNIQUE AL KHAWARIZMI SAFI

LES MENACES SUR LES RESEAUX MODERNES DE DONNEES

Les attaques : Reconnaissance, accès, deni de servise,

II- Les vers, virus et chevaux de Troie

Autres vers qui ont causé des problèmes à

Les chevaux de Troie

III- Cisco Self Defending Infrastructure

CSA : Cisco Security Agent

Durcissement Durcissement Contrôle

IV- Les méthodes pour sécuriser un réseau

V- Présentation des dispositifs de sécurité

VI- Sécuriser les commutateurs Catalyst Cisco

Configuration de la sécurité des ports

SECURISATION DES ROUTEURS CISCO

II- Application des fonctions de sécurités aux routeurs CISCO

III- Gestion de la sécurité des routeurs

IV- Définir les mots de passe du routeur avec SDM

• Outil de gestion intégré à interface Web

Remarque: Cisco SDM

Créer un compte utilisateur d’un routeur avec SDM

Security Audit (SDM)

V- Sécurisation des accès administratifs à distance aux routeurs

Les routeurs Cisco sont capables d’agir en tant que

Configuration de la sécurité SSH

Étape 2 : définition du nom de domaine

R2(config)# line vty 0 4

R2(config)# ip ssh time-out 15

VI- Les niveaux de privilèges

Les niveaux de privilège doivent également être configurés pour l'authentification :

Dans l’exemple suivant, quatre comptes d'utilisateurs ont été créés

R1(config)# username USER privilege 1 secret cisco

User Access Verification

VII- Sécurisation par les rôles CLI

Les rôles CLI fournissent trois types de vues:

Avant Après création, configuration et

R1>enable view ADMIN-RESEAU

VIII- Sécuriser les images IOS et les fichiers de configuration

Niveau et Nom Syslog Définition Exemple

Étape 1. Définir l'hôte de journalisation de destination en utilisant la

Rl(config)# logging host 10.2.2.6

R1(config)# key chain MonRipKeyChain

R2(config)# key chain MonRipKeyChain

R1(config)# interface serial 0/0

R2# interface serial 0/0

Vérification de l'authentification en texte clair

R1# debug ip rip

Configurer et vérifier MD5 authentification

R1(config)# interface serial 0/0

R1# debug ip rip

R2(config)# interface serial 0/0

Authentification du protocole EIGRP

R1(config)# key chain MonEigrpKeyChain

R1(config)# interface s0/0/0

Authentification du protocole OSPF

R1(config)# router ospf 10

R1(config)# interface s0/0/0

LISTES DE CONTROLE D’ACCES (ACL)

I- Fonctionnement des listes de contrôle d’accès

2. Listes de contrôle d’accès sortantes

II- Listes de contrôle d’accès standard

1. Logique de la liste de contrôle d’accès standard

2. Configuration des listes de contrôle d’accès standard

Le premier représente le protocole IPsec. Les choix

format ESP : Encapsulation Security Payload utilisé en cas de besoin de

le mode tunnel (entête IP modifié)

DES - Utilise une clé de 56 bits, assurant le chiffrement