Voici ta fiche de révision complète, structurée et optimisée pour mémoriser l'essentiel du cours sur la sécurité réseau. # 🚀 Fiche de Révision : Sécurité Réseau (Attaques & Protections) --- ## 1. Typologie des Attaques Réseau Avant de protéger, il faut comprendre comment on est attaqué. Les attaques se divisent en deux grandes catégories. ### A. Attaques Passives * **Définition :** Tentent de collecter des informations sans affecter les ressources du système. * **Exemple :** Écoute et analyse du trafic (Sniffing) via des outils comme **Wireshark**. * **But :** Trouver des adresses IP, l'architecture réseau ou des identifiants. ### B. Attaques Actives * **Définition :** Tentent de modifier les ressources ou d'affecter le fonctionnement normal. * **Actions types :** Modification de données, **Injection**, **Rejeu** (renvoi d'anciennes données), **Mascarade** (usurpation d'identité) et suppression de données. ### C. Le Cycle d'une Attaque (6 étapes) 1. **Reconnaissance :** Recherche d'infos sur la cible. 2. **Énumération :** Inventaire des ressources, utilisateurs, applications. 3. **Balayage (Scan) :** Recherche de ports ouverts et vulnérabilités. 4. **Exploit :** Exploitation réelle de la faille. 5. **Maintenir l’accès :** Installation de portes dérobées (backdoors). 6. **Effacer les traces :** Nettoyage des logs d'intrusion. 💡 **À retenir :** Une attaque passive vise la **confidentialité**, tandis qu'une attaque active vise l'**intégrité** ou la **disponibilité**. --- ## 2. Attaques par Couche OSI Le cours détaille les vulnérabilités spécifiques à chaque niveau du modèle OSI. ### Niveau Liaison (Couche 2) * **Sniffing :** Exploite les **Hubs** qui diffusent les trames partout. *Parade :* Utiliser des **Switches** (commutateurs). * **Inondation de table CAM :** Envoyer de fausses adresses MAC pour saturer la mémoire du switch. Le switch devient alors un hub et diffuse tout le trafic. *Parade :* Limiter le nombre d'adresses MAC par port. * **MAC Spoofing :** Usurper l'adresse MAC d'une machine légitime. ### Niveau Réseau (Couche 3) * **ARP Spoofing (ou Poisoning) :** Falsifier le cache ARP pour associer l'IP d'une victime à l'adresse MAC de l'attaquant. Permet des attaques **Man-in-the-Middle (MitM)**. * **IP Spoofing :** Envoyer des paquets avec une adresse IP source falsifiée pour tromper les relations de confiance (firewalls). * **Smurfing (DoS) :** Inonder une victime de réponses ICMP (ping) en envoyant une requête broadcast avec l'IP source de la victime. ### Niveau Transport (Couche 4) * **TCP SYN Flooding :** Envoyer massivement des requêtes de connexion (SYN) sans jamais répondre au SYN-ACK du serveur. Cela sature les ressources du serveur (Déni de Service - DoS). * **Scanning (Nmap) :** Tester les ports d'une machine. États possibles selon Nmap : **Open** (ouvert), **Closed** (fermé), **Filtered** (bloqué par un firewall). ### Niveau Application (Couche 7) * **DHCP Starvation :** Saturer le serveur DHCP avec de fausses requêtes pour qu'il n'ait plus d'IP à donner. * **Faux serveur DHCP :** L'attaquant donne de fausses passerelles par défaut aux clients pour intercepter leur trafic. --- ## 3. Les Moyens de Protection Pour contrer ces menaces, trois piliers sont indispensables. ### A. Le Firewall (Pare-feu) * **Rôle :** Filtrer le trafic entre deux réseaux selon une politique de sécurité (IP source/dest, ports, protocoles). * **Concept de DMZ (Zone Démilitarisée) :** Zone isolée accueillant les serveurs publics (web, mail) pour protéger le réseau local interne. * **Iptables (Linux) :** Outil de configuration des règles de filtrage. * **Actions :** `ACCEPT` (autoriser), `DROP` (supprimer silencieusement), `REJECT` (refuser avec message d'erreur). ### B. L'IDS / IPS (Détection/Prévention d'Intrusion) * **IDS :** Surveille le trafic et alerte en cas d'activité suspecte. * **Types :** **N-IDS** (réseau) et **H-IDS** (hôte/machine). * **Méthodes :** * **Par scénario (signature) :** Recherche des motifs d'attaques connus. * **Comportementale :** Détecte les déviances par rapport à un trafic "normal". * **Outil référence :** **Snort**. ### C. Le VPN (Virtual Private Network) * **Rôle :** Créer un tunnel sécurisé et chiffré sur Internet. * **Services offerts :** Confidentialité (chiffrement), Intégrité (hachage), Authentification (certificats/mots de passe). * **Protocoles :** IPsec, SSL, L2F. --- ## 📋 Tableau Récapitulatif : Attaque vs Défense | Attaque | Couche | Principe simple | Moyen de défense principal | | :--- | :--- | :--- | :--- | | **Sniffing** | 2 | Écoute du trafic broadcast | Switch, VPN | | **CAM Flooding** | 2 | Saturation table MAC du switch | Port Security (limite MAC) | | **ARP Spoofing** | 3 | Détournement trafic IP/MAC | DHCP Snooping, DAI | | **SYN Flooding** | 4 | Saturation connexions TCP | SYN Cookies, Filtrage | | **Scanning** | 4 | Inventaire des ports ouverts | Firewall, IDS | | **DHCP Spoofing** | 7 | Faux serveur DHCP | DHCP Snooping | --- ## 🚩 Fiche de Révision "Dernière Minute" (L'essentiel) * **Différence DROP vs REJECT :** `DROP` supprime le paquet sans rien dire ; `REJECT` renvoie un message d'erreur (plus poli mais donne une info à l'attaquant). * **Man-in-the-Middle (MitM) :** L'attaquant se place entre A et B pour intercepter ou modifier leurs échanges. * **3-way Handshake TCP :** SYN -> SYN-ACK -> ACK. L'attaque SYN Flood s'arrête juste avant le dernier ACK. * **Nmap :** Outil indispensable pour l'audit. Les 3 états de ports à connaître sont **Open**, **Closed**, **Filtered**. * **Combo gagnant :** La protection minimale recommandée est **Firewall + IDS**. * **Utilité VPN :** Sécuriser les connexions sur Wifi public, contourner la censure et masquer l'IP réelle.