Composants : routeurs, commutateurs, Pare-feu nouvelle génération et IPS, Access Point, Contrôleurs (Cisco DNA Center et WLC), Points de terminaison (Endpoints) et serveurs.

I. Les routeurs

---

I.1 Description

Un routeur est un équipement informatique composé de :

• Carte mère ;
• Mémoires :
  • RAM : contient la table de routage, la configuration courante et le file d’attente des paquets ;
  • NVRAM : stocke le fichier de démarrage ;
  • FLASH : stocke les images de l’IOS
  • ROM : stocke le code de diagnostic du démarrage (Boot) ;
• Processeur : contrôle l’interface réseau et assure le routage ;
• Interfaces et ports :
  • Le port console : pour une accès physique au routeur ;
  • Les interfaces Séries : pour interconnecter les réseaux étendus ;
  • Les interfaces Ethernet, FastEthernet ;
  • Les interfaces GigabitEthernet ;
  • Les interfaces pour les Fibres optiques.

Ce type de routeur est filaire. Il permet l’interconnexion (par câble) de différents réseaux et assure le routage des paquets de données d’un réseau à un autre en se basant sur une sorte de table, qui se trouve dans sa mémoire RAM, appelée table de routage. Autrement dit, il permet à des équipements se trouvant dans des réseaux différents de communiquer entre eux.

Il existe des routeurs sans fil, qui permettent d’interconnecter des machines par liaison radio en utilisant des antennes. Ils sont appelés aussi routeurs Wi-fi.

Une table de routage contient un ensemble de lignes (routes).

Les routes sont configurées de manières statique (par l’administrateur) ou dynamique (en utilisant les protocoles de routage existants). Ces routes sont basées sur l’adressage IP et sur l’interface de sortie.

I.2 Principe du routage

Le routage, principale fonction d’un routeur, est le fait d’acheminer les paquets en suivant un chemin bien établi (une route).

Si le routeur reçoit un paquet, il va regarder l’adresse de destination du paquet. Ensuite il consulte sa table de routage pour regarder si une de ses interfaces est dans le même réseau que le destinataire. Si oui, il transmet directement le paquet. Si non, il achemine le paquet vers l’interface de sorite qui mène au réseau de destination, toujours en consultant sa table de routage.

Un routeur peut être utilisé comme routeur d’accès à Internet.

Les Fournisseurs d’Accès Internet (FAI) utilisent des routeurs (d’accès) pour connecter leurs clients à internet.

Une entreprise qui a des sites sur différentes localités peut utiliser un routeur pour interconnecter ses différents sites.

I.3 Configurations de base d’un routeur

Pour entrer en mode privilégié :

Router>enable
Router#

Pour supprimer la configuration du routeur :

Router#erase startup-config
Router#reload

Pour entrer en mode configuration globale :

Router#configure terminal
Router(config)#

-> C’est à partir de ce mode que vous pourrez faire l’ensemble des configurations que vous désirez au niveau du routeur.

Configuration du nom d’hôte :

Router(config)#hostname R1
R1(config)#

Pour saisir le mot de passe (cisco) avant d’entrer en mode privilégié :

R1(config)#enable secret cisco

Mettre un mot de passe pour les connexions sur console 0 et vty 0-15 :

R1(config)#line console 0
R1(config-line)#password cisco
R1(config-line)#login

R1(config)#line vty 0 15
R1(config-line)#password cisco
R1(config-line)#login
R1(config-line)#exit
R1(config)#

Pour désactiver le nom de domaine :

R1(config)#no ip domain-lookup

Affichage de la table de routage :

R1#show ip route

Affichage de la configuration courante :

R1#show running-config
ou
R1#show run

BONUS : Par défaut, les messages de diffusion (broadcast) ne traversent pas les routeurs ; par conséquent, les routeurs limitent les domaines de broadcast.

II. Les commutateurs

---

II.1 Description

Un commutateur est un équipement qui permet de relier plusieurs segments d’un réseau informatique entre eux. Il s’agit le plus souvent d’un boitier disposant de plusieurs ports RJ45 entre 4 et plusieurs centaines (voir Figure1), il a la même apparence qu’un concentrateur (hub). Mais contrairement au concentrateur qui diffuse les messages entrants à tous les nœuds qui lui sont connectés, les commutateurs réseau sont capables d’inspecter les messages entrants lorsqu’ils sont reçus et de les diriger vers un port de communication spécifique.

Un commutateur réseau est un pont réseau multiport qui utilise des adresses MAC pour transmettre des données au niveau de la couche liaison de données (couche 2) du modèle OSI. Certains commutateurs peuvent également transmettre des données au niveau de la couche réseau (couche 3) en incorporant en outre une fonctionnalité de routage. Ces commutateurs sont communément appelés commutateurs de couche 3 ou commutateurs multicouche. La commutation est un des deux modes de transport de trame au sein des réseaux informatiques et de communication, l’autre étant le routage.

Les commutateurs Ethernet sont le type le plus courant, bien que vous trouviez également des commutateurs optimisés pour les architectures de réseau ATM, Fibre Channel et Token Ring.

II.2 Fonctionnement d’un commutateur

Le commutateur établit et met à jour une table, dans le cas du commutateur pour un réseau Ethernet il s’agit de la table d’adresses MAC, qui lui indique sur quels ports diriger les trames destinées à une adresse MAC donnée, en fonction des adresses MAC source des trames reçues sur chaque port. Le commutateur construit donc dynamiquement une table qui associe numéro de port et adresses MAC.

Lorsqu’il reçoit une trame destinée à une adresse présente dans cette table, le commutateur renvoie la trame sur le port correspondant. Si le port de destination est le même que celui de l’émetteur, la trame n’est pas transmise. Si l’adresse du destinataire est inconnue dans la table, alors la trame est traitée comme un broadcast, c’est-à-dire qu’elle est transmise à tous les ports du commutateur à l’exception du port d’émission.

Un commutateur de niveau 2 est similaire à un concentrateur dans le sens où il fournit un seul domaine de diffusion. En revanche, chaque port a son propre domaine de collision. Le commutateur utilise la micro-segmentation pour diviser les domaines de collision, un par segment connecté. Ainsi, seules les interfaces réseau directement connectées par un lien point à point sollicitent le medium. Si le commutateur auquel il est connecté prend en charge le full-duplex, le domaine de collision est éliminé.

Il existe aussi des commutateurs de niveau 3 proposant plus de fonctionnalités.

II.3 Différentes méthodes de transmission

Nous savons qu’il existe différentes méthodes de transmission des données pouvant s’opérer selon quatre méthodes :

• Le premier est le mode direct (en anglais: cut through) : le commutateur lit juste l’adresse du matériel et la transmet telle quelle. Aucune détection d’erreur n’est réalisée avec cette méthode.
• Le second est le mode différé (en anglais: store and forward) : le commutateur met en tampon, et le plus souvent, réalise une opération en somme de contrôle sur chaque trame avant de l’envoyer.
• Le troisième est le fragment free : les paquets sont passés à un débit fixé, permettant de réaliser une détection d’erreur simplifiée. C’est un compromis entre les précédentes méthodes.
• Le quatrième est l’adaptive switching : est un mode automatique. En fonction des erreurs constatées, le commutateur utilise un des trois modes précédents.

Nous savons que ces quatre méthodes de transmission sont utilisées selon des critères précis.

II.4 Commutateurs de niveau 2 vs Commutateurs de niveau 3

La différence principale entre la couche 2 et la couche 3 est la fonction de routage. Un commutateur de couche 2 fonctionne uniquement avec des adresses MAC et ne prend en compte ni l’adresse IP ni les éléments des couches supérieures. Un commutateur de couche 3 peut effectuer tout le travail effectué par un commutateur de couche 2. En outre, il peut effectuer un routage statique et un routage dynamique. Cela signifie qu’un commutateur de couche 3 possède à la fois une table d’adresses MAC et une table de routage IP, et gère également la communication intra-VLAN et le routage des paquets entre différents VLAN. Un commutateur qui ajoute uniquement le routage statique est appelé Layer 2+ ou Layer 3 Lite.

En plus du routage des paquets, les commutateurs de couche 3 incluent également certaines fonctions qui exigent la capacité de comprendre les informations d’adresse IP des données entrant dans le commutateur, telles que le marquage du trafic VLAN basé sur l’adresse IP plutôt que la configuration manuelle d’un port. La puissance et la sécurité des commutateurs de couche 3 augmentent selon les besoins.

Commutateur de couche 2	Commutateur de couche 3
La commutation fonctionne au niveau de la couche 2 du modèle de référence OSI.	Les commutateurs de couche 3 effectuent à la fois la commutation et le routage.
Il utilise des adresses MAC pour assurer la communication entre les appareils du même réseau.	Il utilise des adresses IP pour relier différents sous-réseaux à l’aide de protocoles de routage.
Il utilise un domaine de diffusion unique.	Il utilise un domaine de diffusion multiple.
Les appareils ne peuvent communiquer qu’au sein du même réseau.	Les appareils peuvent communiquer à l’intérieur ou à l’extérieur des réseaux.
La commutation sur la couche 2 est assez rapide car ils ne regardent pas la partie de la couche 3 des paquets de données.	Il faut du temps pour examiner les paquets de données avant de les envoyer à leur destination.

II.5 Configuration de base

• Mode avec et sans privilège

Une fois connecté, nous sommes placés dans un mode sans privilège. Il est possible dans ce mode d’effectuer uniquement quelques commandes de diagnostique ou d’information. L’invite de commande du mode sans privilège est la suivante:

Switch>

Pour pouvoir modifier la configuration, il faut passer en mode privilégié en entrant la commande « enable ». Présentation du passage du mode non privilégié au mode privilégié:

Switch>enable
Swicth#

En fonction des commandes entrées, le switch va présenter des invites de commande différentes. Quelques exemples d’invite de commande en fonction du contexte:

Mode configuration:

Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#

Mode configuration d’une interface:

Switch(config)#interface fastEthernet 0/1
Switch(config-if)#

• Navigation entre les modes

La commande exit permet d’accéder au contexte précédent.

Switch(config)#int fastEthernet 0/1
Switch(config-if)#exit
Switch(config)#exit
Switch#

La commande end permet d’accéder à la racine du mode privilège.

Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#end
Switch#

Enfin, la commande logout permet la déconnexion.

Switch#logout

• Configuration (nom du switch, du domaine DNS, de l’adresse IP, passerelle)

Dans l’exemple, le nom du switch est : 2960-RG et le domaine est mondomaine.local.

Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#
Switch(config)#hostname 2960-RG
2960-RG(config)#ip domain-name mondomaine.local
2960-RG(config)#end
2960-RG#wr
Building configuration...
[OK]
2960-RG#

Pour supprimer le nom du commutateur et le nom de domaine, il faut saisir les commandes suivantes.

2960-RG(config)#no hostname
Switch(config)#no ip domain-name
Switch(config)#

Par défaut, un switch n’a pas d’adresse IP. Pour affecter une adresse à un commutateur, l’adresse doit être affectée à une interface VLAN (la VLAN 1, celle par défaut).

Switch>enable
Switch#configure terminal
Switch(config)# interface vlan 1
Switch(config-if)# ip address 192.168.1.2 255.255.255.0
Switch(config-if)# no shutdown
Switch(config-if)# exit
Switch(config)# ip default-gateway 192.168.1.1
Switch(config)# end

Suppression de l’adresse IP et de la passerelle par défaut:

Switch(config)#interface vlan1
Switch(config-if)#no ip address
Switch(config-if)#exit
Switch(config)#no ip default-gateway

• Enregistrement de la configuration

Les deux commandes suivantes peuvent être utilisée pour enregistrer la configuration courante:

switch# copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
0 bytes copied in 0.931 secs (0 bytes/sec)

Ou bien:

switch# write
Building configuration...
[OK]
switch#

Enfin la commande suivante permet d’afficher toutes les commandes enregistrer par le switch pour vérifier la configuration :

Switch#sh run  

Pour aller plus loin, vous pouvez consulter https://www.supinfo.com/articles/single/3389-cisco-commandes-utilisable-switch.

III. IPS et Pare-feu de nouvelle génération

---

III.1 Pare-feu (firewall)

Un pare-feu (firewall en anglais) est un dispositif de protection dans une machine ou dans un réseau.

Presque la totalité des ordinateurs personnels et la plupart des réseaux d’entreprises dans le monde sont aussi connectés à des systèmes informatiques ou à Internet, qui est un véritable nid et champ de chasse pour les pirates informatiques.

Malheureusement, avec l’avancée de la technologie, de plus en plus de techniques de piratage, de virus, de logiciels espions, de vers naissent.

Mais heureusement que les pare-feu sont là pour protéger les utilisateurs à ces types de menaces.

Un pare-feu est comme un mur qui fait obstacle à ces menaces.

Il peut être installé sur un système informatique (un hôte, pare-feu : logiciel) ou à l’entrée d’un réseau (frontière entre le réseau d’une entreprise et Internet, pare-feu : matériel).

Il existe un troisième type de pare-feu (bridge) qui fonctionne sur un réseau comme un câble et ne possède pas de pile IP.

il existe aussi des :

• pare-feu à état (stateful) : ils se basent sur l’état des ports et sur les sessions qui précédent pour faire le filtrage ;
• pare-feu sans état (stateless) : ils filtrent les paquets en se basant uniquement sur les numéros de ports, les adresses IP et d’autres protocoles des couches 3 et 4 ;
• pare-feu proxy : aussi appelés proxy applicatif, ils agissent sur la couche application du modèle OSI.

III.2 Mode de fonctionnement d’un pare-feu

Un pare-feu fonctionne en contrôlant les trafics entrants et sortants du réseau (ou d’un ordinateur) en se basant sur une politique de sécurité bien définie. Par exemple, il peut laisser passer certains types de connexions TCP et bloquer d’autres ou laisser passer certains types de paquets et bloquer les autres.

III.3 Politique de sécurité d’un pare-feu

Dans sa politique de sécurité, un pare-feu peut :

• faire de la translation d’adresse (NAT), pour les utilisateurs du LAN interne qui souhaitent accéder à Internet ;
• filtrer des paquets en se basant sur les protocoles de communication (IP, TCP, UDP, ICMP,etc.) ;
• faire du VPN (connexion virtuelle) ;
• gérer le la qualité de service d’un réseau (QoS) ;
• etc.

III.4 Exemple de configuration d’un pare-feu dans un routeur

Dans un réseau, un routeur peut faire office de pare-feu. Il est possible d’y faire du NAT (plus de détails sur le NAT, dans la section NAT static et dynamique dans le chapitre Services liés à IP), d’y mettre des listes de contrôle d’accès (access-list ou ACLs), etc.

Nous allons montrer un exemple d’ ACL dans uns routeur.

Considérons la portion de réseau suivante :

L’interface (1) est Fastethernet 0/1 (avec comme adresse 200.20.21.254/24) et la (2) est Serial 0/0/1 (avec comme adresse 200.20.30.253/24).

Ici, l’idée est d’autoriser un internaute (d’adresse par exemple 200.20.34.1/24) à accéder au Reverse Proxy (d’adresse 200.20.21.1/24).

Pour configurer cela :

• D’abord, autoriser le trafic http provenant de l’Internet (que l’on simule ici avec le réseau 200.20.34.0/24) vers le réseau 200.20.21.0/24 :

FW1# conf t
FW1(config)#access-list 102 permit tcp 200.20.34.0 0.0.0.255 200.20.21.0 0.0.0.255 eq www
FW1(config)#

• Après il faut appliquer cette access-list à l’interface (1). Mais cette interface va être considérer comme interface de sorite (out), vu que le trafic vient d’en dehors de ce réseau :

FW1(config)#interface FastEternet0/1
FW1(config-if)#ip access-group 102 out

• Ensuite, on peut autoriser la requête de réponse provenant du Reverse Proxy vers l’internaute :

FW1# conf t
FW1(config)#access-list 130 permit tcp host 200.20.21.1 host 200.20.34.1
FW1(config)#

• Après il faut appliquer cette access-list à l’interface (2). Ici aussi cette interface va être considérer comme interface de sorite (out) :

FW1(config)#interface Serial0/0/1
FW1(config-if)#ip access-group 130 out

Pour en savoir plus sur les ACLs, accéder à la section Les ACLS : configurations et vérifications dans le chapitre Fondamentaux de la sécurité.

III.5 IPS (mieux vaut prévenir que guérir)

Un IPS (en anglais : Intrusion Prevention System) est un système de détection et de prévention d’intrusion. Il surveille le réseau (ou l’ordinateur) pour détecter les éventuelles menaces afin d’y appliquer des règles de blocage.

Les IPS utilisent des bases de règles ou de comportements pour pouvoir bloquer les anomalies détectées dans le réseau ou sur l’hôte. Autrement dit, si un trafic arrive sur l’IPS, il est comparé à une base de signatures d’attaques qui se trouve dans l’IPS. Si une des signatures de la base correspond au trafic entrant, l’IPS le bloque. Ce qui va empêcher à ce trafic de faire des dégâts sur le réseau.

III.6 Pare-feu de nouvelle génération

En plus des fonctionnalités d’un pare-feu traditionnel, les pare-feu de nouvelle génération :

• incorporent les fonctionnalités d’un IDS/IPS, donc peuvent détecter et prévenir des menaces malveillantes ;
• agissent sur les 7 couches du modèle OSI, contrairement aux pare-feu traditionnels qui n’évoluaient sur les 4 premières couches du modèle OSI ;
• prennent en charge l’évolution de la technologie pour s’adapter avec les nouvelles menaces existantes.

IV. Access Points

---

IV.1 Description

Dans les réseaux informatiques, un point d’accès sans fil (ou simplement AP pour Access Point en anglais) est un appareil qui permet aux périphériques sans fil de se connecter à un réseau câblé ou au réseau Internet à l’aide d’une connexion radio.

Le point d’accès en tant que dispositif autonome est habituellement relié à un routeur par câble Ethernet et délivre un signal Wi-Fi à une zone dédiée, mais il peut aussi faire partie intégrante du routeur lui-même. Les points d’accès sans fil, les plus répandus, sont de type Wi-Fi (box ou hot-spot Wi-Fi).

IV.2 Adaptés pour les entreprises

Les points d’accès peuvent gérer plus de 60 connexions simultanées chacun. En installant des points d’accès un peu partout dans une entreprise, tous vos employés peuvent se déplacer d’une pièce à l’autre sans risquer de perdre la connexion ou d’expérimenter des ralentissements au niveau du réseau sans fil. Tandis qu’ils se déplacent à travers le bâtiment, leurs appareils changent automatiquement de réseau en sélectionnant le point d’accès le plus proche. La connexion Wi-Fi se fait ainsi de manière transparente et sans coupure. En effet, elle assure une continuité de la connexion.

Bien qu’adaptés aux entreprises, les points d’accès sont aussi utilisés dans les domiciles (connexion privée) pour un accès à Internet.

IV.3 Fonctionnalités

• Le point d’accès permet d’ajouter rapidement et facilement des postes de travail sans fil à un réseau câblé existant.
• Entre vos employés qui utilisent votre réseau sans fil pour connecter leurs ordinateurs, et vos invités qui utilisent ce même réseau pour connecter leurs smartphones et tablettes, votre connexion Wi-Fi arrive très vite à saturation avec en moyenne 20 appareils connectés en simultané. Grâce aux points d’accès (pouvant gérer 60 connexions simultanées chacun) vous avez beaucoup plus de liberté : vous pouvez connecter autant de dispositifs que votre réseau peut en prendre en charge.
• Les points d’accès pour professionnels peuvent être installés partout du moment que vous utilisez un câble Ethernet. Les modèles plus récents sont compatibles avec la technologie Power over Ethernet Plus ou PoE+ (une combinaison Ethernet et cordon d’alimentation) qui permet d’éviter l’acheminement d’une ligne électrique distincte ou l’installation d’une prise de courant à proximité du point d’accès.
• Des fonctionnalités complémentaires standards incluent l’accueil d’un portail captif et d’une liste de contrôle d’accès (LCA), de sorte que vous pouvez restreindre l’accès de vos invités sans compromettre la sécurité du réseau. Ces fonctions permettent aussi de gérer facilement l’accès de certains utilisateurs au réseau Wi-Fi.
• Certains points d’accès sont dotés de la fonctionnalité Clustering (ou grappe de points d’accès) : un point d’administration unique à partir duquel l’administrateur IT peut afficher, déployer, configurer et sécuriser un réseau Wi-Fi comme une entité distincte plutôt que comme une série de configurations de point d’accès différents.

IV.4 Différents mode de fonctionnement des PA

Les points d’accès sans fil peuvent être configurés comme Point d’accès, Client de Point d’Accès, Répéteur sans fil, et Pont sans fil. 

• Le mode Point d’accès est le mode par défaut. Il sert de point de connexion central à tous les ordinateurs (clients) possédant une interface réseau sans fil et se trouvant à portée du point d’accès. Les clients doivent utiliser le même SSID (nom du réseau sans fil) et le même canal que le PA pour se connecter. Si la sécurité sans fil est activée sur le PA, le client doit saisir un mot de passe pour s’y connecter. En mode Point d’accès, plusieurs clients peuvent se connecter au PA en même temps.

• Le mode Wireless Bridge (Pont sans fil) convertira le point d’accès en pont sans fil.  Les clients sans fil ne pourront pas se connecter au point d’accès sur ce mode.  Lorsque le point d’accès est configuré comme pont sans fil, il va associer un réseau sans fil à un réseau câble vous permettant ainsi de ponter deux réseaux ayant deux infrastructures différentes. En effet le mode Pont n’est pas spécifié dans les normes Wifi ou IEEE. Ce mode fonctionne uniquement avec deux appareils identiques : la communication avec d’autres PA  n’est pas garantie. En plus la connexion de deux réseaux locaux distincts ensemble par l’intermédiaire des 2 AP ne permet pas à des  PC sans fil d’ accéder aux AP.

•  Le mode Client du Point d’accès permet d’agir comme un client sans fil. En mode Client sans fil, l’AP sert d’adaptateur réseau sans fil pour votre périphérique Ethernet (par ex. console de jeu ou décodeur de télévision ou imprimante relié par câble). Ce mode Client PA peut prendre en charge plusieurs clients câblés. Si vous êtes sur le point de connecter plusieurs périphériques Ethernet à votre AP-Multifonction, connectez le port LAN de l’ AP-Multifonction à un switch, puis connectez vos périphériques aux ports du switch. Tous les points d’accès ne prennent pas en charge le mode point d’accès client.  Les adaptateurs sans fil ne communiquent pas avec les points d’accès en mode point d’accès client, donc inutile d’essayer de communiquer en wifi vers un AP configuré en mode client. 

• Le mode Répéteur sans fil convertira le point d’accès en répéteur sans fil afin de prolonger la portée de votre signal.  En mode Répéteur, l’AP augmente la portée de votre réseau sans fil en étendant la couverture sans fil d’un autre PA ou routeur sans fil. Le point d’accès répète le signal, ce qui a pour inconvénient de diviser les débits par deux. Les PA et routeurs sans fil (le cas échéant) doivent se trouver à portée les uns des autres. Vérifiez que tous les clients, les PA et le routeur sans fil utilisent le même SSID (nom du réseau sans fil), le même canal et les mêmes paramètres de sécurité. Le répéteur utilise obligatoirement le même canal que le point d’accès, mais le SSID peut être différent ce qui a pour avantage de montrer sur un PC qu’on est bien connecté sur l’appareil voulu.

IV.5 Configuration d’un AP

Nous prenons l’exemple d’un point d’accès Sans fil-N à Double bande Linksys, WAP610N  qui offre une capacité sans fil à vos périphériques câblés ou met à niveau votre ancien réseau sans fil vers des performances Sans fil-N.  Il peut fonctionner dans des bandes radio de 2,4 GHz ou 5 GHz (double bande sélectionnable), et il est compatible avec les normes 802.11a/b/g.

Etape 5:
Cliquez sur le sous-onglet Wireless Security (Sécurité Sans fil).

Sélectionnez le Security Mode (Mode de Sécurité) dont vous souhaitez doter votre point d’accès.

a. WPA™ / WPA2™ Personal
b. WEP

source :https://www.linksys.com/be/support-article/?articleNum=140660

V. Contrôlleurs (Cisco DNA Center et WLC)

---

V.1 Cisco DNA

V.1.1 Description

DNA Center, qui signifie en anglais Digital Network Architecture Center, est un outil d’administration centralisée (et automatisée) et de contrôle complet d’un réseau.

C’est un outil graphique permettant la création d’une architecture réseau, l’ajout et la configuration d’équipements dans l’architecture à un temps record, la surveillance et la maintenance du réseau.

V.1.2 Le tableau de bord

L’administration se fait à partir du tableau de bord constitué de Design, Policy, Provision, Assurance et Platform.

• Design

Cela permet de concevoir un réseau en commençant par les emplacements où les périphériques seront déployés : choisir un pays, ajouter des bâtiments, délimiter le réseau, etc.

Il permet aussi de gérer l’adressage du réseau, les paramétrages, d’hiérarchiser le réseau, etc.

Si vous avez une infrastructure Cisco Prime ou un contrôleur APIC-EM (Application Policy Infrastructure Controller Enterprise Module), il est possible d’importer le design d’un réseau existant et les images des périphériques dans Cisco DNA Center.

• Policy

Cela permet de sécuriser l’accès au réseau en créant des stratégies comme la création de profils d’accès, la segmentation du réseau selon les besoins de l’entreprise, etc.

L’ensemble des stratégies créées sera exécuté comme configuration sur les équipements par le Cisco DNA Center.

Les politiques sur les applications permettent à celles qui sont essentielles de mieux répondre aux exigences en termes de performances indépendamment de la congestion du réseau.

• Provision

Cela permet d’automatiser le déploiement des périphériques sur le réseau (ajout, suppression, mise à jour, etc.), la fourniture de services selon la priorité de l’entreprise, en tenant compte de la politique de sécurité et faciliter le déploiement des équipements.

Les caractéristiques de gestion et d’approvisionnement des appareils permettent de gagner un temps précieux lors de l’installation ou de la mise en niveau de ces appareils et de mettre en place de nouvelles études à distance à partir d’un équipement Cisco Standard.

En plus, le service de Stealthwatch Security Analytics permet d’automatiser l’approvisionnement des éléménts du réseau pour permettre à ces derniers de lui envoyer des flux de données du réseau et des trafics cryptés.

• Assurance

Cela permet de transformer chaque élément du réseau en détecteur afin qu’il envoie en continu des données télémétriques sur la performance des applications et la connectivité des utilisateurs en temps réel. Cette transformation des éléments du réseau se fait avec Cisco Stealthwatch qui est une solution basée sur l’intelligence artificielle et qui assure une automatisation de la configuration de la sécurité.

Ceci, associé à une visibilité complète des problèmes du réseau et une réparation guidée, signifie que les dégâts sur le réseau seront résolus en quelques minutes avant qu’ils n’engendrent de gros problèmes.

Donc avec Cisco Stealthwatch, il est aussi question de détecter et d’atténuer les menaces, même lorsqu’elles sont cachées dans un trafic chiffré.

En résumé, cela permet de surveiller l’état de santé du réseau.

• Platform

Cisco DNA a une plateforme ouverte et extensible qui lui permet d’échanger des informations avec les applications tierces et les processus. Cela permet d’améliorer les opérations en automatisant les processus de gestion de flux basés sur des renseignements réseau venant de Cisco DNA.

Pour plus de détails, consulter https://www.cisco.com/c/en/us/products/collateral/cloud-systems-management/dna-center/nb-06-dna-center-data-sheet-cte-en.html.

V.1.3 Fonctionnalités et avantages

• Gestion centralisée

Cela permet d’avoir une visibilité précise et totale du réseau, de pouvoir surveiller et gérer le cycle de vie des appareils du réseau, d’assurer l’intégration multi domaine et de gérer l’ouverture et l’extensibilité du réseau.

• Automatisation

Cela permet de détecter automatiquement les périphériques du réseau, d’établir des politiques par le glisser-déposer, de gérer le déploiement et le cycle de vie des périphériques sans intervention directe, de garantir une qualité de service automatisée…

• Assurance

Cela utilise l’IA/Machine Learning avec les analytiques pour optimiser la performance, réduire le temps de dépannage et diminuer le coût des opérations du réseau. Les éléments du réseau sont utilisés comme des capteurs et génèrent plus de 150 informations exploitables.

• Sécurité

Il permet la détection et l’élimination des menaces, l’intégration de Stealthwatch et ISE, les analytiques du trafic crypté (ETA) et la segmentation ultra-sécurisée du réseau.

Pour plus de détails, consulter :

1. https://www.cisco.com/c/fr_fr/products/cloud-systems-management/dna-center/index.html#~features.

2. https://www.cisco.com/c/en/us/products/cloud-systems-management/dna-center/index.html.

V.1.4 Comment Cisco DNA fonctionne ?

---

Tout d’abord, les données du réseau sont envoyées au Cisco DNA Appliance. Celui-ci active les fonctionnalités et les capacités des équipements du réseau en utilisant les Cisco DNA Software sur les appareils (Routeur, Commutateur, Point d’accès, etc.). Chacun de ces appareils nécessite une licence pour le Cisco DNA Software.

Tout ceci est géré depuis le tableau de bord de Cisco DNA Center.

V.2 Wireless LAN Controller (WLC)

V.2.1 Description

Un WLC est un contrôleur de réseau local sans fil (on peut dire aussi contrôleur de points d’accès.

Il permet la configuration et la gestion d’un ensemble de points d’accès. C’est-à-dire, si vous avez de nombreux points d’accès sur votre réseau, au lieu de les  configurer un par un, vous pouvez les configurer tous ensemble en utilisant un WLC qui se connectera sur chacun de ces points d’accès. Les points d’accès dans un réseau sans fil appelés aussi LAP (Lightweight Access Point) se comportent comme des clients vis-à-vis au WLC. Ils découvrent eux-mêmes un WLC et s’enregistrent pour y pouvoir récupérer leurs configurations. Par contre, ils se comportent comme point d’accès sans fil vis-à-vis aux clients.

V.2.2 Methodes de découverte et de jointure d’un WLC

Un point d’accès (LAP), avant de pouvoir servir ses clients, doit découvrir un WLC pour le joindre. C’est avec cette manière qu’un WLC connaitra l’ensemble des LAPs qu’il doit gérer dans un réseau sans fil.

Pour cela, la découverte peut être faite en envoyant un broadcast sur le réseau local, en utilisant l’option 43 du protocole DHCP, de manière statique (indiquer l’adresse IP du WLC au LAP) ou par DNS (Cisco-capwap-controller.local_domain). L’idée du broadcast est de mettre le LAP dans le même sous-réseau que le WLC. S’il fait une découverte en envoyant un broadcast, le WLC va répondre et le LAP pourra mémoriser l’adresse IP de ce dernier. Les LAPs se souviennent toujours de l’adresse IP du WLC qu’ils avaient mémorisé. De cette manière, même si vous déplacez le LAP dans un autre sous-réseau, il ne va pas perdre de vu le WLC. Cette méthode peut être utilisée par les entreprises ayant de petits réseaux et ne disposant pas de serveur DNS.

Pour plus de détail sur ces méthodes allez sur Troubleshoot a Lightweight Access Point Not Joining a Wireless LAN Controller – Cisco.

Pour configurer l’option 43 du DHCP, allez sur  DHCP option 43 configuration example.

V.2.3 Methodes d’accès au WLC 

Pour contrôler le réseau sans fil, on peut accéder au WLC à partir un terminal :

• En accédant sur son interface graphique à partir du navigateur
• Par une connexion SSH, TELNET ou à la console
• En utilisant le port de service

V.2.4 Exemple de configurations d’un WLC

Dans cette vidéo, nous avons fait une démonstration sur la configuration de l’attribution d’une adresse IP aux points d’accès par DHCP et la configuration de leurs SSID/PASSWORD à partir d’un WLC

VI. Périphériques terminaux

---

VI.1 Description

Un périphérique terminal est simplement une extrémité d’un canal de communication.  Il s’agit de tout périphérique qui est physiquement un point de terminaison sur un réseau. Exemples de points terminaux :

• Postes de travail
• Ordinateurs portables
• Smartphones
• Les serveurs
• Appareils Internet des objets (IoT)
• Etc.

VI.2 Rôle des points terminaux

Les périphériques terminaux accèdent au réseau via une technologie d’accès (L1/L2). Ils permettent aux utilisateurs d’accéder à un réseau afin de pouvoir bénéficier des ressources de celui-ci. Les terminaux sont reliés à des composants réseau qui se chargeront de traiter les entrées de l’utilisateur et de renvoyer aux terminaux les informations résultantes des traitements. Ces communications  peuvent emprunter différents supports (liaison téléphonique, réseaux informatiques, ondes radios…).

VI.3 Vulnérabilités des points terminaux

Les points de terminaison représentent les principaux points d’entrée vulnérables des cybercriminels. Les points de terminaison sont les endroits où les attaquants exécutent du code et exploitent les vulnérabilités, ainsi que les éléments à chiffrer, à exfiltrer ou à exploiter. Avec une main-d’œuvre organisationnelle de plus en plus mobile et des utilisateurs se connectant aux ressources internes à partir de points d’extrémité hors site partout dans le monde, les points d’extrémité sont de plus en plus sensibles aux cyberattaques. Les objectifs de ciblage des points de terminaison comprennent, mais sans s’y limiter, à:

• Utiliser un point de terminaison comme point d’entrée et de sortie pour accéder à des actifs et des informations de grande valeur sur le réseau d’une organisation.
• Accéder aux actifs sur le point de terminaison pour exfiltrer ou garder en otage, soit pour une rançon ou purement pour une perturbation.
• Prendre le contrôle de l’appareil et utilisez-le dans un botnet pour exécuter une attaque DoS.

Face à ces vulnérabilités, les entreprises doivent mettre en place des stratégies de protection tels que les services antivirus, le filtrage des e-mails, le filtrage Web et le pare – feu . En effet la sécurité des terminaux joue un rôle crucial pour les entreprises, car elle garantit que les systèmes critiques, la propriété intellectuelle, les données des clients, les employés et les invités sont protégés contre les ransomwares, le phishing, les logiciels malveillants et autres cyberattaques.

Sans de telles protections en place, les entreprises pourraient perdre l’accès à leurs précieuses données, risquant ainsi la survie même de leur entreprise. Les infections répétées peuvent également entraîner des temps d’arrêt coûteux et l’allocation de ressources pour résoudre les problèmes par rapport aux objectifs commerciaux critiques.

VII. Les serveurs

---

VII.1 Description

Un serveur est un outil informatique (matériel ou logiciel) qui offre des services aux utilisateurs via un réseau.

Dans un serveur matériel, on trouve du disque dur, de la carte réseau, de la mémoire, du processeur, etc.

Il inclut toujours un processus qui tourne en boucle et attend des requêtes venant du demandeur (le client) pour les traiter.

Dans un réseau utilisant un serveur, on parle souvent d’architecture client/serveur. Dans cette architecture, le client initie toujours le dialogue : le client a un service à demander au serveur, il lui envoie une requête via le réseau. Le serveur reçoit la requête et la traite. Ensuite il envoie une réponse favorable correspondante au service demandé (si ce service est inclus dans sa liste de services).

VII.2 Types de serveurs

---

En informatique, il existe différents types de serveurs que sont :

VII.2.1 Les serveurs web

Ce sont des serveurs permettant de stocker des pages web, des documents, des fichiers d’un site internet donné. Lorsque nous utilisons un navigateur, nous tapons un lien ou une adresse, cela signifie, en terme informatique, envoyer une requête http. Cette requête est envoyée par le navigateur au serveur web, qui contient l’objet demandé, et ce dernier renvoie la réponse correspondante au navigateur qui à son tour nous donne le résultat.

Un exemple de requête/réponse est illustré sur l’image qui suit :

Toute entreprise de réputation doit avoir un site web. Ce site peut être hébergé à l’intérieur de l’entreprise : avoir son propre serveur web. Par souci de sécurité, ce serveur ne doit pas être exposé à l’Internet. Seuls les utilisateurs internes doivent pouvoir y accéder. On appelle souvent ce serveur le Proxy interne.

L’entreprise peut utiliser un autre serveur, qui est public, appelé Reverse Proxy, pour permettre au internaute de consulter le site de l’entreprise.

VII.2.2 Les serveurs de messagerie

Un serveur de messagerie est un serveur de type logiciel qui permet de transmettre un message électronique d’une source vers un (ou des) destinataire(s).

Il existe deux (2) types de serveurs de messagerie : un serveur entrant et un serveur sortant.

Un serveur entrant est géré par les protocoles POP (Post Office Protocol) et IMAP (Internet Message Access Prtocol) qui permettent une bonne récupération et interprétation des courriels.

Tandis qu’un serveur sortant est géré par le protocole SMTP (Simple Mail Transfer Protocol) pour le transfert des messages.

Pour en savoir plus sur ces trois (3) protocoles, cliquez ici.

ce type de serveur doit être indispensable dans une organisation de réputation.

L’image suivante illustre le principe d’envoi et de récupération de courriel électronique :

VII.2.3 Les serveurs de fichiers

Un serveur de fichier et un ordinateur dans un réseau qui fait office de serveur et qui stocke et peut contenir différents types de fichiers. Les utilisateurs (clients) peuvent accéder à ces fichiers en utilisant différentes méthode définies par des protocoles : FTP (File Transfer Protocol), NFS (Network File System), NCP (Netware Core Protocol) et NIFS (Common Internet File System).

L’utilisation d’un de ses protocoles dépend du système d’exploitation implémenté sur le serveur et de l’utilité de ce dernier.

Le protocole le plus utilisé est le protocole FTP. Pour plus de détail sur ce protocole, cliquez ici et consultez le dernier point.

VII.2.4 Les serveurs de sauvegarde

Il existe aussi d’autres serveurs appelés serveurs DHCP et DNS. Pour plus d’informations sur ces deux serveurs, cliquez ici et consultez le troisième point.

VII.3 Formats de serveurs

Il existe différents formats de serveurs :

VII.3.1 Les serveurs Tour

Si vous avez une petite entreprise, vous pouvez utiliser ce genre de serveur. Il ne nécessite pas grande chose, vous pouvez juste le placer dans votre bureau.

Il nécessite une alimentation et est composé de disque dur, de processeur, de mémoire, de carte réseau, etc.

VII.3.2 Les serveurs Rack

Ces types de serveur sont en général rangés dans une armoire pour former un seul bloc. Il a tout ce que les autres types de serveur ont.

Son avantage par rapport au serveur tour est qu’on peut en utiliser plusieurs sans qu’ils deviennent encombrant.

Ce type de serveur est adapté aux grandes entreprises et va les garantir la haute disponibilité en assurant la redondance en cas de maintenance ou de panne de l’un de leurs serveurs.

Si l’un est en panne, il est possible de le retirer et d’en rajouter un autre sans compromettre le bon fonctionnement du réseau.

VII.3.3 Les serveurs en Lames

Ils ont la particularité de fonctionner seulement en groupe dans ce que l’on appelle un châssis, qui reçoit l’alimentation électrique et est relié au réseau, mais pas le serveur lame en tant que tel.

Il est possible de remplacer, à chaud, un serveur lame sans perturberle réseau.

Les grandes comme les petites organisations peuvent les utiliser vu que ça coute moin cher qu’un serveur Rack.

VII.4 Notion de Datacenter

Un datacenter (centre de données) est un endroit bien organisé et à accès restreint contenant un ensemble de serveurs.