Le document aborde la sécurité avancée des réseaux, en détaillant les principaux concepts et mécanismes de protection tels que la gestion de la confidentialité, de l'intégrité et de la disponibilité des informations. Il couvre également des sujets tels que les pare-feux, les réseaux privés virtuels (VPN), le filtrage web, et la gestion des identités, tout en expliquant les différents types de sécurité réseau et leurs stratégies de mise en œuvre. En outre, il présente des outils et protocoles pour la sécurisation des différentes couches du réseau, ainsi que des technologies avancées comme Cisco NGIPS et AMP.

1. Sécurité avancée
réseaux
Mamadou Lamine DIALLO
Ingénieur Cloud, Systèmes, Réseaux et Sécurité

2. Sommaire
 Introduction sécurité
 Sécurité Cisco IOS
 Firewalling
 VPN
 Web filtering & WAF
 NGIPS & AMP
 AAA & Identity Management with ISE
 Projet

3. Objectif de la sécurité
 Confidentiality: consiste à garder le caractère privé de l’information et
empêcher à ce qu’elle ne soit divulguer aux entités n’ayant pas droit.
 Integrity: permet de préserver l’information contre toute modification ou
suppression non autorisé.
 Availability: vise l’objectif de rendre les systèmes, les applications et processus
disponibles aux utilisateurs au besoin et à la demande.

4. C’est quoi la sécurité des réseaux
 Elle consiste à mettre en place un ensemble de mécanismes de protection pour la sécurité du
réseau informatique afin d’assurer l’intégrité, la confidentialité et l’accessibilité aux
informations de l’entreprise.
 Quelques différents types de sécurité réseau:
Network segmentation, Perimeter Security, Email Security, Web Security, NAC, Intrusion
prevention, Mobile Security, SIEM, Remote Access, Wireless Security, DLP, Antimalware,
Application Security, Behavioral analytics

5. The 3 planes
 Management plane: inclut les protocoles et trafics qu’un administrateur
utilise pour administrer l’équipement réseau.
 Control plane: Il inclut les protocoles et trafics que l’équipement réseau
utilise pour apprendre sur son environnement et construire une assise pour
faire son travail.
 Data plane: représente l’acheminement du trafic d’une interface d’entrée vers
une interface de sortie

6. Sécuriser le management plane
Les objectifs de sécurisation du management plane:
 Zero trust et l’accès minimum requis
 Centralisation de la supervision et la collecte de logs
 Sécuriser les communications
 Gestion de configuration centralisée
 Désactiver les services non nécessaires
Les techniques:
sécuriser le command line, authentification de l’utilisateur avec AAA, implémenter le RBAC privilege level/Parser view,
configurer le MPP, sécurité du NTP et SNMP, configurer le logging

7. Sécuriser le control plane
les 2 grands types d’attaque qui visent le control plane:
 Surcharge
Cette attaque consiste à submerger le CPU en envoyant un nombre élevé de large paquets de sorte à faire dévier
l’équipement de son fonctionnement normale: (DoS).
 Modifier les données
Dans cette catégorie d’attaque, des paquets malicieux des protocoles de control plane sont utilisés pour injecter de
fausses informations afin d’impacter sur les décisions de transmission des paquets: (DoS, MITM)

8. Sécuriser le control plane
Quelques protocoles du control plane:
niveau 2: STP, VTP, DTP
niveau 3: EIGRP, OSPF, RIP, BGP
Les techniques de sécurisation:
 configurer le CoPP/CPPr,
 Implémenter BPDU guard, BPDU Filter, Root guard
 Sécuriser le VTP,
 désactiver le DTP,
 Sécuriser les protocoles de routage ( RIP, EIGRP, OSPF, BGP)

9. Sécuriser le data plane
 Tous les paquets en transit ou acheminés d’une source vers une destination passe par le data
plane.
 La plupart des attaques vise le data plane et donc il convient de noter que la plupart des
mécanismes de sécurité sont implémenter à ce niveau.
 La sécurité du data plane au niveau 2 se focalise plus sur les usurpations d’identité, la
segmentation et la protection des ressources tandis que celle au niveau 3 se base
principalement sur les données elles mêmes.
 Ex: s’assurer que le trafic à acheminer est bien permis.

10. Sécuriser le data plane
Les mesures de sécurité du data plane:
Niveau 2
CAM table et port security
DHCP snooping
Dynamic ARP Inspection
Segmentation
PACL
VACL
Niveau 3
ACL (Standard, Extended, Named)
Time-based ACL
Reflexive ACL
uRPF
TCP Intercep
Netflow
Policy-based routing
FHRP

11. Firewalling

12. Firewall
 C’est un équipement de sécurité qui utilise un ensemble de règles
prédéfinies pour protéger le réseau interne des réseaux externes
potentiellement dangereux.
 Il joue le rôle de passerelle pour contrôler le flux entre 2 networks

13. Types de firewall
Le firewall sans état (stateless):
 examine les paquets indépendamment les uns des autres et manque de contexte.
 Il utilise la source, la destination et d’autres paramètres d’un paquet de données pour autoriser ou refuser le paquet.
Le firewall avec état (statefull):
 Garde des traces des sessions et des connexions dans une table d’état et les décisions sont prises en fonction de ses états.
 Il examine les paquets de données et si quelque chose semble anormal, ils peuvent filtrer les données suspectes.

14. Types de firewall
Le firewall applicatif (NGFW):
 Permet de filtrer les communications jusqu’au niveau de la couche 7 du modèle OSI,
 Vérifie et rejette tous les paquets qui ne respectent pas les spécifications du protocole visé,
 Il utilise à la fois l’inspection stateful et l’inspection approfondie des paquets pour détecter le
trafic malveillant

15. Types de firewall
Les caractéristiques des NGFW:
 Les fonctions standard: stateful port/protocol inspection, Network Address translation,
Virtual Private Network
 Application identification and filtering
 SSH/SSL inspection
 Intrusion prevention
 Identity service Integration
 Malware filtering

16. Quelques firewalls du marché
Cisco Firewall Fortinet firewall Palo Alto Firewall
Juniper Firewall Check Point Firewall Sophos Firewall

17. Déploiement
 Routed mode: c’est le comportement par défaut des firewalls. Dans ce mode le firewall agit
comme un équipement de niveau 3 et route les paquets sur la base de sa table de routage.
 Transparent mode: encore appelé mode bridge permet au firewall d’opérer au niveau 2 tout
en appliquant les contrôles d’accès sur les paquets transitant entre les interfaces.

18. Virtual firewall
 Conçu spécifiquement pour les environnement dans lesquels il serait difficile ou impossible
de déployer des firewalls matériels.
 Fournit les mêmes fonctionnalités de sécurité et d’inspection que le firewall physique.
 Peut être déployer sur des environnements virtualisés ou cloud.

19. Security zone
 Security Zone: une zone est un groupe d’une ou de plusieurs interfaces physiques ou logiques sur
laquelle on peut appliquer une même politique de sécurité,
 INISDE
 OUTSIDE
 DMZ (Demilitarized Zone)

20. High Availability and clustering
 La haute disponibilité ou le clustering est un déploiement dans lequel on met deux firewalls (failover)
ou plus (clustering) dans un groupe et synchroniser leur configuration.
 Les firewalls doivent être:
 De même modèle
 De même firewall mode
 De même version software

21. High Availability and clustering
Active/standby
 Un seul équipement joue le rôle de primaire et est responsable du traitement du trafic pendant que l’autre reste
synchronisé et prend le relais en cas de défaillance sur le primaire.
Active/Active
• Permet aux deux 2 firewalls de traiter activement le trafic en même temps tout en assurant un failover en cas de
panne sur l’un des équipements.

22. High Availability and clustering
Clustering
 Regroupe plusieurs firewalls en un seul équipement logique.
 Jusqu’à 16 firewalls ou modules combinés en un seul système de traitement du trafic
 offre toute la commodité d’un seul équipement (management, intégration dans le réseau)
 Mise à l’échelle élastique du débit et des connexions simultanées maximales
 Mettre en œuvre une véritable évolutivité en plus d’une haute disponibilité

23. Access control
 Filtre le trafic traversant l’équipement via des access-control lists (ACLs)
 Un ACL peut contenir un ou plusieurs entrées appelées ACE (Access Control Entries).
 Contient un implicit deny à la fin de la liste.
 Types d’ACL: Standard ACL, Extended ACL,

24. Access control
Standard ACL
 Basé uniquement que sur la source (pas de possibilité de définir la destination)
 S’applique plus proche de la destination.
Extended ACL
 Plus spécifique sur les ACEs avec adresse IP source et destination
 S’applique généralement plus proche de la source
 Possibilité d’utiliser les applications et ports pour le filtrage

25. Network Address Translation
 Permet la conversion d’adresse IP
 Généralement utilisé pour cacher le réseau interne de l’organisation.
 Types de translations d’adresse : NAT et PAT
 Cisco supporte 4 méthodes de translation:
⁻ Static NAT/PAT
⁻ Dynamic NAT/PAT
⁻ Policy NAT/PAT
⁻ Identity NAT

26. VPN

27. VPN
Un VPN est une connexion logique construit entre deux ou plusieurs devices:
 Accès distant
 Site à Site (LAN to LAN ou L2L)
Un VPN peut être monté à différents niveau du modèle OSI et n’est pas forcement sécurisé
 Layer 2: L2TP, Layer 3: MPLS, Layer 5+: SSL
IPsec est l’implémentation la plus commune et sécurisée d’un VPN L3
 Authentification, Confidentialité, Intégrité et protection contre le rejeu

28. VPN
IPsec consiste en plusieurs protocoles et standards
 ISAKMP est un Framework décrivant les fonctions de base de l’IPsec pour une communication sécurisé
 IKE est une implémentation de ISAKMP
⁻ Disponible en deux versions (IKEv1 et IKEv2)
IPsec repose principalement sur la cryptographie (Encryption, hachage, clé asymétrique, etc.)

29. VPN
Autres composants du Framework IPsec
 Control plane
⁻ Gestion de clé: DH, ECDH
⁻ Authentification: PSK, RSA, ECDSA
 Data plane
 Protocoles de sécurité: ESP, AH
 Confidentialité: DES, 3DES, AES, SEAL
 Intégrité et authentification de l’origine: MD5, SHA-1, SHA-2

30. VPN
IPsec VPN consiste en 2 phases:
 Phase 1
 Effectué dans un des deux modes: Main (MM) ou Aggressive (AM)
 Phase 2
 Quick mode (QM)
 Toutes les deux phases utilisent par défaut UDP port 500 pour les négociations

31. VPN
La phase I consiste en 3 échanges
⁻ IKE Policy
⁻ Diffie-Hellman (DH)
⁻ Authentification
 Main mode utilise 6 messages pour les 3 échanges
 Le mode Aggressive requiert 3 paquets

32. VPN
Quick mode:
 Perfect Forward Secracy (PFS)
 Encryption et hachage
 Trafic intéressant (Proxy Identities ou Encryption domains)
 Protocole de sécurité (AH ou ESP)
Tous les paramètres du mode doivent correspondre sur les deux extrémités du tunnel.

33. WEB FILTERING
&
WEB APPLICATION FIREWALL

34. Proxy web
 Une solution avancée de filtrage de contenu Web
 Protège les utilisateurs contre les attaques sur internet grâce à différentes techniques de détection.
 Bloque les trafics internet des collaborateurs en non-conformité avec la politique de l’organisation.
 Possibilité d’appliquer la QoS
⁻ Réservation de la bande passante ou diminution de la bande passante en fonction des sites web visités.

35. Proxy web
Les fonctions de base
 Filtrage web
 Control d’application
 Protection malware
 SSL Decryption
 DLP et autres
 Solution disponible en: Physique, Virtual et Cloud
 Quelques solutions de proxy web: Cisco, Fortinet, PAN, Checkpoint, Sophos, etc.

36. Proxy web
Les modes de déploiement
 Déploiement explicite: nécessite une intervention sur le navigateur de l’utilisateur de sorte à
rediriger les trafics web à pointer vers le proxy web
 Manuel
 PAC (Proxy Auto-Configuration) file.
 Déploiement transparente: permet la redirection du flux web des utilisateurs de façon
transparente via différentes méthodes (WCCP, PBR)

37. Web Application Firewall
 Un pare-feu applicatif qui protège les applications web contre diverses attaques en couche
applicative.
 Placé avant l’application web qui doit être protéger afin d’examiner les trafics et appliquer les
mesures de protection nécessaires avant qu’ils n’atteignent le server web.
 Fonctionne en mode Reverse proxy et assure la première ligne de défense pour des attaques
visant directement les applications web ou destinés à d’autres utilisateurs.

38. Web Application Firewall
 Vise principalement à contrer les vulnérabilités basés sur le top 10 OWASP (Open Web Application
Security Project):

39. Web Application Firewall
Quelques solutions WAF: F5, Fortinet, Impervia, Qualys, Cloudflare

40. NGIPS & AMP

41. NGIPS
 Un système de prévention d’intrusion de nouvelle génération.
 Cisco a acquis Sourcefire pour étendre ses capacités autour de la protection avancée continue contre les menaces
 Règles d’intrusion basé sur Snort
 Les évènements IPS peuvent être de 4 catégories :
⁻ True positive
⁻ True negative
⁻ False positive
⁻ False negative

42. NGIPS
 Cisco NGIPS offre la visibilité dont vous avez besoin sur votre réseau, notamment en obtenant des informations
sur des périphériques et des applications.
 Assure la corrélation des données de manière contextuelles
 Il permet d’identifier, classifier et stopper les trafics malicieux.
 Autres fonctionnalités de sécurité NGIPS:
⁻ Security Intelligence ( feeds, source Talos)
⁻ IOCs
⁻ Automated Tuning and recommandations

43. NGIPS (Next Gen IPS)
 Cisco propose 4 politiques d’intrusion par défaut
 Balanced Security and Connectivity
 Connectivity over Security
 Security over Connectivity
 Maximum Detection
Disponible en: Appliance et Virtuel

44. AMP (Advanced Malware Protection)
 Cisco AMP est une solution sécurité basé sur le Cloud
 Elle permet une protection avancée contre les logiciels malveillants qui va au-delà d’une
détection ponctuelle pour protéger votre organisation
 Offre une visibilité et un control à travers le réseau durant tout au long du continuum
d’attaque:
 Before
 During
 After

45. AMP (Advanced Malware Protection)
 Cisco AMP permet la détection, le blocage, l’analyse continue et l’alerte rétrospective des logiciels malveillants
avec les fonctionnalités suivantes:
 File reputation: AMP analyse les fichiers et bloque ou applique la politique
 File sandboxing: AMP analyse les fichiers inconnus pour déterminer le comportement
 File retrospection: AMP continue d’analyser les fichiers pour l’évolution des niveaux de menace
 L’architecture AMP comprend trois composants principales:
 AMP Cloud
 AMP Client Connectors
 Intelligence sources

46. AMP (Advanced Malware Protection)

47. AAA & Identity Management
with Cisco ISE

48. AAA
Un Framework composé de 3 différentes fonctionnalités de sécurité
 Authentication: un processus de vérification d’identité
⁻ Peut inclure plusieurs facteurs/éléments
o Something you know ( ex: mot de passe)
o Something you have ( ex: token)
o Something you are ( ex: biometrics)
 Authorization: gère l’application de la politique
o Privilèges, access level/scope etc.
 Accounting: permet le suivi et l’enregistrement des activités
o Quand et ou

49. AAA
 Peut être déployé directement sur les équipements réseaux
 Non évolutif,
 Limité en terme de fonctionnalités
 Possibilité de faire un déploiement centralisé avec le protocole RADIUS ou TACACS+

50. Identity Service Engine
ISE est un system de gestion d’identité nouvelle génération
 Il combine les fonctions de la solution ACS, d’un NAC (Network Admission Control) et d’autres fonctionnalités
 Possibilité de l’intégrer avec des bases externes comme AD, LDAP, RSA OTP
Fonctionnalité avancée:
⁻ Profiling
⁻ Posture Assessment
⁻ Centralized Web Authentication (CWA)
⁻ TrustSec

51. Identity Service Engine
Cisco ISE Architecture et Nomenclature:
 Node: Une instance individuelle qui exécuté le logiciel Cisco ISE
⁻ Physique
⁻ Virtuel
 Persona/Node Type: Détermine le service fourni par un node (nœud) particulier:
⁻ Administration (PAN): Permet à disposition de l’administrateur une interface d’administration pour configurer
les politiques et les configurations liées à la solution.
⁻ Monitoring (MnT): Ce Node est chargé de la collecte des messages logs de tous les autres nodes et générer des
reports.

52. Identity Service Engine
⁻ Policy Service (PSN): ce Node est responsable de l’application des politiques configurées depuis le PAN en
terme d’accès au réseau, de provisioning, profiling, posture, et des services d’accès invité
 Rôle: s’applique uniquement qu’aux nodes Administration et Monitoring
⁻ Standalone: lié au déploiement autonome et agit seul
⁻ Primary: rôle dans le déploiement distribué et sert de nœud principal pour toutes les configurations
⁻ Secondary: joue le rôle de backup cas de problème sur le nœud principal pour l’administration

53. Identity Service Engine
 ISE est principalement utilisé en tant que serveur AAA dans les 2 cas suivants:
 Device administration

54. Identity Service Engine
 Network Access
 802.1X est un standard définit par IEEE pour le contrôle d’accès au réseau et permettre aucune communication sur le réseau
sans une identification et autorisation préalable de l’utilisateur.
 Les composants fondamentales de 802.1X:
 Supplicant
 Authenticator
 Authentication server

55. Identity Service Engine
 802.1X s’appui sur le EAP (Extensible Authentication Protocol)
 EAP est un protocole d’authentification qui définit le transport et l’utilisation des
informations d’identification (username, passwords, certificates, tokens, OTP, etc.)
 EAP types peut être scindé en catégories:
 Native EAP (Ex: EAP-MD5, EAP-TLS, EAP-MSCHAPv2, etc.)
 Tunneled EAP (Ex: PEAP, EAP-FAST)

56. Identity Service Engine
Un cas d’utilisation