Instructor Materials

Chapter 3: Network
Infrastructure

Cybersecurity Operations

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 1
 3.1 Périphériques de
communication réseau

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 3
Périphériques de communication réseau
Périphériques réseau

End Devices
• Ordinateurs, ordinateurs portables, serveurs, imprimantes, appareils
intelligents et appareils mobiles.
• Les différents terminaux sont connectés au réseau par des appareils
intermédiaires.
Dispositifs intermediaries
• Connectez les différents terminaux au réseau et connectez également
plusieurs réseaux individuels pour former un inter réseau.
• Assurer la connectivité et s’assurer que les données circulent
le réseau.

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 4
Périphériques de communication réseau
Périphériques réseau (suite)

 Fonction d’un routeur

 Fournir la détermination du chemin et le transfert de paquets
 Responsable de l’encapsulation et de la désencapsulation des paquets
• Utilise une table de routage pour déterminer le meilleur chemin d’accès à
utiliser pour envoyer des paquets à un réseau spécifié
Table de routage
Contient des routes directement connectées et des routes distantes
• Le routeur recherche dans sa table de routage une adresse réseau qui
correspond à l’adresse IP de destination d’un paquet

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 5
Périphériques de communication réseau
Périphériques réseau (suite)

 Switches
 Utilise les adresses MAC pour diriger les communications réseau via le
commutateur, vers le port approprié et vers la destination
• Crée une table d’adresses MAC en analysant le numéro de port source et
l’adresse MAC source du trafic entrant
Fonctions de commutation
Les VLAN segmentent les réseaux en fonction de plusieurs facteurs
(fonction, équipe de projet ou application), quel que soit l’emplacement
physique
STP garantit un chemin logique unique entre toutes les destinations d’un
réseau en bloquant les chemins redondants qui pourraient provoquer une
boucle
• Les commutateurs multicouches prennent en charge les ports routés et les
interfaces virtuelles commutées (SVI) pour transférer les trames en fonction
des informations de couche 3
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 6
Périphériques de communication réseau
Communications sans fil

 LAN sans fil (WLAN)

 Utilisez des radiofréquences (RF) au lieu de câbles au niveau de la
couche physique et de la sous-couche MAC de la couche de liaison
de données
 Connectez les clients à un réseau via un point d’accès sans fil (AP)
ou un routeur sans fil, au lieu d’un commutateur Ethernet
 Couche Internet
• Filaire vs sans fil

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 7
Périphériques de communication réseau
Communications sans fil (suite)

 Étapes à suivre pour s’associer à un point d’accès

 Phase de découverte
 Un client sans fil localise le point d’accès approprié auquel il doit
s’associer en premier
 Processus authentication :
 Le client sans fil envoie une trame d’authentification au point d’accès.
 L’AP répond par un texte de défi.
• Le client chiffre le message à l’aide de sa clé partagée et renvoie le texte chiffré
au point d’accès.

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 8
Périphériques de communication réseau
Communications sans fil (suite)

Le point d’accès déchiffre ensuite le texte chiffré à l’aide de sa clé

partagée.
 Si le texte déchiffré correspond au texte d’interrogation, le point
d’accès authentifie le client.
 L’étape d’association finalise les paramètres et établit la liaison de données entre le
client sans fil et le point d’accès
 Le client sans fil transfère une trame de demande d’association qui inclut son
adresse MAC.
 Le point d’accès répond avec une réponse d’associé qui inclut l’adresse MAC du
point d’accès.
• Le point d’accès mappe un port logique au client sans fil.

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 9
 3.2 Infrastructure de sécurité
réseau

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 10
Infrastructure de sécurité réseau
Dispositifs de sécurité

 Propriétés d’un pare-feu

 Les pare-feu résistent aux attaques réseau.
 Les pare-feu sont le seul point de transit entre les réseaux internes de
l’entreprise et les réseaux externes, car tout le trafic passe par le pare-feu.
• Les pare-feu appliquent la stratégie de contrôle d’accès.
Avantages du déploiement d’un pare-feu
Empêchez l’exposition d’hôtes, de ressources et d’applications sensibles à des
utilisateurs non approuvés.
Assainir le flux de protocole, ce qui empêche l’exploitation des failles de
protocole.
Bloquez les données malveillantes des serveurs et des clients.
 Réduisez la complexité de la gestion de la sécurité en déchargeant la majeure
partie du contrôle d’accès au réseau à quelques pare-feu du réseau.

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 11
Infrastructure de sécurité réseau
Dispositifs de sécurité (suite)

 Types de pare-feu
 Pare-feu de filtrage de paquets
 Fait généralement partie d’un pare-feu de routeur, qui autorise ou refuse le trafic en fonction des
informations de couche 3 et de couche 4.
o Pare-feu sans état qui utilisent une simple recherche dans une table de stratégies qui
filtre le trafic en fonction de critères spécifiques.
• Pare-feu avec état
• La technologie de pare-feu la plus polyvalente et la plus courante utilisée.
• Fournissez un filtrage de paquets avec état à l’aide des informations de connexion conservées
dans une table d’état.
o Classé au niveau de la couche réseau, mais analyse également le trafic au niveau de la
couche 4 et de la couche 5 OSI
• Next-Generation Firewalls
• Fournit des fonctionnalités de pare-feu standard telles que l’inspection dynamique
• Contient une prévention intégrée des intrusions
• Utilise la reconnaissance et le contrôle des applications pour voir et bloquer les applications à
risque
Presentation_ID
o Met en œuvre des techniques pour faire ©face à Systems,
2008 Cisco l’évolution des menaces
Inc. All rights reserved. de sécurité
Cisco Confidential 12
Infrastructure de sécurité réseau
Dispositifs de sécurité (suite)

 Dispositifs de prévention et de détection d’intrusion (IPS et IDS)

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 13
Infrastructure de sécurité réseau
Dispositifs de sécurité (suite)

 Comparaison des dispositifs de prévention et de détection

d’intrusion (IPS et IDS)

 Il existe deux principaux types d’IPS : basés sur l’hôte et basés sur
le réseau.

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 14
Infrastructure de sécurité réseau
Services de sécurité

Listes de contrôle d’accès (ACL)

 Série de commandes qui contrôlent si un périphérique transfère
ou abandonne des paquets en fonction des informations
trouvées dans l’en-tête de paquet.

• En plus d’autoriser ou de refuser le trafic, les listes de contrôle d’accès peuvent

être utilisées pour sélectionner les types de trafic à analyser, à transférer ou à
traiter d’une autre manière.
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 15
Infrastructure de sécurité réseau
Services de sécurité (suite)

 Deux types de listes de contrôle d’accès Cisco IPv4 sont standard

et étendus.
• Les listes de contrôle d’accès standard peuvent être utilisées pour autoriser
ou refuser le trafic uniquement à partir d’adresses IPv4 sources. La
destination du paquet et les ports concernés ne sont pas évalués.
• Les listes de contrôle d’accès étendues filtrent les paquets IPv4 en fonction
de plusieurs attributs, notamment:
• Type de protocole
• Adresse IPv4 source
• Adresse IPv4 de destination
• Ports TCP ou UDP source
• Ports TCP ou UDP de destination
o Informations facultatives sur le type de protocole pour un contrôle plus fin

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 16
 Infrastructure de sécurité réseau
Services de sécurité (suite)

 Protocole SNMP (Simple Network

Management Protocol)
 Permet aux administrateurs de gérer les terminaux
tels que les serveurs, les postes de travail, les
routeurs, les commutateurs et les appliances de
sécurité
• Le système SNMP se compose de trois
éléments :Manager that runs SNMP
o Logiciel de gestion
o Les agents qui sont les noeuds étant
Surveillé et géré
o Base d’informations de gestion (MIB)
- une base de données sur l’agent qui stocke
les données et les statistiques opérationnelles
sur l’appareil.

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 17
 Infrastructure de sécurité réseau
Services de sécurité (suite)

 NetFlow
 Une technologie Cisco IOS qui fournit des statistiques sur les paquets transitant par
un routeur ou un commutateur multicouche Cisco.
• Fournit des données permettant la surveillance du réseau et de la sécurité, la
planification du réseau, l’analyse du trafic et la comptabilisation IP à des fins de
facturation.
 Port Mirroring
 Fonctionnalité qui permet à un commutateur de faire des copies dupliquées du
trafic transitant par un commutateur, puis d’envoyer des données sur un port
auquel un moniteur réseau est connecté.
• Le trafic d’origine est transféré de la manière habituelle.

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 18
 Infrastructure de sécurité réseau
Services de sécurité (suite)

 Syslog
 Il s’agit de la méthode la plus courante pour accéder aux messages système.
 Permet aux périphériques réseau d’envoyer leurs messages système sur le réseau
aux serveurs syslog.
 Le service de journalisation syslog fournit trois fonctions principales :
 Recueillir des informations de journalisation à des fins de surveillance et de
dépannage
 Sélectionnez le type d’informations de journalisation capturées
• Spécifier la destination des messages syslog capturés
 Protocole NTP (Network Time Protocol)
 Permet aux routeurs du réseau de synchroniser leurs paramètres d’heure avec un
serveur NTP et d’utiliser les niveaux de strates.
• NTP peut être configuré pour se synchroniser avec une horloge maître privée ou
avec un serveur NTP accessible au public sur Internet.
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 19
 Infrastructure de sécurité réseau
Services de sécurité (suite)

 AAA Services - un ensemble de trois fonctions de sécurité

indépendantes:
• Authentication - Les utilisateurs et les administrateurs doivent prouver qu’ils
sont bien ceux qu’ils prétendent être.
• Combinaisons de nom d’utilisateur et de mot de passe, questions de défi et de
réponse, cartes de jeton et autres méthodes.
o L’authentification AAA offre un moyen centralisé de contrôler l’accès au
réseau.
o Authorization - Après l’authentification, déterminez les ressources
auxquelles l’utilisateur peut accéder et les opérations qu’il est autorisé à
effectuer.
• Accounting and auditing - La comptabilité enregistre ce que fait l’utilisateur, ce
à quoi il accède, la durée d’accès à la ressource et toutes les modifications
apportées. La comptabilité assure le suivi de l’utilisation des ressources réseau.

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 20
 Infrastructure de sécurité réseau
Services de sécurité (suite)

 Protocoles d’authentification AAA

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 21
Infrastructure de sécurité réseau
Services de sécurité (suite)

 Virtual Private Network (VPN)

 Réseau privé créé sur un réseau public.
• Un VPN est privé en ce sens que le trafic est crypté pour garder les données
confidentielles pendant qu’elles sont transportées sur le réseau public.

• Les services IPsec permettent l’authentification, l’intégrité, le contrôle d’accès et

la confidentialité.

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 22
 3.3 Representations de
reseau

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 23
Représentations de réseau
Topologies de réseau

 L’infrastructure réseau contient trois catégories de

composants réseau:
• Devices
• Media
• Services

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 24
Représentations de réseau
Topologies de réseau (suite)

Topologie physique
 Fait référence aux connexions physiques et identifie la manière
dont les terminaux et les périphériques d’infrastructure sont
interconnectés

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 25
Représentations de réseau
Topologies de réseau (suite)

Topologie logique
 Fait référence à la façon dont un réseau transfère des trames d’un
nœud à l’autre.

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 26
Représentations de réseau
Topologies de réseau (suite)

 WAN Topologies

 LAN Topologies

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 27
Représentations de réseau
Topologies de réseau (suite)

 Modèle de conception hiérarchique :

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 28
Représentations de réseau
Topologies de réseau (suite)

Pare-feu de stratégie basé sur une zone

 Les pare-feu à stratégie basée sur les zones (ZPF) utilisent le
concept de zones pour offrir une flexibilité supplémentaire. Une
zone est un groupe d’une ou plusieurs interfaces qui ont des
fonctions ou des caractéristiques similaires.

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 29