MINISTERE DE L’ENSEIGNEMENT SUPERIEUR ET DE LA RECHERCHE SCIENTIFIQUE

UNIVERSITE MOULOUD MAMMERI, TIZI-OUZOU

FACULTE DE GENIE ELECTRIQUE ET DE L’INFORMATIQUE

DEPARTEMENT D’ELECTRONIQUE

Mémoire de fin d’études

En vue de l’obtention

Du Diplôme de Master en Electronique

Option : Réseaux et Télécommunications

Thème :
Etude et conception d’une plateforme de
réseau informatique couplant entre sécurité
et supervision pour l’entreprise ENIEM

Proposé par : Réalisé par :

r
M BOUTALEB Salim Melle BELHADJ Naïma

Dirigé par :
Mr LAHDIR Mourad

2012/2013
 Remerciements

Je tiens € exprimer mes reconnaissances et gratitudes € M. LAHDIR Mourad,

pour son encadrement. Je tiens aussi € remercier M.BOUTALEB Salim qui a
accept• de diriger mes travaux tout au long de mon stage € l’ENIEM, et qui
m’a toujours soutenu et fourni l’aide n•cessaire afin de pouvoir r•aliser mes
objectifs dans les meilleures conditions.

Je souhaite par ailleurs souligner la contribution importante de l’•quipe

du d•partement informatique, particuliƒrement Mme. SEDDIKI, Mme.
DJELOUAH, et M. KHALDI le chef de service exploitation informatique,
l’expertise de cette •quipe a toujours •t• d’un pr•cieux recours.

Je tiens € remercier •galement ma famille et mes amis qui m’ont soutenu, et

particuliƒrement HAMOUNI. S, DOUANI. D, et ABTOUT. N, et tous ceux qui
m’ont aid• de prƒs ou de loin € r•aliser ce modeste travail.

Merci.
 Je dédie ce modeste travail :
Mes très chers parents et à ma grand-mère qui m’ont soutenu tout
au long de mes études et qui ont contribué à ma réussite, que dieu les garde
et leur donne une longue vie afin que je puisse leurs faire du bien à mon
tour, et les rendre fières.
Mes grands parents maternels, et à toutes ma petite famille.
Mes frères : Noreddine, Djamel, Ghiles avec qui j’ai passé les
meilleurs moments de mon existence ;
tous mes amis : Dihya.M, Dihya, Katia.M, Katia.H, Rosa, Sihem.Z,
Naima, Dalila, Nadjia, Nouara, Sihem, zahoua, Said.H, Hocine.M,
Said.B, Lyes.B, Djamel.A, Sofiane.H, Chabane.B, Djamel.H, Lotfi.H.
  Résumé 






 L’objectif principale de notre mémoire consiste à étudier et concevoir une solution
permettant de sécurisé et de supervisé le réseau informatique de l’entreprise national ENIEM
 Cette étude comporte deux grandes parties : une partie bibliographique et une autre
réservée à la conception et les tests des solutions apportées à la maquette de réseau vulnérable
(chapitre v).
 Dans le premier chapitre sont exposées le cadre et le contexte du projet:
présentation de l’organisme d’accueil, l’architecture du réseau existant, le champ
d’étude, …etc.
 Le deuxième chapitre est consacré pour les réseaux informatiques
d’entreprises
 Le troisième chapitre traite la sécurité informatique : les risques, les menaces,
la politique de sécurité, les mécanismes de sécurité...
 Le quatrième chapitre est réservé à la supervision des réseaux informatiques.
Le cinquième chapitre est réservé pour la conception de la solution et les tests.
 Enfin, nous terminons notre travail par une conclusion générale et des
perspectives sur le travail.
Listes des figures
et des tableaux
Liste des figures :

Figure I.1 : Organigramme de l’entreprise ...........................................................................4

Figure I.2 : Organigramme de l’unit• des prestations techniques........................................5

Figure I.3 : Organigramme du champ d’•tudes....................................................................5

Figure I.4 : L’armoire de brassage centrale ..........................................................................8

Figure I.5: L’armoire d’•tage ................................................................................................8

Figure I.6 : La face arri‚re du serveur ..................................................................................9

Figure I.7 : La face avant du serveur.....................................................................................9

Figure I.8 : Architecture du r•seau informatique existant ...................................................10

Figure II.1 : Sch•ma type d’un r•seau informatique d’entreprise .......................................14

Figure II.2 : Sch•ma type de liaison dans un r•seau .............................................................15
Figure II.3 : Interconnexion de syst‚mes autonomes ............................................................19
Figure II.4 : Topologie en Bus................................................................................................19
Figure II.5 : Topologie en •toile .............................................................................................19
Figure II.6 : Topologie en anneau .........................................................................................19
Figure II.7 : Repr•sentation des classes d’adresses IP .........................................................21

Figure II.8 : Le mod‚le OSI ..................................................................................................23

Figure II.9 : Encapsulation de donn•es .................................................................................23
Figure II.10 : Le mod‚le TCP/IP ...........................................................................................24
Figure III.1 : Les attaques contre la communication ...........................................................36
Figure III.2 : La connexion TCP en trois temps ...................................................................38
Figure III.3 : L’attaque par r•flexion ....................................................................................39

Figure III.4 : Le chiffrement et le d•chiffrement ..................................................................41

Figure III.5 : Le cryptage sym•trique....................................................................................42
Figure III.6 : La cryptographie asym•trique ........................................................................42
Figure III.7 : La signature num•rique...................................................................................43
Figure III.8 : La v•rification de l’int•grit• et l’authenticit• d’un message ..........................43
Figure III.9 : Le fonctionnement des ACL ............................................................................47

Figure III.10 : Principe du m•canisme de translation ..........................................................51

Figure IV.1 : Composants du syst‚me de gestion r•seau ......................................................55

Figure IV.2 : Structure fonctionnelle d’administration .......................................................56

Figure IV.3 : Architecture de syst‚me d’administration r•seau...........................................56

Figure IV.4 : Les modules coexistant autour de la supervision ............................................58

Figure IV.5 : Les architectures de supervision ..................................................................................59

Figure IV.6: Structure de MIB ..........................................................................................................65

Figure V.1 : Design de l’infrastructure de solution...............................................................72

Figure V.2 : La plateforme du r•seau local avec le plan d’adressage et les VLAN..............75

Figure V.3 : Architecture de l’interconnexion des RLE de l’entreprise...............................76

Figure V.4 : Types de firewall PIX Cisco ..............................................................................85

Figure V.5 : Sch•ma de branchement du firewall .................................................................86

Figure V.6 : Cloisonnement du r•seau en trois zones de s•curit• .........................................87
Figure V.7 : Configuration des trois interfaces du firewall ..................................................87
Figure V.8 : Configuration du PAT.......................................................................................89

Figure V.9 : Le routage au niveau du firewall.......................................................................89

Figure V.10 : Choix de la technologie d’encapsulation .........................................................91

Figure V.11 : Connexion du routeur au r•seau de transport................................................92

Figure V.12 : La plateforme de supervision et le flux SNMP ...............................................96

Figure V.13 : L’interface graphique de PRTG .....................................................................97

Figure V.14 : Installation des outils d’analyse et de gestion .................................................98

Figure V.15 : Gestion de l’ordinateur....................................................................................99

Figure V.16 : Configuration de l’agent SNMP......................................................................99

Figure V.17 : Configuration de la s•curit• du service SNMP ...............................................100

Figure V.18 : L’interface graphique de MBSA .....................................................................102

Figure V.19 : Analyse individuelle d’un ordinateur sous MBSA..........................................102

Figure V.20 : Analyse d’un groupe d’ordinateurs sous MBSA ............................................103

Figure V.21 : L’interface graphique de Nmap ......................................................................104

Figure V.22 : Lancer un scanne avec Nmap ..........................................................................104

Figure V.23 : Configuration du service SNMP serveur ........................................................107

Figure V.24 : La maquette de test du RLE sous Packet tracer.............................................107

Figure V.25 : La visualisation des VLAN cr••s.....................................................................108

Figure V.26 : La visualisation de la configuration de vtp serveur........................................108

Figure V.27 : La visualisation de la configuration de vtp client sur le Switch

Informatique ..........................................................................................................................109

Figure V.28 : La visualisation de la configuration et l’•tat des interfaces FastEthernet du

F•d•rateur ..............................................................................................................................109

Figure V.29 : La visualisation de la configuration et l’•tat des interfaces logiques du

F•d•rateur ..............................................................................................................................110

Figure V.30 : La visualisation de l’•tat des interfaces du Switch du d•partement

informatique ...........................................................................................................................110

Figure V.31 : La visualisation des ACL configur•es .............................................................111

Figure V.32 : R•sultat du ping du PC superviseur vers VLAN 8 et VLAN 4 ......................111

Figure V.33 : R•sultat du ping du PC maintenance vers VLAN 4 ......................................112

Figure V. 34: R•sultat du ping du VLAN4 vers PC superviseur et PC maintenance ..........112

Figure V.35 : R•sultat de ping local et non local vers le serveur de base de donn•es .........113
Figure V.36 : R•sultat des ping entre VLAN 7 et VLAN 5 ...................................................113
Figure V.37 : Visualisation de la route de sortie pour le RLE ..............................................114
Figure V.38 : Visualisation des lignes de configuration disponibles.....................................114

Figure V.39 : V•rification de la configuration des interfaces ...............................................115

Figure V.40 : V•rification de la configuration d’ospf et Frame-Relay .................................115

Figure V.41 : V•rification de la configuration des interfaces de PIX ...................................116

Figure V.42 : Visualisation de la configuration de translation d’adresses ...........................116

Figure V.43 : Visualisation des routes configur•es................................................................117

Figure V.44 : Visualisation des listes d’acc‚s configur•es.....................................................117

Figure V.45 : maquette pour tester la supervision sous GNS3 .............................................118

Figure V.46 : V•rification de la bonne configuration des agents SNMP d’•quipements.....119

Figure V.47 : Mise en route de PRTG ..................................................................................120
Figure V.48 : Ajouter un groupe d’•quipements sous PRTG .............................................120
Figure V.49 : Sp•cification des donn•es du groupe cr•• .......................................................121
Figure V.50 : Le groupe R•seau Test cr•• ...........................................................................121

Figure V.51 : Ajouter un capteur ..........................................................................................122

Figure V.52 : Exemples de capteurs.......................................................................................122

Figure V.53 : Les •tats et les notifications des capteurs PRTG ............................................123

Figure V.54 : La mise au point des groupes ..........................................................................123

Figure V.55 : Etat du capteur SNMP ....................................................................................124

Figure V.56 : lancer la capture de trames .............................................................................124

Figure V.57 : Capture de trames SNMP................................................................................125

Figure V.58 : Capture de trames SNMP ...............................................................................126

Figure V.59 : Principe d’interrogation de MIB.....................................................................126

Figure V.60 : D•marrer l’analyse d’un hƒte avec MBSA .....................................................127

Figure V.61 : R•sultat de l’analyse avec MBSA....................................................................127

Figure V.62 : R•sultat d’un scan avec Nmap ........................................................................128

Figure V.63 : Les fonctionnalit•s offertes par Nmap ............................................................128

Figure V.64 : La visualisation des hƒtes ................................................................................129

Liste des tableaux :

Tableau II.1 : Attribution des num•ros de ports...................................................................18

Tableau II.2 : Les plages d’adresses IP .................................................................................22

Tableau III.1 : La table NAT statique ...................................................................................51

Tableau III.2 : La table NAT dynamique..............................................................................51

Tableau III.3 : Configuration de NAT statique.....................................................................52

Tableau III.4 : Configuration du NAT dynamique...............................................................52
Tableau III.5 : Configuration du PAT ..................................................................................53
Tableau IV. 1: Exemple d’•l•ments d’une MIB ...................................................................67
Tableau V.1 : Le plan d’adressage et les VLAN du RLE .....................................................73
Tableau V.2 : Attribution d’adresses aux interfaces VLAN ................................................74
Tableau V.3 : Attribution des adresses et VLAN aux •quipements .....................................74
Sommaire
 Sommaire
Introduction générale .................................................................................................................... 1
Chapitre I : Cadre du Projet
Introduction .................................................................................................................................. 3
I.1. Cadre et contexte du projet .................................................................................................... 3
I.1.1. Présentation de l’organisme d’accueil « ENIEM » ....................................................... 3
I.1.1.1. Situation géographique......................................................................................... 3
I.1.1.2. Activités et objectifs de l'entreprise ..................................................................... 3
I.1.2. Organisation de l’entreprise ........................................................................................... 4
I.1.3. Le champ d’études ......................................................................................................... 5
I.1.3.1. Organigramme de l’unité de prestations techniques ............................................ 5
I.1.3.2. Organigramme du département informatique (champ d’études) ......................... 5
I.1.3.3. Description du département informatique ............................................................ 6
I.1.3.4. Missions et activités du département informatique .............................................. 6
I.1.4. Le réseau informatique de l’ENIEM ............................................................................. 7
I.1.4.1. Réseau des ateliers ............................................................................................... 7
I.1.4.2. Réseau du bloc administratif ................................................................................ 7
I.2. Étude et analyse de l’existant et problématiques ................................................................... 9
I.2.1. L’architecture du réseau existant.................................................................................... 10
I.2.2. Présentation du réseau existant et analyse des manques (besoins) ................................ 10
I.2.2.1. Présentation .......................................................................................................... 10
I.2.2.2. Les besoins en terme de sécurité .......................................................................... 11
I.3. Travail demandé..................................................................................................................... 12
Conclusion .................................................................................................................................... 12
Chapitre II : Les réseaux informatiques d’entreprise
Introduction .................................................................................................................................. 13
II.1. La notion de réseau ............................................................................................................... 13
II.1.1. Définition d’un réseau................................................................................................... 13
II.1.2. Définition d’un réseau informatique ............................................................................. 13
II.1.3. Définition d’un réseau informatique d’entreprise ......................................................... 13
II.2. Esquisse sur les réseaux informatiques d’entreprise ............................................................ 13
 II.2.1. Buts d’un réseau informatique d’entreprise .................................................................. 13
II.2.2. Caractéristiques fonctionnelles ..................................................................................... 14
II.2.3. Les constituants essentiels d’un réseau informatique d’entreprise ............................... 14
II.2.3.1. Les constituants matériels ................................................................................ 14
II.2.3.1.1. Les équipements informatiques ................................................................ 15
II.2.3.1.2. Les canaux de transmission (média) ......................................................... 15
II.2.3.1.3. Les interfaces de connexion ...................................................................... 15
II.2.3.2. Les constituants immatériels ............................................................................ 15
II.2.3.2.1. Les logiciels réseau ................................................................................... 16
II.2.3.2.2. Les NOS (Network Operating System) .................................................... 16
II.2.3.2.3. Les protocoles réseaux .............................................................................. 16
II.2.3.2.4. Systèmes de stockage ............................................................................... 17
II.2.3.2.5. Les ports logiciels ..................................................................................... 17
II.3. Organisation des réseaux informatiques d’entreprise ........................................................... 18
II.3.1. L’étendue des liaisons ................................................................................................... 18
II.3.2. Les réseaux locaux d’entreprise (RLE)......................................................................... 18
II.3.2.1. Les typologies des systèmes ............................................................................. 19
II.3.2.1.1. Les systèmes ouverts ................................................................................ 19
II.3.2.1.2. Les systèmes autonomes (AS) .................................................................. 19
II.3.2.2. Les topologies ................................................................................................... 19
II.3.2.3. Les méthodes d’accès ....................................................................................... 20
II.3.2.4. Les principales architectures ............................................................................ 20
II.3.2.5. Modes de fonctionnement ................................................................................ 20
II.3.2.6. Modes de communication................................................................................. 21
II.3.3. L’adressage IP ............................................................................................................... 21
II.3.3.1. Les adresses IP spécifiques .............................................................................. 22
II.3.3.2. Les adresses IP privées ..................................................................................... 22
II.3.3.3. Subdivision en sous-réseaux (segmentation).................................................... 22
II.4. L’interconnexion ................................................................................................................. 22
II.4.1. Les modèles de communication OSI et TCP/IP ........................................................... 23
II.4.1.1. Le modèle OSI (Open System Interconnexion) ............................................... 23
II.4.1.2. Le modèle TCP/IP ............................................................................................ 24
 II.4.2. Les protocoles HDLC et FrameRelay ........................................................................... 24
II.4.3. Les matériels d’interconnexion ..................................................................................... 24
II.5. La fonction de routage .......................................................................................................... 25
II.5.1. L’acheminement dans les réseaux ................................................................................ 25
II.5.2. Les modes de routage.................................................................................................... 25
II.5.2.1. Routage statique ............................................................................................... 25
II.5.2.2. Routage dynamique .......................................................................................... 25
II.5.3. Les principaux protocoles de routage ........................................................................... 26
II.6. Protocoles standardisés de base ............................................................................................ 26
Conclusion .................................................................................................................................... 27
Chapitre III : La sécurité des réseaux informatiques
Introduction .................................................................................................................................. 28
III.1 Les vulnérabilités dans les réseaux ...................................................................................... 28
III.1.1. Les vulnérabilités au niveau technologique................................................................. 28
III.1.2. Les vulnérabilités au niveau physique ......................................................................... 28
III.1.3. Les vulnérabilités au niveau organisationnel (management) ...................................... 28
III.1.4. Les vulnérabilités dues à l’utilisateur .......................................................................... 29
III.2. Les menaces de sécurité ...................................................................................................... 29
III.3. Les risques ........................................................................................................................... 29
III.4. Les contre-mesures .............................................................................................................. 29
III.4.1. La sureté de fonctionnement (Safety) .......................................................................... 29
III.4.2. La sécurité informatique (Security) ............................................................................. 30
III.5. Les besoins en sécurité informatique .................................................................................. 30
III.6. Politique de sécurité ............................................................................................................ 30
III.7. Les attaques informatiques .................................................................................................. 31
III.7.1. Classification des attaques .......................................................................................... 31
III.7.1.1. Attaques passives ............................................................................................ 31
III.7.1.2.Attaques actives ............................................................................................... 31
III.7.2. L’anatomie d’une attaque ............................................................................................ 32
III.7.3. Les attaques les plus connues ...................................................................................... 33
III.7.3.1. Attaques par injection de codes....................................................................... 33
III.7.3.2. Attaques par ingénierie sociale ....................................................................... 34
 II.7.3.3. Attaques réseaux............................................................................................... 34
III.7.3.4. Attaques contre la communication .................................................................. 35
III.7.3.5. Attaques Man In The Midle (MITM).............................................................. 36
III.7.3.6. Attaques par failles applicatives ..................................................................... 37
III.7.3.7. Attaques Déni de service ................................................................................. 37
III.8. Les mécanismes de défense ................................................................................................. 39
III.9. Cycle d’une politique de sécurité ........................................................................................ 40
III.10. Description des principaux dispositifs de défense ............................................................ 41
III.10.1. La cryptographie ........................................................................................................ 41
III.10.1.1. Définitions ..................................................................................................... 41
III.10.1.2. Les cryptographies basiques ......................................................................... 42
III.10.1.3.Fonctions de hachage ..................................................................................... 43
III.10.1.4.Les protocoles sécurisés ................................................................................. 44
III.10.2. Les technologies de contrôle d’accès en réseau ........................................................ 44
III.10.2.1. Les pare-feux (firewalls) ............................................................................... 44
III.10.2.1.1. Principe de fonctionnement d’un firewall ............................................. 44
III.10.2.1.2. Découpage en zones de sécurité (périmètres sécurisés) ........................ 45
III.10.2.1.3. Types de filtrage .................................................................................... 45
III.10.2.2. Implémentation des règles de sécurité dans les dispositifs à filtrage ............ 46
III.10.2.2.1. ACL (Access Control List).................................................................... 46
III.10.2.2.2. Les VLAN (virtual LAN) ...................................................................... 49
III.10.3. Translation d’adresses (NAT, PAT) .......................................................................... 50
III.10.3.1. La NAT (Network Adress Translation) ........................................................ 50
III.10.3.1.1.NAT statique .......................................................................................... 50
III.10.3.1.2.NAT dynamique ..................................................................................... 51
III.10.3.2. Tables NAT et PAT ...................................................................................... 51
III.10.3.3. Configuration de translation d’adresses ........................................................ 52
III.10.4. Les systèmes de détection d’intrusion (IDS-Intrusion Detection System) ................ 53
III.10.4.1. Les systèmes de détection d’intrusion réseaux (NIDS-Network IDS).......... 54
III.10.4.2. Les systèmes de détection d’intrusion de type hôte (HIDS-Host IDS) ......... 54
Conclusion .................................................................................................................................... 54
Chapitre IV : La supervision des réseaux
Introduction .................................................................................................................................. 55
IV.1.Administration de réseaux ................................................................................................... 55
IV.1.1.Architecture d’administration et principe général ........................................................ 55
IV.1.2. Les activités d’administration de réseaux ................................................................... 56
IV.2. La supervision ..................................................................................................................... 57
IV.2.1.Objectifs de la supervision ........................................................................................... 57
IV.2.3.Les modules de la supervision...................................................................................... 57
IV.2.4.Les événements et les indicateurs à superviser ............................................................ 58
IV.2.5.Architectures de supervision ........................................................................................ 59
IV.2.6.Les méthodes possibles de supervision ........................................................................ 59
IV.2.6.1. Supervision en temps réel ............................................................................... 59
IV.2.6.2. Supervision en temps différé .......................................................................... 60
IV.2.7.Formats de données de la supervision .......................................................................... 61
IV.2.7.1.Syslog............................................................................................................... 61
IV.2.7.2.Netflow ............................................................................................................ 61
IV.3. Protocole de gestion de réseau dans le modèle TCP/IP: SNMP ......................................... 62
IV.3.1. Concepts fondamentaux .............................................................................................. 62
IV.3.1.1. Station d’administration (NMS-Network Management Station) .................... 62
IV.3.1.2. Agent de gestion ............................................................................................. 63
IV.3.1.3. Les communautés............................................................................................ 63
IV.3.1.4. Les alarmes ..................................................................................................... 63
IV.3.1.5. Les objets ........................................................................................................ 63
IV.3.1.6. Les MIB (base d’informations de gestion) ..................................................... 64
IV.3.1.6.1. Structure d’une MIB................................................................................ 64
IV.3.1.6.2. La représentation d’une MIB (Structure et représentation d’objets) ...... 65
IV.3.1.7. Les proxies ...................................................................................................... 67
IV.3.2.Les messages SNMP .................................................................................................... 67
IV.4. Les menaces et besoins de sécurité de SNMP .................................................................... 68
Conclusion .................................................................................................................................... 69
Chapitre V: Conception et test de l’infrastructure de solution
Introduction .................................................................................................................................. 70
V.1. Les solutions retenues .......................................................................................................... 70
V.2. Présentation du projet ........................................................................................................... 70
V.3. Les démarches de la conception ........................................................................................... 72
V.3.1. Le design de la nouvelle infrastructure ......................................................................... 72
V.3.2. La sécurisation de l’infrastructure ................................................................................ 72
V.3.2.1. Administration et agencement du réseau local sous VLAN ............................ 72
V.3.2.1.1. Elaborer un nouveau plan d’adressage ..................................................... 73
V.3.2.1.2. Configurer les Switchs ............................................................................. 76
V.3.2.2. Implémentation du firewall matériel PIX (Private Internet eXchange) ........... 85
V.3.2.2.1. Choix ........................................................................................................ 85
V.3.2.2.2. Inclure le firewall PIX dans le réseau ....................................................... 86
V.3.2.2.3. Les procédures de configuration du firewall PIX 515 .............................. 87
V.3.3. Interconnexion entre l’entreprise ENIEM et sa direction générale .............................. 90
V.3.3.1. Choix du routeur............................................................................................... 90
V.3.3.2. Le choix de la technologie d’encapsulation ..................................................... 91
V.3.3.3. Choix du protocole de routage ......................................................................... 91
V.3.3.4. Connecter notre routeur au réseau de transport ................................................ 92
V.3.3.5. Configurer les routeurs ..................................................................................... 92
V.3.4. Supervision du réseau ................................................................................................... 95
V.3.4.1. Installer et configurer un serveur de supervision global .................................. 96
V.3.4.1.1. Installation d’une NMA (Network Managment Application) .................. 96
V.3.4.1.2. Installation des outils d’analyse et de gestion réseau (démons SNMP
sous Windows XP) ................................................................................. 97
V.3.4.1.3. Paramétrer le service SNMP client (superviseur)..................................... 98
V.3.4.1.4. Déploiement d’un outil d’analyse de vulnérabilités et un outil de
scanne pour superviser la sécurité .......................................................... 100
V.3.4.2. Configuration des équipements à superviser .................................................................104
V.3.4.2.1. Paramétrer les Postes de travail ............................................................................104
V.3.4.2.2. Configurer le protocole SNMP dans les Switchs et les routeurs et le firewall ....105
V.3.5. Mise en œuvre de plateformes virtuelles pour les tests ..............................................................106
V.3.5.1. Les logiciels utilisés pour simuler la mise en œuvre des solutions ...............................106
 V.3.5.2. Les tests de configuration..............................................................................................107
Conclusion .................................................................................................................................... 129
Conclusion générale ..................................................................................................................... 130
Bibliographie
Annexes
Introduction
générale
 Introduction gÄnÄrale

Introduction gÄnÄrale

Un syst€me d’information (SI) est g‚n‚ralement l’ensemble des moyens n‚cessaires

pour acqu‚rir, stocker, exploiter, et faire circuler des informations. Le besoin de faire
fonctionner ce genre de syst€mes a abouti ƒ la conception d’un moyen technique, plus connus
sous „ syst€me informatique …. En effet, un SI repr‚sente un patrimoine essentiel de chaque
entreprise ou organisation, qu’il convient de pr‚server et de prot‚ger, et cela ne devient
possible, qu’une fois que les insuffisances de s‚curit‚ du syst€me informatique sont bien
combl‚es. Le syst€me informatique repr‚sente ainsi l’unit‚ minimale d’un r‚seau
informatique, La s‚curit‚ de celui-ci fait l’objet de pr‚occupation des administrateurs.

Les r‚seaux informatiques, consid‚r‚s comme ‚l‚ments essentiels des technologies

actuelles pour raccorder les syst€mes d’informations et assurer ainsi les transmissions des
donn‚es entre sites informatiques. Les organisations et entreprises comptent beaucoup sur les
services offerts par ces r‚seaux, ces services sont devenus tr€s vite indispensables pour leurs
fonctionnements, en effet ceux-lƒ leur apportent un moyen efficace pour mettre en œuvre un
travail coop‚ratif, pour partager des donn‚es, mais aussi pour imprimer ƒ distance, envoyer
des messages, et acc‚der ƒ des bases de donn‚es localis‚es ou d‚localis‚es. Pour s'assurer que
les services rendus par le r‚seau informatique d’entreprises soient convenables, il est
n‚cessaire de le s‚curiser et le surveiller et d'agir quand une erreur se produit. Pour ce faire, il
faut obtenir les donn‚es de gestion des ‚quipements des r‚seaux et, si n‚cessaire, contr‡ler ces
‚quipements, d'oˆ l'utilit‚ de recourir aux outils de supervision des r‚seaux.

Cependant, un des principaux enjeux de la supervision de r‚seaux est ainsi de r‚ussir ƒ

offrir une solution unique permettant de g‚rer son r‚seau. L’ampleur des r‚seaux pouvant
varier grandement : que l'on parle d'un r‚seau d'un op‚rateur et fournisseur ou bien que l'on
parle du r‚seau interne d'une petite entreprise, la supervision doit pouvoir apporter des outils
performants, adaptables aussi bien ƒ la taille des r‚seaux qu'ƒ leur grande diversit‚
technologique.

Un autre enjeu est l'automatisation du traitement de l'information. En effet, face ƒ

l'importance (taille et criticit‚) des r‚seaux dans tous les milieux professionnels, il reste
difficile de prendre connaissance de toutes les informations et de r‚agir proactivement. Des
lors, l'automatisation de l'analyse des informations remont‚es par la supervision permet la
mise en place de statistiques et de proc‚dures pour la r‚solution des probl€mes.

Ce projet a ‚t‚ r‚alis‚ dans le cadre de la conception d'une infrastructure de gestion

associ‚e ƒ une politique de s‚curit‚ ad‚quate au niveau du r‚seau informatique de l’ENIEM. Il
consiste ƒ impl‚menter une politique de s‚curit‚ apr€s une ‚tude pr‚alable des diff‚rents
risques et anomalies, et ƒ concevoir et mettre en place un syst€me de supervision r‚seaux
conforme avec les fondements de cette politique de s‚curit‚, ce syst€me permettra ƒ la fois, de
collecter des donn‚es sur les routeurs, les serveurs et les commutateurs et autres, afficher une
cartographie du r‚seau, et notifier en cas de panne d'un ‚quipement ou en cas d’‚ventuelles
tentative d’intrusion.

1
 Introduction gÄnÄrale

Les responsables informatiques de l’ENIEM m'ont donc propos‚ pour palier aux
diff‚rents probl€mes coexistants au tour du r‚seau de cette entreprise, de r‚aliser un outil
d'observation et de contr‡le r‚seau oˆ la s‚curit‚ et la supervision seront coupl‚es, qui
s'adaptera ƒ la fois avec la topologie du r‚seau existant et avec les applications et les syst€mes
qui tournent sur ce r‚seau.

Le pr‚sent travail est structur‚ en cinq chapitres :

Dans le premier chapitre je d‚cris le cadre et le contexte de mon projet. Tout d'abord je
pr‚sente mon organisme d'accueil et l'architecture du r‚seau de cette entreprise, en me basant
plus sur mon champ d’‚tudes qu’est le d‚partement informatique, d’oˆ j’extraie le probl€me
de mon projet. Ensuite, je traite le sujet du travail ƒ r‚aliser.

Dans le second chapitre, troisi€me, et quatri€me chapitre, je sp‚cifie les diff‚rents

besoins, respectivement en termes de r‚seaux informatiques d’entreprise, puis sur la s‚curit‚
informatique, et enfin, en supervision des r‚seaux informatiques.

Dans le cinqui€me et dernier chapitre, je pr‚sente les sp‚cifications de ma solution,

l'‚tude conceptuelle de cette application, ainsi que la description de l'impl‚mentation et les
testes de mon application sur une plateforme de tests que je r‚aliserais.

En fin, Je conclus ce m‚moire en pr‚sentant les avantages apport‚s par l'application

r‚alis‚e.

Les formats des PDU (Protocol data Unit) et le lexique des commande Cisco sont d‚crit
dans les annexes de ce m‚moire.

2
 CHAPITRE 1

Cadre du projet
Chapitre I Cadre du Projet

Introduction
Ce chapitre représente une mise dans le contexte du projet de fin d'étude intitulé
conception et test d'une infrastructure de supervision couplée avec une politique de sécurité
adéquate aux réseaux informatiques de l’ENIEM.

La première partie se focalise sur le cadre du projet à travers une présentation de

l'organisme d'accueil. La deuxième et la troisième partie, une définition du travail demandé et
les problématiques qu'il doit résoudre.

I.1. Cadre et contexte du projet

I.1.1. Présentation de l’organisme d’accueil « ENIEM »

I.1.1.1. Situation géographique

L'entreprise ENIEM (Entreprise Nationale des Industries de Electroménagers) se
trouve à la zone industrielle AISSAT - IDIR OUED - AISSI à 10 Km de TIZI - OUZOU, elle
s'étale sur une surface totale de 55 Hectares, sa direction générale se trouve au Chef lieu de
TIZI - OUZOU à proximité de la gare ferroviaire.

I.1.1.2. Activités et objectifs de l'entreprise

 Activités : Les activités de l'ENIEM sont concentrées sur la production, le montage, la
commercialisation, le développement et la recherche dans les différentes branches de
l’électroménager. Ces activités sont assurées par ses cinq unités:
 Unité Froid (Produit des Réfrigérateurs et congélateurs).
 Unité Cuisson (Assure la production des cuisinières).
 Unité Climatisation (Produit des climatiseurs, machines à laver, et des chauffes eau).
 Unité Commerciale (Assure la distribution et l’exportation des produits ENIEM,
ainsi que le service après-vente).
 Unité Prestations Techniques (Assure les fonctions de soutien aux autres unités).

 Objectifs :

 L'amélioration de la qualité et l'augmentation du volume de production.

 La maitrise des coûts de production.
 L’augmentation des capacités d’études et de développement.
 Amélioration de la maintenance de l'outil de production des installations.
 La valorisation des ressources humaines.

3
 Chapitre I Cadre du Projet

I.1.2. Organisation de l’entreprise

Direction général
Direction R. Assistant
Humaine juridique

Direction
/développement Assistant
et partenariat sécurité

Unité froid
Direction
/finance et Direction qualité
comptabilité Unité cuisson
Assistant qualité
Direction
(coordinateur) Unité
Gestion
industrielle climatisation

Direction Assistant qualité

planifiée et (unité froid)
Unité prestations
contrôle de
techniques
gestion Assistant qualité
(unité cuisson)
Direction Département
marketing /
comptabilité Informatique
Assistant qualité
(unité
climatisation)
Service
administration Unité
Assistant qualité
commerciale
Liaison hiérarchique (unité
commercial)
Liaison fonctionnelle

Champ d’études Figure I.1 : Organigramme de l’entreprise

4
 Chapitre I Cadre du Projet

I.1.3. Le champ d’études

I.1.3.1. Organigramme de l’unité de prestations techniques

Direction unité des
prestations techniques

Secrétaire direction Contrôleur gestion

Centre de Service Département Service finance Département Département

médecine énergies et maintenance et comptabilité informatique gestion
fluides environnement

Département Département Département

fabrication.mecani intervention administration et Département Service transit et
que.et outillage et sécurité ressources humaines commercial transport

Figure I.2 : Organigramme de l’unité des prestations techniques

I.1.3.2. Organigramme du département informatique (champ d’études)

Chef de
département

Chef de service Chef service

exploitations Développeur de développement
informatiques Web systèmes informatiques
administration

Agent maintenance Administrateur

et réseaux systèmes informatiques
informatiques
Comptabilité

Gestionnaires Paiement
système
d’exploitation Stocks

Figure I.3 : Organigramme du champ d’études

5
Chapitre I Cadre du Projet

I.1.3.3. Description du département informatique

Le département informatique assure les prestations qui répondent aux attentes des
utilisateurs internes en termes de fiabilités, sécurités et délai. Il dispose de :

 12 postes (type: HP, CPU: 2, 40GHz, Disque dur: 40 à 80 Go, RAM: 128 Mo à 1 Go).
 Imprimantes : 04 de type HP petite taille, 04 de grande taille (03 de type
PRINTRANIX et 01 de type MAGNA L182OC).
 02 grandes stations de climatisation pour la salle-machine (types AIRWELL 3900).
 Grand onduleur (type Emerson Network Power)

Le département informatique se départage en deux services :

 Service développement du système informatique (SDSI).

 Service exploitation informatique (SEI).

1. Service développement informatique :

Ce service s’occupe du développement des applications et des programmes

informatiques. Il est constitué de deux sous services, le premier est chargé de la conception
développement informatique et le deuxième s’occupe de l’administration des systèmes
informatiques.

2. Service exploitations informatiques :

S’occupe de la gestion de l’ensemble des moyens informatiques, de saisie, de

traitement, de transmission et de restitution de l’information et assistance aux utilisateurs. Ce
service est composé de deux sous services, l’un est celui du chef de la salle machine qui est le
responsable du système, à son siège, on trouve des «gestionnaires système ». L’autre est le
chef de section gestion des systèmes d’exploitation qui est le responsable du système
hardware Software et des réseaux, il doit assurer le bon fonctionnement des équipements
(suive des contrats de maintenance et procède au planning maintenance préventive), procède à
des évolutions techniques, réseau, télétraitement, base de données, logiciels de bases etc,
celui-ci doit aussi assurer la fonction de conseille et d’interfaçage avec l’utilisateur (attaché au
chef de salle machine), à son siège on trouve des « Agents réseau informatique ».

I.1.3.4. Missions et activités du département informatique

Le département informatique s’occupe :

 De traiter des commandes d’achats ;

 De la comptabilité générale ;
 Du lancement des commandes en fabrication ;
 De la gestion des stockes de matière première et composant ;
 De la gestion de paie ;
 De l’établissement des procédures de sauvegarde et de restauration des données ;
 D’informer et de former les utilisateurs à l’exploitation optimale des applications.

6
Chapitre I Cadre du Projet

I.1.4. Le réseau informatique de l’ENIEM

L’entreprise est dotée d’un réseau intranet, et comme cella est constituée des ateliers et
du bloc administratif, elle englobe deux types de réseaux : réseau point à point des ateliers ;
réseau local Ethernet(en étoile) du bloc administratif.

I.1.4.1. Réseau des ateliers

Le réseau utilisé au niveau des ateliers est un réseau point à point (pear to pear), il est
composé d’environ 39 terminaux dont 27 écrans HP (modèle 700/92 A, 2392A) et 12
imprimantes HP (modèle 2563B, 2934 A, Rugged Writer 480) reliés au serveur
(HP3000/A500) par des liaisons :

- Directes (distances inférieures ou égales à 1200 mètres).

- Modem-modem (pour les distances supérieures à 1200 mètres).
- Multiplexeur-modem (pour les installations de plusieurs terminaux distants).

I.1.4.2.Réseau du bloc administratif

Le réseau informatique intranet de l’ENIEM est un réseau ouvert basé sur la famille des
protocoles TCP/IP. Un réseau Ethernet dont la topologie choisie est « étoile », vue la
configuration du site, à savoir deux bâtiments associés donnant une formes T.

Toutes les prises d’un même étage sont reliées à un Switch contenu dans une armoire
dite « armoire d’étage », cette dernière est reliée à son tour avec un câble fibre optique à un
Switch dit « fédérateur » contenu dans l’armoire centrale installée au niveau de la salle
machine au sous-sol du bâtiment B où le Switch du département informatique es aussi inclue.

Le réseau est composé au total de 06 armoires départagées dans 02 bâtiments, deux à

chaque étage. L’emplacement est dicté par la distance maximale entre un Switch et un poste
de travail, qui ne doit pas dépasser 100 mètres.

 Description du matériel utilisé dans le réseau local

 L’armoire de brassage centrale (voir figure I.2) :

C’est l’armoire principale, toutes les armoires d’étage sont reliées à celle-ci,
l’interconnexion est assurée grâce au Switch fédérateur. Elle est constituée des éléments
suivants :

 02 panneaux de brassage à 16 ports : contiennent des connecteurs RJ45.

 01 Switch d’étage Cisco : contient des ports RJ45 et des ports GBIC (pour câble fibre
optique).
 01 onduleur: pour avoir le temps à sauvegarder les données.
 01 Switch fédérateur: contient 7 ports GBIC.
 03 tiroirs optiques: qui relient les armoires des blocs.
 01 Panneau électrique à 06 prises sous onduleur: pour alimenter les périphériques
actifs.

7
Chapitre I Cadre du Projet

Cette figue présente l’armoire centrale située au département informatique au sous-sol (salle
machines) :

Figure I.4 : L’armoire de brassage centrale

 L’armoire d’étage (voir figure I.5)

Elle est constituée des éléments suivants :

 Switch Cisco.
 panneau de brassage, le grand à 16 ports.
 01 tiroir optique.
 01 multi-prise.

Figure I.5: L’armoire d’étage

 Description du système du serveur HP3000/A500 :

a- La face arrière (voir figure I.6)

Le serveur est composé de DTC (Data Terminal Circuit) qui gère deux types de
panneaux, DDP (Panneau de Distribution Direct) et MDP (Panneau de Distribution Modem).

 Les ports sur le DDP sont du type RJ45 (norme RS423) et numérotés de 100 à 115,
200 à215 pour les ports écrans et de 300 à 315 pour les ports imprimantes.
 Les ports sur le MDP sont du type DB25 (norme RS232) et numérotés de 400 à 415,
de 500 à 515 pour les ports écrans et de 600 à 615 pour les ports imprimantes.

La face arrière des ports DTC est composée des ports AUI et des ports BNC T (Thinlan
port) et chacun de ces derniers sont connectés entre eux avec un câble coaxial qui est connecté
à son tour au convertisseur Ethernet (10 base 2 to 10 base T). La sortie du convertisseur est un
port RJ45, qui est connecté à l’armoire centrale.

Il est aussi équipé d’une unité centrale dont la face arrière est rassemblée de :

 Console UPS port qui peut être connecté à 3 consoles sorties DB9 avec des câbles
HP24252 :
 UPS : pour brancher l’onduleur.

8
Chapitre I Cadre du Projet

 Rempote : c’est une console secondaire, elle est mise en marche lorsque la
console principale se bloque.
 Console principale.
 Une console LAN 10 base T (console réseau).
 Le dérouleur : pour lire les cartes de l’ancien système.

b- La face avant (voir figure I.7)

Elle est composée des éléments suivants :

 Lecteur de cassettes DLT.

 Lecteur DVD.
 Lecteur DDS.

Figure I.7 : La face avant du serveur Figure I.6 : La face arrière du serveur

I.2. Étude et analyse de l’existant et problématiques

Cette partie permet de mieux définir le domaine d’étude, ainsi qu’à relever les éventuels
manques et anomalies dans le système existant.

9
Chapitre I Cadre du Projet

I.2.1. L’architecture du réseau existant

Figure I.8 : Architecture du réseau informatique existant

I.2.2. Présentation du réseau existant et analyse des manques (besoins)

I.2.2.1. Présentation
Le réseau existant est principalement composé de:

 07 Switch Cisco de niveaux 2 ou de niveau 3.

 01 Switch Cisco fédérateur (multilayer Switch).
 Un serveur de base de données (HP 3000).
 Un serveur web publié qui peut être vu depuis Internet.
 Un modem (reliant le réseau à internet).
 Des postes de travail (de type HP).

Avec l’aide de mon encadreur, et grâce aux visites au niveau du site, nous avons pus
avoir une idée sur l’architecture actuelle du réseau informatique de l’entreprise et en dégager
les points suivants :

 Les différentes structures à savoir les blocs administratifs, les Directions d’unités, la
structure Informatique, et le Service Commercial des unités, dépendent d’un serveur
situé au niveau du département informatique.
 Le réseau local englobe des Switchs Cisco de niveau deux et trois, dotés d’une
configuration par défaut, cela implique que l’utilisation de ces équipement est limitée

10
Chapitre I Cadre du Projet

aux VLAN 1. Ce qui induit que tous les postes se trouvent dans un seul sous-réseau,
ceci fait que les communications et les accès sont illimités (aucune politique d’accès).
 Vulnérabilité au niveau organisation interne : la répartition et la multiplication des
systèmes du pôle informatique avec sa solution soit disant moins couteuse, et vu que
toutes les unités et leurs fonctions appartiennent au même sous-réseau, entraine une
complexité voir même une impossibilité à gérer la sécurité de ces systèmes.
 Les serveurs, de web, de messagerie et de partage de connexion sont assurés par une
seule machine, celle-ci est directement connectée à internet, sachant que le seul moyen
de sécurisation utilisé est un firewall logiciel, cella indique une forme de sécurité
minimum et insuffisante. En premier lieu, la sécurité de ses serveurs est mise en jeu,
mais aussi celle du réseau interne et du serveur de base de données.
 Absence d’outils permettant la surveillance système et réseau (de hôtes et de services
spécifiés), et alertant lorsque les systèmes ont des dysfonctionnements, ce qui peut
provoquer la rupture des services (exemple : l’indisponibilité d’un serveur ou de la
base de données sans prévention…) et par cela une dégradation des performances.
 Le réseau local a été conçu aux débuts, dans une logique de réseau ouvert.
Concrètement, cette logique ouverte se traduit par un certain nombre de problèmes :
 Toute prise réseau, qu’elle soit accessible en débranchant un poste de travail
ou mise à disposition pour des prestataires extérieurs par exemple, est une
menace potentielle, car l’accès réseau sera, dans tous les cas, donné à la
machine connectée.
 un poste mobile, infecté par un ver, pourra en se reconnectant au LAN
contaminer le périmètre interne.
 Le serveur de base de données contient des données sensibles mais il peut être
accessibles par n’importe qui en privilège et en droits (alors qu’il est impératif
que l’accès soit interdit de l’extérieur et limité de l’intérieur).
 L’architecture du réseau n’est pas maîtrisée, car rien n’empêche un employé
d’ajouter un équipement réseau non autorisé à la place de son poste de travail
(un point d’accès WiFi par exemple).
 Absence d’un moyen qui puisse relier l’ENIEM à sa direction de façon sûre et
sécurisée.

I.2.2.2. Les besoins en terme de sécurité

Vue l’existant, nous avons pu distinguer les besoins en terme de:

 Confidentialité : assurer que seuls les tiers autorisés aient accès aux informations de
l’entreprise considérées comme étant discrètes, et empêcher par cela toute divulgation
de celle-ci.

11
Chapitre I Cadre du Projet

 Disponibilité : toujours garantir la continuité de l’accès aux services offerts par le

réseau local, à des informations ou à des ressources.
 Intégrité : garantir que les données stockées dans la base de données ou en transit sur
le réseau ne soient pas altérées (de manière intentionnelle ou accidentelle).
 Authentification : garantir la justesse de l’identité des utilisateurs ou des équipements
du réseau informatique de l’ENIEM.
 Contrôle d’accès : contrôler les autorisations de toutes les entités dans le but de limiter
les accès aux ressources et aux services protégés (base de données…).

I.3. Travail demandé

Et donc le but de ce projet est de trouver une solution optimale et facile à utiliser
spécialement pour la sécurisation et la gestion du réseau et des systèmes le composant et y
remédier avec ça aux problèmes rencontrés.

Afin de pouvoir réaliser ce travail, il est strictement nécessaire de réorganiser le réseau

existant de façon à éclaircir tout les repères et de prendre en mains le control total de celui-ci
en premier lieu. Après l’ordonnancement, viens en second lieu le couplage entre les deux
processus sécurisation et supervision afin d’exploiter aux mieux les biens de leurs
implémentation, offrir la possibilité de devenir proactif face aux problèmes rencontrés, et
finalement et le plus important, de pouvoir détecter et interpréter en un simple coup d'œil les
causes et origines des problèmes rencontrés afin de les fixer le plus rapidement possible.

Conclusion
Cette partie nous a permis d’avoir une idée globale sur l’organisme d’accueil du point
de vue organisation, missions et activités, mais aussi de pouvoir présenter le domaine d’étude
ainsi que de décrire son réseau informatique existant, Ce qui nous à permis de mieux
s’approcher de la réalité de l’entreprise, et ainsi de se confronter aux problèmes existants, et
essayer par cela de les résoudre.

12
 CHAPITRE 2

Les réseaux
informatiques
d’entreprises
 Chapitre II Les réseaux informatiques d’entreprise

Introduction
Afin de rependre aux conformités des nouvelles technologies réseaux et satisfaire leurs
besoins propres en informatique distribuée, les entreprises mettent en œuvre au sein de leurs
établissements des réseaux locaux d’entreprise, les RLE (Réseaux Locaux d’Entreprise) ou
LAN d’entreprises. Aujourd’hui, il y’a deux types de RLE qui dominent, les réseaux poste à
poste, et les réseaux locaux avec serveurs, ces derniers représentent l’essentiel du parc installé
en raison de leurs niveau de sécurité ainsi que de leurs adaptabilité et flexibilité. En effet, les
distances couvertes par les réseaux informatiques d’entreprises ont pus être étendues grâce à
l’interconnexion de RLE, afin de fournir des ressources distantes en temps réel.

II.1. La notion de réseau

II.1.1. Définition d’un réseau
Le terme générique « réseau » définit un ensemble d’entités interconnectées les unes avec
les autres de façon bien ordonnée. Un réseau permet ainsi de faire circuler des éléments
matériels ou immatériels entre chacune de ces entités selon des règles bien définies. Toutefois,
selon le type d’objets interconnectés, on trouve des réseaux téléphoniques, des réseaux
sociaux, des réseaux électriques, des réseaux informatiques etc.

II.1.2.Définition d’un réseau informatique

Ensemble d’équipements informatiques interconnectés les uns avec les autres grâce à des
supports de connexion conditionnant les différents échanges. Le réseau informatique est
devenu une ressource indispensable (voir vitale) pour toute organisation ou entreprise.

II.1.3. définition d’un réseau informatique d’entreprise

C’est une infrastructure de communications et d’administration qui repose sur des
services réseaux critiques (annuaires LDAP, DNS, routage de trafic), où des ressources mises
en réseau (exemple : serveurs) sont chargées de gérer les accès, le stockage, et le travail
collaboratif, etc.

II.2. Esquisse sur les réseaux informatiques d’entreprise

II.2.1. Buts d’un réseau informatique d’entreprise
Au début c’été le partage des ressources les plus couteuses. Mais d’autres besoins émergent :

 Interconnexion des utilisateurs: pour la communication et la collaboration.

 Gestion des données: faciliter les sauvegardes et les mises à jour grâce aux serveurs.
 Besoins en logiciels: les logiciels sont moins couteux en version multipostes qu’en
version monoposte, ils sont faciles à faire évoluer (avec mises à jour sur le serveur).
 Partages de ressources plus étendus: garantie l’unicité de l’accès à l’information
(bases de données) et aux ressources.
 Sécurité: sécuriser l’accès aux données grâce aux serveurs (avec mots de passe et
accès sélectifs), et une politique de sécurité et un système de prévention efficace.

13
 Chapitre II Les réseaux informatiques d’entreprise

II.2.2. Caractéristiques fonctionnelles

Les fonctionnalités souhaitées et attendues des réseaux informatiques d’entreprise sont :
 La facilité: amélioration de la réactivité dans l’entreprise, avec une gestion du temps
de connexion, ainsi que le dialogue en temps réel.
 La capacité: désigne le débit que procure un réseau et le type d’information qu’il peut
transporter.
 La connectivité: la capacité de raccorder des équipements aux médias, et d’assurer
leurs compatibilités au niveau du dialogue.
 L’interconnexion : définit la possibilité de relier des réseaux entre eux.
 La configuration: possibilité de gérer le réseau et de définir des accès aux ressources.
 La diffusion: possibilité de désigner tout l’ensemble des hôtes par un envoie.
 La fiabilité: désigne la continuité des fonctionnalités réseaux, et la disponibilité.

II.2.3. Les constituants essentiels d’un réseau informatique d’entreprise

II.2.3.1. Les constituants matériels

 Schéma type d’un réseau informatique d’entreprise

Le fait que les réseaux soient ordonnés permet de les considérer aisément d’un point de
vue algorithmique et les représenter typiquement sous forme de graphes. On distingue deux
environnements principaux dans un réseau informatique d’entreprise :

-Environnement planétaire : correspond à l'ensemble des sites raccordés à l'Internet.

-Environnement local : correspond à la mise en commun de ressources au sein d'un site

d'exploitation.

Figure II.1 : Schéma type d’un réseau informatique d’entreprise

14
 Chapitre II Les réseaux informatiques d’entreprise

 Schéma type d’une liaison

Figure II.2 : Schéma type de liaison dans un réseau

Un réseau informatique d’entreprise est donc constitué du matériel suivant :

 Equipements informatiques.
 Supports de transmission.
 Interfaces de connexion.

II.2.3.1.1. Les équipements informatiques [8]

Il existe deux catégories :

 Catégorie des équipements d’utilisateur final : ce sont des équipements

informatiques de traitement ETTD (Equipement Terminal de Traitement de Données),
ils fournissent des services directement à l’utilisateur comme l’ordinateur.
 Catégorie des équipements de réseau: ce sont les équipements qui interconnectent
les équipements d’utilisateur final. Example: Switch, routeur, hub…

II.2.3.1.2. Les canaux de transmission (média)

Un canal de transmission est le moyen ou le support mis en place afin d’acheminer les
signaux entre les nœuds du réseau. Celui-ci doit être adapté à l’application. Les médias les
plus utilisés au niveau des réseaux informatiques d’entreprise, sont :

 Le câble coaxial
 Le câble à paires torsadées
 Le câble optique
 Les liaisons sans fils

II.2.3.1.3. Les interfaces de connexion

Appelés aussi équipements terminaux de circuit de données (ETCD), les équipements
informatiques sont reliés au media par l’intermédiaire de ces interfaces via des jonctions ou ce
qu’on appel les connectiques (ports et connecteurs), dans le cas d’un réseau local elles
peuvent s’agir de cartes réseau, de modems ou aussi d’adaptateurs.

II.2.3.2. Les constituants immatériels

Parmi les principaux constituants immatériels d’un réseau informatique d’entreprise :

15
 Chapitre II Les réseaux informatiques d’entreprise

II.2.3.2.1. Les logiciels réseau

Ce sont des logiciels spécifiques, conçus pour pouvoir utiliser les équipements mis en
réseau, ces logiciels interviendront à de différents niveaux pour bien mener les différents
services réseaux. Exemples : logiciels de messagerie, navigateurs…

II.2.3.2.2. Les NOS (Network Operating System)

Souvent nommés « gestionnaires de réseaux », ce sont des systèmes d’exploitation
conçus pour réseaux, résident dans les différentes stations du réseau local, par exemple
Windows NT de Microsoft, et Unix. Ils fournissent une interface entre les applications des
utilisateurs et les fonctions du réseau auxquelles ils font appel. Ce type de systèmes
d’exploitation est à l’origine de la gestion de toute la mise en œuvre du réseau (adresses,
ressources, partage, sécurité, droits d’accès), et supportent des applications client/serveur
comme la messagerie électronique, agendas partagés…

II.2.3.2.3. Les protocoles réseaux [1]

Un protocole de réseau est un ensemble de règles et de procédures à respecter pour
pouvoir émettre et recevoir des données dans un réseau.

- Protocoles orientés connexion et non orientés connexion

 Protocole orienté connexion : il définit un chemin unique entre l’hôte source et l’hôte
destination, et inclus un contrôle de transmission pendant la communication.
 Protocole non orienté connexion : il ne définit pas de chemin unique pour acheminer
les paquets. Exemple: protocole IP.

- Protocoles routés
Ce sont des protocoles de communication de niveau 3 d’OSI. Un protocole de routage a
toutes les informations pour envoyer des paquets sur le segment spécifié et à l’hôte spécifié.
Toutefois, il peut être routable ou non routable :

 Routable: les messages envoyés à l'aide de ce protocole peuvent sortir de leur réseau
(via un routeur). En effet, le format du paquet comprend une distinction entre la partie
hôte et la partie réseau.
 Non routable : les messages envoyés à l'aide de ce protocole ne peuvent pas sortir de
leur réseau. En effet, le format du paquet ne comprend pas de mécanisme permettant à
un élément réseau de faire suivre ces paquets au travers différents réseaux. Ce type ne
convient pas aux réseaux hétérogènes.

- Familles de protocoles de routage

 Les IGP (Interior Gateway Protocol) : ils réalisent le routage à l’intérieur d’un
système autonome.
 Les EGP (Exterior Gatway Protocol): protocoles qui effectuent le routage entre deux
systèmes autonomes différents.

16
 Chapitre II Les réseaux informatiques d’entreprise

II.2.3.2.4. Systèmes de stockage

On donnera deux exemples de systèmes de stockage basiques :

a- Les bases de données

Ensemble organisé de données, généralement contrôlées par un système de gestion

permettant d’effectuer la recherche, le tri ou la fusion de données, ainsi que toute autre
requête relative à ces données. Elles comptent de nombreux domaines de mise en pratique :
gestion de stocks, suivi commercial, gestion électronique de documents, gestion de clientèle...

b- Les annuaires LDAP (Lightweight Directory Access Protocol)

Un annuaire électronique est une base de données spécialisée qui peut contenir toute
sorte d’information que se soit des coordonnées de personnes ou des données système. Un
annuaire LDAP organise les données de façon arborescente. La fonction principale est de
retourner un ou plusieurs attributs d’un objet grâce à des fonctions de recherche multicritères.
Il peut servir d’entrepôt pour centraliser des informations et les rendre disponibles via le
réseau à des utilisateurs, des applications, ou des systèmes d’exploitation. Le protocole
d’accès aux services d’annuaires est LDAP.

 Les concepts du protocole LDAP

LDAP est un protocole d'annuaire sur TCP/IP. Il définit comment s'établit la

communication client-serveur. Il fournit à l'utilisateur des commandes pour se connecter ou
se déconnecter, pour rechercher, comparer, créer, modifier ou effacer des entrées. Des
mécanismes de chiffrement et d'authentification, couplés à des mécanismes de règles d'accès
(ACL) permettent de protéger les transactions et l'accès aux données.

 Caractéristiques comparées entre les annuaires et les bases de données

 Rapport lecture/Ž écriture (beaucoup plus élevé pour les annuaires).

 Annuaires plus facilement extensibles.
 Distribution des données entre serveurs plus facile avec les annuaires.
 Plus grande duplication des informations des annuaires (plus fiable, performant, et
plus proche des clients).
 Importance des standards LDAP (ceci procure une capacité d’interopérabilité).
 Performances globales des annuaires plus élevées (en lecture).

II.2.3.2.5. Les ports logiciels

Correspond à la couche de transport du modèle OSI, la notion de port logiciel permet,
sur un ordinateur donné, de distinguer différents interlocuteurs. Ces interlocuteurs sont
des programmes informatiques qui, selon les cas, écoutent ou émettent des informations sur
ces ports. Cependant, on considère les ports comme des portes donnant accès au système
d’exploitation. Les programmes les ouvrent pour fonctionner.

17
 Chapitre II Les réseaux informatiques d’entreprise

Afin que plusieurs communications puissent circuler en même temps, TCP et UDP
utilisent des numéros de ports sur 16bits (soit 65536 numéro) attribués par le système
d’exploitation sur demande d’une application. Des conventions ont été établies pour chaque
application :

Plage de ports Utilisation

de 0 à 1023 réservés aux applications publiques

de 1023 à 65535 attribués aux entreprises pour les applications

commerciales et utilisés par le système
d’exploitation pour l’attribution
dynamique des ports source.

Tableau II.1 : Attribution des numéros de ports

 Principe :

Lorsqu'un logiciel client veut dialoguer avec un logiciel serveur, aussi appelé service, il a
besoin de connaître le port écouté par ce dernier. Les principaux services utilisent des ports
dits réservés. Par convention, ce sont ceux compris entre 0 et 1 023 inclu. Les services
utilisant ces ports sont appelés services bien connus (Well-Known Services) comme FTP,
DHCP, HTTP...

II.3. Organisation des réseaux informatiques d’entreprise

II.3.1. L’étendue des liaisons
L’étendue des liaisons est les distances couvertes par les réseaux, on distingue trois
classes de réseaux selon ces zones de couverture :

. Les LAN (Local Area Network): indiquent les réseaux intra-entreprises (RLE), pour des
distances de couvertures allant de quelques dizaines de mètres jusqu’à plusieurs centaines de
mètres. Toute fois, on peut distinguer les sous-partitionnements suivants :

 Les DAN (Departemental Area Network): relie les utilisateurs d’un département
d’entreprise (à l’échelle d’un étage d’immeuble).
 Les BAN (Building Area Network): à l’échelle d’un bâtiment ou établissement.
 Les CAN (Campus Area Network) : c’est un réseau à l’échelle d’un site ou terrain.

. Les MAN (Metropolitain Area Network) : relient plusieurs bâtiments, dans le même quartier
ou à l’échelle d’une ville, étendus sur plusieurs dizaines de kilomètres.

. Les WAN (Wide Area Network) : c’est à l’échelle d’un pays, ou d’un groupe de pays.

II.3.2. Les réseaux locaux d’entreprise (RLE)

Il existe une grande variété de réseaux locaux qui se distinguent par leurs structures,
leurs protocoles d’accès, leurs supports de transmission et leurs performances en termes de
capacité et de fiabilité. Les MAN d’entreprise et WAN résultent de l’interconnexion de RLE :

18
 Chapitre II Les réseaux informatiques d’entreprise

II.3.2.1. Les typologies des systèmes

II.3.2.1.1. Les systèmes ouverts

Un système ouvert est un système capable de communiquer et donc échanger des
informations avec d’autres systèmes conformément aux normes OSI. Selon le type de
matériels, on distingue :

 Système Homogène: tous les équipements du réseau sont d’un même constructeur,
régies par les mêmes règles.
 Système Hétérogène: les équipements du réseau sont de constructeurs différents.

II.3.2.1.2. Les systèmes autonomes (AS)

Un système autonome AS (Autonomous System) est un réseau ou ensemble de réseaux
sous un contrôle administratif commun, interconnectés par des routeurs homogènes (ayant les
mêmes règles et fonctions). Au sein d’un AS, un protocole interne est utilisé (IGP), tandis
qu’entre AS, c’est un protocole externe qui est utilisé (EGP), des sessions BGP (Border
Gateway Protocol) sont établies entre les routeurs de bord d’AS. Chaque AS est identifié par
un numéro ASN (AS Number) sur 16bits soit de 1 à 65535.

Figure II.3 : Interconnexion de systèmes autonomes

II.3.2.2. Les topologies

Il convient de distinguer :

 Une topologie physique (topologie de câblage) : c’est le chemin de câblage apparent,

représente la façon avec laquelle les équipements sont interconnectés.
 Une topologie logique (topologie d’accès) : c’est la façon avec laquelle les données
transitent dans le support de transmission (façon de communication).

On distingue trois topologies physiques et logiques basiques :

1.Topologie en bus : 2.Topologie en étoile : 3.Topologie en anneau :

Figure II.4 : topologie Figure II.5 : Topologie Figure II.6 : Topologie

en Bus en étoile en anneau

19
 Chapitre II Les réseaux informatiques d’entreprise

II.3.2.3. Les méthodes d’accès [2]

Afin de mettre de l’ordre dans un réseau local, où plusieurs nœuds se partagent le même
média, et par cella allouer équitablement la bande passante média, ils doivent respecter des
méthodes (règles) régissant l’usage de ce support. Deux sont le plus souvent appliquées :

a- La contention (accès aléatoire)

Connue sous l’acronyme CSMA (Carier Sense Multiple Access), c’est une méthode qui
consiste à écouter le canal avant d’émettre, Elle est dite aléatoire en sens qu’on ne peut
prévoir le temps nécessaire à un message pour être émis, transmis et reçu. Il existe deux
variantes :

 CSMA/CD (Collision Detection) : écoute avant et pendant l’émission.

 CSMA/CA (Collision Avoidance) : emploi de temporisateurs et accusés de réception.

b- L’anneau à jeton (accès déterministe)

C’est une méthode déterministe, car le temps que prendra un message pour atteindre son
destinataire peut être déterminé en fonction du nombre de stations et la longueur de câbles.

Un jeton (trame) circule en permanence de station en station. Une station qui veut
émettre bascule l’un des octets en position « occupée » et émet son message. Reçu par le
destinataire, il remet le jeton à l’état « libre ».

II.3.2.4. Les principales architectures

a- Les réseaux Ethernet (IEEE 802.3)

L’architecture Ethernet repose sur la méthode d’accès CSMA/CD, et varie en fonction du

câble utilisé et de la topologie physique, la topologie logique quand à elle est toujours de type
bus. Celle-ci offre des débits allant de 10 à 100 Mbps.

b- Token-Ring (IEEE802.5)

Elle repose sur la technique d’accès du jeton. Le débit était de 4Mbps à l’origine, puis
16Mbps. Sa topologie logique est basée sur l’anneau, mais les stations sont connectées selon
une topologie physique en étoile. Utilise un câblage à paires torsadées, chaque segment est
muni de deux lignes distinctes pour la transmission de/vers les stations, ce qui permet de
former un anneau logique.

II.3.2.5. Modes de fonctionnement

Il existe 2 modes de fonctionnement des réseaux selon deux environnements principaux:

a- Client/serveur : dans lequel un ordinateur central (serveur dédié) fournit des services
réseaux aux autres ordinateurs appelés dans ce cas clients (centralisation).
b- Poste à poste : ou égal à égal, dans lequel il n'y a pas d'ordinateur central et
chaque ordinateur a un rôle similaire (décentralisation).

20
 Chapitre II Les réseaux informatiques d’entreprise

II.3.2.6. Modes de communication

a- Mode connecté : exige une connexion entre l’émetteur et le récepteur (principe du
téléphone), donc toute transmission doit être précédée d'une demande de connexion
réussie.
b- Mode non connecté : ce mode ne demande pas de connexion (principe du courrier).

Les communications sont basées sur un principe de commutation :

 Commutation de circuits: Création d'un circuit physique reliant les deux extrémités
lors de l'établissement de la connexion.
 Commutation de paquets: L'information est découpée en paquets qui sont transportés
de nœud en nœud. Chaque nœud redirige ces fragments selon sa table de routage.
 Commutation de cellules : commutation de paquets particulière, un paquet est sur 53
octets (5 d'en-tête + 48 de données) appelé cellule. C’est un mélange de la
commutation de circuits et de paquets (émission de paquets en mode connecté).

II.3.3. L’adressage IP [3]

Une adresse IP est un moyen d’identification (valeur représentant une position dans un
réseau), représentée en décimal pointé et constituée de 4 nombres de 8 bits, compris chacun
entre 0 et 255. Elle est constituée de deux parties, une partie identifiant le réseau, et une autre
identifiant les hôtes dans ce réseau, et appartient à une classe (A, B, C, D ou E) selon la valeur
de son premier octet :

Figure II.7 : Représentation des classes d’adresses IP

Les deux champs de l'adresse IP (netID et hostID) vont varier suivant la classe
d'adresse IP. L'espace d'adresses possibles pour chaque classe est représenté dans ce tableau:

21
 Chapitre II Les réseaux informatiques d’entreprise

Classes Espace d’adresses IP

Classe A De 0.0.0.1 à 126.255.255.254
Classe B De 128.0.0.1 à 191.255.255.254
Classe C De 192.0.0.1 à 223.255.255.254
Classe D De 224.0.0.0 à 239.255.255.255
Classe E De 240.0.0.0 à 247.255.255.255
Tableau II.2 : Les plages d’adresses IP

II.3.3.1. Les adresses IP spécifiques

 o.X.Y.Z et <netID=0>.<hostID> : Utilisées par une machine pour savoir son adresse,
lors d’un processus d’amorçage (boot) par exemple.
 <netID>.<hostID tous ses bits à 0> : désigne le réseau lui-même (ex : 145.32.0.0).
 <netID>.<hostID tous ses bits à 1> : adresse de diffusion, désigne toutes les
machines du réseau concerné.
 255.255.255.255: adresse de diffusion locale, désigne toutes les machines du réseau.
Mais l'émetteur n'est pas obligé de connaître l'adresse du réseau.
 127.X.Y.Z: adresse de rebouclage (loopback ou localhost). Un message envoyé à cette
adresse ne sera pas envoyé au réseau, il sera retourné à l'application par le logiciel de
pilote de la carte. L'adresse 127.0.0.1 est utilisée pour tester le bon fonctionnement
d’une carte réseau.

II.3.3.2. Les adresses IP privées

Elles sont réservées à la constitution de réseaux privés, autrement appelés intranet :

- de classe A : de 10.0.0.0 à 10.255.255.255.

- de classe B : de 172.16.0.0 à 172.31.255.255.
- de classe C : de 192.168.0.0 à 192.168.255.255.

II.3.3.3. Subdivision en sous-réseaux (segmentation)

Afin d’optimiser l'utilisation (séparer les machines les plus sensibles, limitation de
congestions, prévision de l’évolution) et la sécurité du réseau on le segmente (création de
sous-réseaux), un masque de sous-réseaux de longueur variable est utilisé afin d’exploiter plus
efficacement l’espace d’adressage. La segmentation induit un découpage de la partie hostID
de l’adresse IP en 2 parties, identifiant sous-réseaux (subnetID) et identifiant hôtes (hostID).

II.4. L’interconnexion
Les mécanismes d’interconnexion de réseaux ont plusieurs objectifs, soit :

 La séparation d’un réseau local en plusieurs sous-réseaux.

 Le raccordement de réseaux locaux initialement isolés, ou l’extension de celui-ci au
delà de ces limites.
 La réalisation d’un seul grand réseau étendu sur plusieurs sites.
 Le raccordement du réseau local au réseau public (internet) ou à un site distant.

22
 Chapitre II Les réseaux informatiques d’entreprise

II.4.1. Les modèles de communication OSI et TCP/IP [2]

II.4.1.1. Le modèle OSI (Open System Interconnexion)

Signifie l’interconnexion des systèmes ouverts, permet de résoudre le problème des
communications hétérogènes. Il propose donc la manière dont deux éléments communiquent,
en décomposant les différentes opérations à effectuer en 7 étapes, ce qui fait un modèle à 7
couches, les protocoles utilisés sont répartis selon ces couches.

a- Les couches du modèle OSI

Les trois couches inférieures sont orientées communication et regroupent des dispositifs
matériels. Les quatre supérieures sont orientées application et regroupent des dispositifs
logiciels.

Figure II.8 : Le modèle OSI

Chaque couche communique avec la couche inférieure et supérieure, ce qui permet

l'empilement des couches entre elles grâce à des interfaces (sous forme d’unités de données).
Pour cela, OSI a recourt au principe d’encapsulation.

b- Encapsulation
Processus de conditionnement des données consistant à leurs ajouter un en-tête de
protocole déterminé (par chaque couche) avant d’être transmises à la couche inférieure :

Figure II.9 : Encapsulation de données

23
 Chapitre II Les réseaux informatiques d’entreprise

Remarque : Pour identifier les données lors de leur passage au travers d’une couche, une
appellation PDU (Protocol Data Unit ou Unité de données de protocole) est utilisée, exemple :
données, trame...

II.4.1.2. Le modèle TCP/IP

Appelé aussi modèle Internet, TCP se charge du transport de bout en bout, tant dit qu’IP
est responsable du routage à travers le réseau. Il présente aussi une approche modulaire
(utilisation de couches) avec quatre couches.

Figure II.10 : Le modèle TCP/IP

II.4.2. Les protocoles HDLC et FrameRelay [3]

. HDLC (High-level Data Link Control)

Protocol de niveau 2, Son but est de définir un mécanisme pour délimiter des trames de
différents types, on ajoutant un contrôle d’erreur. C’est un protocole orienté bits, fonctionne
en mode synchrone, liaisons point à point ou multipoints, en full-duplex.

. FrameRelay (relais de trames) [3]

Le relais de trame, protocole de réseau étendu qui intervient dans les couches 1 et 2
d’OSI, basé sur la commutation de paquets, il sert à véhiculer les données entre les réseaux.
C’est un protocole standard pour l’interconnexion des LAN.

II.4.3. Les matériels d’interconnexion

 Les concentrateurs (hubs)

Le hub (répétiteur) assure la liaison, en se contentant de transférer les données qui lui
arrivent vers tous les autres éléments du réseau tout en le régénérant (répétant).

 Les ponts (bridges)

Equipements de niveau 2 d’OSI permettant de relier des réseaux identiques (travaillant

avec les mêmes protocoles et ayant des méthodes d’accès similaires). Ils permettent de filtrer
les trames entre les segments en utilisant une table de correspondance port/adresse MAC des
stations. Il existe deux techniques de pontage :

. Source routing : méthode où la station émettrice détermine le chemin.

24
 Chapitre II Les réseaux informatiques d’entreprise

. Spaning-tree : chaque pont communique avec les ponts voisins en indiquant ses voisins
(auto-conception d’un arbre).

 Les commutateurs (switches)

Travaillent au niveau de la couche 2 d’OSI, leurs tables de routage sont construites à

partir des adresses MAC, ils permettent de relier divers éléments tout en segmentant le réseau.
Il existe deux modes de fonctionnement:

. On the fly : pas de contrôle de trames, dès que l’adresse du destinataire est reçue, la trame
est commutée sur le segment correspondant.

. Store and forward : la trame est entièrement réceptionnée, analysée et contrôlée puis
acheminée vers la destination.

 Les passerelles (gateways)

Ce sont des systèmes matériels et/ou logiciels permettant de relier des réseaux de
protocoles différents. La passerelle réalise une transition en convertissant les protocoles de
communication de l’un vers l’autre (fonctionne comme un translateur ou traducteur de
formats de trames et de services).

 Les routeurs

Fonctionnent au niveau de la couche 3 du modèle OSI, Leurs rôles est d’acheminer les
données entre réseaux différents en prenants des décisions logiques d’optimisation afin de
choisir la meilleur route. Un routeur doit posséder une adresse IP dans chaque réseau IP qu'il
interconnecte, on dit qu'il est multi-domicilié. Ces équipements sont dotés d’une part
d’interfaces réseaux, et d’autre part de logiciels assurant les fonctions de routage (filtrage,
translation d’adresses, firewall).

II.5. La fonction de routage [8]

II.5.1. L’acheminement dans les réseaux
Consiste à assurer le transit des blocs d’un point d’entrée à un point de sortie. Des
« tables de routage » indiquent la route à suivre. Une table est un triplet (adresse
destination/route à prendre/coût), elle est construite par un protocole en cas de routage
dynamique, ou l’administrateur si routage statique.

II.5.2. Les modes de routage

II.5.2.1. Routage statique

La table de routage est initialisée manuellement par l’administrateur, les chemins sont
prédéfinis et les routeurs intermédiaires ne prennent aucune décision de routage.

II.5.2.2. Routage dynamique

La première route est souvent configurée manuellement. Au passage de chaque routeur,
le meilleur chemin est choisi (routage automatique effectué par les protocoles spécialisés).

25
 Chapitre II Les réseaux informatiques d’entreprise

II.5.3. Les principaux protocoles de routage

. RIP (Routing Information Protocol)

Protocole à vecteur de distance, C'est-à-dire que les routeurs voisins s’échangent des
distances, sa permet de réactualiser les tables de routage. Il utilise un métrique (le principale
point de contrôle déterminant le chemin à emprunter pour transmettre, utilisé par les
protocoles de transmission, c’est un critère de comparaison) simple : la distance entre une
source et une destination est égale au nombre de sauts qui les séparent, elle est comprise entre
1 et 15, la valeur 16 représente l'infini. Pour cela, RIP n’est pas valable aux grands réseaux.

. OSPF (Open Shortest Path First)[1]

Protocole de routage dynamique qui comble les insuffisances de RIP. C'est un protocole
d'état de liens, c'est-à-dire qu'un routeur n'envoie pas des distances à ses voisins, il teste plutôt
l'état de la connectivité qui le relie à son entourage. Il envoie cette information aux routeurs
voisins, qui ensuite la propagent. Ainsi, chaque routeur possède une carte de la topologie du
réseau qui se met à jour très rapidement lui permettant de calculer des routes précises.

. IGRP (Interior Gateway Routing Protocol)

Considéré comme un protocole de routage à vecteur de distance, mais il a également été

référencé comme hybride. Il possède des caractéristiques qui le distinguent des autres, comme
son insensibilité à la taille du réseau, une réponse rapide aux modifications de réseaux.

. EGP ou BGP (External ou Border Gateway Protocol)

C’est un protocole à vecteur de chemin conçu pour les grands réseaux, utilisé pour
transporter des informations de routage entre systèmes autonomes. Pour éviter une boucle
dans le réseau, ce protocole fait transiter toute la « carte » du réseau à tous les routeurs qui le
composent, notamment avec les chemins. Toutefois, si un élément du réseau est présent plus
d’une fois, il y’a donc une boucle, ce qui fait une erreur à traiter.

II.6. Protocoles standardisés de base

. Protocole TCP/IP (Transfer Control Protocol/Internet Protocol) [2]

TCP/IP est adapté aux réseaux hétérogènes, TCP est un protocole de transport qui gère
les sessions de communication orienté connexion, souvent relié au protocole IP, un protocole
orienté non connexion qui permet l’échange de données sous forme de paquets à travers un
ensemble de réseaux.

26
 Chapitre II Les réseaux informatiques d’entreprise

. Protocole UDP (User Datagram Protocol)

Protocole non orienté connexion résidant à la couche 4, utilise une information

complémentaire qu’est le numéro de port, la trame contient donc un numéro de port source et
destination. Ce protocole n’offre pas de fonction de contrôle du bon acheminement, et il
nécessite moins de bande passante que TCP.

. HTTP (HyperText Transfer Protocol)

Protocole de communication client-serveur développé pour le World Wide Web, il sert

pour le transfert hypertexte (contenant des nœuds liés par des hyperliens). C’est un protocole
de la couche application. Un serveur HTTP utilise le port 80. Les clients HTTP les plus
connus sont les navigateurs Web.

. ICMP (Internet Control Message Protocol[1]

Permet de gérer les informations relatives aux erreurs générées au sein d’un réseau IP.
ICMP permet, non pas de corriger ces erreurs, mais de faire part de ces erreurs(Ex :
machine destination déconnectée, durée de vie du datagramme expirée, congestion de
passerelles intermédiaires) . Ainsi, il est utilisé par tous les routeurs, pour reporter une erreur
appelée Delivery Problem. Un exemple d’utilisation d’ICMP est le « Ping », qui donne le
temps mis par un paquet pour atteindre une adresse, ou bien un éventuel problème de
routage pour atteindre un hôte. Un autre exemple, Si une passerelle détecte un problème sur
un datagramme IP, elle le détruit et émet un message ICMP pour informer l’émetteur initial.
Les messages ICMP sont véhiculés dans des datagrammes IP.

. TELNET [1]

Protocole standard permettant l'interfaçage de terminaux et d'applications à travers

Internet. Ce protocole fournit les règles de bases pour permettre de relier un client
(système composé d'un affichage et d'un clavier) à un ordinateur distant (coté serveur).
Toutefois, ce protocole de transfert est non sûr, c'est-à-dire que les données circulent en clair
sur le réseau.

Conclusion :
Dans ce chapitre, nous avons pris connaissance des différentes notions sur les réseaux
informatiques d’entreprises. Ce qui va nous a permis d’avoir une idée sur ce sujet, cela va
nous servir par la suite.

27
 CHAPITRE 3

La SÄcuritÄ des
rÄseaux
informatiques
Chapitre III La sÄcuritÄ des rÄseaux informatiques

Introduction

La s€curit€ du r€seau informatique d’une entreprise entre dans la s€curisation globale du

syst‚me d'information (SI) de celle-ci. Plus formellement, elle consiste ƒ respecter des
proc€dures, au niveau humain, technique et organisationnel. L'objectif est de prot€ger le
r€seau de l'entreprise et de se pr€munir contre tout type de risques pouvant d€grader ses
performances. La s€curit€ du r€seau consiste €galement ƒ mettre en place des politiques de
s€curit€, comme la gestion des acc‚s, ou encore des plans d’adressage, pour garantir l'int€grit€
ainsi que les autres objectifs de s€curit€ des donn€es critiques de l'entreprise.

Ce chapitre pr€sente dans sa globalit€ des g€n€ralit€s sur la s€curit€, ses faiblesses, mais
aussi les menaces et les risques, et propose de ce qu’il est possible d’entreprendre pour
prot€ger efficacement un r€seau en exploitant au mieux les possibilit€s offertes par les
€quipements couramment utilis€s par les entreprises.

III.1 Les vuln€rabilit€s dans les r€seaux[5]

Appel€es aussi failles ou br‚ches ou encore trou de s€curit€, ce sont toutes les faiblesses
ou d€fauts des ressources ou infrastructures informatiques ou m„me des humains qui peuvent
„tre exploit€s par des menaces dans le but de compromettre. Plus le niveau de l’exposition
aux menaces est €lev€, plus le syst‚me est vuln€rable. Il convient de distinguer quatre grandes
familles de vuln€rabilit€s :

III.1.1. Les vuln€rabilit€s au niveau technologique :

Cette famille comprend toutes les failles li€es ƒ l’utilisation des technologies (faiblesse
de protocoles, de syst‚mes d’exploitation, et des €quipements informatiques), mais aussi
toutes celles li€es aux probl‚mes d’interop€rabilit€s, aux n€cessit€s de migration et ƒ
l’introduction de nouveaux produits.

III.1.2. Les vuln€rabilit€s au niveau physique :

Toutes les failles li€es aux €v€nements impr€visibles comme les pannes, les accidents ou
encore les atteintes intentionnelles aux mat€riels. C’est en r€ponse ƒ cette famille que les
caract€ristiques physiques des salles et €quipements informatiques sont analys€es et qu’un
… plan de continuit€ † est €labor€ (suret€ de fonctionnement).

III.1.3. Les vuln€rabilit€s au niveau organisationnel (management) :

C’est les failles li€es ƒ l’absence d’une gestion correcte des syst‚mes informatiques (des
listes d’acc‚s, des r‚gles de routage et des logiciels mal configur€s ou des param‚tres par
d€faut par exemple). En effet, c’est au niveau de la gestion des solutions, que doivent „tre
d€finies les r‚gles d’utilisation et d’impl€mentation de ces derni‚res. C’est €galement ƒ ce
niveau que doivent „tre mis en place les contr‡les permettant de veiller au respect des

28
Chapitre III La sÄcuritÄ des rÄseaux informatiques

r‚glements, ainsi que la cr€ation et la distribution des proc€dures r€gissant le bon

fonctionnement de la solution.

III.1.4. Les vuln€rabilit€s dues • l’utilisateur

Ce sont les failles d’origine humaine, elles sont dues ƒ la naˆvet€ et les actions de
l’utilisateur sans r€flexions ni pr€cautions, ƒ cause du manque de sensibilisation de celui-ci
des diff€rents risques encourus.

III.2. Les menaces de s€curit€

Une menace de s€curit€ informatique d€signe toute action susceptible de nuire, en
exploitant les failles existantes dans l’infrastructure informatique, toutefois, celle-ci peut „tre
accidentelle ou intentionnelle.

 Menaces accidentelles : Elles sont caus€es de mani‚re fortuites et inattendues, celle-

ci peuvent s’agir par exemple de catastrophes naturelles ou d’inattention ou erreur
humaine. En effet, ce type de menace r€sulte de l’environnement dans lequel se
trouve le syst‚me.
 Menaces intentionnelles : Ce sont des actions caus€es par des entit€s d’intentions
malveillantes dont le but est de nuire. En effet, une menace intentionnelle repr€sente
… une attaque † contre la s€curit€.

III.3. Les risques [5]

Un risque, est la cons€quence qui peut „tre engendr€e ƒ cause de l’exposition au danger,
c'est-ƒ-dire tout p€ril ou dommage pouvant survenir de l’exposition aux menaces de s€curit€.
En effet, une vuln€rabilit€ exploitable plus des menaces constituent (engendrent) un risque.
Le niveau de risque d€pend des trois param‚tres suivants :

 La vuln€rabilit€ : qui repr€sente le niveau d’exposition face ƒ la menace.

 La sensibilit€ :qu’est la valeur de l’objet (exemple : confidentialit€ d’une information).
 La menace : qui peut „tre passive ou active, et plus ou moins n€faste.

III.4. Les contre-mesures[5]

III.4.1. La suret€ de fonctionnement (Safety)

Consiste ƒ prot€ger le syst‚me contre les accidents et tout type de menace visant ƒ son
dysfonctionnement, tout en garantissant sa disponibilit€ et fiabilit€ et donc la continuit€ de ses
services.

29
Chapitre III La sÄcuritÄ des rÄseaux informatiques

III.4.2. La s€curit€ informatique (Security)

C’est l’ensemble des moyens et techniques mis en œuvre afin de minimiser les
vuln€rabilit€s d’un syst‚me, en pr€vention des menaces accidentelles ou intentionnelles.

III.5. Les besoins en s€curit€ informatique

Ces besoins repr€sentent des services de s€curit€, en effet un service utilise un ou

plusieurs m€canismes de s€curit€. Il convient de distinguer:

 Confidentialit€ : consiste ƒ assurer que seuls les tiers autoris€s aient acc‚s aux
informations (sur le r€seau ou en transit) consid€r€es comme €tant discr‚tes, et
emp„cher par cela toute divulgation de celle-ci.
 Disponibilit€ : consiste ƒ toujours garantir la continuit€ de l’acc‚s ƒ un service, ƒ des
informations ou ƒ des ressources, c’est-ƒ-dire maintenir le bon fonctionnement du
syst‚me d’information.
 Int€grit€ : consiste ƒ garantir que les donn€es stock€es ou en transit sur le r€seau ne
soient pas alt€r€es (de mani‚re intentionnelle ou fortuite), et que celles-ci sont bien
celles que l’on croit „tre.
 Authentification : consiste ƒ garantir la justesse de l’identit€ d’un utilisateur ou d’un
€quipement. En effet, un syst‚me doit „tre sŠr de l’identit€ d’une entit€ pour lui
donn€es un acc‚s, il doit v€rifier que le sujet est bien celui qu’il pr€tend „tre.
 Contrƒle d’acc„s : permet de contr‡ler les autorisations d’une entit€ en se basant sur
son identit€ ou son r‡le dans le but de limiter les acc‚s ƒ des ressources ou services
prot€g€s. Le contr‡le d’acc‚s ne peut „tre efficace sans une authentification.
 Non-r€pudiation : consiste ƒ garantir l’inaptitude de nier une transaction entre des
correspondants, donc la transmission sur le r€seau ne pourra pas „tre remise en cause.

III.6. Politique de s€curit€ [5]

 D€finition d’une politique de s€curit€ :

Une politique de s€curit€ est un document confidentiel contenant une collection de

directives de s€curit€ class€es par th‚mes. Bien €videment, la mise en pratique de cette
politique est l’application de ces directives aux th‚mes couverts par le projet. Dans les faits,
une politique de s€curit€ consiste ƒ :

 Conna‹tre les besoins de l'entreprise en mati‚re de s€curit€ et €valuer les risques.

 Proposer ƒ tous les d€partements des outils, des processus et des r‚gles en ligne avec
les risques consid€r€s primordiaux pour l'entreprise.
 Elaborer une s€rie de proc€dures et d'actions ƒ mener en cas de dangers (vuln€rabilit€
ou menaces d'attaques informatiques par exemple).

30
Chapitre III La sÄcuritÄ des rÄseaux informatiques

III.7. Les attaques informatiques [6]

Une attaque d€signe n’importe qu’elle action intentionnelles malveillante visant ƒ
compromettre la s€curit€ d’un syst‚me. Il existe plusieurs types selon leurs provenances (les
failles) et leurs m€thodes, mais aussi leurs objectifs.

III.7.1. Classification des attaques

Les attaques peuvent „tre class€es en attaques passives et attaques actives.

III.7.1.1. Attaques passives

Elles visent la confidentialit€, consistent ƒ s’introduire dans un r€seau ou simplement

l’€couter, afin de collecter des informations, sans engendrer d’alt€ration ou de modification.

. Les m€thodes possibles :

- L’€coute.
- Injection de code.
- Usurpation d’identit€.
- Intrusion.
- Abus de droits.

III.7.1.2.Attaques actives

Consistent ƒ s’en prendre au syst‚me, et changer son comportement, afin d’alt€rer son
bon fonctionnement. Il y’a plusieurs attaques actives, selon les objectifs :

 Attaques sur l’int•grit• :

.Objectifs : modification ou destruction de donn€es ou de configurations.

. M€thodes possibles :

- Injection de code
- Action physique
- Intrusion
 Attaques sur l’authentification :
.Objectifs : utilisation des ressources de faŒon clandestine sur un syst‚me.

. M€thodes possibles :
- Abus de droits
- Intrusion
 Attaques sur la disponibilit• :
.Objectifs : perturbation d’un €change par le r€seau, d’un service ou d’un
acc‚s ƒ un service.

.M€thodes possibles :

31
Chapitre III La sÄcuritÄ des rÄseaux informatiques

- Abus de droits
- Action physique
- Intrusion

 Description des m€thodes

 Ecoute : Ecoute passive sur le r€seau dans le but de r€cup€rer des informations.
Exemples d’attaques : analyseurs de r€seau, ing€nierie sociale …
 Usurpation d’identit€ : Utilisation d’une fausse identit€. Exemple d’attaque :
usurpation d’adresse IP (IP spoofing).
 Intrusion : Exploitation des vuln€rabilit€s pour s’introduire dans un syst‚me pour
r€colter des informations et/ou ex€cuter des commandes nuisibles. Exemples
d’attaques : exploitation des erreurs de configuration, exploitation des bugs…
 Abus de droits l€gitimes : Utilisation d’une fonctionnalit€ du syst‚me de faŒon
abusive. Exemples d’attaques : sniffer, ou trop de requ„tes pour saturer un serveur.
 Action physique : Destruction, alt€ration ou changement physique de composants.
 Injection de code : Installation et ex€cution d’un module clandestin sur un
syst‚me. Exemples d’attaques : virus, bombes logiques, cheval de Troie, ver…

III.7.2. L’anatomie d’une attaque

Plus connue sous … les 5 P †, caract€ris€e par cinq verbes anglophones repr€sentant les
cinq €tapes formant le squelette d’une attaque : Probe, Penetrate, Persist, Propagate, Paralize .

 Probe : consiste ƒ collecter des informations sur le syst‚me cible avec diff€rentes
mani‚res, comme par exemple, l’usage du programme Nmap afin de scanner des ports
et connaitre la version des logiciels utilis€s ainsi que le syst‚me d’exploitation et les
services ouverts, et le programme Nessus qui scan les vuln€rabilit€s, ou encore des
outils comme firewalk, hping ou SNMP Walk pour d€couvrir la nature d’un r€seau.
 Penetrate : consiste ƒ utiliser les informations collect€es afin de p€n€trer un r€seau,
avec des techniques d’outrepassement des protections par mots de passes et
d’exploitation de failles, et bien d’autres.
 Persist : il s’agit de cr€er un compte avec des droits d’un utilisateur afin de pouvoir se
r€infiltrer ult€rieurement, ou bien d’installer une application de contr‡le ƒ distance
comme par exemple, un cheval de Troie. On parle d’extension de privil‚ge.
 Propagate : consiste ƒ parcourir le r€seau en observation, ƒ la recherche de ce qui est
disponible et accessible dans celui-ci.
 Paralize : cette €tape consiste ƒ passer en action dans le r€seau cible, c’est lƒ que
l’intrus ex€cute son plan d’attaque, il peut par exemple violer l’intimit€ des
informations, endommager des donn€es sensibles, causer un d€ni de service...

32
Chapitre III La sÄcuritÄ des rÄseaux informatiques

III.7.3. Les attaques les plus connues [6]

III.7.3.1. Attaques par injection de codes

Ce sont des attaques dues au manque de vigilance de l’utilisateur lors de son utilisation
de certains outils logiciels et documents avec macros qui sont t€l€charg€s sur Internet sans
pr€caution. Ce type d’attaques utilise des malware, qui sont des codes ou des parties de codes
destin€s ƒ perturber le bon fonctionnement de programmes essentiels au syst‚me :

. Les virus

Ce sont des programmes nuisibles(€crits dans n'importe quel langage) plac€s dans des
programmes sains, capables d’infecter d’autres programmes en les modifiant de faŒon ƒ ce
qu’ils puisse se reproduire ƒ leurs tour. Il existe des virus capables d'attaquer n'importe quel
type de machine (routeurs, serveur web, etc) €quip€s de n'importe quels syst‚mes et logiciels.

. Les vers r€seau

Les vers r€seau sont des programmes malicieux qui peuvent se reproduire sans avoir ƒ
infecter d’autres programmes, et peuvent aussi se d€placer ƒ travers un r€seau. En effet, ils
sont capables de saturer la bande passante, voir m„me cr€er un d€ni de service.

. Les chevaux de Troie (trojan horse)

On appelle cheval de Troie un programme informatique nuisible ouvrant une porte

d€rob€e (backdoor) dans un syst‚me (port r€seau) ƒ un intrus ou d’autres programmes
ind€sirables, dans le but d’ex€cuter des actions nuisibles, comme le vol de mots de passe,
copie de donn€es sensibles, contr‡le ƒ distance, et bien d’autres.

Une infection par cheval de Troie est traduite parfois par les sympt‡mes suivants :

 Activit€ anormale du modem ou de la carte r€seau : des donn€es sont charg€es en

l’absence d’activit€ de la part de l’utilisateur.
 Des ouvertures non envisag€es de programmes.
 Des r€actions anormales de la sourie et plantages ƒ r€p€tition.

. Les spyware (espiologiciels)

Ce sont des programmes charg€s de recueillir des informations de l’ordinateur dans

lequel ils sont install€s et les envoyer au pirate. Les r€coltes d’informations peuvent ainsi
„tre des adresses web des sites visit€s, des mots-cl€s saisis dans le moteur de recherche, ou
m„me des analyses des achats via Internet. Outre le pr€judice caus€ par la divulgation
d’informations, ces logiciels peuvent „tre une source de nuisance comme la consommation de
m€moire vive et d’espace disque et le plantage d’autres application.

33
Chapitre III La sÄcuritÄ des rÄseaux informatiques

III.7.3.2. Attaques par ing€nierie sociale

Une attaque par ing€nierie sociale exploite la naˆvet€ de l’utilisateur non sensibilis€, elle
permet parfois ƒ un pirate de palier ƒ l’absence de faille et d’extraire ainsi des informations de
l’utilisateur sans que ce dernier ne s’en aperŒoive d’une mal-intension. Pour ce faire le pirate
usurpe par exemple une identit€ de confiance au t€l€phone, ou encore utilise les r€seaux
sociaux, afin de collecter des donn€es personnelles, qui peuvent lui permettre de trouver des
mots de passe ou de se faire passer pour les personnes que la victime connait.

II.7.3.3. Attaques r€seaux

Ces attaques se basent principalement sur l’exploit des faiblesses li€es aux protocoles ou
ƒ leurs impl€mentations en r€seau. Les attaques r€seaux proviennent g€n€ralement du:

. Scan

Le scan est une attaque passive, visant la confidentialit€ en utilisant la m€thode d’€coute,
elle consiste seulement ƒ r€colter des informations. Bien €videment, il y’a diff€rentes
techniques de scan. Id€alement, la meilleure est celle qui est la plus furtive afin de ne
pas alerter les soupŒons de la future victime. Les plus r€pandues sont:

. Le scan avec des programmes de scan : les plus connus, Nmap, qui d€termine les ports
ouverts, et donc les services ex€cut€s sur la machine cible (exemple : le port 21/TCP pour un
service FTP). Il existe un autre type de scanneur, le mappeur passif (exemple : Siphon),
permet de conna‹tre la topologie r€seau du brin physique sur lequel les paquets sont analys€s.

. Le scan furtif : aussi appel€ scan SYN. Il n’€tablit pas compl‚tement la connexion TCP:
pas de commande ACK apr‚s avoir reŒu l’accord de se connecter. GrŽce ƒ ceci, la
m€thode est bien plus furtive.

. Le scan € l’aveugle : avec usurpation d’une machine interm€diaire. Le syst‚me attaqu€

pense que le scan est r€alis€ par la machine interm€diaire et non par un pirate.

. Le scan passif : est la m€thode la plus furtive. Consiste ƒ analyser les champs d’en-t„te
des paquets et les comparer avec une base de signatures qui pourra d€terminer les
applications qui ont envoy€ ces paquets.

. Intrusion

Signifie p€n€tration des syst‚mes d'information ou des r€seaux mais aussi tentatives
des utilisateurs locaux d'acc€der ƒ de plus hauts privil‚ges que ceux qui leur sont attribu€s, ou
tentatives des administrateurs d'abuser de leurs privil‚ges.

. Usurpation d’adresse IP (IP spoofing)

Consiste ƒ se faire passer pour une machine appartenant au r€seau en truquant les
paquets IP (paquets spoof€s) en remplaŒant l’adresse IP de l’exp€diteur (pirate) par l’adresse

34
Chapitre III La sÄcuritÄ des rÄseaux informatiques

IP d’une machine (de confiance) d€jƒ existante dans le r€seau apr‚s avoir rendu celle-ci
invalide, cette technique d’attaque est utile dans le cas d’une authentification bas€e sur une
adresse IP. En effet, elle permet ƒ un pirate de faire passer des paquets sur un r€seau, sans que
ceux-ci soient intercept€s par le syst‚me de filtrage de paquets.

Cependant, en sp€cifiant une adresse IP diff€rente de la sienne, le pirate ne recevra pas

les r€ponses du serveur, puisque celui-ci r€pondra ƒ l’adresse spoof€e. Il existe toutefois
deux m€thodes permettant de r€cup€rer les r€ponses :

- Source routing : technique consistant ƒ placer le chemin de routage directement dans

le paquet IP. Cette technique ne fonctionne plus de nos jours.
- Reroutage : consiste ƒ envoyer des paquets RIP aux routeurs afin de modifier les
tables de routage. Les paquets avec l’adresse spoof€e seront ainsi envoy€s aux
routeurs contr‡l€s par le pirate.

. Le sniffing

Un sniffer (renifleur) est un dispositif mat€riel ou logiciel capable d’€couter un trafic. Le

sniffing consiste ƒ l’€coute passive par surveillance des paquets IP qui transitent sur un r€seau
ƒ l’aide d’un sniffer. L’un des buts finals est de r€colter ill€galement des informations et des
mots de passe. Cette €coute de donn€es en transit peut conduire ƒ des intrusions illicites.

Une protection peut „tre apport€e aux m€canismes de transfert de mots de passe, leur
chiffrement. Ceux-ci chiffr€s devront alors „tre … cass€s †. Deux possibilit€s :

- l’attaque en force :essayer toutes les permutations possibles pouvant constituer une cl€
pour d€chiffrer le mot de passe en connaissant l’algorithme utilis€.
- l’attaque par dictionnaire : deviner le mot de passe chiffr€s par comparaison avec des
listes de mots de passe eux aussi chiffr€s contenus dans des dictionnaires.

III.7.3.4. Attaques contre la communication

Une attaque contre la communication peut s’agir des cas suivants :

 Interruption : vise la disponibilit€ des informations. consiste ƒ acc€der ƒ

l’information (destruction ou d€tournement), ce qui fait qu’elle ne sera pas transmise.
 Interception : vise la confidentialit€ des informations, et consiste en un €coute passif.
 Modification : vise l’int€grit€ et la disponibilit€ des informations.
 Fabrication : vise l’authenticit€ des informations. Appel€e aussi mascarade. Consiste
ƒ envoyer des informations stipulant qu’elles viennent d’une source connue.

35
Chapitre III La sÄcuritÄ des rÄseaux informatiques

Figure III.1 : Les attaques contre la communication

III.7.3.5. Attaques Man In The Midle (MITM)

L’attaque de l’homme au milieu encore appel€e attaque de l’intercepteur permet de

d€tourner le trafic entre deux stations. Pour ce faire, le pirate €coute la communication entre
deux machines et falsifie les €changes en se mettant au milieu de la communication, ainsi tous
les paquets passent par lui, et les retransmet en toute transparence ƒ l’autre machine. Parmi les
attaques man in the midle les plus connues, on trouve :

. ARP spoofing (ARP cache poisoning)

C’est une attaque qui exploite les failles du protocole ARP. L’objectif est de permettre de
retrouver l’adresse IP d’une machine en connaissant l’adresse MAC de celle-ci.

 Le principe :

L’attaquant s’interpose entre deux machines du r€seau, il envoie ƒ chacune d’elles un

paquet ARP falsifi€ (spoof€) indiquant que l’adresse MAC de l’autre machine a €t€ chang€e,
et que la nouvelle est celle de l’attaquant. Les deux machines cibles vont ainsi mettre ƒ jour
leurs tables dynamiques appel€es cache ARP, c’est pour sa qu’on parle de ARP cache
poisoning ou ARP redirect. De cette faŒon, quand une des deux machines envoie des paquets
ƒ l’autre, ils seront transmis ƒ l’attaquant qui les retransmettra de mani‚re transparente ƒ la
machine destinatrice.

. D€tournement de session TCP (TCP session hijaking)

Le vol de session TCP est une technique qui consiste ƒ intercepter une session TCP
initi€e entre deux machines afin de la d€tourner. En effet, le contr‡le d'authentification
s'effectuant uniquement ƒ l'ouverture de la session, un pirate r€ussissant cette attaque parvient
ƒ prendre possession de la connexion pendant toute la dur€e de la session.

 Principe :

Dans un premier temps, le pirate €coute le r€seau, et lorsqu’il estime que

l’authentification a pu se produire, il d€synchronise la session entre l’utilisateur et le
serveur. Pour ce faire, il construit un paquet avec, comme adresse IP source, celle de la

36
Chapitre III La sÄcuritÄ des rÄseaux informatiques

machine de l’utilisateur et le num€ro d'acquittement TCP attendu par le serveur. Le pirate

prend possession de la connexion en cours, et peut dresser ses commandes.

III.7.3.6. Attaques par failles applicatives

Ces attaques se basent sur l’exploitation des vuln€rabilit€s des programmes utilis€s ou
aussi des erreurs de configuration. Pour exploiter ces bogues, le pirate fait appel ƒ des
…exploits † qui sont de petits programmes permettant d'exploiter une faille dans un but pr€cis
(obtenir un interpr€teur de commandes, acc€der ƒ certains fichiers, augmenter ses droits...) :

. Les injections SQL

Les donn€es sont envoy€es par le client par l'interm€diaire d'un script sur le serveur web.
Il s'ensuit une connexion au serveur SQL, puis l'envoi des donn€es de la requ„te du client. La
requ„te est ex€cut€e par le serveur SQL. La r€ponse est reŒue par le client et est affich€e sous
la forme d'une page web.

L'attaque par SQL-Injection consiste ƒ injecter des caract‚res sp€ciaux ou des cha‹nes de
caract‚res particuli‚res dans les requ„tes SQL du client. Ces caract‚res peuvent „tre
interpr€t€s par le serveur SQL comme des commandes permettant d'obtenir un acc‚s sans mot
de passe, de r€cup€rer des fichiers ou des informations de la base de donn€es (exemple : mots
de passe) ou encore d€truire des donn€es, etc..

III.7.3.7. Attaques D€ni de service

Elles visent ƒ rendre indisponible un service, on distingue deux types de d€ni de service. Les
attaques d€ni de service les plus connues sont :

. UDP flooding

Le flood consiste ƒ envoyer tr‚s rapidement de gros paquets d'information (attaque

massif) ƒ une machine avec une fr€quence d’envoie €lev€e, de telle sorte que la victime ne
pourra plus r€pondre aux requ„tes (paralyser).

 Principe d’UDP flooding :

Le trafic UDP est prioritaire sur TCP. Le but de UDP flooding est donc d’envoyer
un grand nombre de paquets UDP, ce qui va occuper toute la bande passante et ainsi
rendre indisponible toutes les connexions TCP. Exemple : faire une requ„te chargen (port 19 /
service de g€n€ration de caract‚res) ƒ une machine en spoofant l'adresse et le port source,
pour rediriger vers echo (port 7 / service qui r€p‚te la cha‹ne de caract‚res reŒue) d'une autre
machine.

37
Chapitre III La sÄcuritÄ des rÄseaux informatiques

. TCP SYN flooding

Toute connexion fiable (utilisant TCP) s’effectue en utilisant le m€canisme de poign€e

de main en trois temps (Three Way Handshake) : SYN / SYN-ACK / ACK. Une connexion ne
peut s’effectuer que lorsque ces trois €tapes ont €t€ franchies :

Figure III.2 : La connexion TCP en trois temps

Cependant, ce m€canisme poss‚de une faiblesse, lorsque le serveur renvoie un accus€ de

r€ception (SYN-ACK) pour un client qui demande d’€tablir une connexion (bit SYN activ€),
mais ne reŒoit aucun accus€ (ACK) en retour de ce client. Dans ce cas le serveur cr€e une
structure de donn€es (en m€moire) contenant toutes les connexions semi-ouvertes en attente.

 Principe de l’attaque :

Le TCP SYN flooding, exploite la faille de connexion en trois temps. Le pirate envoie
de nombreuses demandes de connexion (SYN), des SYN-ACK sont renvoy€s, mais il n’y
aura jamais de r€ponse avec ACK car l’adresse source fournie par le pirate est non
fonctionnelle, ce qui fait un grand nombre de connexions TCP en attente. Il y a un
m€canisme d’expiration permettant de rejeter les paquets SYN au bout d’un certain d€lai, et
lib€rer l’espace pour d’autres connexions, mais le syst‚me agresseur envoie des paquets plus
vite que le temps n€cessaire au serveur pour faire expirer les demi-connexions. Sa occupe
des ressources m€moire, ce qui va entra‹ner un €tat instable pouvant conduire ƒ un plantage.

. Attaques ICMP

Le protocole ICMP contr‡le l’acheminement des paquets de donn€es IP, et si un

probl‚me de transmission est d€tect€ par un routeur, celui-ci informe l’€metteur du paquet en
lui envoyant un paquet ICMP.

L’attaque ICMP, consiste ƒ envoyer de faux messages ICMP pour surcharger le r€seau,
le rendre inutilisable, et entra‹ner certains d€nis de service.

Autres exemples :

- Paralyser le r€seau en r€digeant des paquets IP vers une fausse destination.

38
Chapitre III La sÄcuritÄ des rÄseaux informatiques

- Augmenter la charge des syst‚mes en faisant traiter un grand nombre de messages

ICMP.
- Emp„cher un €metteur d’envoyer des donn€es, en exploitant la facilit€ offerte par
ICMP pour contr‡ler le flux d’€mission des paquets.

. Attaque par r€flexion (Smurf)

Attaque bas€e sur l’utilisation de serveur broadcast. Un serveur brodcast est un serveur
capable de dupliquer un message et de l’envoyer ƒ toutes les machines du r€seau.

Figure III.3 : L’attaque par r€flexion

Le pirate fait des requ„tes ICMP ECHO (ping) ƒ un ou plusieurs serveurs de

broadcast en spoofant l'adresse source (en indiquant l’adresse de la machine cible).
Cette machine cible va recevoir un nombre €norme de r€ponses, car toutes les
machines vont lui r€pondre, et ainsi utiliser toute sa bande passante et causer son instabilit€.

III.8. Les m€canismes de d€fense [8]

Parmi les m€canismes de d€fense :

. La veille technologique : „tre en actualit€ sur les failles, les correctifs, et les nouvelles
proc€dures publi€s dans les sites sp€cialis€s (en s’abonnant aux alertes de s€curit€ des CERT
par exemple). Et faire ainsi €voluer la s€curit€ au cours du temps afin de maintenir un niveau
suffisant de protection du syst‚me d’information.

. Sensibilisation des utilisateurs : mettre les utilisateurs au courant des risques.

• La protection physique : consiste ƒ s€curiser l’environnement du syst‚me.

• Antivirus : logiciel conŒu pour prot€ger l’ordinateur contre les malware.

• Signature num€rique: donn€es ajout€es pour v€rifier l'int€grit€ ou l'origine des donn€es.

• Contrƒle d’acc„s : consiste ƒ v€rifier les droits d’acc‚s d'une entit€ aux ressources.

• Journalisation (logs) : Enregistrement des activit€s de chaque acteur. Permet de constater

que des attaques ont eu lieu.

39
Chapitre III La sÄcuritÄ des rÄseaux informatiques

• Chiffrement : utiliser des algorithmes bas€s sur des cl€s pour transformer les donn€es.

• Inspection dynamique et filtrage des paquets (pare feu): un €l€ment (logiciel ou

mat€riel) du r€seau contr‡lant et filtrant les communications qui le traversent.

• Syst„me de d€tection d'intrusion : rep‚re les activit€s anormales ou suspectes sur le r€seau
surveill€. Ne d€tecte pas les acc‚s incorrects mais autoris€s par un utilisateur l€gitime.

• Analyse des vuln€rabilit€s : identification des points de faiblesse du syst‚me.

• Contrƒle du routage : s€curisation des chemins (liens et €quipements d'interconnexion).

• Contrƒle d'acc„s aux communications : le moyen de communication n'est utilis€ que par
des acteurs autoris€s. Par VPN ou tunnels.

. D€sactivation des services inutiles : Pour rendre l’acc‚s plus difficile aux pirates.
Remarque : ces m€canismes peuvent n€anmoins provoquer une g„ne pour les utilisateurs, et
les consignes et r‚gles deviennent compliqu€es si le r€seau est €tendu. En effet, la s€curit€
doit „tre €tudi€e de faŒon ƒ ne pas pr€senter un handicape. C’est la raison pour laquelle il est
n€cessaire de d€finir et de suivre dans un premier temps une politique de s€curit€.

III.9. Cycle d’une politique de s€curit€ [5]

. La planification : consiste ƒ identifier les besoins en termes de s€curit€, les risques
informatiques pesant sur l’entreprise et leurs €ventuelles cons€quences. Puis €laborer des
r‚gles et des proc€dures ƒ mettre en œuvre dans les diff€rents s€vices de l’organisation pour
les risques identifi€s. Cette phase peut donc „tre r€capitul€e en trois €tapes :

 Identification des besoins en termes de s€curit€.

 Analyse de risques.
 D€finition de la politique de s€curit€.

. La mise en œuvre : consiste ƒ d€ployer des m€canismes et des dispositifs de s€curit€ visant
ƒ prot€ger le r€seau (s€curisation) tout en faisant appliquer les r‚gles et les proc€dures
€labor€es dans la politique de s€curit€.

. Le suivi : consiste en :

 Les audits de s€curit€ : l’objectif est de v€rifier que chaque r‚gle de la politique de
s€curit€ est correctement appliqu€e et que l’ensemble des dispositions pris forme un
tout coh€rent et sŠr.
 Les tests d’intrusion : consiste ƒ €prouver les moyens de protection en essayant de
s’introduire dans le syst‚me en situation r€elle. Le test comprend :
- Des tests de maintenance : ping pour v€rifier la connectivit€, et traceroute
pour d€terminer le chemin entre deux nœuds avec d€tails…
- Des tests logiciels : crack et COPS pour tester les mots de passe, et SATAN
ou MBSA pour analyser les vuln€rabilit€s, et Nmap pour le scan de ports.

40
Chapitre III La sÄcuritÄ des rÄseaux informatiques

 D€tection des incidents : grŽce ƒ des mesures permettant de d€tecter les incidents de
s€curit€, comme par exemple, les syst‚mes de d€tection d’intrusion.

. La r€action : modifier ou mettre ƒ jour la politique de s€curit€ de faŒon ƒ ce qu’elle puisse

rependre aux nouvelles exigences de s€curit€ en essayant de combler les nouvelles failles.

III.10. Description des principaux dispositifs de d€fense

Les pare-feux et les autres dispositifs ƒ filtrage, les tunnels et les syst‚mes de d€tection
d'intrusion sont des outils indispensables pour d€tecter, parer ou €viter de nombreuses
attaques. Nous les d€crirons, en incluant la mani‚re de les utiliser de faŒon optimale :

III.10.1. La cryptographie

III.10.1.1. D€finitions :

 Cryptographie : Ce mot est d€riv€ du mot grecque … kripto † qui veut dire cach€, et
… graphos † qui veut dire €crire, donc c’est l’ensemble des techniques permettant de
chiffrer des donn€es pour les rendre inintelligibles sans une action sp€cifique afin
d’assurer l’int€grit€ et confidentialit€ ainsi que leur authenticit€ des informations.
 Cryptologie : Elle est bas€e sur l’arithm€tique, il s’agit dans le cas d’un texte de
transformer les lettres en une succession de chiffres, puis de faire des calculs sur ces
chiffres pour :
 Les modifier de telle sorte ƒ les rendre incompr€hensibles (le r€sultat de la
modification s’appel cryptogrammes).
 Faire en sorte que le destinataire saura les d€chiffrer.
 Chiffrement et d€chiffrement : Chiffrer un texte en clair consiste ƒ le transformer en
cryptogramme utilisant des m€thodes €volu€es (algorithmes, cl€…). La technique
inverse consiste ƒ retrouver le message original, appel€e d€chiffrement. Le
chiffrement se fait ƒ l’aide d’une cl€ de chiffrement, et le d€chiffrement bien entendu
avec une cl€ de d€chiffrement.

Figure III.4 : Le chiffrement et le d€chiffrement

 Cryptanalyse : C’est la reconstruction d’un message (d€chiffrement), lorsque la cl€
de d€chiffrement n’est pas connue de l’attaquant. Lorsqu’une m€thode de cryptanalyse
r€ussi ƒ d€chiffr€ un message, on dit alors que l’algorithme de chiffrement a €t€ cass€.

41
Chapitre III La sÄcuritÄ des rÄseaux informatiques

III.10.1.2. Les cryptographies basiques

 La cryptographie • cl€ secr„te (sym€trique) : une seule cl€ suffit pour le

chiffrement et le d€chiffrement.

Figure III.5 : Le cryptage sym€trique

 Avantage : Une cryptographie simple ƒ utiliser et ne n€cessite pas beaucoup de temps.

 Inconv€nients : l'€change des cl€s de d€chiffrement (pr€sence de risque). Et
l’utilisation d’autant de cl€ qu’il y’a d’interlocuteurs.

La solution consiste ƒ adopter une autre cryptographie, c’est celle ƒ cl€s publiques.

 La cryptographie • cl€ publique (asym€trique) : Les cl€s existent par paires (bi-
cl€s). Une cl€ publique pour le chiffrement, et une cl€ priv€e pour le d€chiffrement.

Figure III.6 : La cryptographie asym€trique

 Principe :

. Les utilisateurs choisissent une cl€ al€atoire qu’ils sont seuls ƒ connaitre (cl€ priv€e).

. A partir de cette cl€, ils d€duisent chacun un algorithme automatiquement (cl€ publique).

. Les utilisateurs s’€changent ces cl€s publiques.

. Lorsqu’un utilisateur d€sir envoyer un message ƒ un autre, il lui suffit de le chiffrer au

moyen de la cl€ publique du destinataire, qu’il trouvera dans un serveur de cl€s tel qu’un
annuaire LDAP. Le destinataire le d€chiffrera avec sa cl€ secr‚te.

 Avantage : permet d’€changer des messages de mani‚re plus s€curis€e. Il n’y a plus de
besoin de partager des cl€s secr‚tes via une voie de transmission.

42
Chapitre III La sÄcuritÄ des rÄseaux informatiques

 Inconv€nients : la lourdeur, mais aussi probl‚me de gestion des cl€s en l’absence

d’une autorit€ de certification. Il faut s'assurer de l'authenticit€ des individus d€sirant
communiquer avec le gestionnaire de cl€s pour enregistrer leur cl€ publique.

La solution est la signature num€rique des cl€s publiques, permettent au destinataire de

v€rifier l’authenticit‚ des acteurs. Elle garanti l'authentification et l'int‚grit‚ des donn€es.
Elles fourni €galement une fonctionnalit€
de non r‚pudiation. Une signature
manuscrite peut „tre imit€e, alors qu'une
signature num€rique est pratiquement
infalsifiable. Seul le possesseur est capable
de g€n€rer la signature, mais toute
personne ayant acc‚s ƒ la cl€ publique
Figure III.7 : La signature num€rique
correspondante peut la v€rifier.

En r€alit€, signer consiste ƒ calculer une empreinte (par application d’une fonction de
hachage) du message ƒ signer et ƒ ne chiffrer que cette empreinte.

III.10.1.3.Fonctions de hachage

C’est une fonction qui permet d’obtenir un condens€ (appel€ aussi hach€) d’un texte,
c’est-ƒ-dire une suite de caract‚res assez courte repr€sentant le texte qu’il condense. En
envoyant un message accompagn€ de son hach€ (ou condensŽt), il sera possible de garantir
son int€grit€, et cela par le simple calcul du hach€ du message reŒu et puis la comparaison de
ce dernier avec le hach€ accompagnant le document. Si le message a €t€ alt€r€ durant la
communication, les deux empreintes ne correspondront pas. Et pour v€rifier l’authenticit€, le
hach€ est sign€, ce hach€ sign€ est nomm€ sceau. Ce m€canisme est appel€ scellement.

Figure III.8 : La v€rification de l’int€grit€ et l’authenticit€ d’un message

43
Chapitre III La sÄcuritÄ des rÄseaux informatiques

III.10.1.4.Les protocoles s€curis€s [5]

La plupart des protocoles de la suite TCP/IP ne sont pas s€curis€s. Ainsi, des protocoles
de plus haut niveau (dits protocoles s€curis€s) ont €t€ mis au point afin d’encapsuler des
donn€es dans des paquets chiffr€s, les principaux sont :

 SSL (Secure Socket Layer) : ou couche de sockets s€curis€e, c’est un proc€d€ de

communication assez bas niveau (mais plus haut que IP Sec) s€curis€. Permet d'€tablir
des connexions crypt€es afin d’assurer la s€curit€ des transferts sur r€seau. Le syst‚me
SSL est ind€pendant du protocole utilis€, ce qui fait qu’il peut s€curiser des
transactions faites par les protocoles HTTP, FTP, POP. SSL agit comme une couche
suppl€mentaire (dans le niveau 4) assurant la s€curit€.
 HTTPS (HyperText Transfer Protocol Secure) : Technique de communication
s€curis€e bas€e sur HTTP et SSL.
 SSH (Secure Shell) : permet ƒ un utilisateur ou des services TCP/IP d’acc€der ƒ une
machine distante via une communication chiffr€e incluant l’authentification.
 IP Sec (Internet Protocol Security) : Proc€d€ de communication bas niveau (couche
IP) s€curis€. Permet d'€tablir des connexions r€seau crypt€es. Les protocoles d’IPsec :

Les avantages des protocoles s€curis€s :

- Les donn€es circulant entre client et serveur sont chiffr€es, ce qui garantie la
confidentialit€, il n’est donc pas possible d’€couter avec un analyseur de trame.
- Le client et le serveur s’authentifient mutuellement, il n’est donc pas possible
pour un pirate d’usurper l’identit€ du client ou du serveur (spoofing).

III.10.2. Les technologies de contrƒle d’acc„s en r€seau

III.10.2.1. Les pare-feux (firewalls) [6]

C’est un syst‚me logiciel, reposant parfois sur un mat€riel r€seau d€di€, constituant un
interm€diaire entre un r€seau interne et r€seau externe, qui permet de prot€ger contre certaine
attaques en contr‡lant et filtrant les communications qui le traversent grŽce ƒ une politique de
contr‡le d’acc‚s. Les firewalls sont donc utilis€s pour les fins qui suivent :

 Le contr‡le : G€rer les connexions sortantes ƒ partir du r€seau local.

 La s€curit€ : Prot€ger le r€seau interne des intrusions venant de l'ext€rieur.
 La vigilance : Surveiller/tracer le trafic entre le r€seau local et internet.

III.10.2.1.1. Principe de fonctionnement d’un firewall [6]

Des r‚gles bien pr€d€finies dans les firewalls permettent d’ex€cuter des m€thodes de
filtrage. L’ensemble de ces r‚gles permettent ainsi soit, d’autoriser la connexion (permit), soit
de bloquer la connexion (deny), ou de rejeter la demande de connexion (drop). Deux
strat€gies de configurations du filtrage dans les pare-feux sont habituellement distingu€es:

 Tout ce qui n’est pas explicitement interdit est autoris€.

44
Chapitre III La sÄcuritÄ des rÄseaux informatiques

 Tout ce qui n’est pas explicitement permis est interdit.

La premi‚re strat€gie est moins utilis€e. En effet, par d€faut tous les services TCP/IP
sont autoris€s. C’est pourquoi la seconde strat€gie est pr€f€r€e ƒ la premi‚re et est souvent
impl€ment€e par d€faut dans les €quipements de filtrage.

III.10.2.1.2. D€coupage en zones de s€curit€ (p€rim„tres s€curis€s) [5]

Un firewall permet non seulement de concentrer l’administration de la s€curit€ en des

points d’acc‚s limit€s au r€seau mais aussi de cr€er des p€rim‚tres de s€curit€ (zones ƒ
diff€rents niveaux de confiance), ce qui permet d’isoler les diff€rents r€seaux de l’entreprise
on parle ainsi de … cloisonnement de r€seaux † afin d’assurer une connectivit€ contr‡l€e et
s€curis€e en facilitant les tŽches de surveillance et d’administration, mais aussi rependre au
besoin de cr€er une nouvelle infrastructure vers un r€seau ƒ part d‚s lors que certaines
machines ont besoin d’„tre accessible de l’ext€rieur du r€seau (exemples : serveur web,
serveur FTP public, serveur de messagerie…), on parle ainsi de zone d€militaris€e (DMZ,
Demilitarized Zone). Une politique de s€curit€ sera €tablie :

 Entre la DMZ et l’ext€rieur (internet)

 Entre le r€seau externe et le r€seau interne
 Entre la DMZ et le r€seau interne (pour des mises ƒ jours sur les serveurs de la DMZ,
envoie et r€ception de messages…).

Remarque : Il existe une r‚gle d’or concernant les DMZ, celle qui recommande de
ne pas laisser une zone initialiser des communications vers une zone dont le niveau de
s€curit€ est sup€rieur au sien. C’est le principe du moindre privil‚ge.

III.10.2.1.3. Types de filtrage [6]

 Filtrage simple de paquets (stateless packet filtering)

C’est un filtrage sans €tat, le firewall analyse les en-t„tes des paquets transitant (couche
3), et vu les r‚gles de filtrage il autorise / interdit le passage d'un paquet selon: le port
source/destination, le protocole UDP/TCP, l’adresse source/destination, e type de paquet
ICMP, Interface d'entr€e / de sortie.

Toutefois, vu l’utilisation de ports ouverts dynamiquement (al€atoirement), il est

impossible avec ce type de filtrage de pr€voir les ports ƒ laisser passer ou ƒ interdire. Pour y
rem€dier, on a recours au syst‚me de filtrage dynamique.

 Filtrage dynamique (statefull packet filtering)

C’est un filtrage ƒ €tat, il est bas€ sur l'inspection des couches 3 et 4 du mod‚le OSI. Un
dispositif pare-feu est ainsi capable d'assurer un suivi des €changes, c'est-ƒ-dire de tenir
compte de l'€tat des anciens paquets (€tat d'une connexion et/ou des drapeaux TCP) pour
appliquer les r‚gles de filtrage, c’est-ƒ-dire adapter dynamiquement ƒ ces r‚gles.

45
Chapitre III La sÄcuritÄ des rÄseaux informatiques

Si ce type de filtrage est plus performant, il ne prot‚ge pas pour autant de l'exploitation
des failles applicatives (li€es aux vuln€rabilit€s des applications).

 Filtrage applicatif (proxy)

En fonction du contenu de la couche 7 du mod‚le OSI, ce type de filtrage impose une

connaissance des applications utilis€es ainsi que la mani‚re dont les donn€es sont €chang€es,
car celui-ci filtre les communications application par application, de plus, il permet la
destruction des en-t„tes pr€c€dant le message applicatif.

III.10.2.2. Impl€mentation des r„gles de s€curit€ dans les dispositifs • filtrage

Les ACL et les VLAN sont deux technologies adopt€es pour leurs niveau de s€curit€ :

III.10.2.2.1. ACL (Access Control List) [9]

Une ACL, est une liste de r‚gles d’acc‚s impl€ment€es sur un mat€riel r€seau disposant
des fonctionnalit€s de filtrage. Elle fourni un moyen de filtrer les flux en fonction
d’informations appartenant aux couches 3 et 4 du mod‚le OSI. C’est-ƒ-dire que l’autorisation
ou l’interdiction des flux sont bas€es sur des crit‚res d’adresse IP ou de port TCP ou UDP.

A. Les types d’ACL

Il existe plusieurs types d’ACL. Les listes d’acc‚s Cisco sont soit standards, soit €tendues :

 ACL standards (IP standard access list) : permettent d’autoriser ou de refuser le

trafic selon les adresses IP source (le seul crit‚re de filtrage est l’adresse IP source).
 ACL €tendues (IP extended access list) : permettent de filtrer les paquets IP en
fonction de plusieurs attributs, le type de protocole, l’adresse IP source, l’adresse IP
destination, les ports TCP/UDP source et destination.

Remarque : Chaque ACL est identifi€e avec un num€ro unique d’une plage pr€cise valable
pour le protocole. Tel que :

 ACLs standards : les plages de num€ros assign€s sont <1-99>, et <1300-1999>

 ACLs €tendues : les plages de num€ros sont <100-199>, et <2000-2699>

B. Fonctionnement d’une ACL

Quand une ACL est appliqu€e ƒ une interface d’un dispositif ƒ filtrage, les en-t„tes de
niveau 3 et 4 des paquets transitant sur le r€seau sont analys€es pour voir s’il remplissent les
conditions du test. Toutefois, une liste d’acc‚s peut „tre soit entrante, soit sortante :

46
Chapitre III La sÄcuritÄ des rÄseaux informatiques

 Les ACL Inbound (entrantes) : s’appliquent sur les paquets entrants ƒ une interface.
Ceux-lƒ sont trait€s et test€s avant d’„tre rout€s vers l’interface de sortie. Une ACL
Inbound r€duit la charge des recherches de routage en cas d’abandon du paquet.
 Les ACL Outbound (sortantes) : appliqu€es sur les paquets sortants d’une interface.
Les paquets entrants sont rout€s vers l’interface de sortie puis trait€s par le biais de la
liste de contr‡le d’acc‚s sortante.

Figure III.9 : Le fonctionnement des ACL

Les r‚gles sont parcourues dans l'ordre. D‚s qu'une r‚gle correspond (match) on saute vers la
cha‹ne indiqu€e (permit, deny, ou drop). Si aucune r‚gle ne correspond on applique la
strat€gie par d€faut.

C.Configuration des ACL [17]

La configuration se fait en deux €tapes, cr€er la liste d’acc‚s puis l’assigner aux interfaces :

1. Cr€er la liste d’acc‚s, c’est-ƒ-dire d€finir les crit‚res de filtrage :

L’ACL est cr€e en mode de configuration global. La syntaxe globale est la suivante:

Firewall(config)#access-list access-list-number {deny | permit} {les conditions de test}

 access-list : commande permettant de cr€er des listes d’acc‚s.

 access-list-number : num€ro qui identifie l’ACL selon le type.
 deny | permit : indiquent la mani‚re (interdire/autoriser) dont les paquets seront
trait€s par le logiciel IOS selon le r€sultat des conditions ƒ tester.
 les conditions de test : sp€cifie les conditions ƒ v€rifier par l’instruction.

47
Chapitre III La sÄcuritÄ des rÄseaux informatiques

2. Appliquer la liste d’acc‚s sous une ou plusieurs interfaces niveau 3(serial, ou vlan)
d’un routeur, un firewall, ou Switch niveau 3:

Les ACL sont affect€es ƒ une ou plusieurs interfaces et peuvent filtrer du trafic entrant ou
sortant, l’assignement se fait dans le mode config-if avec la syntaxe suivante :

Firewall(config-if) #{protocol} access-group access-list-number {in|out}

 in|out : indique si l’ACL s’applique sur les parquets entrants ou sortants.

 Cr€ation d’une ACL standard :

Voici la structure d’une ACL standard:

Access-list access-list-number {deny | permit} source [source-wildcard mask]

 Source : identifie l’adresse IP source, on peut trouver deux cas :

- Host adresse IP : pour sp€cifier un seul h‡te
- Any : pour n’importe quelle machine
 wildcard mask: le masque g€n€rique. Pour sp€cifier une ou plusieurs adresses IP.

 Cr€ation d’une ACL €tendue :

access-list acces-list-number { deny | permit } protocol source source-wildcard [operator

port] destination destination-wildcard [operator port] [established] [log]

 Protocol : sp€cifie le protocole sur lequel on filtre (filtrer soit sur IP, soit sur TCP…)
 operator: un op€rateur sur les ports, c’est-ƒ-dire on peut sp€cifier exactement le port
avec l’op€rande eq (equal), ou inf€rieur avec lt (less than), ou bien sup€rieur avec gt
(great than), ou diff€rent avec neq (not equal).
 port : sp€cifie le port (source/destination).
 Established : autorise le trafic TCP si les paquets utilisent une connexion €tablie (bit
de ACK).
 Log : obtenir du log ƒ chaque fois qu’une adresse IP v€rifie la liste de contr‡le.

D. Principe du wildcard mask (masque g€n€rique)

Un masque de bits g€n€rique est une quantit€ binaire de quatre octets. Ce masque est
jumel€ ƒ une adresse IP. Les chiffres 1 et 0 sont utilis€s pour indiquer la faŒon de traiter les
bits de cette adresse :

 0 permet de v€rifier la valeur du bit correspondant dans l’adresse IP.

 1 permet de ne pas v€rifier (ignorer) la valeur du bit correspondant.

48
Chapitre III La sÄcuritÄ des rÄseaux informatiques

Les ACL utilisent le masquage g€n€rique pour identifier une adresse unique ou plusieurs
adresses dans le but d'effectuer des v€rifications visant ƒ accorder ou interdire l'acc‚s. Pour
trouver le wildcard mask d’une adresse, en soustrait son masque de sous-r€seau de
255.255.255.255.

E. Postions optimales des listes d’acc„s

Pour placer les ACL de faŒon optimale afin d’obtenir un grand impact sur les
performances, il faut :

 Placer les listes de contr‡le d’acc‚s €tendues le plus pr‚s possible de la source du
trafic refus€. Ainsi, le trafic ind€sirable est filtr€ sans traverser l’infrastructure r€seau.
 Positionner les ACL standards le plus pr‚s possible de la destination, puisqu’elles ne
pr€cisent pas les adresses.

Remarque : Une seule ACL est permise par port, par protocole et par direction, c’est-ƒ-dire
qu’on ne peut pas par exemple d€finir deux ACL sur l’interface Ethernet0 pour le trafic IP
sortant. Par contre, on peut d€finir deux ACL pour le trafic IP mais, une pour le trafic entrant
et l’autre pour le trafic sortant…

III.10.2.2.2. Les VLAN (virtual LAN) [2]

Un VLAN est un r€seau regroupant les machines de mani‚re logique et non plus
physique. Sur un Switch, un VLAN est un groupe de ports, les machines connect€es ƒ ces
ports (m„me identifiant VLAN) peuvent communiquer entre elles librement. En revanche,
toute communication est impossible avec un port €tranger au VLAN, ces communications
inter-VLAN doivent transiter par un routeur. En fait, les VLAN introduisent la notion de
segmentation virtuelle, qui permet de constituer des sous-r€seaux logiques selon des crit‚res
pr€d€finis (ports, adresses MAC, adresses r€seau...).

Les VLAN optimisent l'utilisation de la bande passante car ils limitent les domaines de
diffusion, et autorisent une r€partition et un partage optimal des ressources de l’entreprise. En
plus des nouvelles exigences de s€curit€ qui d€coulent de l’utilisation de ceux-ci.

A. Les types de VLAN

On distingue trois types de VLAN :

 VLAN par port : niveau 1.

 VLAN par adresse MAC : niveau 2.
 VLAN par sous-r€seau / protocole : niveau 3.

B. La gestion centralis€e des VLAN [5]

 Le protocole VTP (VLAN Trunking Protocol) :

Il permet de r€aliser une gestion centralis€e des VLAN sur un mod‚le de type
ma‹tre/esclave, et donc configurer un Switch qui propagera les configurations VLAN aux

49
Chapitre III La sÄcuritÄ des rÄseaux informatiques

autres Switchs du domaine. Il m€morise les configurations VLAN dans la base de donn€es
VLAN des Switchs (vlan.dat). Un domaine VTP est compos€ de Switchs interconnect€s. Pour
€changer les configurations entre ces Switchs, il utilise l’… annonce VTP † ou … information
VTP † ƒ l’aide de liens … trunk †. Une configuration VTP par default d’un switch induit ƒ: une
version VTP de 1, un VTP Domain Name valant … null †, un mode VTP … serveur †, tout les
ports dans VLAN1.

Remarques :

1. Un trunk repr€sente le canal par lequel transitent les trames des diff€rents VLAN entre
commutateurs (lien point-ƒ-point entre deux ports). Pour que les commutateurs sachent ƒ quel
VLAN appartient une trame, un €tiquetage est n€cessaire. Les protocoles d’€tiquetage utilis€s
sont ISL (Cisco) et IEEE 802.1q. C’est ce dernier qui est utilis€, sous la d€nomination dot1q.

2. Par d€faut, Cisco utilise le VLAN1 pour assigner les ports du commutateur ainsi que son
administration. Ce VLAN est utilis€ par d€faut pour faire transiter sur des trunks des
protocoles tels que CDP et VTP.

III.10.3. Translation d’adresses (NAT, PAT)

La croissance rapide d’Internet est surprenante. Sans le d€veloppement de nouvelles

m€thodologies d’assignation d’adresses IP, cette croissance rapide aurait €puis€ la r€serve
existante d’adresses IP. Pour pallier ƒ cette p€nurie d’adresses IP, plusieurs solutions ont €t€
d€velopp€es, leurs principe est de masquer plusieurs adresses (ou ports) priv€es avec un
nombre limit€ d’adresses (ou ports) publiques. Ces solutions, largement mise en œuvre, sont
la traduction d’adresses r€seau (NAT) et la traduction d’adresse de ports (PAT).

III.10.3.1. La NAT (Network Adress Translation)

C’est un m€canisme permettant de simplifier la gestion de l’adressage IP utilis€e pour se

connecter ƒ l’ext€rieur tout en conservant les adresses IP enregistr€es dans les r€seaux priv€s.
Lorsqu’un paquet est rout€ par un €quipement de r€seau (routeur ou pare-feu) vers des
r€seaux externes, une adresse IP publique routable est attribu€e par la passerelle NAT ƒ
l’adresse source, c’est-ƒ-dire l’adresse r€seau interne priv€e (non routable). L’adresse
publique de la r€ponse est ensuite retraduite en l’adresse interne priv€e. Cela, permet de
s€curis€, en emp„chant de voir les adresse IP priv€es du r€seau interne, les requ„tes
sembleront ainsi parvenir de la passerelle NAT. On distingue deux types de NAT :

III.10.3.1.1.NAT statique

Utilise un mappage qui reste constant. C’est un m€canisme utile pour les serveurs Web
ou les h‡tes qui doivent disposer d’une adresse permanente, accessible depuis Internet. Ces
h‡tes internes peuvent „tre des serveurs d’entreprise ou des p€riph€riques r€seau. Cependant,
ce m€canisme permet de connecter des machines ƒ internet de faŒon transparente, mais sans

50
Chapitre III La sÄcuritÄ des rÄseaux informatiques

pour autant r€soudre le probl‚me de la p€nurie d’adresses dans la mesure o‘ chaque machine
requis une adresse IP publique ƒ elle seule.

III.10.3.1.2.NAT dynamique

Permet de traduire un grand nombre d’adresses priv€es au moyen d’une adresse publique
externe unique (prise parmi un pool) puis de retraduire dans l’autre sens, mais sa ne r€sous
toujours pas le probl‚me de p€nurie d’adresses. Pour sa, le NAT dynamique utilise le
m€canisme PAT (surcharge). Le PAT mappe plusieurs adresses IP priv€es ƒ une seule
adresse IP publique ou ƒ quelques adresses. Lorsqu’un client ouvre une session TCP/IP, le
routeur NAT translate son adresse source en publique et attribut un num€ro de port au port
source. Lorsqu’une r€ponse revient du serveur, le num€ro de port source, devient le num€ro
de port de destination du client auquel appartiennent les paquets. Il confirme €galement que
les paquets entrants €taient demand€s, ce qui ajoute un niveau de s€curit€ ƒ la session.

Figure III.10 : Principe du m€canisme de translation

d’adresses
III.10.3.2. Tables NAT et PAT

Les dispositifs (firewall, routeur ,.. ) configur€s pour la NAT utilisent une table appel€e table
NAT qu’il mettent ƒ jour :

Tableau III.1 : la table NAT statique

Adresse IP priv€e source Adresse IP publique source

… …
Tableau III.2 : la table NAT dynamique

@ IP priv€e Port priv€ @ IP publique Port public @ IP publique Port public

source source source source destination destination
… … … … … …

51
Chapitre III La sÄcuritÄ des rÄseaux informatiques

III.10.3.3. Configuration de translation d’adresses [17]

A. Configuration du NAT statique :

Etapes • suivre Instruction Indication

1. Etablir la traduction statique Routeur(config)#ip nat inside pour supprimer la
entre une adresse locale interne et source static ip-locale ip-globale traduction source
une adresse globale interne statique : no ip inside
source static

2. Sp€cifier l’interface interne Routeur(config)#interface on passe de

num€ro type Routeur(config) ƒ
Routeur(config-if)
3. Signaler l’interface comme Routeur(config-if)#ip nat inside
connect€e ƒ l’int€rieur
4. quitter le mode configuration Routeur(config)#exit
d’interface
5. sp€cifier l’interface externe Routeur(config)#interface
num€ro type
6. signaler l’interface comme Routeur(config-if)#ip nat outside
connect€e ƒ l’ext€rieur
Tableau III.3 : configuration de NAT statique
B. configuration du NAT dynamique

Tableau III.4 : configuration du NAT dynamique

Etapes • suivre Instruction

1. d€finir un pool d’adresses Routeur(config)#ip nat pool nom ip-d€but ip-fin
globales ƒ attribuer selon les {netmask masque-r€seau | prefix-length longueur-
besoins pr€fixe}
2. d€finir une ACL standard des Routeur(config)#access-list num€ro-liste permit source
adresses qui peuvent „tre traduites [wildcard mask]
3.€tablir une source dynamique de Routeur(config)#ip nat inside source list num€ro-liste
traduction, en sp€cifiant l’ACL pool nom
pr€c€dente
4. sp€cifier l’interface interne Routeur(config)#interface num€ro type
5. signaler l’interface comme Routeur(config-if)#ip nat inside
connect€e ƒ l’int€rieur
6. sp€cifier l’interface externe Routeur(config)#interface num€ro type
7. signaler l’interface comme Routeur(config-if)#ip nat outside
connect€e ƒ l’ext€rieur
8. quitter le mode configuration Routeur(config)#exit
d’interfaces

52
Chapitre III La sÄcuritÄ des rÄseaux informatiques

C. Configuration du PAT :

Tableau III.5 : Configuration du PAT

Etapes • suivre Instruction

1. d€finir une ACL standard qui Routeur(config)#access-list num€ro-liste-contr‡le
autorise les adresses qui doivent „tre permit source [wildcard mask]
traduites
2. sp€cifier l’adresse globale en tant Routeur(config)#ip nat pool nom ip-d€but ip-fin
que pool, ƒ utiliser pour la surcharge {netmask masque-r€seau | prefix-length longueur-
pr€fixe}
3. €tablir la traduction de surcharge Routeur(config-if)#ip nat inside source list num€ro-
liste-contr‡le pool overload

4. sp€cifier l’interface interne Routeur(config)#interface num€ro type

Routeur(config-if)#ip nat inside
Routeur(config)#exit
5. sp€cifier l’interface externe Routeur(config)#interface num€ro type
Routeur(config-if)#ip nat outside
Routeur(config)#exit

Remarque : Les attaques distribu€es seront toujours redoutables. Ce qui nous am‚ne ƒ
comment d€tecter et emp„cher ces attaques ?. En effet, Le fait d'installer un firewall n'est bien
€videmment pas signe de s€curit€ absolue. Les firewalls ne prot‚gent en effet que des
communications passant ƒ travers eux. La mise en place d'un firewall doit donc se faire en
accord avec une v€ritable politique de s€curit€. D'autre part la mise en place d'ACL
n'emp„che pas un attaquant d'utiliser une connexion autoris€e pour attaquer le syst‚me, et ne
prot‚ge pas d’une attaque venant du r€seau interne (qui ne traverse pas le dispositif ƒ filtrage).
Ceci induit ƒ utiliser d’autres dispositifs comme les IDS.

III.10.4. Les syst„mes de d€tection d’intrusion (IDS-Intrusion Detection System) [6]

Appel€es aussi sondes, c’est un ensemble de composants logiciels et mat€riels, plac€

de faŒon strat€gique sur le r€seau afin de bien analyser le trafic transitant et d€tecter ainsi
toute activit€ suspecte, technique de sondage (balayage de ports), activit€s virales, ou encore
audit des fichiers de journaux (logs).

Les IDS sont class€ selon deux modes de fonctionnement, selon qu'ils se basent sur des
signatures d'attaques ou sur des mod‚les comportementaux :

. IDS • biblioth„que de signature : consiste ƒ rechercher dans l'activit€ de l'€l€ment surveill€

les empreintes (ou signatures) d'attaques connues (enregistr€s dans la base de donn€es des
codes malicieux de ce IDS).

53
Chapitre III La sÄcuritÄ des rÄseaux informatiques

. IDS • mod„les comportementaux : d€tectent les anomalies. Leur utilisation comprend une
phase d'apprentissage, o‘ ils d€couvrent le fonctionnement normal des €l€ments surveill€s,
puis ils signaleront les divergences par rapport ƒ ce fonctionnement de r€f€rence.

Les IDS peuvent aussi „tre class€s selon qu'ils surveillent le trafic r€seau ou l'activit€ de
machines :

III.10.4.1. Les syst„mes de d€tection d’intrusion r€seaux (NIDS-Network IDS)

Un NIDS n€cessite un mat€riel d€di€, il €coute et analyse automatiquement de mani‚re

passive les flux en transit sur le r€seau et d€tecte (grŽce ƒ sa base de donn€es de codes
malicieux) les intrusions en temps r€el et g€n‚re des alertes si des paquets semblent
dangereux. Un NIDS met en place une ou plusieurs cartes r€seau en mode promiscuit€ afin
qu’elles n’aient d’adresses IP et de pile de protocole attach€e.

III.10.4.2. Les syst„mes de d€tection d’intrusion de type hƒte (HIDS-Host IDS)

Un HIDS r€side sur un h‡te et se comporte comme un d€mon ou service particulier sur
le syst‚me de celui-ci. Il analyse en temps r€el les flux entrants/sortants d’une machine
ainsi que les journaux afin de d€tecter des signaux d’intrusion (Dos, trojan horce, tentative
d’acc‚s non autoris€e, ex€cution de codes malicieux, attaque par buffer overflow…).

Remarque : Lors de la mise en place d’un IDS au sein d’un r€seau, il est important de le
d€ployer correctement d’une part, mais aussi de comprendre son fonctionnement interne
pour pouvoir le configurer efficacement.

Conclusion :

L’objectif d’une s€curit€ bien g€r€e et cibl€e consiste ƒ prot€ger les €l€ments critiques
d’une entreprise. Toute erreur sur la cible ƒ prot€ger conduit ƒ une analyse erron€e de la
situation et peut mettre en p€ril l’entreprise. La d€termination de ces €l€ments critiques et de
ces objectifs de s€curit€ est donc primordiale pour €laborer une politique de s€curit€
coh€rente.

54
 CHAPITRE 4

La Supervision
des rÄseaux
informatiques
Chapitre IV La supervision des réseaux

Introduction
Toute entreprise a besoin d’information lui permettant de comprendre l’état de la sécurité
et de l’intégrité de son réseau, et d’identifier les problèmes potentiels avant qu’ils ne se
déclarent. En effet, les meilleurs dispositifs de sécurité ne peuvent pas protéger de façon
optimale un réseau s’ils ne sont pas correctement supervisés. Ainsi, la sécurité d’un réseau
repose d’une part sur l’architecture et son adéquation aux besoins des composants qui le
constituent, mais aussi sur l’administration et la supervision au jour le jour de ces
équipements.

IV.1.Administration de réseaux
C’est tous les moyens mis en œuvre (connaissances, techniques, outils) qui permettent de
superviser, exploiter des réseaux informatiques et planifier leur évolution en respectant les
contraintes de coût et de qualité mais aussi assurer la réactivité face aux besoins de
changement et d’évolution (C’est le fait de gérer). Il est souhaitable d’appuyer autant que
possible son administration de réseaux sur des standards: le protocole SNMP est actuellement
la technologie de base qui permet d’administrer un réseau TCP/IP.

IV.1.1.Architecture d’administration et principe général

Une architecture classique d'administration se repose sur le modèle Gérant/Agent

(Manager/Agent). Le système se compose :

Figure IV.1 : composants du système de gestion réseau

 D’une entité d’administration NMS (Network Management System) qui est le gérant.
 Des entités de gestion NME (Network Management Entity) appelés agents qui
sont gérées par le NMS.
 Un protocole pour la gestion.

 Principe général :

Un système de réseau informatique se compose d’un ensemble d’objets (ces objets et

les informations relatives sont stockés dans des bases de données MIB) qu’un système
d’administration surveille et contrôle (via un protocole de gestion reposant sur UDP) grâce à
un processus appelé manager ou gérant. Pour ce faire, chaque objet est géré localement par
un processus appelé agent qui en effet transmet régulièrement ou sur sollicitation les
informations de gestion relatives à son état et aux événements qui le concernent au manager.

55
Chapitre IV La supervision des réseaux

Le principe se repose donc sur les échanges :

-D’une part : entre une MIB (Management Information Base) et l’ensemble des éléments
administrés.

-D’autre part : entre les éléments administrés et le système d’administration.

Figure IV.2 : structure fonctionnelle d’administration

De ce fait, on peut modéliser l’architecture d’un système d’administration par :

Figure IV.3 : Architecture de système d’administration réseau

Remarque : L’entité d’administration a sa propre entité de gestion NME (Network

Management Entity) et aussi un logiciel pour gérer le réseau appelé NMA ( Network
Management Application) contenant une interface via laquelle les activités d’administration
son effectuées.

IV.1.2.Les activités d’administration de réseaux [10]

L’ISO (International Standard Organization) a regroupé les activités d’administration de
réseaux en cinq domaines fonctionnels :

 La gestion des anomalies : détecte les problèmes réseaux (logiciels ou matériels) et

les archive accompagnés d’une solution dans une base de données.

56
Chapitre IV La supervision des réseaux

 La gestion des comptabilités : permet d’établir des coûts d’utilisation des ressources
(la consommation réseau) voir même une facturation.
 La gestion des performances : analyse de manière continue les performances du
réseau afin de le maintenir dans un état de performance acceptable. Pour ce faire :
 des variables contenant des informations significatives quant aux performances
sont récupérées (exemple : le temps de réponse d’une station, ou le taux
d’utilisation d’un segment réseau…)
 les variables sont analysées.
 Si elles dépassent un seuil de performance fixé préalablement, une alarme est
envoyée à l’administrateur.
 La gestion des configurations : effectue un suivi des différentes configurations sur le
réseau. De ce fait, elle permet une identification et un contrôle des systèmes et une
collecte d’informations.
 La gestion de la sécurité : contrôle l’accès aux ressources en fonction des politiques
de sécurité (met en application les politiques de sécurité).

Ces activités sont communément classées selon la façon suivante :

 Supervision : consiste à surveiller, et collecter toutes sortes d’informations.

 Gestion : consiste à gérer le réseau (gestion configurations, ressources, sécurité,
dysfonctionnement, les remontées d’alarmes et leurs rapports...)
 Exploitation : consiste à traiter les problèmes opérationnels sur le réseau
(maintenance, assistance technique…)

IV.2.La supervision

Ensembles de moyens consistant à surveiller les systèmes et à récupérer des informations

sur leur état et leur comportement, ce qui peut être fait par interrogation périodique ou par
remontée non sollicitée d’informations de la part des équipements de réseaux eux-mêmes.

IV.2.1.Objectifs de la supervision

Les différentes orientations de la supervision réseau doivent être décrites afin d’effectuer
les choix de paramétrages adéquats :

 Prévention des pannes : grâce aux Statistiques de la qualité de service et aux Collectes
et mesures de performances.
 Diagnostic et résolution rapide de problèmes (la reprise sur incidents).
 Détection d’intrusion.

IV.2.3.Les modules de la supervision

Autour de la supervision, plusieurs modules coexistent :

 La supervision réseau : s'occupe de composants matériel tels que serveur, imprimante,

pare-feu …

57
Chapitre IV La supervision des réseaux

 La supervision système : s'occupe des applications et logiciels.

 La notification : permet l’envoi d'alertes par email, par sms, par téléphone, par
avertissement sonore, …
 L'exécution de commandes : permet de relancer une application qui fait défaut.
 La retranscription d'état du système : permet de voir à tout moment l'état de tous les
composants et applications supervisés sous forme d'un graphique, d'une carte ou d'un
tableau. Son but est de rendre les résultats plus lisibles.
 La cartographie : visualise le réseau supervisé par l'intermédiaire de carte, de
graphique, de tableau, …
 Le reporting : consiste en un historique complet de la supervision.

Figure IV.4 : les modules coexistant autour de la supervision

IV.2.4.Les événements et les indicateurs à superviser

Il est important de choisir les événements correspondants aux besoins du service ou du métier
ainsi que les informations d’état à superviser, le plus souvent :

 Table ARP.
 Tables de session.
 L’équipement est-il opérationnel ?
 Quelle est la charge CPU ?
 Quelle est la charge réseau ?
 Quel est le temps de réponse ?
 Les disques sont-ils proches de la saturation ?
 La connectivité est-elle toujours assurée ?
 Y’a-t-il des activités suspectes ?
 …

58
Chapitre IV La supervision des réseaux

IV.2.5.Architectures de supervision [11]

On distingue deux architectures de supervision :

 Architecture centralisée : la surveillance se fait par un serveur de supervision global, et

les remontées d’informations et d’alarmes se font directement vers ce serveur.
 Architecture décentralisée : les remontées d’information se font dans un premier temps
vers les serveurs de supervision locaux, puis de ces derniers vers le serveur global.

Figure IV.5 : Les architectures de supervision

IV.2.6.Les méthodes possibles de supervision [11]

Les principales méhodes de supervision sont les suivantes :

 Analyser les fichiers log (fichiers journaux) en consultation ou avec remontée.

 Récupérer des résultats de commandes et de scripts locaux ou distants.
 Utiliser le protocole SNMP (Simple Network Management Protocol).

Pour ce faire deux modes sont utilisés, le temps réel et le temps différé :

IV.2.6.1. Supervision en temps réel

Ce mode de supervision est utilisé selon les événements et les indicateurs à superviser et
selon leur criticité, les outils les plus souvent utilisés sont :

 Tripwire : outil de scellement de configuration. Selon une fonction de hachage, le

fichier de configuration est haché puis signé, et on vérifie l’intégrité en comparant à ce
haché.

59
Chapitre IV La supervision des réseaux

 MBSA (Microsoft Baseline Security Analyzer) : outil fourni par Microsoft pour
vérifier le niveau de sécurité des machines Windows à distance ou en local.
 Sonde IDS : système servant à détecter des attaques.
 Antivirus : programmes pour surveiller et lutter contre les virus.
 SMS (System Management Server) : utilisé pour gérer des machines Windows.

IV.2.6.2. Supervision en temps différé

Une supervision en temps différé s’effectue en parallèle avec la supervision en temps

réel, elle constitue le plus souvent une analyse manuelle, mais lorsque le volume des données
est important, des outils de traitement de logs sont utilisés. En pratique, tous les équipements
génèrent pour chaque événement important des lignes de log, ces fichiers journaux sont
archivés et centralisés sur des serveurs afin de les analyser à posteriori pour :

 Evolution à long terme.

 Détection des tendances et anomalies à suivre sur le réseau.
 Suivi de la qualité de service.
 Intervention sur des incidents de sécurité à posteriori.

On peut citer :

 Analyse d’attaques :

L’analyse des fichiers log permet de récolter des compléments d’information lors du
traitement d’un événement de sécurité (action non autorisée détectée par l’analyse). Afin
d’identifier et diagnostiquer cet événement et lancer les procédures de sécurité adéquates.

Remarque : un événement de sécurité peut être une mauvaise manipulation, une préparation
d’attaque ou même une attaque. Par exemple une ligne de logs signalant une tentative échouée
de connexion d’un utilisateur pour erreur de mot de passe, cela est traduit par une mauvaise
manipulation. Cet événement est plus grave si cette ligne de code est répétée plusieurs fois.

Afin d’obtenir des informations sur l’origine d’une attaque, on utilise :

.traceroute : utilitaire permettant d’afficher la route suivie par les paquets IP depuis le point
d’émission jusqu’à la destination, en donnant la liste de tous les équipements traversés.

Whois : un outil qui permet de lister la plage d’adresses IP à laquelle appartient une adresse IP
entrée ainsi que des informations (nom, coordonnées postales et téléphoniques) sur le
propriétaire de cette plage.

.dig, host, Nslookup : des outils qui permettent d’effectuer des requêtes DNS.

 Tableau de bord de sécurité [8]

Permet d’avoir une vue d’ensemble de la sécurité opérationnelle d’une plateforme ou

d’un réseau (détection des anomalies, des attaques et des évolutions à mener sur le périmètre
considéré pour effectuer une prévention des pannes et des attaques). Dans un tableau de bord,
figure les éléments qui suivent :

60
Chapitre IV La supervision des réseaux

 Information sur les événements marquants survenus dans la période de référence.

 Etat d’avancement des mécanismes de sécurité du domaine sécurité.
 Synthèse des événements de sécurité que subit le réseau accompagnés de leurs
niveaux de sévérité :

 Nombre de machines impactées, nature de l’impact (visant la disponibilité,

l’intégrité...), sévérité de l’impact.
 Origine de l’attaque (son adresse source).
 Caractérisation de l’événement (virus, DoS…).
 La réaction face à l’incident.

Remarque : dès qu’il est question de tâches de plus langue haleine, l’emploi de tableaux de
bord devient fastidieux. Pour cette raison, les fichiers log sont traités par des outils tel que les
produits de type ESM (Entreprise Security Management), ou des outils de supervision libres.

IV.2.7.Formats de données de la supervision [11]

Il s’agit des fichiers de journalisation :

IV.2.7.1.Syslog

C’est un standard pour tout ce qui concerne les messages de notification d’événements
définissant à la fois le format de ces données et le mécanisme de transport de ces messages.

Pour tout événement survenant sur un système peut être logé, pour ce faire, un message
est ne dépassant pas 1024 octets généré pour chacun d’eux, comme par exemple, une erreur
d’authentification, un message du noyau ou d’une application, ou une connexion à un service.

Remarque : deux propriétés caractérisent un message, sa facilité et sa sévérité, qui peuvent

être présentées par des entiers. La facilité permet de distinguer quel est le processus ou démon
tournant sur le système à l’origine du message. La sévérité concerne le coté critique (urgence,
erreur, avertissement, information, alerte...

IV.2.7.2.Netflow

Technologie conçue par Cisco, elle permet de collecter des données sur le trafic
traversant des équipements réseau, et de ce fait effectuer des mesures de ce trafic dans un
cadre de supervision ou de facturation.

Un flux IP est caractérisé par les adresses IP, le protocole utilisé, les ports, les interfaces
d’entrée et de sortie ainsi que le champ TOS. Au premier passage d’un paquet, le routeur
consulte ses tables afin de déterminer vers quel nœud le router (ceci consomme des ressources
CPU). Cependant, les paquets qui suivent bénéficient du cache Netflow lors de leur entrée sur
le routeur, cela permet à celui-ci d’accéder à l’information de routage plus rapidement.

Quand le routeur libère son cache Netflow d’une entrée, un datagramme peut être envoyé
à un superviseur en incluant les informations de routage. Ces données sont rassemblées par un
collecteur générique qui effectue souvent des prétraitements basiques permettant l’émission
de rapports. Les données qui peuvent être pertinentes pour la supervision de la sécurité sont

61
Chapitre IV La supervision des réseaux

les données de comptage (Netflow accounting). Leur analyse est judicieuse dans de nombreux
cas, comme par exemple dans la détection d’attaques, cela grâce aux regroupements des logs,
qui permet d’observer des comportements et expliquer de événement de sécurité.

IV.3.Protocole de gestion de réseau dans le modèle TCP/IP : SNMP [11]

SNMP (Simple Network Management Protocol) est un protocole de communication qui

a été crée pour être une couche utilisant TCP/IP à un niveau supérieur. Il opère en accord avec
UDP et IP, et permet de gérer les équipements du réseau, de superviser et de diagnostiquer
des problèmes réseau et matériels à distance. C’est l'un des protocoles les plus utilisés pour la
gestion (management, monitorage) des réseaux.

SNMP est utilisé pour:

 Administrer les équipements et échanger des éléments de configuration.

 Surveiller le comportement des équipements et les performances réseaux.
 Modifier le paramétrage de certains composants.

Comme son nom l'indique, il est relativement simple tout en étant très complet. En effet, sa
simplicité ne lui empêche pas de pouvoir gérer des réseaux hétérogènes complexes. Son
utilisation est basée sur 3 éléments. Les voici :

 Les agents, placés sur les éléments actifs du réseau.

 Les managers.
 La MIB.

Toutefois, il y’a deux modes de fonctionnement :

 Le polling : dans lequel la station de supervision interroge les agents à tour de rôle.
 Les traps SNMP : où l’équipement remonte lui-même une alarme afin de signaler une
anomalie au superviseur.

IV.3.1. Concepts fondamentaux

IV.3.1.1. Station d’administration (NMS-Network Management Station)

Entité utilisée par l’administrateur pour gérer son réseau, dispose d'un outil dit
"manager". C'est un client, dans la mesure où c'est lui qui envoie les requêtes aux divers
agents SNMP du réseau. Il devra aussi disposer d'une fonction serveur, car il doit rester à
l'écoute (sur le port UDP 162) des alertes que les équipements sont susceptibles d'émettre à
tout moment. Toutefois, l’administrateur peut observer le comportement de la totalité de son
réseau depuis sa station d'administration. Une NMS doit obligatoirement posséder :

 Des applications spécifiques à l'administration.

 Une interface avec l'administrateur.
 La capacité à pouvoir récupérer des informations des éléments administrés.
 Une base de données obtenue à partir des MIB des éléments administrés.

62
Chapitre IV La supervision des réseaux

IV.3.1.2. Agent de gestion

Chaque équipement que l'on voudra "manager" à distance devra disposer d'un agent
SNMP, C'est-à-dire une application de gestion résidant dans un périphérique et chargée de
transmettre les données locales de gestion de celui-ci au format SNMP. Cet agent est un
serveur, qui reste à l'écoute du port UDP 161 pour des requêtes provenant de
l'administrateur. L'agent devra éventuellement pouvoir agir sur l'environnement local,
si l'administrateur souhaite modifier un paramètre. Par ailleurs, l'agent SNMP pourra émettre
des alertes de sa propre initiative, s’il a été configuré pour ça. Un agent assume ainsi les
travaux ci-dessous :

 Collecter des informations statistiques concernant la communication, et les

opérations de réseau.
 Stocker les informations localement dans les MIB.
 Répondre aux commandes de la station d’administration, inclus : Transmet des
informations statistiques à l’entité d’administration, modifie les paramètres…

Remarque : Pour les serveurs et les stations il existe probablement un logiciel à installer,
quelque soit le système. Pour Linux, c'est "NET-SNMP". Windows XP
professionnel, Windows 2000 "pro" et "server" permettent d'installer un agent SNMP.

IV.3.1.3. Les communautés

La communauté définit le domaine de gestion (groupe). L’authentification entre le NMS

et l’agent utilise donc la communauté comme une sorte de mot de passe. Une entité peut
avoir l’accès en lecture seule, en lecture/écriture, ou encore en lecture seule mais sur
certaines branches seulement... En général, la communauté "public" est celle qui a le droit de
lecture sur les informations non sensibles.

L'inconvénient est qu'avec SNMP v1, qui est actuellement la seule version
vraiment stabilisée et reconnue par tous, ce mot de passe circule en clair. Toutefois, SNMP est
évolué pour un minimum de sécurité. SNMP v2 utilise l’algorithme MD5 (message Digest5)
pour hacher les noms de communautés. La sécurité a été étudier plus en avant avec SNMP v3,
qui intègre des mécanismes de vérification d’intégrité des messages et d’authentification avec
des algorithmes de hachage et de chiffrement.

IV.3.1.4. Les alarmes

Il est possible de demander (en configurant) aux stations d'émettre de temps en temps
(une fois par heure par exemple) un rapport, sur les anomalies et pourquoi pas quelques
statistiques sur son état. Cela permet de soulager le travail de la station d'administration qui
n'a plus qu'à écouter ses protégés.

IV.3.1.5. Les objets

Dans SNMP, un objet peut être des informations matérielles, des paramètres de
configuration, des statistiques de performance et autres variables qui sont directement liés au
comportement en cours de l'équipement. Les objets sont classés dans une sorte de base de
donnée appelée MIB. Les données de la MIB peuvent être adressées par un OID (Object

63
Chapitre IV La supervision des réseaux

IDentifier) qui correspond au chemin depuis la racine de l'arborescence des données de

gestion jusqu'à l'objet, chaque nœud étant marqué par un identifiant (nombre et nom).
1.5.3.2.4 est un OID possible. Cette séquence se lit de gauche à droite et correspond à des
nœuds dans l’arborescence des noms.

IV.3.1.6. Les MIB (base d’informations de gestion)

La MIB se présente comme une base de données normalisée (sous forme de variables et
de tables) d’objets, qui permettra de lire et d'écrire sur les équipements distants, de façon
également normalisée. Chaque MIB est propre à l'agent. Il ya donc une MIB pour chaque
équipement supervisé. Un agent stocke deux grandes classes de données:

 Données d'état de la machine (nombre de paquets reçus sur une interface, ...).
 Données correspondant à la configuration de la machine (politique de sécurité ou de
routage par exemple).

Cette MIB contient donc:

 Des informations à consulter.

 Des paramètres à modifier.
 Des alarmes à émettre.

IV.3.1.6.1. Structure d’une MIB

 Elle est organisée hiérarchiquement avec une structure arborescente, où une branche
représente la catégorie logique et une feuille les informations sur un objet.
 Elle contient une partie commune à tous les agents SNMP en général, une partie
commune à tous les agents SNMP d'un même type de matériel et une partie spécifique
à chaque constructeur.
 Chaque nœud d'un arbre (niveau de la hiérarchie) représente un objet. Cet objet est
définit avec un OID (Object IDentifier). Cet identifiant est constitué d'une suite de
chiffre séparé par des points (index numérique) et SNMP utilise cette façon de faire.
 Pour qu'un client accède à ces objets, il faut qu'il en connaisse l'existence.
 Non seulement la structure est normalisée, mais également les appellations des
diverses rubriques (pour rendre les choses plus lisibles).
 Une MIB contient un ensemble d'informations standards, c'est la MIB standard. Or
pour la plupart des éléments réseaux, on rajoute un certain nombre d'objet propre a un
agent pour en exploité les possibilités : c’est la MIB privée.
 La MIB est un fichier texte écrit en langage ASN 1(Abstract Syntax Notation 1).

Pour la MIB et les commandes de base associées :

 Les outils ont besoin de connaître la version SNMP utilisée (option –v 1 pour SNMP
v1).
 Les outils ont besoin de connaître la "communauté" (à voir comme un mot de passe).
Par exemple, communauté autorisée en lecture s'appelant "public" (option -c public).
 Les outils doivent savoir la cible (adresse IP de l'agent SNMP interrogé).
 Les commandes ont besoin de savoir à quelle feuille de la MIB on s'intéresse.

64
Chapitre IV La supervision des réseaux

Remarques :

- Un gestionnaire SNMP utilise les MIB pour convertir les OID en texte humainement
compréhensible. Il importe une MIB SMI (spécification au format ASN.1) puis la compile.
Une compilation convertit la MIB depuis un format ASCII vers un format utilisable
nativement par le gestionnaire.

- SMI (Structure of Management Information) est une syntaxe qui spécifie comment les
données (objets SNMP) sont représentées via ASN.1 (décrit pour chaque objet (avec un OID,
une syntaxe, un encodage)).

IV.3.1.6.2. La représentation d’une MIB (Structure et représentation d’objets)

Un numéro unique qui

identifie le nom de la
branche

La MIB d’un agent Branche dédiée

contient la MIB-2 et la aux MIB privées
MIB privée spécifique à des constructeurs
l’équipement réseau géré

Partie commune à tous les agents SNMP

Figure IV.6: Structure de MIB

 Description :

- iso(1) : branche qui définie La gestion de réseau. Dans cette branche on trouve un certain
nombre de définitions d’organisations subordonnées. La gestion de réseau entre dans le
nœud identified-organisation(3).

65
Chapitre IV La supervision des réseaux

- Sous le nœud dod(6) se trouvent un certain nombre de réseaux subordonnés. La gestion de

réseau entre dans le nœud internet(1).

- Sous le nœud internet(1) se trouvent un certain nombre de nœuds subordonnés

représentant différents services et tentatives de normalisation. La gestion de réseau
standardisée se trouve dans le réseau mgmt(2).

- Sous le nœud mgmt(2) se trouvent un certain nombre de nœuds subordonnés

représentant différents services et tentatives de normalisation. La gestion de réseau
standardisée se trouve dans le nœud mib-2(1).

- Sous le nœud mib-2(1) se trouvent un certain nombre de nœud subordonnés

représentant différents groupement de variables MIB, Ce sont des tables contenant les
informations de l'élément du réseau. Ce qu’on appel Les tables MIB, on y trouve :

 Groupe « System » : Informations génériques de configuration.

 Groupe « Interfaces » : Informations concernant les interfaces (type, adresse, nombre
d’octets in/out, statut,…)
 at (adress translation) ou Groupe « ARP » : Liaison Adresse Physique – Adresse
logique.
 Groupe « IP » : Informations sur le niveau IP (TTL, forwarding?, tables de routage,
nombre de paquets, d’octets, de “forward”…)
 Groupe « ICMP » : Informations statistiques sur les messages ICMP (Nombre de
messages, de messages Echo, …)
 Groupe « TCP » : Informations sur les connexions TCP (connexions en cours, nombre
de messages, de circuits ouverts, TTL, …)
 Groupe « UDP », « EGP », « SNMP »…

Remarque : mib-2 est une base d’objets commune à tous les équipements. Correspond à des
informations TCP/IP.

Exemple de variables :

Sous le nœud system(1), on trouve par exemple deux variables MIB sysDescr(1) et
sysLocation(2). Les identifiants d’objets de ces variables (chemin d’accès à ces variables)
s’obtiennent en écrivant de gauche à droite les différents nœuds, séparés par des points :

sysDescr : .1.3.6.1.2.1.1.1

sysLocation : .1.3.6.1.2.1.1.2

Remarque : (.1.3.6.1.2.1), autrement dit .iso.org.dod.internet.mgmt.mib est le début de

chemin le plus souvent employé. Si le chemin indiqué commence par un point
(.1.3.6.1.2.1.1.1) il s'agit d'un chemin absolu, s'il ne commence pas par un point (1.1), il
est considéré comme relatif à ce qui manque, à savoir (.1.3.6.1.2.1).

66
Chapitre IV La supervision des réseaux

Quelques éléments de données de la MIB pour en clarifier le contenu :

Variable MIB Catégorie Description

sysUpTime Système Durée écoulé depuis dernier démarrage
ifNumber interfaces Nombre d’interfaces réseau
ipDefaultTTL ip Valeur utilisée dans le champ TTL
ipInReceives ip Nbre de datagrammes reçus
ipForwDatagrams ip Nbre de datagrammes acheminés
ipOutNoRoutes ip Nbre d’erreurs de routage
ipReasmOKs ip Nbre de datagrammes réassemblés
ipFragOKs ip Nbre de datagrammes fragmentés
ipRoutingTable ip Table de routage IP
icmpInEchos icmp Nbre de demandes d’echo ICMP reçues
tcpMaxConn tcp Nbre maxi de connexions TCP autorisées
tcpInSegs tcp Nbre de segments reçus par TCP
udpInDatagrams udp Nbre de datagrammes UDP reçus
Tableau IV. 1: Exemple d’éléments d’une MIB

IV.3.1.7. Les proxies

L'utilisation de SNMP nécessite que tous les agents supportent un protocole

commun, tel que UDP et IP. Cependant, il est aussi possible de monitorer des équipements
n'utilisant pas TCP/IP ou n'ayant pas d'agent SNMP. Pour cela, un proxy SNMP doit être
installé sur une machine TCP/IP. Ces proxies suppléent les machines inadaptées car ils
connaissent les objets de la MIB nécessaires pour la gestion du système mandaté. La
communication entre le proxy et la machine suppléée ne peuvent pas utiliser SNMP
pour dialoguer et il faut donc, pour le proxy, s'adapter aux protocoles connus par la
seconde machine (faire la translation entre les données d'un agent de supervision privée et
SNMP. Puis transmettre ces données à un superviseur SNMP). L'utilisation de ces proxies
permet ainsi à SNMP de s'adapter facilement à des réseaux très hétérogènes et prouve la
grande flexibilité de ce protocole.

IV.3.2.Les messages SNMP

Il existe trois messages SNMP différents : les requêtes, les réponses et les alarmes
(trapes). Les requêtes SNMP sont les suivantes :

 GetRequest : recherche d'une variable sur un agent.

 GetNextRequest : recherche la variable suivante.
 GetBulk : recherche un ensemble de variables regroupées.
 SetRequest : change la valeur d'une variable sur un agent.

L'agent répond aux requêtes par un message GetResponse. En cas d'erreur, le message
sera accompagné d'un des codes d'erreurs suivants :

 NoAccess : accès non autorisé.

 WrongLength : erreur de longueur.

67
Chapitre IV La supervision des réseaux

 WrongValue : erreur de valeur.

 WrongType : erreur de type.
 WrongEncoding : erreur d'encodage.
 NoCreation : objet inexistant.
 ReadOnly : seule la lecture est autorisée.
 NoWritable : interdiction d'écrire.
 AutorisationError : erreur d'autorisation.

Les alarmes sont envoyées par l'agent lorsqu'un événement survient sur la ressource
monitorée. Elles peuvent prendre les formes suivantes :

 ColdStart (0) : redémarrage du système à froid.

 WarmStart (1) : redémarrage du système à chaud.
 LinkDown (2) : le lien n'est plus opérationnel.
 LinkUp (3) : le lien est à nouveau opérationnel.
 AuthentificationFailure (4) : Tentative d'accès à l'agent avec un mauvais nom de
communauté.
 EgpNeighborLoss (5) : la passerelle adjacente ne répond plus.
 EntrepriseSpecific (6) : alarme spécifique aux entreprises.

IV.4.Les menaces et besoins de sécurité de SNMP

La hausse continuelle des attaques par le réseau a fait apparaître le besoin de sécuriser le
protocole SNMP. On a donc proposé une nouvelle version (SNMPv3) qui vise à apporter des
outils pour sécuriser les échanges SNMP. Deux des objectifs principaux étaient de conserver
un protocole simple d'utilisation et de rester compatible avec les anciennes versions de SNMP
(v1 et v2). SNMPv3 apporte une nouvelle architecture qui répond à plusieurs besoins de
sécurité correspondants à des menaces identifiées :

 Modification de l'information (intégrité).

 Usurpation d'identité (authentification).
 Modification de flux (rejeu).
 Affichage des données (confidentialité).

Dans le cadre de la gestion de réseau, la confidentialité est aussi importante que

l'intégrité et l'authentification dans la mesure où les données échangées sont sensibles. Le
besoin d'authentification est fort car on veut se protéger d'un attaquant qui se ferait passer
pour un manager qui reconfigurerait un équipement au détriment des utilisateurs. Le contrôle
d'accès est également une des priorités. Certaines données ne doivent être accédées (que ce
soit en lecture ou en écriture) que par des utilisateurs dûment autorisés.

68
Chapitre IV La supervision des réseaux

Conclusion

Ce chapitre nous a permis de présenter le principe général d'administration réseau et

d'identifier les besoins fonctionnels et non fonctionnels de notre système. Le chapitre suivant
sera consacré à la spécification et la conception de la plateforme d'administration réseau.

69
 CHAPITRE 5

Conception et
test de
l’infrastructure
de solution
Chapitre V Conception et test de l’infrastructure de solution

Introduction

A l’issu d’une étude préalable du réseau informatique de l’ENIEM (chapitre I), et avec
l’aide de mon encadreur nous avons pu dégager les insuffisances aux quelles nous devions
apporter une solution ; qui consiste à la supervision ainsi qu’à la conception d’un plan de
sécurité plus pertinent qui sera capable de rependre au contraintes de sécurité du millenium du
réseau Informatique de l’entreprise.

Dans ce chapitre, nous allons donc, présenter les spécifications de notre solution de
sécurité et d'administration de la maquette du réseau vulnérable, dont la conception se base
sur un plan de couplage entre sécurité et supervision. En effet, les tests se feront sur des
maquettes de test.

V.1. Les solutions retenues

Après avoir pris connaissances des failles existantes dans la maquette présentée et des
besoins (chapitre I), nous avons opté pour les solutions suivantes :

 Agencement et administration du réseau local sous vlan (l’organiser méthodiquement),

et mise en place d’un plan de sécurité rependant aux besoins prédéfinis.
 Intégration de la fonctionnalité de supervision au réseau.

V.2. Présentation du projet

Mon stage s’est déroulé au sein de l’équipe informatique. Ce service comme nous
l’avons vu auparavant a la responsabilité de la mise en œuvre et de l’administration des
systèmes, et du réseau local reliant les bâtiments qui abritent l’ensemble des équipes de
l’entreprise.

Ce stage comprend le programme suivant les solutions retenues, qui est le suivant :

 Implémentation d’un plan de sécurité et ajout de nouvelles fonctions.

 Interconnexion sécurisée entre l’entreprise et sa direction.
 Mise en place d’une solution de supervision.

 Présentation des différentes étapes du programme :

1. Choix de l’infrastructure du réseau après couplage entre sécurisation et supervision

Avant toutes autre action, il faut décider de la nouvelle architecture (faire évoluer
l’existant), en cohérence avec le programme de la solution et en fonction des besoins en :

 Interconnexion : installation d’un routeur.

 Sécurité : implémentation d’un firewall matériel (PIX 515), et déplacement du serveur
web.
 Supervision et administration : déploiement d’un serveur de supervision global.

70
Chapitre V Conception et test de l’infrastructure de solution

2. Etapes de conception pour le projet de sécurisation :

 Réorganiser par VLAN et administrer ces VLAN et leurs accès après avoir déterminé
un plan d’adressage adéquat.
 Installer un firewall et découper en périmètres (zones) de sécurité.
 Implémenter des mécanismes de sécurité selon périmètres : définir les règles de
filtrage, les translations d’adresses et de ports.

3. Etapes de conception pour le projet d’interconnexion :

 Implanter deux routeurs reliant de façon sécurisée l’ENIEM à sa direction.
 Faire le choix du protocole de routage.
 Choix du protocole d’encapsulation.
 Configurer les deux routeurs (routage, encapsulation, vty…)

4. Etapes de conception pour le projet de supervision :

 Implémentation du système de supervision sous SNMP et installation des outils de
supervision de la sécurité.
 Activation du service SNMP et des paramètres dans chacun des équipements du
réseau à superviser.

5. Mise en œuvre de plateformes de test

 Conception de maquettes virtuelles en se servant d’outils de simulation, émulation et
de virtualisation permettant de tester et d’illustrer les configurations.
 Utilisation des outils de base de diagnostique réseau (ping…).
 Réalisation de test avec les différentes méthodes de sécurisation.
 Réalisation de test sur la supervision.
 Réalisation de test de vulnérabilité et de scan.

71
Chapitre V Conception et test de l’infrastructure de solution

V.3. Les démarches de la conception

V.3.1. Le design de la nouvelle infrastructure

Figure V.1 : Design de l’infrastructure de solution

V.3.2. La sécurisation de l’infrastructure

V.3.2.1. Administration et agencement du réseau local sous VLAN

Etant dans le même réseau, ses activités sont dispersées, c’est pour pallier à cela que
nous utiliserons les VLAN, cela permettra de faciliter le travail de l’administrateur et
l’accroissement de la sécurité. En effet, la segmentation par VLAN permet de créer des
domaines de diffusion gérés par les commutateurs indépendamment de l’emplacement où se

72
Chapitre V Conception et test de l’infrastructure de solution

situent les nœuds, et aussi de regrouper les utilisateurs qui ont besoins d’accéder aux mêmes
ressources. Cela va nous permettre d’avoir un réseau bien ordonné.

Nous allons donc proposer un plan d’adressage et désigner des sous-réseaux, puis
configurer les Switchs selon les besoins convenables en utilisant un réseau VLAN pour
chaque unité (VLAN niveau 3) et spécifier le serveur avec un VLAN, et le département
informatique avec un, et un VLAN (vlan 9) dédié au firewall, voici les étapes :

V.3.2.1.1. Elaborer un nouveau plan d’adressage

Les objectifs du plan d’adressage sont :

 Eviter la duplication accidentelle d’adresses.

 Contrôler le fonctionnement du réseau.
 Organiser l’exploitation de l’intranet.

A. Adressage de l’intranet et segmentation par VLAN :

Nous aurons besoin pour le réseau local (dont l’adresse est 192.168.1.0) de 8 sous-réseaux, le
masque variable sera 255.255.255.224. Nous désignerons ces sous-réseaux selon les besoins :

8 sous-réseaux de 32 (-2) VLAN Désignation

adresses correspondant
0-31 / Switchs

32-63 VLAN 2 Serveur

Plages d’adresses
au sein du sous- 64-95 VLAN 3 Département
réseau Informatique
96-127 VLAN 4 Unité Prestations
Techniques
128-159 VLAN 5 Unité
Commerciale
160-191 VLAN 6 Unité Cuisson

192-223 VLAN 7 Unité

Climatisation
224-240 VLAN 8 Unité Froid
Masque 255.255.255.224 (/27)
Tableau V.1 : Le plan d’adressage et les VLAN du RLE

Remarques 1 : Il est possible d’étendre les plages d’adresses affectées si le nombre de

stations devient plus important que prévu, pour ce faire nous diminuons le masque.

Remarque 2 : pour sortir du VLAN, la route de sortie doit être connue, et doit être pointée
sur l’adresse IP de la carte de commutation sur chaque VLAN. La passerelle par default des
PC pointe donc sur l’adresse IP de l’interface logique (du VLAN d’appartenance).

73
Chapitre V Conception et test de l’infrastructure de solution

 Adressage des interfaces logiques des Switchs : Voici un aperçu sur l’adressage des
interfaces VLAN au niveau des Switchs :

Switchs Interfaces Adresses IP

Sous-sol Switch Fédérateur VLAN 1 192.168.1.1/27
VLAN 2 192.168.1.33/27
VLAN 3 192.168.1.65/27
VLAN 4 192.168.1.97/27
VLAN 5 192.168.1.129/27
VLAN 6 192.168.1.161/27
VLAN 7 192.168.1.193/27
VLAN 8 192.168.1.225/27
VLAN 9 192.168.2.1 /24
Switch département Informatique VLAN 1 192.168.1.2/27
RDC Switch Bâtiment A VLAN 1 192.168.1.3/27
Switch Bâtiment B VLAN 1 192.168.1.4/27
Etage 01 Switch Bâtiment A VLAN 1 192.168.1.5/27
Switch Bâtiment B VLAN 1 192.168.1.6/27
Etage 02 Switch Bâtiment A VLAN 1 192.168.1.7/27
Switch Bâtiment B VLAN 1 192.168.1.8/27

Tableau V.2 : attribution d’adresses aux interfaces VLAN

 Adressage des équipements du réseau local et VLAN d’appartenance :

Position Equipements Adresses IP VLAN

d’appartenance
Switch Fédérateur 192.168.1.1 /27 /
Sous-sol Serveur de base de données 192.168.1.34 /27 VLAN 2
Switch PC Superviseur 192.168.1.66 /27 VLAN 3
Département PC Maintenance 192.168.1.67 /27 VLAN 3
Informatique PC Comptabilité 192.168.1.100/27 VLAN 4
UPT
Switch Bâtiment A PC1-UPT 192.168.1.98 /27 VLAN 4
RDC PC2- UPT 192.168.1.99 /27 VLAN 4
Switch Bâtiment B PC1-département 192.168.1.130/27 VLAN 5
commerciale
PC- ressources 192.168.1.120/27 VLAN 4
Humaines
Switch Bâtiment A PC6-Froid 192.168.1.231 VLAN 8
Etage 01 PC7-Froid 192.168.1.232 VLAN 8
Switch Bâtiment B PC1-Climatisation 192.168.1.194 VLAN 7
PC5-Climatisation 192.168.1.198 VLAN 7
Switch Bâtiment A PC1-Froid 192.168.1.226 VLAN 8
Etage 02 PC-Gestion stocks 192.168.1.135 VLAN 5
Switch Bâtiment B PC1-Cuisson 192.168.1.162 VLAN 6
PC3-Cuisson 192.168.1.164 VLAN 6
Tableau V.3 : Attribution des adresses et VLAN aux équipements
74
Chapitre V Conception et test de l’infrastructure de solution

Remarques :

1. Nous nous sommes contenté de deux à trois Postes de travail par Switch pour illustrer
l’adressage et le fonctionnement. Pour des raisons de pratique, nous ne pouvons pas
représenter tous les postes.

2. Nous pouvons avoir plusieurs réseaux IP sur notre site, mais nous avons limité le nombre à
un réseau IP (192.168.1.0) afin de simplifier la connexion à Internet, car le nombre de réseau
à translaté deviendra une source de complexité, car nous utiliserons un seul point de sortie
vers Internet. Pour nous, le firewall n’aura qu’à prendre un réseau (tout en ayant autant de
sous-réseaux nécessaires pour notre intranet) dans ses règles de translations d’adresses.

 L’infrastructure du réseau local avec le plan d’adressage :

Figure V.2 : la plateforme du réseau local avec le plan d’adressage et les VLAN

75
Chapitre V Conception et test de l’infrastructure de solution

B. Adressage du WAN :

Nous utiliserons un réseau IP dédié, et cela pour les raisons suivantes :

 Ces adresses ne sont pas diffusées sur l’ensemble du réseau, elles ne sont connues
qu’entre routeurs adjacents.
 Ces adresses n’ont pas besoin d’être connues des utilisateurs.
 Permet de mieux identifier les liaisons WAN.

 L’architecture de la connexion sécurisée WAN et son plan d’adressage:

192.168.3.2
192.168.4.1 192.168.3.1

192.168.2.254

192.168.4.2
193.95.1.7

192.168.5.1
192.168.7.254
192.168.5.2

Figure V.3 : Architecture de l’interconnexion des RLE de l’entreprise

V.3.2.1.2. Configurer les Switchs

Les étapes principales de configurations de nos Switchs sont les suivantes :

A. Créer les VLAN

Switch(config)# vlan vlan-id

Switch(config-vlan)# name vlan-name

B. Assigner les VLAN

Switch(config)# interfaces type-interface id-interface

Switch(config-if)#switchport mode [access | trunk]

Switch(config-if)#switchport access vlan vnal-id

76
Chapitre V Conception et test de l’infrastructure de solution

C. Créer des ACL pour gérer les communications entre VLAN (routage inter-VLAN) :

 ACL 1:
 Autoriser l’accès de l’administrateur (superviseur) à tous les postes, donc à
tous les VLAN.
 Autoriser l’accès du PC-Maintenance à tous les postes.
 ACL 2: interdire tous accès à l’administrateur et au PC maintenance sauf si c’est un
echo-reply, c’est-à-dire une réponse à un ping (pong).
 ACL 3: autoriser l’accès de tous les sous-réseaux du réseau local 192.168.1.0 au
serveur de base de données et interdire l’accès d’autres.
 ACL 4: interdire la communication entre les postes du VLAN 7 avec ceux du VLAN
5 et autoriser les autres communications.
 ACL 5 : interdire les communications entre VLAN 6 et VLAN 8.

D. configurer la route d’accès à internet

Nous indiquons le point de sortie, qui correspond à l’interface 192.168.2.254 :

switch(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.254

.Configurations correspondante en lignes de commandes :

 Configuration du Switch fédérateur :

switch>enable //passer du mode non privilégié en mode Exec

switch#configure terminal // passer en mode configuration global
switch(config)#enable password Eniem7 //attribuer un mot de passe
switch(config)#hostname Federateur //attributer un nom au Switch
Federateur(config)#interface vlan 1 //passer en mode configuration de l’interface vlan1
Federateur(config-if)#ip address 192.168.1.1 255.255.255.224 //attribuer une addresse
Federateur(config-if)#no shutdown //activer l’interface
Federateur(config-if)#exit //quitter le mode configuration actuel
Federateur(config)# vtp mode server //configurer le Switch en serveur VTP
Federateur(config)# vtp domain Eniem.fr
Federateur(config)# vtp version 2
Federateur(config)#vlan 2 //créer le vlan 2
Federateur(config-vlan)#name serveur //attribuer un nom au vlan 2
Federateur(config-vlan)#exit
Federateur(config)#interface vlan 2 //configurer l’interface vlan2
Federateur(config-if)#ip address 192.168.1.33 255.255.255.224
Federateur(config-if)#no shutdown

77
Chapitre V Conception et test de l’infrastructure de solution

Federateur(config-if)#exit
Federateur(config)#vlan 3 //créer le vlan 3
Federateur(config-vlan)#name Informatique //attribuer un nom au vlan 3
Federateur(config-vlan)#exit
Federateur(config)#interface vlan 3 //configurer l’interface vlan3
Federateur(config-if)#ip address 192.168.1.65 255.255.255.224
Federateur(config-if)#no shutdown
Federateur(config-if)#exit
//pour créer les autre vlan (4, 5, 6 , 7, 8), on suit les même étapes que pour vlan 2 et 3
Federateur(config)#interface fastEthernet 0/2
Federateur(config-if)#switchport mode access //definer l’interface en mode access
Federateur(config-if)#switchport access vlan 2 //assigner l’interface au vlan 2
Federateur(config-if)#no shutdown
Federateur(config-if)#exit
Federateur(config)#interface fastEthernet 0/9
Federateur(config-if)#switchport mode access //definer l’interface en mode access
Federateur(config-if)#switchport access vlan 9 //assigner l’interface au vlan 9
Federateur(config-if)#no shutdown
Federateur(config-if)#exit
//Créer les ACL et les attributer aux interfaces vlan
Federateur(config)#access-list 101 permit icmp 192.168.1.66 0.0.0.0 any
Federateur(config)#access-list 101 permit icmp 192.168.1.67 0.0.0.0 any
Federateur(config)#access-list 101 permit icmp any 192.168.1.34
Federateur(config)#access-list 102 permit icmp any 192.168.1.66 0.0.0.0 echo-reply
Federateur(config)#access-list 102 permit icmp any 192.168.1.67 0.0.0.0 echo-reply
Federateur(config)#interface vlan 3
Federateur(config-if)#ip access-group 101 in
Federateur(config-if)#ip access-group 102 out
Federateur(config-if)#exit
Federateur(config)#access-list 103 permit icmp 192.168.1.0 0.0.0.255 host 192.168.1.34
Federateur(config)#interface vlan 2
Federateur(config-if)#ip access-group 103 out
Federateur(config-if)#exit
Federateur(config)#access-list 104 deny icmp host 192.168.1.194 host 192.168.1.130
Federateur(config)#access-list 104 deny icmp host 192.168.1.194 host 192.168.1.135

78
Chapitre V Conception et test de l’infrastructure de solution

Federateur(config)#access-list 104 deny icmp host 192.168.1.198 host 192.168.1.130

Federateur(config)#access-list 104 deny icmp host 192.168.1.198 host 192.168.1.135
Federateur(config)#access-list 104 permit any any
Federateur(config)#access-list 104 permit icmp any any
Federateur(config)#interface vlan 7
Federateur(config-if)#ip access-group 104 in
Federateur(config-if)#exit
Federateur(config)#access-list 105 deny icmp host 192.168.1.162 host 192.168.1.226
Federateur(config)#access-list 105 deny icmp host 192.168.1.164 host 192.168.1.226
Federateur(config)#access-list 105 deny icmp host 192.168.1.162 host 192.168.1.231
Federateur(config)#access-list 105 deny icmp host 192.168.1.164 host 192.168.1.231
Federateur(config)#access-list 105 deny icmp host 192.168.1.162 host 192.168.1.232
Federateur(config)#access-list 105 deny icmp host 192.168.1.164 host 192.168.1.232
Federateur(config)#access-list 105 permit icmp any any
Federateur(config)#interface vlan 6
Federateur(config-if)#ip access-group 105 in
Federateur(config-if)#exit
Federateur(config)#exit
Federateur#write terminal // sauvegarder la configuration

 Configuration du Switch du département informatique :

switch>enable
switch#configure terminal
switch(config)#enable password Eniem7
switch (config)#hostname Informatique
Informatique(config)#interface vlan 1
Informatique(config-if)#ip address 192.168.1.2 255.255.255.224
Informatique(config-if)#no shutdown
Informatique(config-if)#exit
Informatique(config)#vtp mode client
Informatique(config)#interface fastEthernet 0/1
Informatique(config-if)#switchport mode trunk
Informatique(config-if)#switchport trunk encapsulation dot1q
Informatique(config-if)#no shutdown

79
Chapitre V Conception et test de l’infrastructure de solution

Informatique(config-if)#exit
Informatique(config)#interface fastEthernet 0/2
Informatique(config-if)#switchport mode access
Informatique(config-if)#switchport access vlan 3
Informatique(config-if)#no shutdown
Informatique(config-if)#exit
Informatique(config)#interface fastEthernet 0/3
Informatique(config-if)#switchport mode access
Informatique(config-if)#switchport access vlan 3
Informatique(config-if)#no shutdown
Informatique(config-if)#exit
Informatique(config)#interface fastEthernet 0/4
Informatique(config-if)#switchport mode access
Informatique (config-if)#switchport access vlan 4
Informatique(config-if)#no shutdown
Informatique(config-if)#exit
Informatique(config)#exit
Informatique#write terminal

 Switch RDC Bâtiment A :

switch>enable
switch#configure terminal
switch(config)#enable password Eniem7
switch(config)#hostname BatA_RDC
BatA_RDC(config)#interface vlan 1
BatA_RDC(config-if)#ip address 192.168.1.3 255.255.255.224
BatA_RDC(config-if)#no shutdown
BatA_RDC(config-if)#exit
BatA_RDC(config)#vtp mode client
BatA_RDC(config)#interface fastEthernet 0/1
BatA_RDC(config-if)#switchport mode trunk
BatA_RDC(config-if)#switchport trunk encapsulation dot1q
BatA_RDC(config-if)#no shutdown
BatA_RDC(config-if)#exit
BatA_RDC(config)#interface fastEthernet 0/2

80
Chapitre V Conception et test de l’infrastructure de solution

BatA_RDC(config-if)#switchport mode access

BatA_RDC(config-if)#switchport access vlan 4
BatA_RDC(config-if)#no shutdown
BatA_RDC(config-if)#exit
BatA_RDC(config)#interface fastEthernet 0/3
BatA_RDC(config-if)#switchport mode access
BatA_RDC(config-if)#switchport access vlan 4
BatA_RDC(config-if)#no shutdown
BatA_RDC(config-if)#exit
BatA_RDC(config)#exit
BatA_RDC#write terminal

 Switch RDC Bâtiment B :

switch>enable
switch#configure terminal
switch(config)#enable password Eniem7
switch(config)#hostname BatB_RDC
BatB_RDC(config)#interface vlan 1
BatB_RDC(config-if)#ip address 192.168.1.4 255.255.255.224
BatB_RDC(config-if)#no shutdown
BatB_RDC(config-if)#exit
BatB_RDC(config)#vtp mode client
BatB_RDC(config)#interface fastEthernet 0/1
BatB_RDC(config-if)#switchport mode trunk
BatB_RDC(config-if)#switchport trunk encapsulation dot1q
BatB_RDC(config-if)#no shutdown
BatB_RDC(config-if)#exit
BatB_RDC(config)#interface fastEthernet 0/2
BatB_RDC(config-if)#switchport mode access
BatB_RDC(config-if)#switchport access vlan 4
BatB_RDC(config-if)#no shutdown
BatB_RDC(config-if)#exit
BatB_RDC(config)#interface fastEthernet 0/3
BatB_RDC(config-if)#switchport mode access
BatB_RDC(config-if)#switchport access vlan 5

81
Chapitre V Conception et test de l’infrastructure de solution

BatB_RDC(config-if)#no shutdown
BatB_RDC(config-if)#exit
BatB_RDC(config)#exit
BatB_RDC #write terminal

 Switch étage 01 Bâtiment A :

switch>enable
switch#configure terminal
switch(config)#enable password Eniem7
switch(config)#hostname BatA_Etage1
BatA_Etage1(config)#interface vlan 1
BatA_Etage1(config-if)#ip address 192.168.1.5 255.255.255.224
BatA_Etage1(config-if)#no shutdown
BatA_Etage1(config-if)#exit
BatA_Etage1(config)#vtp mode client
BatA_Etage1(config)#interface fastEthernet 0/1
BatA_Etage1(config-if)#switchport mode trunk
BatA_Etage1(config-if)#switchport trunk encapsulation dot1q
BatA_Etage1(config-if)#no shutdown
BatA_Etage1(config-if)#exit
BatA_Etage1(config)#interface fastEthernet 0/2
BatA_Etage1(config-if)#switchport mode access
BatA_Etage1(config-if)#switchport access vlan 8
BatA_Etage1(config-if)#no shutdown
BatA_Etage1(config-if)#exit
BatA_Etage1(config)#interface fastEthernet 0/3
BatA_Etage1(config-if)#switchport mode access
BatA_Etage1(config-if)#switchport access vlan 8
BatA_Etage1(config-if)#no shutdown
BatA_Etage1(config-if)#exit
BatA_Etage1(config)#exit
BatA_Etage1#write terminal

 Switch étage 01 Bâtiment B :

switch>enable
switch#configure terminal

82
Chapitre V Conception et test de l’infrastructure de solution

switch(config)#enable password Eniem7

switch (config)#hostname BatB_Etage1
BatB_Etage1(config)#interface vlan 1
BatB_Etage1(config-if)#ip address 192.168.1.6 255.255.255.224
BatB_Etage1(config-if)#no shutdown
BatB_Etage1(config-if)#exit
BatB_Etage1(config)#vtp mode client
BatB_Etage1(config)#interface fastEthernet 0/1
BatB_Etage1(config-if)#switchport mode trunk
BatB_Etage1(config-if)#switchport trunk encapsulation dot1q
BatB_Etage1(config-if)#no shutdown
BatB_Etage1(config-if)#exit
BatB_Etage1(config)#interface fastEthernet 0/2
BatB_Etage1(config-if)#switchport mode access
BatB_Etage1(config-if)#switchport access vlan 7
BatB_Etage1(config-if)#no shutdown
BatB_Etage1(config-if)#exit
BatB_Etage1(config)#interface fastEthernet 0/3
BatB_Etage1(config-if)#switchport mode access
BatB_Etage1(config-if)#switchport access vlan 7
BatB_Etage1(config-if)#no shutdown
BatB_Etage1(config-if)#exit
BatB_Etage1(config)#exit
BatB_Etage1#write terminal

 Switch étage 02 Bâtiment A :

switch>enable
switch#configure terminal
switch(config)#enable password Eniem7
switch (config)#hostname BatA_Etage2
BatA_Etage2(config)#interface vlan 1
BatA_Etage2(config-if)#ip address 192.168.1.7 255.255.255.224
BatA_Etage2(config-if)#no shutdown
BatA_Etage2(config-if)#exit
BatA_Etage2(config)#vtp mode client

83
Chapitre V Conception et test de l’infrastructure de solution

BatA_Etage2(config)#interface fastEthernet 0/1

BatA_Etage2(config-if)#switchport mode trunk
BatA_Etage2(config-if)#switchport trunk encapsulation dot1q
BatA_Etage2(config-if)#no shutdown
BatA_Etage2(config-if)#exit
BatA_Etage2(config)#interface fastEthernet 0/2
BatA_Etage2(config-if)#switchport mode access
BatA_Etage2(config-if)#switchport access vlan 8
BatA_Etage2(config-if)#no shutdown
BatA_Etage2(config-if)#exit
BatA_Etage2(config)#interface fastEthernet 0/3
BatA_Etage2(config-if)#switchport mode access
BatA_Etage2(config-if)#switchport access vlan 5
BatA_Etage2(config-if)#no shutdown
BatA_Etage2(config-if)#exit
BatA_Etage2(config) #exit
BatA_Etage2 #write terminal

 Switch étage 02 Bâtiment B :

switch>enable
switch#configure terminal
switch(config)#enable password Eniem7
switch (config)#hostname BatB_Etage2
BatB_Etage2(config)#interface vlan 1
BatB_Etage2(config-if)#ip address 192.168.1.8 255.255.255.224
BatB_Etage2(config-if)#no shutdown
BatB_Etage2(config-if)#exit
BatB_Etage2(config)#vtp mode client
BatB_Etage2(config)#interface fastEthernet 0/1
BatB_Etage2(config-if)#switchport mode trunk
BatB_Etage2(config-if)#switchport trunk encapsulation dot1q
BatB_Etage2(config-if)#no shutdown
BatB_Etage2(config-if)#exit
BatB_Etage2(config)#interface fastEthernet 0/2
BatB_Etage2(config-if)#switchport mode access

84
Chapitre V Conception et test de l’infrastructure de solution

BatB_Etage2(config-if)#switchport access vlan 6

BatB_Etage2(config-if)#no shutdown
BatB_Etage2(config-if)#exit
BatB_Etage2(config)#interface fastEthernet 0/3
BatB_Etage2(config-if)#switchport mode access
BatB_Etage2(config-if)#switchport access vlan 6
BatB_Etage2(config-if)#no shutdown
BatB_Etage2(config-if)#exit
BatB_Etage2(config)#exit
BatB_Etage2#write terminal

V.3.2.2. Implémentation du firewall matériel PIX (Private Internet eXchange)

V.3.2.2.1. Choix du type de firewall PIX Cisco

Figure V.4 : Types de firewall PIX Cisco

 Caractéristiques du PIX 515 :

 Il est désigné pour les petites et moyennes entreprises mais aussi pour les
grandes entreprises.
 Interfaces :
 Supporte jusqu’à six interfaces 10/100 fastEthernet.
 Supporte jusqu’à 25 VLANS.
 Peut fonctionner en failover: Active/Standbay, Active/Active.
 Supporte jusqu’à 2000 tunnels VPN.

85
Chapitre V Conception et test de l’infrastructure de solution

 Ce qui en fait un excellent choix pour les entreprises nécessitant un bon rapport coût-
efficacité, c’est la solution de sécurité résiliente en "zone démilitarisée". Il offre également
jusqu'à 188 Mbits / s de débit firewall avec la capacité de traiter plus de 130000 sessions
simultanées.

Remarque : les PIX 501 et 506 sont utilisés dans les petits bureaux et pour le télétravail, les
PIX 525 et 535, sont conçus pour les grandes entreprises, pour du gigabits Ethernet.

 Nous avons choisi donc pour sécuriser notre réseau, le firewall PIX 515E

V.3.2.2.2. Inclure le firewall PIX dans le réseau

Nous plaçons le PIX 515 entre le réseau interne et le réseau externe, Nous allons le doté
de trois interfaces réseaux : une connectée au réseau local (Inside, Ethernet1), l’autre à
Internet (Outside, Ethernet0) et la troisième au serveur Web (DMZ, Ethernet2) comme le
montre la figure :

Figure V.5 : schéma de branchement du firewall

Avec sa, trois zones de sécurité différente seront créées:

 La zone interne avec 100% de sécurité (Inside Network)Le réseau local.
 La zone externe avec 0% de sécurité (Outside Network) Internet.
 La zone intermédiaire avec 50% de sécurité (DMZ)  Serveur Web.

86
Chapitre V Conception et test de l’infrastructure de solution

Figure V.6 : Cloisonnement du réseau en trois zones de sécurité

Remarque : dans cette architecture, il y’a différence de protection périmètrique, les flux entre
les zones sont ainsi filtrés à différents niveaux, on établie des règles d’accès entre ces trois
zones telque:

 Du plus sécurisé vers le moins sécurisé  accès autorisé.

 Du moins sécurisé vers le plus sécurisé  accès interdit (ou limité avec des ACL).

V.3.2.2.3. Les procédures de configuration du firewall PIX 515

Pour configurer le firewall nous devons suivre les étapes suivantes :

 Configurer les interfaces du firewall.

 Configurer les translations d’adresses.
 Configurer le routage.
 Contrôler les accès avec des ACL.

1. Configurer les interfaces du pare-feu : nous suivons les procédures suivantes :

 Donner un nom pour chaque interface.

 Donner une adresse IP.
 Donner le niveau de sécurité.

Nom :DMZ
@IP :192.168.3.1
Niveau-sécurité : 50

Nom :Outside
Nom :Inside
@IP :192.168.4.1
@IP :192.168.2.254
Niveau-sécurité : 0
Niveau-sécurité :100

Figure V.7 : Configuration des trois interfaces du firewall

87
Chapitre V Conception et test de l’infrastructure de solution

. La configuration en lignes de commandes :

Pixfirewall>enable
Pixfirewall #configure terminal
Pixfirewall(config) #enable password Eniem7
Pixfirewall(config)#interface Ethernet 0 //configurer l’interface Ethernet 0
Pixfirewall(config-if)#nameif Outside
Pixfirewall(config-if)#ip address
Pixfirewall(config-if)#Security-level 0
Pixfirewall(config-if)#Duplex auto
Pixfirewall(config-if)#speed auto
Pixfirewall(config-if)#exit
Pixfirewall(config)#interface Ethernet 1 //configurer l’interface Ethernet 1
Pixfirewall(config-if)#nameif Inside
Pixfirewall(config-if)#ip address
Pixfirewall(config-if)#Security-level 100
Pixfirewall(config-if)#Duplex auto
Pixfirewall(config-if)#speed auto
Pixfirewall(config-if)#exit
Pixfirewall(config)#interface Ethernet 2 //configurer l’interface Ethernet 2
Pixfirewall(config-if)#nameif DMZ
Pixfirewall(config-if)#ip address
Pixfirewall(config-if)#Security-level 50
Pixfirewall(config-if)#Duplex auto
Pixfirewall (config-if)#speed auto
Pixfirewall(config-if)#exit

2. Translation d’adresses

Pour éviter que nos adresses entrent en conflit avec celles de l’internet, mais aussi pour
masquer notre plan d’adressage interne vis-à-vis des utilisateurs situés sur Internet nous
utilisons la NAT et la PAT.

Remarque : il y’a garantie que toutes les adresses privées ne seront jamais routées sur
Internet

 Configurer les translations d’adresses :

.Indiquer l’application PAT à toute machine (0.0.0.0 0.0.0.0) venant de l’interface Inside.

88
Chapitre V Conception et test de l’infrastructure de solution

Pixfirewall(config)#nat (inside) 1 0.0.0.0 0.0.0.0

.Indiquer de faire du PAT avec l’interface outside :

Pixfirewall(config)#global (outside) 1 interface

. Appliquer un mappage de redirection entre Inside et DMZ et entre DMZ et Outside :

Pixfirewall(config)#static (Inside,DMZ) 192.168.3.0 192.168.2.0 netmask 255.255.255.0

. Redirection des adresses venant de l’extérieur vers la DMZ :

Pixfirewall(config)#static (DMZ,Outside) 192.168.4.1 192.168.3.2

PAT

Figure V.8 : configuration du PAT

3. Configurer le routage :
192.168.4.2 192.168.2.1

Route par default Route statique

Figure V.9 : Le routage au niveau du firewall

. Indiquer aux adresses appartenant au réseau 192.168.1.0 la route vers l’interface VLAN 9
(192.168.2.1) :

Pixfirewall(config)#route Inside 192.168.1.0 255.255.255.0 192.168.2.1 1

.Indiquer la passerelle 192.168.4.2 pour toutes autres adresses (non locale) :

Pixfirewall(config)#route Outside 0.0.0.0 0.0.0.0 192.168.4.2 1

89
Chapitre V Conception et test de l’infrastructure de solution

4. Filtrer les accès au réseau

Dans un firewall, l’accès de plus sécurisé à moins sécurisé est autorisé, et du moins
sécurisé vers le plus sécurisé l’accès est interdit. De la, personne ne peut accéder au serveur
web pour consulté le site de l’ENIEM, et même la direction générale n’a pas d’accès au RLE.
C’est pour cela, que nous allons créer des ACL qui autoriseront certains accès :

.Autoriser le service http de toute machine vers la DMZ :

Pixfirewall(config)#access-list 101 permit http any host 192.168.3.2 eq

. Autoriser l’accès des PC de la direction Générale aux PC1-Commerciale et pc-ressources

humaines ainsi qu’au PC-gestion stocks :

Pixfirewall(config)#access-list 101 permit tcp 192.168.7.0 0.0.0.255 host 192.168.1.130 eq

Pixfirewall(config)#access-list 101 permit tcp host 192.168.7.7 host 192.168.1.120 eq

Pixfirewall(config)#access-list 101 permit tcp host 192.168.7.7 host 192.168.1.135 eq

Pixfirewall(config)#access-list 101 deny tcp any any

Pixfirewall(config)#access-group 101 in interface outside

V.3.3. Interconnexion entre l’entreprise ENIEM et sa direction générale

Le réseau WAN va interconnecter le RLE de l’entreprise ENIEM (située à la zone
industrielle) au RLE de sa direction générale à Tizi-Ouzou, celui-ci utilisera les sévices d’un
réseau de transport qui correspond aux couches physique (niveau 1) et logique (niveau 2), tel
que Ethernet est utilisée pour le RLE, et FrameRelay pour le WAN.
Cette technologie repend à des contraintes plus larges. Dans ce projet d’interconnexion nous
allons :
 Interconnecter des RLE via FrameRelay et Gérer la qualité de service.
 Configurer le routage.
 Sécurisé l’interconnexion.
Les étapes sont comme suite :

V.3.3.1. Choix du routeur

Afin de choisir le bon routeur qui sera cohérant avec nos besoins il faut se baser sur les
points suivants :
 Les réseaux supportés (Ethernet, Token-Ring,…)
 Les supports WAN disponibles (RTC, X25, FrameRelay, PPP, HDLC…)
 Les protocoles supportés (TCP/IP…)

90
Chapitre V Conception et test de l’infrastructure de solution

 Les protocoles et méthodes de routage (OSPF, RIP, EGRP…)

 Administration (administrabilité)

 Le routeur 2600 supporte les réseaux Ethernet, englobe un support WAN FrameRelay,
et supporte le protocole TCP/IP, celui-ci peut utiliser OSPF pour le routage, en plus il
est administrable. Nous utiliserons donc le routeur Cisco C2600.

V.3.3.2. Le choix de la technologie d’encapsulation

Début

Oui Non Service opérateur niveau 2 :

Service opérateur Solution
niveau 1 : LS privée ? FrameRelay ou ATM(Asynchronous
Transfer Mode)

Voix + PPP : de 64 Kbps

données ? à 2 Mbps

Oui

Besoin en FrameRelay : de
haut 64Kbps à 34 Mbps
débit ?
non

Oui
ATM : plus
de 34 Mbps

Fin
Figure V.10 : Choix de la technologie d’encapsulation

 FrameRelay, revient moins couteux et repend aux besoins de notre réseau, tout en
offrant une bonne qualité de services (gérer les congestions et garantir les débits). Nous
utiliserons donc l’encapsulation le protocole Framerelay.

V.3.3.3. Choix du protocole de routage

Une fois arrivés sur le WAN, les paquets IP provenant du RLE se trouvent face à de
multiples routes allant vers la même destination. Il convient d’utiliser un protocole de routage
dynamique, nous avons alors le choix entre RIP et OSPF. Ce dernier étant le plus performant
et le plus rependu, même s’il est un peut complexe à programmer.

91
Chapitre V Conception et test de l’infrastructure de solution

 Nous utiliserons donc OSPF.

V.3.3.4. Connecter notre routeur au réseau de transport

La manière la plus simple de raccorder notre routeur consiste à les configurer en FRAD
(FrameRelay Access Device). Dans ce cas les trames LAN (Ethernet) seront converties en
trame FrameRelay. Une fois mise en place, la liaison FrameRelay permettra aux routeurs de
se joindre directement.

Figure V.11 : Connexion du routeur au réseau de transport

Remarque : si notre routeur ne supportait pas FrameRelay, nous l’aurions connecté à des
FRAD de l’opérateur via son interface série.

V.3.3.5. Configurer les routeurs

1. Configurations de base :

Router>enable
Router#configure terminal
Router(config)#hostname RouteurENIEM
RouteurENIEM(config) #enable password Eniem7
RouteurENIEM(config) #enable secret Eniem2013 //définir un mot de passe crypté

3. configuration de la ligne console :

RouteurENIEM(config) #line console 0

RouteurENIEM(config-line) #enable pasword ENIEM2013

.Configurer la ligne de console pour exiger un mot de passe à l’ouverture de la session :

RouteurENIEM(config-line) #login

92
Chapitre V Conception et test de l’infrastructure de solution

Rappal : La connexion au routeur s'effectue par le port console en utilisant la ligne associée à
ce port ou bien à distance en utilisant les lignes virtuelles

4. Configurer des lignes virtuelles (vty) :

Afin de permettre la connexion telnet ou ssh sur le routeur si nous désirons administrer
le routeur à partir d’une liaison Ethernet et non série. Voici la configuration pour chacun des
routeurs:
RouteurENIEM(config) #line vty 0 4
RouteurENIEM(config-line) #password Eniem7
RouteurENIEM(config-line) #login //configurer le terminal virtuel pour qu’il exige un
mot de passe à l’ouverture d’une session

5. Configuration des interfaces :

Les ports LAN (Ethernet) des routeurs, nous les avons utilisé pour relier les réseaux LAN
Ethernet et les port Série pour simuler le réseau WAN. Les configurations sont comme suite :

 Routeur ENIEM :
 Interfaces Ethernet :

RouteurENIEM(config) #interface Ethernet 2/0

RouteurENIEM(config-if) #ip address 192.168.4.2 255.255.255.0
RouteurENIEM(config-if) #shutdown
RouteurENIEM(config-if) #no shutdown
RouteurENIEM(config-if) #exit

 Interfaces Séries :

RouteurENIEM(config)#Interface serial 1/0

RouteurENIEM(config) #ip address 192.168.5.1 255.255.255.0
RouteurENIEM(config-if) #shutdown
RouteurENIEM(config-if) #no shutdown
RouteurENIEM(config-if) #exit
RouteurENIEM(config)#Interface serial 1/1
RouteurENIEM(config-if) #ip address 193.95.1.7 255.255.255.0
RouterENIEM(config-if) #shutdown
RouteurENIEM(config-if) #no shutdown

 Routeur de la Direction générale :

 Interfaces Ethernet :

RouteurDG(config) #interface Ethernet 2/0

93
Chapitre V Conception et test de l’infrastructure de solution

RouteurDG(config-if) #ip address 192.168.7.254 255.255.255.0

RouteurDG(config-if) #shutdown
RouteurDG(config-if) #no shutdown
RouteurDG(config-if) #exit

 Interfaces Séries :

RouteurDG(config)#Interface serial 1/0

RouteurDG(config) #ip address 192.168.5.2 255.255.255.0
RouteurDG(config-if) #shutdown
RouteurDG(config-if) #no shutdown

6. Mise au point de la fonction de routage :

.Configuration du routage avec OSPF :

. La première tâche est d’activer le routage OSPF. Sur nos routeurs, il faut attribuer un
numéro de processus, car plusieurs instances d’OSPF peuvent fonctionner simultanément.

. Le seconde tâche est de définir l’aire, appelé backbone area. Dans notre cas area 0

Remarque : même si de nombreuses configurations d’OSPF sont possibles, il est conseillé

de respecter les règles qui suivent :

. L’aire doit couvrir toutes les interfaces WAN du routeur (interfaces séries, RNIS, ATM…)

. Une aire doit être définie par site ou par groupes de sites fédérés. L’intérêt étant de contrôler
la diffusion des sites.

 Routeur ENIEM :

RouteurENIEM(config) #router ospf 1

RouteurENIEM(config-router) #Network 192.168.4.0 0.0.0.255 area 0

RouteurENIEM(config-router) #Network 192.168.5.0 0.0.0.255 area 0

RouteurENIEM(config-router) #Network 193.95.1.7 0.0.0.0 area 0

 Routeur de la Direction générale :

RouteurDG(config) #router ospf 1

RouteurDG(config-router) #Network 192.168.5.0 0.0.0.255 area 0

RouteurDG(config-router) #Network 192.168.7.0 0.0.0.255 area 0

94
Chapitre V Conception et test de l’infrastructure de solution

7. Configuration de FrameRelay :

 Routeur ENIEM :

RouteurENIEM(config)#Interface serial 1/0

RouteurENIEM(config-if)#encapsulation frame-relay

 Routeur de la Direction générale:

RouteurDG(config)#Interface serial 1/0

RouteurDG (config-if)#encapsulation frame-relay

8. Sécurisation générale des routeurs :

La sécurisation des routeurs est assurée avec :

. Des mots de passe cryptés :

Routeur(config) #enable secret password

. Interdiction d’accès aux autres terminaux virtuels :

Routeur(config)#line vty 5 15
Routeur(config-line) #no login

. Désactivation des services non utilisés qui peuvent être exploités pour nuire :

Routeur(config)#no service tcp-small-servers

Routeur(config) #no service udp-small-servers

 Désactivent les services TCP et UDP echo, daytime et chargen, qui ne sont pas utilisés de
manière générale et peuvent permettre de récolter des informations utiles ou de lancer des
attaques par déni de service. Il est préférable que ces services à valeur ajoutée soient assurés
par un serveur dédié.

Routeur(config)#no ip bootp server

 Désactive le service bootp, qui utilise le routeur pour récupérer des informations réseau et
expose de ce fait ce dernier à des attaques par déni de service.

V.3.4. Supervision du réseau

Plus un réseau est important plus il devient difficile à gérer. Même lorsque le réseau est
fonctionnel, il y’a des événements et des erreurs qui ne sont pas perceptibles, mais qui
peuvent le devenir sous certaines conditions. Il convient donc d’utiliser une maintenance
préventive avec des outils qui simplifient sa gestion, et diminuent donc le nombre potentiel de
pannes et d’éviter le pire, et garantir avec sa, la fiabilité et la disponibilité, cella entre en
relation avec la sécurité.

95
Chapitre V Conception et test de l’infrastructure de solution

 La plateforme de supervision sous SNMP :

Figure V.12 : la plateforme de supervision et le flux SNMP

Rappel : La NMS (Network Managment Station) gère les NME (Network managment Entity)

Une telle plateforme va fédérer la gestion du parc informatique autour d’une gestion
centralisée des alarmes, cela nécessite un paramétrage très important. Et donc, dans le cadre
d’une supervision centralisée en temps réel, nous allons:

 Installer et configurer un serveur de supervision global, et installer les outils

nécessaires.
 Configurer les équipements pour qu’ils soient supervisés par le manager installé.

V.3.4.1. Installer et configurer un serveur de supervision global :

La mise au point comprend, l’installation d’un NMA, SNMP, et des outils d’analyse et scan :

V.3.4.1.1. Installation d’une NMA (Network Management Application) :

Nous utilisons PRTG (Paessler Router Trafic Grapher). C’est un outil qui surveille
l'utilisation du réseau et de la bande passante ainsi que différents autres paramètres via
SNMP, tels que l'utilisation de la mémoire vive et celle de l'unité centrale, fournissant ainsi
aux administrateurs système des mesures temps réel et des tendances d'utilisation périodiques
leur permettant d'optimiser l'efficacité, l'organisation et la configuration des lignes

96
Chapitre V Conception et test de l’infrastructure de solution

permanentes, des routeurs, des pare-feu, des serveurs et autres composants du réseau qui sont
compatible SNMP.

PRTG tourne sur un ordinateur Windows, les données statistiques enregistrées sont
stockées dans une base de données interne pour être exploitées, celles-ci sont visualisées sur
l’interface graphique Windows de PRTG. Voici l’interface graphique de PRTG 13 :

Figure V.13 : L’interface graphique de PRTG

V.3.4.1.2. Installation des outils d’analyse et de gestion réseau (démons SNMP

sous Windows XP) :

L'installation se fait sous le système Windows XP. Il faudra juste faire un peu attention à
ne pas laisser l'accès à n'importe qui sur n'importe quoi. Les étapes sont les suivantes :

97
Chapitre V Conception et test de l’infrastructure de solution

1. Aller dans le panneau de configuration - Ajout/suppression de programmes -

ajouter/supprimer des composants Windows :

Figure V.14 : Installation des outils d’analyse et de gestion

2. Cocher la case "Outils de gestion et d'analyse".
3. Cliquer sur "Détails" et cocher la case "SNMP ".

V.3.4.1.3. Paramétrer le service SNMP client (superviseur) :

Les procédures sont comme suite :

1. Gérer poste de travail, en cliquant du bouton droit sur "Poste de travail":

2. Développer "Service et applications" et repérer "Service SNMP" :

98
Chapitre V Conception et test de l’infrastructure de solution

Figure V.15 : Gestion de l’ordinateur

3. Double-cliquer sur service SNMP pour configurer l'agent et la sécurité :

Figure V.16 : configuration de l’agent SNMP

99
Chapitre V Conception et test de l’infrastructure de solution

4. Cliquer sur l’onglet sécurité afin de configurer la communauté, et les sources de

paquets SNMP autorisés :

Figure V.17 : configuration de la sécurité du service SNMP

V.3.4.1.4. Déploiement d’un outil d’analyse de vulnérabilités et un outil de

scanne pour superviser la sécurité :

Afin de superviser la sécurité du réseau nous avons choisi l’utilisation de :

1. MBSA (Microsoft Baseline Security Analyzer) :

C’est un outil conçu par Microsoft pour vérifier le niveau de sécurité des machines
Windows à distance ou en local. Et nous avons besoin d’un tel outil.

Ce logiciel va nous offrir de bonne fonctionnalités qui vont nous facilité la supervision
de la sécurité de nos postes, il nous permet de donc de:
 Analyser les applications.
 Détérminer les vulnérabilités d’administration Windows : nous permet d'analyser les
problèmes de sécurité du système d'exploitation, liés notamment à l'état du compte
Invité, au type du système de fichiers, aux partages de fichiers disponibles et aux
membres du groupe Administrateurs.
 Rechercher les mots de passes vulnérables.
 Analyser les mises à jour de sécurité : MBSA utilise pour sa base de données des
mises à jour, ou un catalogue hors ligne qui est mis à jour par Microsoft dès que des
mises à jour de sécurité sont disponibles. Ce catalogue permet de vérifier l'état des
mises à jour de sécurité sur les ordinateurs analysés. Si une mise à jour de sécurité
figurant dans le catalogue n'est pas installée sur l'ordinateur analysé, MBSA la signale
dans le rapport de sécurité. MBSA recherche les mises à jour de sécurité, service
packs et correctifs cumulatifs manquants pour tous les produits pris en charge par
Microsoft Update.

100
Chapitre V Conception et test de l’infrastructure de solution

 Afficher les ressources analysées.

 Afficher les détails des résultats.
 Obtenir des solutions pour corriger les problèmes.

Les détails de rapports sont donnés sous la même forme que cet exemple :

Score Catégorie Résultat

Mises à jour de Impossible de charger le fichier CAB de sécurité
sécurité
Comment corriger le problème
Test des mots
de passe des Certains comptes d’utilisateurs (3 sur 4) ont un mot de passe vide ou simple, ou n’ont pas pu être
comptes locaux analysés.
Afficher les ressources analysées Détails du résultat Comment corriger le problème
Mises à jour La fonctionnalité de mise à jour automatique est désactivée sur cet ordinateur.
automatiques Afficher les ressources analysées Comment corriger le problème
Expiration des Certains comptes d’utilisateurs (3 sur 4) ont un mot de passe n’expirant pas.
mots de passe Afficher les ressources analysées Détails du résultat Comment corriger le problème

Mises à jour Aucune installation de mise à jour logicielle incomplète n'a été détectée.
incomplètes Afficher les ressources analysées
Pare-feu Le Pare-feu Windows n’est pas installé ou configuré, ou n’est pas disponible dans cette version de
Windows Windows.

Système de Tous les disques durs (4) utilisent le système de fichiers NTFS.
fichiers Afficher les ressources analysées Détails
Autologon L’ouverture de session automatique n’est pas configurée sur cet ordinateur.
Afficher les ressources analysées
Compte Invité Le compte Invité est désactivé sur cet ordinateur.
Afficher les ressources analysées
Accès Les accès anonymes sont restreints de façon adéquate sur cet ordinateur.
anonymes Afficher les ressources analysées
Administrateurs Pas plus de 2 administrateurs ont été trouvés sur cet ordinateur.
Afficher les ressources analysées Détails
Statut de SQL Server et/ou MSDE n’est pas installé sur cet
SQL ordinateur
Server/MSDE

Remarque : les rapports sont donnés avec des scores, ceux-là doivent de préférence être
classés par ordre du «plus pire en premier ». Voici les scores :

 Analyse impossible.

 Le test a échoué (critique).

 Le test a échoué (non critique).

 Recommandations ou informations supplémentaires.

 Le test à réussi.

 Le test n’a pas été effectué.

101
Chapitre V Conception et test de l’infrastructure de solution

Voici l’interface graphique de MBSA :

Figure V.18 : L’interface graphique de MBSA

Nous pouvons analyser un ordinateur, ou plusieurs à la fois, mais aussi analyser

l’ordinateur où MBSA est installé (superviseur) en spécifiant les paramètres suivants:

Figure V.19 : Analyse individuelle d’un ordinateur sous MBSA

102
Chapitre V Conception et test de l’infrastructure de solution

Figure V.20 : Analyse d’un groupe d’ordinateurs sous MBSA

2. Nmap :

Nmap est un scanneur de ports. Nous l’utiliserons pour :

 Détecter les ports ouverts.

 Détecter les services hébergés et ainsi de désactiver ceux qui sont inutilisés, afin
d’éviter qu’un malfaiteur puisse exploiter sont port ouvert pour dressé des attaques.
 Récolter des informations sur le système d’exploitation d’un ordinateur distant.

Cela nous permettra donc, d’avoir une idée sur ce que notre système donnera
d’informations s’il subit un scanne d’un pirate, et donc connaitre le niveau de sécurité et par
cela le niveau d’exposition aux menaces, et en contre partie, prendre les mesures nécessaires.

Ce logiciel est devenu une référence pour les administrateurs réseaux, car l’audit
des résultats de Nmap fournit beaucoup d’indications sur la sécurité du réseau de l’entreprise.

103
Chapitre V Conception et test de l’infrastructure de solution

Figure V.21 : L’interface graphique de Nmap

Une fois mis en place, nous spécifions les adresses IP des postes à analyser un à
un, en spécifiant à chaque fois le profil du scan à effectuer, puis nous lançons le scan :

Figure V.22 : Lancer un scanne avec Nmap

V.3.4.2. Configuration des équipements à superviser

Dans cette partie, nous allons configurer le service SNMP serveur (des équipements à
supervisés) :

V.3.4.2.1. Paramétrer les Postes de travail

1. Installation des démons SNMP :

L'installation se fait sous le système Windows XP. Nous suivrons les mêmes procédures
que pour le superviseur :

104
Chapitre V Conception et test de l’infrastructure de solution

Aller dans le panneau de configuration - Ajout/suppression de programmes -

ajouter/supprimer des composants Windows - Cocher la case "Outils de gestion et d'analyse" -
cliquer sur "Détails" - Cocher la case "SNMP (Protocole simplifié de gestion de réseaux)".

2. Paramétrer le service SNMP serveur :

Notre configuration va nous servir pour que seule la machine locale « superviseur »
puisse lire la totalité de la MIB et aussi écrire, à travers la communauté « public ».

Etapes :

1. Gérer poste de travail, en cliquant du bouton droit sur "Poste de travail":

2. Développer "Service et applications" et repérer "Service SNMP" :
3. Double-cliquer dessus pour configurer l'agent et la sécurité :

Figure V.23 : Configuration du service SNMP serveur

Remarque : Nous ne créerons donc qu'une communauté « public », qui aura les droits
depuis une seule machine (192.168.1.66) qui est le superviseur.

V.3.4.2.2. Configurer le protocole SNMP dans les Switchs et les routeurs et le

firewall

Nous donnons si dessous, un exemple de configuration pour le Switch du département

informatique. Il suffit de suivre les mêmes étapes pour les autres équipements. Les étapes :

1. Activer l’accès SNMP : configurer l’équipement afin qu’il accepte les « get » et
« set » SNMP avec la communauté « public » en lecture écriture :

105
Chapitre V Conception et test de l’infrastructure de solution

Switch(config) # snmp-sever community public rw // droit d’accès en lecture écriture

2. Configurer l’équipement pour envoyer les paquets SNMP au manager :

Switch(config) # snmp-sever host 192.168.1.66 public

3. Activer l’envoi des traps SNMP de l’équipement vers le manager :

Switch(config) # enable snmp traps {type}

 Cette commande permet aux « traps » d’être envoyées automatiquement au manager, il

suffit juste d’indiquer le type de « traps » à activer. Exemple : CPU, VTP…

4. Définir l’interface qui sera la source des traps :

Switch(config) # snmp-server trap-source fastEthernet 0/2

Remarque : pour une meilleure sécurité, nous pouvons créer une liste d’accès qui donne tout
les droits au superviseur :

Switch(config) #access-list 1 permit 192.168.1.66 0.0.0.0 //le superviseur uniquement

Switch(config) #snmp-server community public RW 1

V.3.5. Mise en œuvre de plateformes virtuelles pour les tests

Dans les parties précédentes, Nous avons décris les démarches à suivre pour implémenter
notre solution de sécurité et supervision. Dans ce qui suit, nous aborderons les différentes
méthodes de tests, en utilisant des logiciels spécifiques pour chaque fonction.

V.3.5.1. Les logiciels utilisés pour simuler la mise en œuvre des solutions
Afin de réaliser nos tests pour chacune des fonctions ci-dessous, nous utilisons pour :

 Test des différentes configurations (Switchs, routeurs, PC)  le logiciel Packet

tracer.
 Test de configuration du pare-feu  GNS3.
 Test de supervision  GNS3 associé à VMware, avec le logiciel de monitoring
PRTG.
 Analyse des vulnérabilités (repérage des failles)  le logiciel MBSA (Microsoft
Baseline Security Analyzer).
 Scanne des ports (services)  le logiciel Nmap.
 Capture de trames  Wireshark (il s'agit d'un analyseur de protocoles très complet
qui permet, entre autres, d'analyser très finement les trames protocolaires SNMP).

106
Chapitre V Conception et test de l’infrastructure de solution

V.3.5.2. Les tests de configuration

 La maquette de test :

Figure V.24 : La maquette de test du RLE sous Packet tracer

 Simulation :

Remarque : nous ne feront que certains tests et visualisations afin de démontrer le

fonctionnement du plan.

107
Chapitre V Conception et test de l’infrastructure de solution

1. Les VLAN :

.Vérification de la création des VLAN :

Federateur#show vlan

Figure V.25 : La visualisation des VLAN créés

2. Vérifier la configuration de VTP:

Federateur#show vtp status

Figure V.26 : La visualisation de la configuration de vtp serveur

108
Chapitre V Conception et test de l’infrastructure de solution

Figure V.27 : La visualisation de la configuration de vtp client sur le Switch Informatique

3. Vérifier la configuration et l’état des interfaces fastEthernet et logiques :

Federateur#show ip interface brief

Figure V.28 : La visualisation de la configuration et l’état des interfaces FastEthernet du

Fédérateur

109
Chapitre V Conception et test de l’infrastructure de solution

Figure V.29 : La visualisation de la configuration et l’état des interfaces logiques

du Fédérateur

Figure V.30 : La visualisation de l’état des interfaces du Switch du département

informatique

110
Chapitre V Conception et test de l’infrastructure de solution

4. Vérifier la configuration des ACL :

Federateur#show running-config

Figure V.31 : La visualisation des ACL configurées

5. Test des ACL :

.ACL1 et ACL2 : Les PC maintenance et superviseur ont l’accès vers tous les autres postes
des autres VLAN, mais aucun n’a accès à ces deus postes, voici des exemples de ping:

Figure V.32 : Résultat du ping du PC superviseur vers VLAN 8 et VLAN 4

111
Chapitre V Conception et test de l’infrastructure de solution

Figure V.33 : Résultat du ping du PC maintenance vers VLAN 4

 Prise en compte de l’ACL 1. Ces deux PC ping avec succès tout les autres postes.

Figure V. 34: Résultat du ping du VLAN4 vers PC superviseur et PC maintenance

 Prise en compte de l’ACL 2. Aucun PC n’arrive à pinguer le superviseur et le PC

maintenance.

. ACL 3 : tout les PC du réseau locale (192.168.1.0 /27) peuvent accéder au serveur. L’accès
de l’exterieur est interdit.

112
Chapitre V Conception et test de l’infrastructure de solution

Figure V.35 : Résultat de ping local et non local vers le serveur de base de données

 Prise en compte de l’ACL 3. C’est seulement les PC du RLE qui ont accès au serveur.

. ACL 4 : les VLAN 7 et VLAN 5 ne communiquent pas entre eux.

Figure V.36 : résultat des ping entre VLAN 7 et VLAN 5

 Prise en compte de l’ACL 4.

Remarque :l’ACL 5 est aussi prise en compte, car VLAN 6 et VLAN 8 ne communiquent
pas.

113
Chapitre V Conception et test de l’infrastructure de solution

6. La route d’accès à internet :

Federateur#show ip route

Figure V.37 : visualisation de la route de sortie pour le RLE

7. Vérifier la configuration du routeur :

.Affichage des lignes disponibles :

RouteurENIEM(config)#do show line

Figure V.38 : visualisation des lignes de configuration disponibles

114
Chapitre V Conception et test de l’infrastructure de solution

. Vérifier la configuration des interfaces du routeur :

RouteurENIEM#show running-config

Figure V.39 : vérification de la configuration des interfaces

. Vérifier la configuration d’ospf et de Frame-Relay :

Figure V.40 : vérification de la configuration d’ospf et Frame-Relay

115
Chapitre V Conception et test de l’infrastructure de solution

8. Vérifier la configuration du firewall :

.Configuration des trois interfaces du pare-feu :

Pixfirewall#show running-config

Figure V.41 : Vérification de la configuration des interfaces de PIX

. Translation d’adresses :

Pixfirewall#show nat

Figure V.42 : Visualisation de la configuration de translation d’adresses

116
Chapitre V Conception et test de l’infrastructure de solution

.Le routage :

Figure V.43 : Visualisation des routes configurées

Remarque : “S” veut dire “Static”, et “C” veut dire “Connected”. Et “ *” candidate default.

. Les ACL :

Pixfirewall#show running-config

Figure V.44 : Visualisation des listes d’accès configurées

117
Chapitre V Conception et test de l’infrastructure de solution

9. Simulation de la solution de supervision

 Mise au point des outils :

1. Installer VMware afin de créer nos machines virtuelles dotées de Windows XP.
2. Activer et configurer le service SNMP pour une seule communauté que nous appelons
« public ». et nous spécifions la réception des paquets en indiquant les adresses
comme suite :
.Pour le superviseur : recevoir des parquets SNMP de tout les équipements à
supervisés.
.Pour les équipements (PC, Switchs, Routeurs, Firewall) : recevoir des paquets SNMP
du superviseur (192.168.1.66).
3. Installer PRTG afin de pouvoir automatiser la gestion du réseau sous une interface
graphique simple.
4. Installer MBSA et Nmap, afin de mieux superviser la sécurité de notre réseau.
5. Configurer les VMnet (cartes réseau des PC virtuels)
6. Pour pouvoir émuler les PC virtuels crées dans VMware, nous leurs spécifions les
cartes réseau correspondantes VMnet (celles de VMware) .

 La maquette virtuelle utilisée pour la supervision : là aussi, nous ne ferons que

quelques exemples afin de démontrer le fonctionnement et la possibilité
d’implémentation :

Figure V.45 : maquette pour tester la supervision sous GNS3

118
Chapitre V Conception et test de l’infrastructure de solution

Remarque : vu que nous ne pouvons pas émuler un Switch, nous avons émulé un routeur en
tant que Switch. Pour ce faire, nous avons inséré un module pour Switch (NM-16ESW :
Network Module-16 interfaces) dans le slots 1 du routeur C3600.

 Vérification de la configuration des agents SNMP :

Figure V.46 : Vérification de la bonne configuration des agents SNMP d’équipements

Une fois les configurations vérifiées, nous passons à la supervision via SNMP, avec PRTG,
MBSA, Nmap, et Wireshark :

119
Chapitre V Conception et test de l’infrastructure de solution

 Superviser avec PRTG :

.Mise en route :

Figure V.47 : Mise en route de PRTG

. Ajouter un groupe : clique droit sur Local probe :

Figure V.48 : Ajouter un groupe d’équipements sous PRTG

Remarque : nous avons besoin de créer un group « Réseau Test », et 3 sous-groupes, un pour
les PC, un pour les Switchs, et un autre pour les routeurs. Nous remarquerons que le groupe
de la probe et les capteurs associés à l’équipement sont déjà créés (automatiquement).

120
Chapitre V Conception et test de l’infrastructure de solution

.Spécifier les données :

Figure V.49 : Spécification des données du groupe créé

Figure V.50 : Le groupe Réseau Test créé

.Ajouter des capteurs : après avoir ajouter des équipements de la même manière que l’ajout
d’un groupe, il nous faut ajouter des capteurs en fonction de ce que nous voulons superviser :

Cliquer sur bouton droite de la sourie sur l’équipement, puis sur ajouter un capteur :

121
Chapitre V Conception et test de l’infrastructure de solution

Figure V.51 : Ajouter un capteur

.Voici des exemples de capteurs de supervision de disponibilité :

Figure V.52 : Exemples de capteurs

Remarque : une fois le capteur est ajouter, il prendra une couleur selon son état
d’avancement ; vert quand il est fonctionnel, rouge quand il n’est pas fonctionnel, l’orange est
un avertissement, et il devient bleu quand il est suspendu.

122
Chapitre V Conception et test de l’infrastructure de solution

Figure V.53 : Les états et les notifications des capteurs PRTG

.Nous procédons avec la même manière pour créer les trois groupe, et les trois équipements à
supervisé (PC maintenance, Switch test, Routeur test) ainsi que leurs capteurs :

Figure V.54 : La mise au point des groupes

123
Chapitre V Conception et test de l’infrastructure de solution

.Nous pouvons consulter chaque capteur en cliquant dessus. Voici un exemple :

Figure V.55 : Etat du capteur SNMP

. Nous peut observer le mécanisme de la supervision via SNMP, pour ce, nous utilisons
Wireshark pour la capture de trame. Clique droit sur l’interface où nous ferons la capture :

Figure V.56 : lancer la capture de trames

124
Chapitre V Conception et test de l’infrastructure de solution

.Voila le résultat :

Trame SNMP get-response Trame SNMP get-request

OID (identifiant de l’objet supervisé)

Figure V.57 : Capture de trames SNMP

Remarque : Nous cliquons sur la trame SNMP get-request pour voir le contenu.

125
Chapitre V Conception et test de l’infrastructure de solution

Nous cliquons sur la trame SNMP get-response :

La valeur de la variable renvoyée

par l’agent de l’équipement

Figure V.58 : Capture de trames SNMP

La MIB liste l’unique identifiant OID de chaque objet supervisé dans le réseau SNMP.
Notre Manager SNMP ne peut monitorer notre équipement que s’il compile son fichier MIB
(il compile le fichier MIB qui est en syntaxe ASN.1 (fichier texte) en fichier binaire), qu’il
intègre par la suite dans le gestionnaire de MIB du NMA (PRTG) :

Figure V.59 : Principe d’interrogation de MIB

126
Chapitre V Conception et test de l’infrastructure de solution

 Superviser la sécurité avec MBSA :

.Spécifier le hôte à analyser puis cliquer sur Démarrer l’analyser :

Figure V.60 : Démarrer l’analyse d’un hôte avec MBSA

Figure V.61 : Résultat de l’analyse avec MBSA

127
Chapitre V Conception et test de l’infrastructure de solution

 Scan de port avec Nmap :

Démarrer Nmap, entrer l’adresse IP de la cible (post à scanner), par exemple PC

maintenance, sélectionner intense scan puis cliquer sur scan pour lancer un scan :

Figure V.62 : Résultat d’un scan avec Nmap

 Le résultat du scan nous donne les ports ouverts ainsi que des informations sur le système
utilisé et l’adresse MAC. Nmap offre aussi d’autres fonctionnalités comme, la visualisation
d’hôtes, des services de chaque port, et même du traceroute :

Figure V.63 : Les fonctionnalités offertes par Nmap

128
Chapitre V Conception et test de l’infrastructure de solution

Figure V.64 : La visualisation des hôtes

.Synthèse : nous adoptant le plan de notre conception en se servant des outils de test, nous
avons vérifié les points suivants :
 Création des VLAN.
 Configuration du VTP serveur et client.
 Les interfaces logiques et fastEthernet sont bien configurables.
 Le routage inter-vlan et les ACL sont respectés et sont bien fonctionnels.
 L’accès au serveur est bien limité (et donc sécurisé).
 Le plan d’adressage offre une bien une souplesse et facilité de manipulation.
 La configuration du firewall.
 La configuration de Frame Relay et d’OSPF.
 La configuration de SNMP.
 La possibilité de récolter des informations sur l’état des systèmes du réseau
et diagnostiquer les problèmes de fonctionnement et de sécurité avec notre
plan de supervision.

Conclusion
Dans ce chapitre nous avons présenté les spécifications de ma solution de sécurité et de
supervision ainsi que les différentes étapes d’implémentation. Nous également réalisé une
série de tests avec différentes options. Il est toutefois important de prendre les résultats avec
prudence, car ceux-ci sont dépendants de notre plateforme de tests (processus, mémoire…).

129
Conclusion
générale
 Conclusion gÄnÄrale

Conclusion

Le r€seau informatique est au cœur de l’entreprise, quelle que soit son secteur
d’activit€. On peut facilement comparer la place que joue le r€seau informatique au sein d’une
entreprise ƒ celle que joue le syst„me nerveux chez l’…tre humain. En effet, il doit fonctionner
pleinement et en permanence pour garantir l’activit€. Les probl„mes de s€curit€ doivent donc
…tre r€duits au minimum, car une indisponibilit€ du syst„me d’information ou la perte de son
authenticit€ peut …tre une cause de pertes pour notre entreprise.

Pour ce, deux phases sont importantes : garantir la s€curit€ du syst„me et de

l’information, mais aussi tenter de pr€venir en cas de probl„me et, le cas €ch€ant, garantir une
remont€e d’information rapide et une dur€e d’intervention minimale (c’est le r†le de la
supervision).

Dans ce m€moire, nous nous sommes int€ress€ ƒ la conception d’une solution visant la
s€curit€ du r€seau de l’ENIEM y compris son syst„me de gestion, mais aussi la surveillance
de ce r€seau y compris sa politique et ses syst„mes de s€curit€ (cela contribue ƒ contr†ler que
la strat€gie d€finie dans la politique de s€curit€ est mise en œuvre par les niveaux de pilotage
et op€rationnel, et ƒ la remont€e d'informations pertinentes jusqu'aux d€cideurs).

C’est important de souligner que la strat€gie de s€curit€ adopt€ ne sera pas uniques,
car au fur et ƒ mesure, il y’a de nouvelle attaques qui apparaissent, d’o‡ l’utilit€ des audits de
s€curit€. En effet, nous proposons ces perspectives pour mieux atteindre le but de ce
m€moire :

Le d€ploiement d’une faˆon strat€gique d’une unit€ IDS (Intrusion Detection System)
voir m…me une IPS (Intrusion Prevention System) afin de d€tecter les attaques et de pr€venir
des menaces venants se heurter au r€seau.

Application de fonction de redondance au niveau du r€seau, on installant des liaisons

redondantes fonctionnant selon le besoin en mode Active-Active, ou en mode Active -
Standby.

Installation et configuration d’une liaison backup entre l’ENIEM et sa direction

g€n€rale assurant ainsi la permanence d’interconnexion en cas de coupure ou saturation de la
liaison existante.

Configuration de la supervision du RLE de la direction G€n€rale via SNMP, tel que

les alarmes et notifications seront envoy€s par mail au superviseur global.

Par ailleurs, l’€tude d’un tel th„me, nous a amener ƒ conclure que la supervision et la
s€curit€ sont deux m€canisme d€pendants, en effet ceux-lƒ se coalisent pour former une
strat€gie fiable. Cela nait du besoin de superviser le plan et le syst„me de s€curit€
(fonctionnement, suivi, anomalies…), mais aussi de s€curiser le syst„me de supervision ainsi
que les €changes des donn€es de supervision.

130
 Conclusion gÄnÄrale

Nous avons pu prouver qu’il est r€alisable d’associer ƒ l’infrastructure du r€seau

informatique vuln€rable de l’entreprise ENIEM un plan couplant entre s€curit€ et supervision,
tout en automatisant la remont€e des alarmes et des notifications. Nous avons €galement
r€alis€ une s€rie de tests avec diff€rentes options. Il est toutefois important de prendre les
r€sultats avec prudence, car ceux-ci sont d€pendants de notre plateforme de tests (processus,
m€moire…).

L’infrastructure conˆue pour le r€seau de l’ENIEM va permettre de satisfaire les

besoins en termes de confidentialit€, disponibilit€, int€grit€, authentification, et contr†le
d’acc„s, et par cela r€duire les risques encourus.

131
Bibliographie
Bibliographie

 Livres :

[1] Claude SEVERIN, Préface de Jean-Pierre Arnaud, « RESEAUX &

TELECOMS », 2e édition, DUNOD Informatique, 2003.

[2] Tarmo ANTTALAINEN, « introduction to Telecommunications Network

Engineering », 2nd edition, Artech House, 2003.

[3] Jean-Luc MONTAGNIER, « Réseaux d’entreprises par la pratique», edition

Eyrolles.

[4] Stallings W. « Network Security ». 2nd edition. Prentice Hall, 2003.

[5] Vincent REMAZEILLES, « La sécurité des réseaux avec CISCO». Edition eni.

[6] Jean-François PILLOU, Jean-Philippe BAY, « Tout sur la sécurité

informatique ». 2e édition, DUNOD, 2005.

[7] Jean-Luc MONTAGNIER. « Construire son réseau d’entreprise ». Éditions

Eyrolles, 2001.

[8] Cédric LIORENS, Laurent LEVIER, Denis VALOIS. « Tableaux de bord de la

sécurité réseau ». 2nd edition. Editions Eyrolles, 2003.

 Articles :

[9] Cécilien CHARLOT. « Solution NAC de contrôle d’accès au réseau ». [H5845],

base documentaire Attaques et mesures de protection des SI (2008). Dans le
thème sécurité des systèmes d’information, et dans l’univers technologies de
l’information. Edition Techniques de l’ingénieur.

[10] Olivier WILLM. « Administration de réseaux informatiques : protocole

SNMP ». [H 2840], base documentaire Architecture des systèmes et réseaux
Bibliographie
(2003). Dans le thème Technologies logicielles Architectures des systèmes et
dans l’univers technologies de l’information.

[11] Sarah NATAF, Vincent BEL, Franck VEYSSET. « Technique de supervision

de la sécurité des réseaux IP ». [H 5820], dans le thème sécurité des systèmes
d’information. Edition Techniques de l’ingénieur.

[12] Microsoft Etudes 2008. « Sécurité des réseaux informatiques ». Microsoft

corporation, 2007.

 Sites :

[10] www.sndl.cerist.dz

[11] www.commentcamarche.com

[17] www.Cisco.com

. www.devellopez.com

. www.dpstelecom.com

. www.wiki.monitoring-fr.org

. http://www.loriotpro.com/
Annexe A
Annexe A Format des PDU (Protocol Data Unit)

A.1.Structure d’un paquet IPV4

Figure A.1 : Structure d’un paquet IPV4

 Champs et descriptions :

 Version (Ver): Indique la version de protocole IP utilis€e (4 bits).

 HL (Header Length): taille de l’en-t‚te avec les options.
 Service : type de service pour IP
 Longueur totale (Total length): Pr€cise la longueur du paquet IP en entier, y compris les
donn€es et l'en-t‚te, en octets (16 bits).
 Identification : identifiant du datagramme, utilis€ pour la fragmentation.
 Flag (F) : drapeau binaire (sur 3 bits) pour la fragmentation.
 Offset : offset du datagramme courant dans le datagramme fragment€.
 Dur•e de vie (TTL): Un compteur qui d€croƒt graduellement, par incr€ments, jusqu’„ z€ro. …
ce moment, le datagramme est supprim€, ce qui emp‚che les paquets d'‚tre continuellement en
boucle (8 bits).
 Somme de contr‚le (Checksum): Assure l'int€grit€ de l'en-t‚te IP (16 bits).
 Adresse d’origine : Indique le nœud €metteur (32 bits)
 Adresse de destination: Indique le nœud r€cepteur (32 bits).
 Donn•es: Cet €l€ment contient des informations de couche sup€rieure (longueur variable,
maximum 64 Ko).
 Remplissage: Des z€ros sont ajout€s „ ce champ pour s'assurer que l'en-t‚te IP soit toujours
un multiple de 32 bits.

A.2. Structure d’un segment TCP

Le protocole TCP encapsule les informations provenant de la couche sup€rieure dans des
segments dont voici les principales informations :

Figure A.2 : Structure d’un segment TCP

Annexe A Format des PDU (Protocol Data Unit)

 Champs et descriptions :

 Port source : Num€ro du port appelant

 Port de destination : Num€ro du port appel€
 Num•ro de s•quence : Num€ro utilis€ pour assurer le s€quen‡age correct des donn€es
entrantes
 Nƒ d'accus• de r•ception : Prochain octet TCP attendu
 Somme de contr‚le : Somme de contrˆle calcul€e des champs d'en-t‚te et de donn€es
 Donn•es : Donn€es du protocole de couche sup€rieur

A.3. Structure d’un datagramme UDP

UDP €tant un protocole non orient€ connexion, il dispose d’un en-t‚te de taille r€duite par rapport
aux en-t‚tes des segments TCP :

Figure A.3 : Structure d’un datagramme UDP

Le protocole UDP est con‡u pour les applications ne devant pas assembler de s€quences de
segments. Il laisse aux protocoles de la couche application le soin d assurer la fiabilit€.

A.4. Structure d’une trame Ethernet II

Les trames Ethernet V2 sont les plus utilis€es actuellement :

Figure A.4 : Format d’une trame Ethernet II

 Champs et descriptions :

 Pr•ambule : Annonce le d€but de la trame et permet la synchronisation.

 Adresse destination et adresse source: adresses physiques des cartes Ethernet destination et
source.
 Type : Indique quel protocole est concern€ par le message. La carte r€alise un d€multiplexage
en fournissant les donn€es au protocole concern€.
 Donn•es : L’information v€hicul€e par la trame.
 CRC (Cyclic Redundancy Code): Champ de contrˆle de la redondance cyclique. Permet de
s'assurer que la trame a €t€ correctement transmise et que les donn€es peuvent donc ‚tre
d€livr€es au protocole destinataire.
Annexe A Format des PDU (Protocol Data Unit)

A.5. Format d’une trame 802.1q

Afin qu’une trame Ethernet d’un certain VLAN puisse ‚tre identifi€e, un code d’identification
VLAN (CLI-Tag Control Information) d€finit par la norme 802.1q est rajouter.

Figure A.5 : Format d’une trame 802.1q

 Champs et descriptions :

 TPID (Tag Protocol Identifier): type du tag, 0x8100 pour 802.1Q.

 TCI (Tag Control Information) : le label 802.1q ins€r€ dans la trame Ethernet.
 COS (Class Of Service) ou Priorit• : niveaux de priorit€ d€finis par l’IEEE 802.1P.
 CFI (Common Format Identifier) : Ethernet ou token-ring.
 VLAN-id: VLAN identifier (num€ro), cod€ sur 12 bits (jusqu’„ 4096 vlans).

. Information : Le standard IEEE 802.1Q

Le standard 802.1Q de l'IEEE est aujourd'hui le standard de fait pour l'identification des trames
faisant partie d'un r€seau virtuel. Il a succ€d€ „ ISL (Inter-Switch Link), protocole propri€taire
d€velopp€ par Cisco (et €galement repris par quelques autres constructeurs).

Le principe g€n€ral est de rajouter dans chaque trame Ethernet destin€e „ ‚tre transmise d'un
commutateur „ un autre quelques en-t‚tes suppl€mentaires contenant en particulier l'identifiant du
r€seau virtuel auquel elle appartient (VID, VLAN Identifier), qui est un num€ro sur 12 bits, de 0 „
4094 (4095 est r€serv€ et, en pratique, 0 et 1 sont inutilis€s).

A.6. Structure d’une trame SNMP (PDU SNMP)

Le format d’un message SNMP standard :

Figure A.6 : Format d’un message SNMP standard

 Champs et descriptions :

 Version : pr€cise la version du protocole SNMP utilis€e.

 Community : nom pour identifier le manager et filtrer l’acc‰s aux informations.
 PDU (Protocol Data Unit) SNMP : il est constitu€ de l’une des trois PDU suivants :
Annexe A Format des PDU (Protocol Data Unit)

 PDU GetRequest, GetNextRequest et SetRequest :

Figure A.7 : Format d’une PDU GetRequest, GetNextRequest et SetRequest

 Type : indique s'il s'agit d'une PDU GetRequest, GetNextRequest ou SetRequest.
 Request-Id : La r€ponse „ la requ‚te sera retourn€e avec la valeur fournie par ce
champ, afin d'associer la r€ponse „ la requ‚te.
 Affectation des variables : est une suite de couples d'identificateurs et de valeurs
associ€es. Les valeurs sont fournies uniquement dans le cas d'une PDU SetRequest.

 PDU GetResponse :

Figure A.8 : Format de PDU GetResponse

 Type : permet de reconnaƒtre une PDU SetResponse des PDU pr€c€dentes (dont le
format est identique).
 Les champs error-status et error-index : nous informent sur le r€sultat de la requ‚te.

 PDU Trap :


Figure A.9 : Format de PDU trap

Tel que Affectation :

. Champs de PDU trap :

 Entreprise : Il est l'identifiant de l'agent ayant g€n€r€ l'alarme.

 Agent-addr : C'est l'adresse IP de l'agent ayant g€n€r€ l'alarme.
 Generic-Trap : Ce champ prend une des sept valeurs possibles de l'alarme :

 0  ColdStart : red€marrage du syst‰me „ froid.

 1 WarmStart : red€marrage du syst‰me „ chaud.
 2LinkDown : le lien n'est plus op€rationnel.
 3LinkUp : le lien est „ nouveau op€rationnel.
 4AuthentificationFailure : Tentative d'acc‰s „ l'agent avec un mauvais nom
de communaut€.
 5EgpNeighborLoss : la passerelle adjacente ne r€pond plus.
 6EntrepriseSpecific : alarme sp€cifique aux entreprises.

 Specific-Trap : Ce champ est un code d€terminant la nature de l'alarme. Il est

sp€cifique „ chaque agent propri€taire.
 Time-Stamp : Ce champ donne le temps €coul€, en millisecondes, entre l'envoi de
l'alarme et l'initialisation de l'agent.
Annexe B
Annexe B Lexique des commandes Cisco

Introduction
Cette documentation regroupe des commandes utilisÄes sur les routeurs et commutateurs CISCO. En
introduction seront prÄsentÄes les commandes permettant de configurer les bases du routeur et du commutateur
tels que nom de l'Äquipement, mots de passe, banniÅre, commandes de sauvegarde, de visualisation et
configuration basique d'interfaces. Par la suite, les commandes spÄcifiques aux routeurs et aux commutateurs
seront prÄsentÄes respectivement.
B.1. Les conventions d’•criture
Italique indique des arguments dans lesquels l'utilisateur fournit des valeurs
[X] indique un ÄlÄment facultatif
| indique un choix facultatif ou obligatoire
[X|Y] indique un choix facultatif
{X|Y} indique un choix obligatoire

B.2. les commandes de base

B.2.1.Commandes pour changer de mode d'ex•cution et de configuration :
Router> enable //*passage du mode exec (ou utilisateur ou inprivil€gi€) au mode privil€gi€*//
Routeur# //*mode privil€gi€*//
Router# configure terminal //*passage en mode de configuration global*//
Router(config)# //*mode configuration global*//
Router(config)# exit | end | ^C | ^Z //* quitter le mode actuel*//
Router# disable //*passage du mode privil€gi€ au mode utilisateur*//
Router> //*mode utilisateur*//
Router# ? //*afficher de l’aide sur les commandes*//
B.2.2.Outils de diagnostic :
Router# ping ip-address
Router# traceroute ip-address
B.2.3.Visualisation de l'•tat de l'•quipement :
Router# show version
Router# show flash
Router# show memory
Router# show interfaces
Switch# show history
Switch# terminal history {size number }
B.2.4.Visualisation et sauvegarde de la configuration :
Router# show running-config //*afficher la configuration actuelle (en cours)*//
Router# show startup-config //*afficher la configuration de d€marrage (celle enregistr€e)
Router# copy running-config startup-config
Router# copy running-config tftp:
Switch# copy system:running-config tftp:[[[//location ]/directory ]/filename ]
Switch# copy nvram:startup-config tftp:[[[//location ]/directory ]/filename ]
B.2.5.Suppression du fichier de configuration :
Router# erase nvram:startup-config
Router# erase startup-config
B.2.6.Configuration de base d'un •quipement CISCO :
Router(config)# hostname router-name //*nom de l’€quipement*//
Router(config)# enable password password //* mot de passe *//
Router(config)# enable secret password //*mot de passe crypt€*//
Router(config)# banner motd # message #
Router(config)# banner login # message #
B.2.7.Configuration de la console et du terminal virtuel :
Router(config)# line console 0
Router(config-line)# password password
Router(config-line)# login
Router(config-line)# logging synchronous
Router(config)# line vty 0 4
Switch(config)# line vty 0 15
Router(config-line)# password password
Router(config-line)# login
Router(config)# service password-encryption
Annexe B Lexique des commandes Cisco

B.3. Les commandes sp•cifique aux routeurs et aux Switchs

B.3.1. Routeurs
B.3.1.1. Configuration des interfaces sur un routeur :
Router(config)# interface type port
Router(config-if)# ip address ip-address subnet-mask
Router(config-if)# description description
Router(config-if)# clock rate rate
Router(config-if)# no shutdown
Router(config-if)# exit
B.3.1.2. Configuration du routage :
Cisco Discovery Protocol (CDP) :
Router# show cdp neighbors
Router# show cdp neighbors detail
Router(config)# no cdp run
Router(config-if)# no cdp enable
Configuration de routes statiques et route statique par d•faut :
Router(config)# ip route prefix mask {ip-address | interface-type interface-number [ip-address ]} [distance ] [name ]
[permanent] [tag tag ]
Router(config)# ip route network-address subnet-mask {ip-address |exit-interface }
Router(config)# ip route 0.0.0.0 0.0.0.0 [exit-interface | ip-address ]
Configuration d'OSPF :
Router(config)# router ospf process-id
Router(config-router)# network network-address wildcard-mask area area-id
Router(config-router)# passive-interface interface-type interface-number
Configuration de l'ID du routeur en configurant une interface de bouclage (Loopback) ou avec la
commande router-id :
Router(config-router)# router-id ip-address
Router(config-if)#ip ospf priority {0 255 }
Router(config)#interface loopback number
Router(config-if)#ip address ip-address subnet-mask
Router#clear ip ospf process
Configuration de la bande passante ou du co‚t pour le calcul de la m•trique d'OSPF :
Router(config-router)# auto-cost reference-bandwidth value-mbps
Router(config-if)# bandwidth bw-kbps
Router(config-if)# ip ospf cost cost
Router# show interface interface-type interface-number
Router(config-if)# ip ospf hello-interval seconds
Router(config-if)# ip ospf dead-interval seconds
Propagation de la route par d•faut :
Router(config)# ip route 0.0.0.0 0.0.0.0 [exit-interface | ip-address ]
Router(config-router)# default-information originate
Visualisation et d•pannage d'OSPF :
Router# show ip ospf [interface interface-type interface-number ]
Router# show ip ospf neighbor
Router# show interface interface-type interface-number
Router# show ip protocols
Commandes de visualisation et de d•pannage pour le routage, valable pour tous les protocoles de routage :
Router# ping ip-address
Router# traceroute ip-address
Router# show ip route
Router# show ip interface brief
Router# show running-config
Router# debug ip routing
Router# undebug ip routing
Router# undebug all
Annexe B Lexique des commandes Cisco

B.3.2. Commutateurs et Commutation

B.3.2.1 Configuration de base d'un commutateur
Configuration de l'interface de gestion sur un commutateur :
Switch(config)# interface vlan vlan-id
Switch(config-if)# ip address ip-address subnet-mask
Switch(config-if)# no shutdown
Switch(config-if)# exit
Switch(config)# interface type port
Switch(config)# interface range type port - port
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan vlan-id
Switch(config-if)# end
Switch(config)# ip default-gateway ip-address
Switch# show ip interface brief
Switch# show ip interface
Configuration d'options sur un port du commutateur :
Switch(config-if)# duplex {auto | full | half}
Switch(config-if)# speed {auto | value-bps }
Switch(config-if)# mdix auto
Possibilit• d'activer l'interface web pour la configuration du commutateur :
Switch(config)# ip http authentication enable
Switch(config)# ip http server
Gestion de la table d'adresse MAC du commutateur :
Switch# show mac-address-table
Switch(config)# mac-address-table static MAC-address vlan {1-4096 | ALL} interface interface-id
B.3.2.2. Configuration de la s•curit• sur les commutateurs :
Configuration de la s•curit• des ports :
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum number
Switch(config-if)# switchport port-security mac-address mac-address
Switch(config-if)# switchport port-security mac-address sticky [mac-address ]
Switch(config-if)# switchport port-security violation {shutdown | restrict |protect}
Switch# show port-security [interface interface-id ]
Switch# show port-security address
B.3.2.3 R•seaux locaux virtuels VLANs
Configuration de VLANs :
Switch(config)# vlan vlan-id
Switch(config-vlan)# name vlan-name
Switch# show vlan [brief | id vlan-id | name vlan-name | summary]
Switch# show interfaces [interface-id | vlan vlan-id ] | switchport
Switch# delete flash:vlan.dat
Configuration d'agr•gations de VLANs (Trunk) :
Switch(config)# interface type port
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk native vlan vlan-id
Switch(config-if)# switchport trunk allowed vlan vlan-id [,vlan-id,vlan-id ...]
Switch(config-if)# switchport trunk allowed vlan add vlan-id
Switch# show interfaces id-interface switchport
Switch# show interfaces trunk
Dynamic Trunking Protocol DTP :
Switch(config)# interface type port
Switch(config-if)# switchport mode access
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport mode dynamic auto
Switch(config-if)# switchport mode dynamic desirable
Switch(config-if)# switchport nonegociate
Switch# show dtp interface type port
VLAN Trunking Protocol VTP
Switch(config)# vtp mode {server | client | transparent }
Switch(config)# vtp domain domain-name
Annexe B Lexique des commandes Cisco

Switch(config)# vtp password password

Switch(config)# vtp version {1 | 2}
Switch(config)# vtp pruning
Switch# show vtp status
Switch# show vtp counters
Switch# show interfaces trunk

Routage inter-vlan
Configuration de sous-interfaces sur un Router-on-a-stick :
Router(config)# interface type interface-number
Router(config-if)# no shutdown
Router(config-if)# interface type interface-number.subinterface-number
Router(config-subif)# encapsulation dot1q vlan-id
Router(config-subif)# ip address ip-address subnet-mask
B.4. R•seaux •tendus WAN
B.4.1 Point-to-Point Protocol PPP
Activation du protocole hdlc sur une interface s•rie :
Router(config-if)# encapsulation hdlc
Activation du protocole ppp sur une interface s•rie :
Router(config-if)# encapsulation ppp
Router(config-if)# compress [predictor | stac]
Router(config-if)# ppp quality percentage
Fonction de rappel PPP (A quoi cela sert-il ? ? ?) :
# ppp callback [accept | request]
B.4.2. Protocole d'authentification du mot de pass PAP et CHAP :
Router(config-if)# ppp authentication {chap | chap pap | pap chap | pap}
[if-needed] [list-name | default] [callin]
Router(config)# username name password password
Router(config-if)# ppp pap sent-username name password password
Exemple de configuration de PAP entre deux routeurs R1 et R2 :
R1(config)# username User2 password User2-password
R1(config-if)# encapsulation ppp
R1(config-if)# ppp authentication pap
R1(config-if)# ppp pap sent-username User1 password User1-password
R2(config)# username User1 password User1-password
R2(config-if)# encapsulation ppp
R2(config-if)# ppp authentication pap
R2(config-if)# ppp pap sent-username User2 password User2-password
Mƒme exemple mais en utilisant CHAP :
R1(config)# username User2 password User2-password
R1(config-if)# encapsulation ppp
R1(config-if)# ppp authentication chap
R1(config-if)# ppp chap hostname User1
R1(config-if)# ppp chap password User1-password
R2(config)# username User1 password User1-password
R2(config-if)# encapsulation ppp
R2(config-if)# ppp authentication chap
R2(config-if)# ppp chap hostname User2
R2(config-if)# ppp chap password User2-password
Visualisation et d•pannage d'une interface s•rie :
Router# show interfaces serial interface-number
Router# show controllers
Router# debug ppp {packet | negotiation | error | authentification | compression |cbcp}
B.4.3. Frame Relay
Configuration de Frame Relay avec mappage statique :
Router(config-if)# encapsulation frame-relay [cisco | ietf]
Router(config-if)# bandwidth bw-kbps
Router(config-if)# no frame-relay inverse-arp
Router(config-if)# frame-relay map protocol protocol-address dlci [broadcast] [ietf] [cisco]
Router# show frame-relay map
Annexe B Lexique des commandes Cisco

Interface de supervision locale LMI :

Router# show frame-relay lmi
Router# frame-relay lmi-type [cisco | ansi | q933a]
Configuration de sous-interfaces Frame Relay :
Router(config)# interface serial interface
Router(config-if)# encapsulation frame-relay
Router(config-if)# interface serial subinterface_number [multipoint | point-to-point]
Router(config-subif)# ip address ip-address subnet-mask
Router(config-subif)# frame-relay interface-dlci dlci-number
Router(config-if)# no shutdown
Visualisation et d•pannage de Frame Relay :
Router# show interfaces
Router# show frame-relay lmi
Router# show frame-relay pvc [interface interface ] [dlci]
Router # clear counters
Router # show frame-relay map
Router # clear frame-relay-inarp
Router # debug frame-relay lmi
B.5. S•curit•
B.5.1 S•curisation g•n•rale du routeur
Configuration de mots de passe s•curis•s et authentification AAA :
Router(config)# aaa new-model
Router(config)# aaa authentication login LOCAL_AUTH local
Router(config)# line console 0
Router(config-line)# login authentication LOCAL_AUTH
Router(config-line)# line vty 0 4
Router(config-line)# login authentication LOCAL_AUTH
Router# username username password password
Router# username username secret password
Router(config)# service password-encryption
Router(config)# security passwords min-length number
Exemple de chiffrement de mots de passe :
R1(config)# username Student password cisco123
R1(config)# do show run | include username username Student password 0 cisco123
R1(config)#
R1(config)# service password-encryption
R1(config)# do show run | include username username Student password 7 03075218050061
R1(config)#
R1(config)# username Student secret cisco
R1(config)# do show run | include username username Student secret 5 $1$z245$lVSTJzuYgdQDJiacwP2Tv/
R1(config)#
D•sactivation de la ligne auxiliaire :
Router(config)# line aux 0
Router(config-line)# no password
Router(config-line)# login
Router(config-line)# exit
Configuration des lignes de terminaux virtuels VTY pour Telnet et SSH :
Router(config)# line vty 0 4
Router(config-line)# no transport input
Router(config-line)# transport input telnet ssh
Router(config-line)# exit
Router(config)# login block-for seconds attempt tries within seconds
Router(config)# security authentication failure rate threshold-rate log
Configuration des lignes de terminaux virtuels VTY uniquement pour SSH :
Router(config)# line vty 0 4
Router(config-line)# no transport input
Router(config-line)# transport input ssh
Router(config-line)# exec-timeout number
Router(config)# service tcp-keepalives-in
Annexe B Lexique des commandes Cisco

Configuration de SSH :
Router(config)# ip ssh version 2
Router(config)# hostname hostname
Router(config)# ip domain-name domain-name
Router(config)# crypto key {generate | zeroise} rsa
Router(config)# username username secret password
Router(config)# line vty 0 4
Router(config-line)# transport input ssh
Router(config-line)# login local
Router(config)# ip ssh time-out seconds
Router(config)# authentification-retries number
Router# show ip ssh
Router# show ssh
D•sactivation des services non utilis•s :
Router# show running-config
Router(config)# no service tcp-small-servers
Router(config)# no service udp-small-servers
Router(config)# no ip bootp server
Router(config)# no service finger
Router(config)# no ip http server
Router(config)# no snmp-server
Router(config)# no cdp run
Router(config)# no service config
Router(config)# no ip source-route
Router(config)# no ip classless
Router(config-if)# shutdown
Router(config-if)# no ip directed-broadcast
Router(config-if)# no ip proxy-arp
Authentification des protocoles de routage
Configuration d'OSPF avec authentification simple du protocole de routage :
Router(config)# router ospf process-id
Router(config-router)# area area-id authentification
Router(config)# interface type port
Router(config-if)# ip ospf authentication
Router(config-if)# ip ospf authentication-key string
Router# show ip route
Configuration d'OSPF avec authentification md5 du protocole de routage :
Router(config)# interface type port
Router(config-if)# ip ospf message-digest-key 1 md5 string
Router(config-if)# ip ospf authentication message-digest
Router(config)# router ospf process-id
Router(config-router)# area area-id authentication message-digest
Router# show ip route
B.5.2. Cisco SDM et Simple Network Management Protocol SNMP
Processus de s•curisation automatique du routeur :
Router# auto secure
Configuration du routeur pour la prise en charge de SDM :
Router# configure terminal
Router(config)# ip http server
Router(config)# ip http secure-server
Router(config)# ip http authentication local
Router(config)# username name privilege 15 secret password
Router(config)# line vty 0 4
Router(config-line)# privilege level 15
Router(config-line)# login local
Router(config-line)# transport input telnet ssh
Router(config-line)# exit
Configuration de la consignation via le protocole SNMP vers le serveur Syslog :
Router(config)# logging syslog-server-ip-address
Router(config)# logging trap {emergencies | alerts | critical | errors | warnings | notifications | informational | debugging}
Annexe B Lexique des commandes Cisco

B.5.3 Liste de Contr„le d'Acc…s ACL

B.5.3.1. ACL standard
Configuration d'une ACL standard :
Router(config)# access-list access-list-number {permit | deny | remark remark } source [source-wildcard ] [log]
Router(config)# no access-list acces-list-number
Router(config-if)# ip access-group {access-list-number | access-list-name } {in | out}
Router# show access-lists [acces-list-number | NAME ]
Configuration d'une ACL standard nomm•e :
Router(config)# ip access-list standard NAME
Router(config-std-nacl)# sequence-number [permit | deny | remark] source [source-wildcard ] [log]
Router(config-if)# ip access-group access-list-name {in | out}
Router# show access-lists [NAME ]
Utilisation d'une ACL pour contr„ler l'acc…s aux lignes virtuelles VTY :
Router(config)# access-list access-list-number {deny | permit} source [source-wildcard ]
Router(config)# line vty 0 4
Router(config-line)# access-class access-list-number in [vrf-also] | out
B.5.3.2 ACL •tendue
Configuration d'une ACL •tendue :
Router(config)# access-list access-list-number {permit | deny | remark} protocol source [source-wildcard ] [operator
operand ] [port port-number or name ] destination [destination-wildcard [operator operand ] [port port-number or name ]
[established]
Router(config)# access-list access-list-number {permit | deny} protocol source source-wildcard destination destination-
wildcard {eq | neq | gt | lt | range} protocol-number [established]
Router(config-if)# ip access-group {access-list-number | access-list-name } {in | out}
Router# show access-lists [acces-list-number | NAME ]
Configuration d'une ACL •tendue nomm•e :
Router(config)# ip access-list extended NAME
Router(config-ext-nacl)# sequence-number [permit | deny | remark] protocol source [source-wildcard ] destination
[destination-wildcard ] {eq | neq | gt | lt | range} protocol-number [established]
Router(config-if)# ip access-group access-list-name {in | out}
Router# show access-lists [NAME ]
B.5.3.3 ACL dynamique
Exemple de configuration d'une ACL dynamique :
Router(config)# username name password password
Router(config)# access-list access-list-number dynamic dynamic-name [timeout
minutes ] permit telnet source source-wildcard destination destination-wildcard
Router(config-if)# ip access-group access-list-number in
Router(config)# line vty 0 4
Router(config-line)# autocommand access-enable host timeout minutes
Router(config-ext-nacl)# evaluate reflect-NAME
Router(config-if)# ip access-group IN-NAME in
Router(config-if)# ip access-group OUT-NAME out
B.5.3.4. ACL bas•e sur le temps
Exemple de configuration d'une ACL bas•e sur le temps :
Router(config)# time-range NAME
Router(config-time-range)# periodic DAYS hh:mm to hh:mm
Router(config)# access-list ACL-number permit protocol source source-wildcard destination destination-wildcard {eq | neq
| gt | lt | range} protocol-number time-range NAME
Router(config-if)# ip access-group ACL-number {in | out}
B.5.4. Services d'adressage IP
Evolutivit• des r•seaux avec NAT :
Configuration de la NAT statique :
Router(config)# ip nat inside source static local-ip global-ip
Router(config)# interface type number
Router(config-if)# ip nat inside
Router(config)# interface type number
Router(config-if)# ip nat outside

Configuration de la redirection de port :

Annexe B Lexique des commandes Cisco

Router(config)# ip nat inside source static protocol local-ip port global-ip port
Configuration de la NAT dynamique :
Router(config)# ip nat pool NAME start-ip end-ip {netmask netmask | prefix-length prefix-length }
Router(config)# access-list access-list-number permit source [source-wildcard ]
Router(config)# ip nat inside source list access-list-number pool NAME
Router(config)# interface type number
Router(config-if)# ip nat inside
Router(config)# interface type number
Router(config-if)# ip nat outside
Configuration de la surcharge NAT premi…re configuration possible :
Router(config)# access-list access-list-number permit source [source-wildcard ]
Router(config)# ip nat inside source list access-list-number interface interface overload
Router(config)# interface type number
Router(config-if)# ip nat inside
Router(config)# interface type number
Router(config-if)# ip nat outside
Configuration de la surcharge NAT deuxi…me configuration possible :
Router(config)# access-list access-list-number permit source [source-wildcard ]
Router(config)# ip nat pool NAME start-ip end-ip {netmask netmask | prefix-length
prefix-length }
Router(config)# ip nat inside source list access-list-number pool NAME overload
Router(config)# interface type number
Router(config-if)# ip nat inside
Router(config)# interface type number
Router(config-if)# ip nat outside
Visualisation et d•pannage de NAT :
Router# show ip nat translations [verbose]
Router# show ip nat statistics
Router(config)# ip nat translation timeout timeout-seconds
Router# clear ip nat translation *
Router# clear ip nat translation inside global-ip local-ip [outside local-ipglobal-ip ]
Router# clear ip nat translation protocol inside global-ip global-port local-ip
local-port [outside local-ip local-port global-ip global-port ]
Router# debug ip nat [detailed]
B.6. Le monitoring avec SNMP
Configuration:
switch(config)# snmp-server community community-string [ro | rw] [access-list-number]
switch(config)# snmp-server enable traps <type>
switch(config)# snmp-server host ip-address-manager community-string
Visualisation et d•pannage de SNMP :
switch# show snmp
switch# show snmp [user|host|community]
  Les mots clÄ 

adressage - administration - attaque - ACL - brÄche - contre-mesure -

cryptographie - cisco - CLI - configuration - connexion - datagramme -
entreprise - ENIEM - exploitation - encapsulation - filtrage - firewall - faille -
FrameRelay - gestion - HIDS - interconnexion - intrusion - IDS - menace-
monitoring - MIB - MBSA - NAT - netflow - NIDS - notification - NMS -
NMA - NME - Nmap - OSPF - OID - paquet - pare-feu - PAT - prÅvention -
piratage - PIX 515 - PIX 515 E - protocole - ports - protection - PRTG - PDU -
rÅseaux - risque - routage - sÅcuritÅ - sÅcurisation - scan - supervision -
surveillance - SNMP - syslog - trame - trunk - vulnÅrabilitÅ -VLAN - VTP.