🔍
Résultats de recherche
Aucun résultat trouvé. Essayez un autre terme.
🔷
Modèle OSI — 7 Couches
Open Systems Interconnection · Standard ISO/IEC 7498
C'est quoi le modèle OSI ?
Le modèle OSI est un cadre conceptuel en 7 couches qui décrit comment les données circulent dans un réseau, de l'application jusqu'au câble physique. Chaque couche a un rôle précis et communique uniquement avec les couches adjacentes. En bas = physique, en haut = logiciel.
Moyen mnémotechnique (de bas en haut 1→7)
Pourquoi De Nombreux Techniciens Réseau Apprécient Apprendre — Physique, Données, Réseau, Transport, Session, Présentation, Application
7
Application
Interface directe avec l'utilisateur
Fournit les services réseau aux applications (navigateur, client mail…)
HTTP · HTTPS · FTP · SFTP · SMTP · POP3 · IMAP · DNS · DHCP · SSH · Telnet · SNMP · NTP
6
Présentation
Encodage, chiffrement, compression
Traduit les données entre formats (ASCII, EBCDIC) et gère le chiffrement TLS/SSL
SSL · TLS · JPEG · MPEG · ASCII · Unicode · Base64
5
Session
Gestion des sessions de communication
Ouvre, maintient et ferme les sessions entre applications. Gère la synchronisation et la reprise.
NetBIOS · RPC · SQL (sessions) · NFS · PAP
4
Transport
Fiabilité, segmentation, ports
Segmente les données, gère le contrôle de flux, la détection d'erreurs et la retransmission (TCP). Identifie les applications par ports.
TCP (fiable, connexion) · UDP (rapide, sans connexion) · SCTP
3
Réseau
Adressage logique et routage
Détermine le meilleur chemin pour acheminer les paquets entre réseaux différents via les adresses IP
IPv4 · IPv6 · ICMP · OSPF · BGP · EIGRP · RIPv2 · ARP
2
Liaison
Trames, adresses MAC, détection d'erreurs
Gère la communication entre deux nœuds directement connectés. Adresses MAC sur 48 bits. FCS pour contrôle d'erreur.
Ethernet · Wi-Fi (802.11) · ARP · PPP · STP · VLAN 802.1Q
1
Physique
Bits, câbles, signaux
Transmet les bits bruts sur le support physique (électrique, optique, radio). Définit les connecteurs, tensions, débits.
RJ45 · Fibre optique · USB · 802.3 (Ethernet) · Bluetooth · Wi-Fi physique
📦
Encapsulation des données
Comment les données changent de forme selon la couche
| Couche | Unité (PDU) | En-tête ajouté | Explication |
|---|---|---|---|
| Application (7) | Données | En-tête applicatif | Les données brutes de l'application (ex: requête HTTP) |
| Transport (4) | Segment (TCP) / Datagramme (UDP) | Port src, port dst, numéro séquence | Découpe en segments, ajoute les ports pour identifier l'application |
| Réseau (3) | Paquet | IP src, IP dst, TTL | Ajoute les adresses IP pour le routage entre réseaux |
| Liaison (2) | Trame | MAC src, MAC dst, FCS | Ajoute les adresses MAC pour la livraison locale |
| Physique (1) | Bits | Signal électrique/optique/radio | Conversion en bits sur le support physique |
🌐
Modèle TCP/IP
Suite de protocoles d'Internet · 4 couches
Différence OSI vs TCP/IP
OSI = modèle théorique en 7 couches (référence universelle). TCP/IP = modèle pratique en 4 couches, utilisé sur Internet. En pratique, c'est TCP/IP qui gouverne les réseaux, mais on parle en termes OSI pour l'analyse.
| Couche TCP/IP | Correspondance OSI | Protocoles clés | Rôle |
|---|---|---|---|
| Application | Couches 5-6-7 | HTTP, HTTPS, FTP, SMTP, DNS, DHCP, SSH, Telnet, SNMP, NTP | Interface avec les applications utilisateur |
| Transport | Couche 4 | TCP, UDP, SCTP | Segmentation, ports, fiabilité ou rapidité |
| Internet (Réseau) | Couche 3 | IPv4, IPv6, ICMP, ARP, OSPF, BGP, RIPv2, EIGRP | Adressage IP et routage entre réseaux |
| Accès réseau | Couches 1-2 | Ethernet, Wi-Fi, PPP, MPLS, Frame Relay | Transmission physique sur le support local |
⚔️
TCP vs UDP — En détail
Le choix entre fiabilité et performance
Quand choisir TCP ou UDP ?
TCP pour tout ce qui nécessite une livraison garantie (fichiers, pages web, emails). UDP pour tout ce qui doit être rapide et peut tolérer des pertes (VoIP, streaming vidéo, jeux en ligne, DNS).
| Critère | TCP | UDP |
|---|---|---|
| Connexion | Orienté connexion (handshake) | Sans connexion (connectionless) |
| Fiabilité | ✅ Accusés de réception (ACK), retransmission | ❌ Best-effort, pertes possibles |
| Ordre | ✅ Réordonnancement des segments | ❌ Ordre non garanti |
| Contrôle de flux | ✅ Fenêtre glissante | ❌ Aucun |
| Vitesse | Plus lent (overhead du handshake) | ✅ Très rapide |
| Handshake | 3-way : SYN → SYN-ACK → ACK | Aucun |
| Usages | HTTP/S, FTP, SSH, SMTP, Telnet, RDP | DNS, DHCP, VoIP, streaming, jeux, SNMP |
Le 3-way Handshake TCP expliqué
1. Client envoie SYN (je veux me connecter) → 2. Serveur répond SYN-ACK (d'accord, je suis là) → 3. Client envoie ACK (reçu, connexion établie). La connexion est fermée avec FIN-ACK.
🔢
Numéros de ports TCP/UDP
Organisation des ports
| Plage | Nom | Description |
|---|---|---|
| 0 – 1023 | Well-Known Ports | Ports réservés aux services système (HTTP 80, SSH 22, DNS 53…). Nécessitent des droits root pour écouter. |
| 1024 – 49151 | Registered Ports | Ports enregistrés par l'IANA pour des applications spécifiques (RDP 3389, MySQL 3306…) |
| 49152 – 65535 | Dynamic / Ephemeral | Ports temporaires utilisés par les clients pour initier des connexions. Choisis aléatoirement par l'OS. |
📍
Adressage IP (IPv4 & IPv6)
Adresses, masques, CIDR, VLSM, NAT
Adresse IPL3
Identifiant logique unique sur 32 bits (IPv4) ou 128 bits (IPv6) permettant d'identifier un hôte ou une interface réseau sur un réseau. Contrairement à l'adresse MAC (physique, permanente), l'adresse IP est logique et peut changer.
IPv4 = 4 octets en décimal pointé (ex: 192.168.1.1). IPv6 = 8 groupes de 4 hex séparés par ':' (ex: 2001:0db8::1)
Masque de sous-réseauIPv4
Valeur 32 bits qui sépare la partie réseau (bits à 1) de la partie hôte (bits à 0). Un AND logique entre l'adresse IP et le masque donne l'adresse réseau.
Ex: IP 192.168.1.50 AND masque 255.255.255.0 → réseau 192.168.1.0
Notation CIDRIPv4
Classless Inter-Domain Routing — notation compacte indiquant le nombre de bits à 1 du masque. Remplace les notations de classe (A/B/C) obsolètes. Permet un découpage flexible des réseaux.
/24 = 256 adresses, 254 hôtes. /30 = 4 adresses, 2 hôtes (liaisons point-à-point)
VLSMDesign
Variable Length Subnet Masking — technique de découpage de sous-réseaux utilisant des masques de longueurs différentes pour optimiser l'utilisation de l'espace d'adressage. Permet d'allouer exactement le nombre d'adresses nécessaires.
Ex: /30 pour les liaisons WAN (2 hôtes), /24 pour les LANs (254 hôtes)
NAT — Network Address TranslationIPv4
Traduction d'adresses IP privées en adresses publiques et inversement. Permet à tout un réseau local de partager une ou plusieurs adresses publiques pour accéder à Internet. Fonctionne en modifiant l'en-tête IP des paquets.
NAT Statique: 1 privée ↔ 1 publique fixe. NAT Dynamique: pool public. PAT/overload: 1 publique + ports
PAT — Port Address TranslationIPv4
Variante du NAT permettant de faire correspondre plusieurs adresses privées à une seule adresse publique en différenciant les sessions par le numéro de port source. Aussi appelé NAT overload. Utilisé par quasiment tous les routeurs domestiques.
Jusqu'à ~65 000 sessions simultanées sur 1 seule IP publique
🏷️
Classes IPv4 & Plages importantes
| Classe | 1er octet | Masque défaut | Réseaux / Hôtes | Usage |
|---|---|---|---|---|
| A | 1 – 126 | /8 (255.0.0.0) | 126 réseaux / 16 millions hôtes | Très grandes organisations |
| B | 128 – 191 | /16 (255.255.0.0) | 16 384 réseaux / 65 534 hôtes | Moyennes organisations |
| C | 192 – 223 | /24 (255.255.255.0) | 2 millions réseaux / 254 hôtes | Petits réseaux |
| D | 224 – 239 | — | Multicast uniquement | Streaming, routage (OSPF, RIP) |
| E | 240 – 255 | — | Réservé expérimental | Recherche (non routé) |
| Plage / Adresse | Type | Utilisation |
|---|---|---|
| 10.0.0.0/8 | Privée classe A | LAN grandes entreprises — 16M d'adresses |
| 172.16.0.0/12 | Privée classe B | 172.16.x.x à 172.31.x.x — 1M d'adresses |
| 192.168.0.0/16 | Privée classe C | LAN domestique et PME — 65 536 adresses |
| 127.0.0.0/8 | Loopback | Tests locaux — 127.0.0.1 = localhost, reste la machine elle-même |
| 169.254.0.0/16 | APIPA | Auto-configuration si DHCP indisponible — adresse de secours Windows |
| 0.0.0.0/0 | Route défaut | Représente toutes les destinations (route de dernier recours) |
| 255.255.255.255 | Broadcast limité | Broadcast réseau local uniquement (non routé) |
| 224.0.0.0/4 | Multicast | 224.0.0.5=OSPF, 224.0.0.9=RIPv2, 224.0.0.18=VRRP |
🔢
Calcul rapide CIDR
| CIDR | Masque | Nb adresses | Nb hôtes utiles | Usage typique |
|---|---|---|---|---|
| /30 | 255.255.255.252 | 4 | 2 | Liaisons point-à-point WAN |
| /29 | 255.255.255.248 | 8 | 6 | Petit segment DMZ |
| /28 | 255.255.255.240 | 16 | 14 | Petite salle serveurs |
| /27 | 255.255.255.224 | 32 | 30 | Petit département |
| /26 | 255.255.255.192 | 64 | 62 | Moyen département |
| /25 | 255.255.255.128 | 128 | 126 | Grand département |
| /24 | 255.255.255.0 | 256 | 254 | LAN standard |
| /23 | 255.255.254.0 | 512 | 510 | Campus moyen |
| /16 | 255.255.0.0 | 65 536 | 65 534 | Grande entreprise |
📡
Protocoles réseau essentiels
Ports, rôles et explications détaillées
Comment retenir les protocoles ?
Associe chaque protocole à son usage concret : HTTP = naviguer, SMTP = envoyer un mail, SSH = terminal distant sécurisé, DNS = annuaire Internet. Les ports sont à mémoriser absolument pour l'examen.
| Protocole | Port | Transport | Description complète |
|---|---|---|---|
| HTTP | 80 | TCP | HyperText Transfer Protocol — Protocole de base du web. Transfert de pages HTML, non chiffré. Toutes les données transitent en clair (à éviter pour données sensibles). |
| HTTPS | 443 | TCP | HTTP Secure — HTTP encapsulé dans TLS/SSL. Chiffrement asymétrique lors de l'échange de clé, puis symétrique (AES) pour les données. Certificat X.509 requis côté serveur. |
| FTP | 20-21 | TCP | File Transfer Protocol — Transfert de fichiers. Port 21 = contrôle des commandes, port 20 = transfert des données. Non chiffré. Modes actif et passif. |
| SFTP | 22 | TCP | SSH File Transfer Protocol — FTP sécurisé via un tunnel SSH. Entièrement chiffré. À ne pas confondre avec FTPS (FTP + SSL). |
| FTPS | 990/21 | TCP | FTP over SSL/TLS — FTP chiffré avec TLS. Port 990 = mode implicite, port 21 = STARTTLS explicite. Différent de SFTP (pas de SSH). |
| SSH | 22 | TCP | Secure Shell — Accès distant sécurisé à un terminal, transfert de fichiers (SFTP/SCP), tunneling. Remplace Telnet. Authentification par mot de passe ou clé publique/privée. Chiffrement fort. |
| Telnet | 23 | TCP | Teletype Network — Accès distant en clair, tout le trafic non chiffré (visible avec Wireshark). OBSOLÈTE, remplacé par SSH. À bloquer absolument sur les firewalls. |
| SMTP | 25 | TCP | Simple Mail Transfer Protocol — Envoi d'emails entre serveurs de messagerie. Le port 25 est souvent bloqué par les FAI pour éviter le spam. |
| SMTPS | 465 / 587 | TCP | SMTP Sécurisé — Port 465 = SSL implicite, port 587 = STARTTLS explicite. Utilisé pour l'envoi des clients de messagerie vers le serveur. |
| POP3 | 110 | TCP | Post Office Protocol v3 — Réception d'emails : télécharge les messages et les supprime du serveur par défaut. Simple, adapté aux accès offline. POP3S = port 995. |
| IMAP | 143 | TCP | Internet Message Access Protocol — Lecture des emails en laissant les messages sur le serveur. Synchronisation multi-appareils. Supporte les dossiers, flags, recherche côté serveur. IMAPS = port 993. |
| DNS | 53 | UDP + TCP | Domain Name System — Traduit les noms de domaine en adresses IP (résolution directe) et inversement (reverse DNS). UDP pour les requêtes courtes, TCP pour les transferts de zone et réponses larges. |
| DHCP | 67-68 | UDP | Dynamic Host Configuration Protocol — Attribution automatique d'IP, masque, passerelle, DNS aux hôtes. Serveur écoute sur 67, client envoie depuis 68. Processus DORA. |
| SNMP | 161-162 | UDP | Simple Network Management Protocol — Supervision des équipements réseau. v1/v2c = communautés en clair, v3 = authentification + chiffrement. Port 161 = requêtes, 162 = traps (alertes). |
| NTP | 123 | UDP | Network Time Protocol — Synchronisation de l'horloge des serveurs et équipements réseau. Critique pour les logs, certificats, Kerberos (AD). Stratum 0 = source atomique, Stratum 1 = serveur principal. |
| TFTP | 69 | UDP | Trivial FTP — Transfert simple sans authentification. Utilisé pour le boot PXE, mise à jour de firmwares Cisco, configurations réseau. Pas de gestion de répertoire ni de sécurité. |
| LDAP | 389 | TCP | Lightweight Directory Access Protocol — Accès aux annuaires (Active Directory, OpenLDAP). Permet l'authentification centralisée. LDAPS = port 636 (chiffré TLS). |
| RDP | 3389 | TCP | Remote Desktop Protocol — Protocole Microsoft de bureau à distance graphique. Permet le contrôle complet d'un PC Windows. Cible fréquente d'attaques (brute-force, exploits). |
| RADIUS | 1812-1813 | UDP | Remote Authentication Dial-In User Service — Protocole AAA (Authentication, Authorization, Accounting). Utilisé pour 802.1X, VPN, Wi-Fi entreprise. Port 1812 = auth, 1813 = accounting. |
| TACACS+ | 49 | TCP | Terminal Access Controller Access-Control System+ — Protocole AAA Cisco (propriétaire). Chiffre l'intégralité du paquet (vs RADIUS qui ne chiffre que le mot de passe). TCP = plus fiable. |
| Syslog | 514 | UDP | System Logging Protocol — Envoi centralisé de logs réseau vers un serveur. 8 niveaux de sévérité : 0=Emergency, 1=Alert, 2=Critical, 3=Error, 4=Warning, 5=Notice, 6=Info, 7=Debug. |
| BGP | 179 | TCP | Border Gateway Protocol — Protocole de routage de l'Internet (EGP). Route entre Autonomous Systems (AS). Basé sur des politiques (attributs). Convergence lente mais très flexible. |
| OSPF | — | IP proto 89 | Open Shortest Path First — IGP à état de lien (link-state). Algorithme de Dijkstra (SPF). Métrique = coût (basé sur bande passante). Zones pour scalabilité, Area 0 = backbone obligatoire. |
| RIPv2 | 520 | UDP | Routing Information Protocol v2 — IGP vecteur-distance. Maximum 15 sauts (16=inaccessible). Convergence lente. Supporte CIDR et authentification MD5. Quasi-obsolète, remplacé par OSPF. |
| EIGRP | — | IP proto 88 | Enhanced Interior Gateway Routing Protocol — Protocole hybride Cisco (propriétaire). Combine vecteur-distance et link-state. Métrique composée (bande passante + délai). Convergence rapide via DUAL. |
| SIP | 5060-5061 | UDP/TCP | Session Initiation Protocol — Établissement et gestion des sessions VoIP (appels). Port 5060 = non chiffré, 5061 = TLS. Protocole de signalisation (la voix passe par RTP/UDP). |
| VRRP | — | IP proto 112 | Virtual Router Redundancy Protocol — Haute disponibilité de passerelle. Partage une IP virtuelle entre plusieurs routeurs. Standard IEEE (contrairement à HSRP qui est Cisco). |
| SMB/CIFS | 445 | TCP | Server Message Block — Partage de fichiers, imprimantes et accès aux ressources Windows. Cible de nombreuses attaques (EternalBlue, WannaCry). Port 139 = ancienne version via NetBIOS. |
🖥️
Équipements réseau
Matériels, rôles et positionnement dans l'architecture
Hub (Concentrateur)Couche 1
Équipement basique qui répète le signal électrique sur tous les ports simultanément. Tous les hôtes partagent le même domaine de collision. Une seule transmission possible à la fois (half-duplex). Aujourd'hui totalement obsolète.
Remplacé par le switch. Jamais utilisé dans un réseau moderne.
Switch (Commutateur)Couche 2
Équipement central du LAN qui commute les trames Ethernet entre ports en utilisant les adresses MAC. Maintient une table MAC (table CAM) pour apprendre les adresses. Chaque port = son propre domaine de collision. Supporte le full-duplex.
Switch manageable = configuration VLAN, QoS, STP, port security, SNMP. Switch L3 = routage entre VLANs.
RouteurCouche 3
Équipement qui route les paquets IP entre réseaux différents. Maintient une table de routage et choisit le meilleur chemin. Chaque interface est dans un réseau différent. Sépare les domaines de broadcast.
Un routeur ne fait jamais suivre les broadcasts — c'est ce qui délimite les réseaux.
Pare-feu (Firewall)L3/L4/L7
Équipement de sécurité qui filtre le trafic réseau selon des règles. Peut être stateless (filtre sur IP/port), stateful (suit l'état des connexions) ou applicatif (inspecte le contenu L7). Protège les frontières réseau.
pfSense, Fortigate, Cisco ASA, iptables (Linux), Windows Defender Firewall.
Point d'accès Wi-Fi (AP)Couche 2
Équipement permettant la connexion sans fil des clients (smartphones, laptops) au réseau filaire. Diffuse un ou plusieurs SSID. Standards Wi-Fi : 802.11a/b/g/n/ac/ax (Wi-Fi 6).
WLC (Wireless LAN Controller) = gestion centralisée de plusieurs AP. Mode léger vs autonome.
ProxyCouche 7
Intermédiaire entre clients et serveurs. Filtrage de contenu web, mise en cache (accélération), anonymisation, authentification des accès Internet. Proxy transparent = invisible au client (pas de configuration requise).
Squid = proxy Linux. Proxy inverse (reverse proxy) = protège les serveurs (ex: Nginx).
IDS / IPSSécurité
Intrusion Detection/Prevention System. IDS = analyse le trafic et génère des alertes (passif). IPS = bloque activement les attaques détectées (inline dans le flux). Détection par signatures ou comportement.
Snort, Suricata = IDS/IPS open-source. Zeek = analyse comportementale réseau.
Load BalancerCouche 4/7
Répartit les requêtes entrantes entre plusieurs serveurs pour équilibrer la charge et assurer la haute disponibilité. Algorithmes : Round Robin, Least Connections, IP Hash. Peut faire de la terminaison SSL.
HAProxy, Nginx, F5 BIG-IP, AWS ELB. Indispensable pour les architectures web scalables.
NIC — Carte réseauCouche 1-2
Network Interface Card — Interface matérielle entre l'ordinateur et le réseau. Chaque NIC possède une adresse MAC unique sur 48 bits gravée par le fabricant (OUI + numéro unique). Peut être filaire (Ethernet) ou sans fil (Wi-Fi).
L'adresse MAC peut être usurpée (MAC spoofing) logiciellement.
ModemCouche 1
MOdulateur/DEModulateur — Convertit le signal numérique en signal analogique pour la transmission sur ligne téléphonique (ADSL) ou câble, et inversement. Pour la fibre, on parle d'ONT (Optical Network Terminal).
En pratique, la box FAI intègre modem + routeur + switch + AP Wi-Fi.
🔀
VLAN & Commutation
Segmentation logique, trunk 802.1Q, STP, EtherChannel
VLAN — Virtual LAN802.1Q
Segmentation logique d'un réseau physique en plusieurs réseaux virtuels isolés. Chaque VLAN = domaine de broadcast séparé. Les hôtes de VLANs différents ne peuvent pas communiquer directement sans routeur. Un VLAN ID sur 12 bits = 4094 VLANs possibles (1 à 4094).
VLAN 1 = VLAN natif par défaut (à changer). VLAN 1002-1005 = réservés Token Ring/FDDI.
Tag 802.1QStandard
Champ de 4 octets inséré dans la trame Ethernet pour identifier le VLAN. Composé de : TPID (0x8100 = identifiant VLAN), TCI (Priority + DEI + VLAN ID 12 bits). Permet de transporter plusieurs VLANs sur un même lien physique (trunk).
La trame taguée augmente la taille maximale de 1500 à 1522 octets (baby giant frame).
Port AccessSwitch
Port switch appartenant à un seul VLAN. Les trames ne sont pas taguées (le tag est retiré à la sortie). Connecté aux équipements finaux (PC, serveur, imprimante). L'équipement final ne sait pas qu'il est dans un VLAN.
Port TrunkSwitch
Port switch transportant plusieurs VLANs simultanément grâce aux tags 802.1Q. Utilisé pour les liaisons entre switches et entre switch et routeur. Le VLAN natif circule sans tag sur le trunk.
DTP (Dynamic Trunking Protocol) = négociation automatique du mode trunk (Cisco). À désactiver pour la sécurité.
Inter-VLAN RoutingL3
Communication entre VLANs nécessite un équipement de couche 3. Deux approches : Router-on-a-Stick (routeur avec sous-interfaces taguées sur un trunk) ou Switch L3 (SVI = Switch Virtual Interface par VLAN).
Router-on-a-Stick = goulot d'étranglement. Switch L3 = plus performant mais plus coûteux.
STP — Spanning Tree Protocol802.1D
Protocole qui évite les boucles L2 dans les réseaux avec liens redondants. Élit un Root Bridge (priorité + MAC la plus basse). Chaque switch calcule le chemin le plus court vers le Root Bridge. Bloque les ports redondants.
RSTP (802.1w) = convergence rapide (secondes vs 30-50s). MSTP (802.1s) = un STP par groupe de VLANs.
États des ports STP802.1D
Chaque port passe par des états : Blocking (ne fait rien), Listening (écoute les BPDU), Learning (apprend les MAC), Forwarding (actif), Disabled (désactivé admin). RSTP simplifie : Discarding, Learning, Forwarding.
EtherChannel / LACP802.3ad
Agrégation de plusieurs liens physiques en un lien logique unique (LAG = Link Aggregation Group). Augmente la bande passante et offre la redondance. LACP (802.3ad) = standard ouvert. PAgP = propriétaire Cisco.
STP voit l'EtherChannel comme un seul lien → pas de blocage sur les liens agrégés.
Port Mirroring (SPAN)Switch
Switched Port Analyzer — Copie le trafic d'un ou plusieurs ports source vers un port destination. Permet l'analyse avec Wireshark ou un IDS sans interrompre le trafic. RSPAN = mirroring vers un switch distant.
🗺️
Routage
Statique, dynamique, OSPF, BGP, métriques, distance administrative
Routage statiqueL3
Route configurée manuellement par l'administrateur. Aucune mise à jour automatique en cas de panne. Simple, prévisible, sans overhead. Utilisé sur petits réseaux, liaisons WAN point-à-point ou route par défaut.
Distance Administrative = 1 (plus prioritaire que tout protocole dynamique). Commande: ip route [réseau] [masque] [nexthop]
Routage dynamiqueL3
Le routeur échange des informations avec ses voisins pour construire et mettre à jour automatiquement sa table de routage. S'adapte aux pannes (convergence). Plus complexe à configurer mais plus résilient.
Distance Administrative (AD)Cisco
Valeur indiquant la fiabilité relative d'une source de routage. En cas de routes identiques apprises par plusieurs protocoles, l'AD la plus basse est préférée. Configurable manuellement.
Connecté=0, Statique=1, eBGP=20, EIGRP=90, OSPF=110, IS-IS=115, RIP=120, iBGP=200
Métrique de routageAlgo
Valeur calculée pour choisir la meilleure route quand plusieurs chemins vers la même destination existent (via le même protocole). Différente selon le protocole : RIP = nombre de sauts, OSPF = coût (inversement proportionnel à la bande passante), EIGRP = bande passante + délai.
OSPF — Open Shortest Path FirstIGP
Protocole IGP à état de lien. Chaque routeur construit une carte complète du réseau (LSDB) en échangeant des LSA (Link State Advertisements). Utilise l'algorithme SPF (Dijkstra) pour calculer les meilleures routes. Très scalable grâce aux Areas.
Area 0 = backbone obligatoire. DR/BDR élus sur les réseaux broadcast. Coût = 10^8 / bande passante.
BGP — Border Gateway ProtocolEGP
Protocole de routage de l'Internet. Fonctionne entre Autonomous Systems (AS) différents. Basé sur des politiques (attributs : AS-PATH, MED, LOCAL_PREF…). Convergence lente mais extrêmement flexible. eBGP = entre AS, iBGP = au sein d'un AS.
Chaque opérateur internet est un AS. BGP gère les 900 000+ routes d'Internet (table de routage globale).
RIPv2IGP
Protocole IGP à vecteur-distance. Échange les tables de routage complètes toutes les 30 secondes. Maximum 15 sauts (16 = inaccessible). Convergence lente. Supporte CIDR et authentification MD5. Quasi-obsolète, remplacé par OSPF.
Route par défaut (default route)L3
Route 0.0.0.0/0 — correspond à toutes les destinations non connues dans la table de routage. Route de "dernier recours" dirigeant le trafic vers Internet ou vers un routeur de sortie. Le masque le plus court possible (plus long = plus spécifique = prioritaire).
| Protocole | Type | Algorithme | Métrique | Convergence | Limite |
|---|---|---|---|---|---|
| RIPv2 | IGP, Vecteur-distance | Bellman-Ford | Nombre de sauts | Lente (90s+) | 15 sauts max |
| OSPF | IGP, État de lien | Dijkstra (SPF) | Coût (BW) | Rapide (secondes) | Areas pour scalabilité |
| EIGRP | IGP, Hybride (Cisco) | DUAL | BW + délai | Très rapide | Propriétaire Cisco |
| BGP | EGP, Path vector | Politiques | Attributs | Lente (minutes) | Complexité config |
🔐
Sécurité réseau
ACL, VPN, IPsec, 802.1X, attaques et contre-mesures
ACL — Access Control ListFiltrage
Liste de règles permit/deny appliquée sur une interface routeur pour filtrer le trafic. Standard (filtrage sur IP source uniquement, numéros 1-99). Extended (IP src + IP dst + protocole + port, numéros 100-199).
Règle implicite "deny all" à la fin. ACL standard = proche destination. ACL étendue = proche source. Traitement séquentiel, première règle correspondante appliquée.
Firewall StatefulSécurité
Maintient une table d'états des connexions actives. Autorise automatiquement le trafic de retour d'une session établie (ACK d'un TCP initié depuis l'intérieur). Plus intelligent qu'un simple filtrage de paquets (stateless).
Un paquet SYN entrant non sollicité = bloqué. Un ACK en réponse à un SYN sortant = autorisé.
DMZ — Demilitarized ZoneArchitecture
Zone réseau intermédiaire entre Internet et le LAN interne. Héberge les serveurs accessibles publiquement (web, mail, FTP). Isolée par deux firewalls ou par une interface dédiée du firewall principal.
Règle fondamentale : DMZ vers LAN interne doit être bloqué par défaut.
VPN — Virtual Private NetworkTunnel
Tunnel chiffré sur un réseau public (Internet). Protège la confidentialité et l'intégrité des données en transit. Types : IPsec Site-to-Site, SSL/TLS (client distant), OpenVPN, WireGuard.
Split tunneling = seul le trafic entreprise passe par le VPN. Full tunnel = tout le trafic.
IPsecProtocole
Suite de protocoles sécurisant IP. AH (Authentication Header) = intégrité + authentification. ESP (Encapsulating Security Payload) = intégrité + authentification + chiffrement. Modes : Transport (hôte à hôte, protège payload) et Tunnel (réseau à réseau, protège tout le paquet).
IKE (Internet Key Exchange) = échange des clés de chiffrement en deux phases.
802.1X — Authentification port-basedStandard
Authentification réseau par port switch ou AP Wi-Fi. Trois rôles : Supplicant (client cherchant l'accès), Authenticator (switch/AP), Authentication Server (RADIUS). Protocole EAP pour l'échange d'authentification.
Avant authentification : seul le trafic EAPOL est autorisé. Après : port débloqué.
ARP SpoofingAttaque
L'attaquant envoie de fausses réponses ARP pour associer son adresse MAC à l'IP de la passerelle (ou d'un autre hôte). Résultat : le trafic est redirigé vers l'attaquant (attaque Man-in-the-Middle).
Contre-mesures : DAI (Dynamic ARP Inspection) sur le switch, DHCP Snooping, chiffrement du trafic.
DHCP SnoopingSécurité L2
Protection contre les serveurs DHCP non autorisés. Ports "trusted" (vrais serveurs DHCP) vs "untrusted" (clients). Les messages DHCP OFFER/ACK venant d'un port untrusted sont bloqués. Construit une base d'associations IP-MAC-port utilisée par DAI et IP Source Guard.
VLAN HoppingAttaque
Attaque permettant d'accéder à un VLAN non autorisé. Deux méthodes : Switch Spoofing (l'attaquant prétend être un switch et négocie un trunk) ou Double Tagging (trame avec double tag 802.1Q pour traverser les switches).
Contre-mesures : désactiver DTP (switchport nonegotiate), changer le VLAN natif (≠ VLAN 1), désactiver les ports inutilisés.
Port SecuritySwitch
Fonctionnalité Cisco limitant les adresses MAC autorisées sur un port. Protège contre le MAC flooding (saturation de la table CAM). Actions en cas de violation : restrict (log), protect (drop), shutdown (port en err-disable).
TLS — Transport Layer SecurityChiffrement
Protocole de chiffrement des communications sur Internet (remplace SSL). Utilisé par HTTPS, SMTPS, IMAPS, LDAPS. Handshake : échange de certificats, négociation d'algorithmes, établissement clé de session symétrique (AES).
TLS 1.3 = le plus récent et sécurisé. TLS 1.0/1.1 = obsolètes, à désactiver. SSL = vulnérable (POODLE, BEAST).
PKI — Public Key InfrastructureCertificats
Infrastructure de gestion des certificats numériques X.509. Composants : CA (Autorité de Certification), RA (Autorité d'Enregistrement), CRL (liste de révocation), OCSP (vérification en temps réel). La CA signe les certificats avec sa clé privée.
🌍
Technologies WAN
Liaisons longue distance, opérateurs, MPLS, SD-WAN
| Technologie | Support | Débit typique | Symétrique | Caractéristiques |
|---|---|---|---|---|
| ADSL | Paire de cuivre | Montant ~1Mb / Descendant ~20Mb | ❌ | Asymétrique, distance limite ~5km du DSLAM |
| VDSL2 | Paire de cuivre | Jusqu'à 200Mb/100Mb | Partielle | Fibre + cuivre (FTTN/FTTB), distance ~500m |
| FTTH (Fibre) | Fibre optique | 100Mb à 10Gb | ✅ | GPON/XGS-PON, ONT chez l'abonné, très faible latence |
| MPLS | Réseau opérateur | Variable (2Mb à nGb) | ✅ | Labels, QoS garanti, VPN L2/L3, SLA, coûteux |
| SD-WAN | Tout lien IP | Dépend des liens | — | Gestion centralisée, multi-liens (MPLS+Internet+4G), moins cher que MPLS |
| 4G LTE | Radio cellulaire | Jusqu'à 150Mb | Partielle | Nomadisme, secours WAN, latence ~30-50ms |
| 5G | Radio cellulaire | >1Gb (théorique) | Partielle | Très faible latence (<10ms), eMBB/URLLC/mMTC |
| Leased Line | Fibre dédiée | Variable | ✅ | Dédiée, très fiable, très coûteuse, SLA strict |
| PPPoE | Ethernet | Dépend du lien | — | Encapsulation PPP sur Ethernet, auth CHAP/PAP, utilisé par FAI |
MPLS — Multiprotocol Label SwitchingWAN
Technologie réseau opérateur utilisant des étiquettes (labels) pour acheminer les paquets sans examiner l'en-tête IP à chaque saut. LSR (Label Switch Router) commute sur le label. Permet la QoS, les VPN, et est très rapide.
Labels ajoutées entre couche 2 et couche 3 (shim header). Ingress LSR = ajoute le label, Egress LSR = retire le label.
SD-WAN — Software Defined WANWAN
Gestion logicielle du WAN permettant d'utiliser plusieurs types de liens (MPLS, Internet, 4G) de façon coordonnée. Le contrôleur centralisé distribue les politiques. Réduit les coûts MPLS en ajoutant de l'Internet. Priorité intelligente du trafic.
QoS — Quality of ServicePriorisation
Mécanisme de priorisation du trafic réseau. Assure que les applications critiques (VoIP, vidéo) obtiennent la bande passante et la latence nécessaires. Techniques : DSCP (marquage), files d'attente (FIFO, WFQ, CBWFQ), shaping, policing.
Priorité recommandée : VoIP (EF) > Vidéo (AF41) > Business critical > Best effort
📊
Supervision & Outils réseau
SNMP, Syslog, NetFlow, analyse de paquets
SNMP v1/v2c/v3Supervision
Simple Network Management Protocol — Protocole standard de supervision des équipements réseau (CPU, RAM, interfaces, bande passante, erreurs). Fonctionnement : NMS (gestionnaire) interroge les agents SNMP. Traps = alertes envoyées spontanément par l'agent.
v1/v2c = communautés en clair (insécure). v3 = auth (MD5/SHA) + chiffrement (DES/AES) obligatoire en prod. Port 161 (requêtes) / 162 (traps).
MIB & OIDSNMP
Management Information Base — Base de données hiérarchique (arbre) décrivant tous les objets supervisables d'un équipement. Chaque objet est identifié par un OID (Object Identifier) sous forme de nombres pointés (ex: 1.3.6.1.2.1.1.1 = sysDescr).
SyslogLogs
Protocole d'envoi centralisé de messages de log vers un serveur Syslog (ex: Graylog, Splunk, ELK). Utilisé par routeurs, switches, firewalls, serveurs Linux. 8 niveaux de sévérité (0=Emergency critique → 7=Debug verbeux).
Port 514/UDP (non fiable). Syslog over TLS = port 6514/TCP (sécurisé). Parseurs : rsyslog, syslog-ng.
NetFlow / IPFIX / sFlowAnalyse flux
Analyse des flux réseau (qui parle à qui, combien de données, quand). NetFlow = Cisco propriétaire (v5/v9). IPFIX = standard IETF basé sur NetFlow v9. sFlow = sampling (1 paquet sur N analysé, moins d'impact CPU).
Indispensable pour la détection d'anomalies, la facturation, la sécurité (détection DDoS, exfiltration).
ICMP — Ping & TracerouteDiagnostic
Internet Control Message Protocol — Protocole de diagnostic réseau L3. Ping = echo request/reply pour tester la connectivité et mesurer la latence (RTT). Traceroute = exploite le champ TTL pour cartographier le chemin des paquets et identifier les sauts.
TTL décrémenté à chaque saut. Quand TTL=0, le routeur renvoie ICMP "Time Exceeded" → Traceroute capture cela pour chaque saut.
WiresharkAnalyse
Analyseur de paquets (sniffer) graphique et multiplateforme. Capture et analyse le trafic réseau en temps réel ou depuis des fichiers .pcap. Filtres BPF (capture) et filtres d'affichage. Indispensable pour le dépannage et la sécurité.
Filtres utiles : tcp.port==80 (HTTP), ip.addr==192.168.1.1, http.request, dns. tcpdump = version CLI Linux.
NmapAudit
Network Mapper — Scanner réseau de référence. Découverte d'hôtes actifs, scan de ports ouverts, détection de services et versions, fingerprinting OS. Scripts NSE pour des tests avancés.
-sS = SYN scan (furtif), -sV = versions, -O = OS, -A = agressif. Toujours utiliser avec autorisation !
Centreon / Nagios / ZabbixNMS
Solutions de supervision infrastructure. Nagios = moteur open-source historique. Centreon = surcouche Nagios avec interface moderne. Zabbix = supervision complète (agents, SNMP, JMX, traces). Alertes email/SMS, graphiques de performance.
NRPE (Nagios) / Zabbix Agent = exécution de checks sur les hôtes distants. SNMP = pour les équipements réseau.
📋
DNS & DHCP en détail
Résolution de noms, enregistrements, attribution dynamique
DNS — Le "annuaire" d'Internet
Le DNS (Domain Name System) traduit les noms humains (google.com) en adresses IP (142.250.74.46). Sans DNS, il faudrait connaître par cœur l'adresse IP de chaque site. La résolution est hiérarchique et mise en cache.
| Enregistrement | Signification | Exemple | Usage |
|---|---|---|---|
| A | Address | monsite.com → 93.184.216.34 | Résolution nom vers IPv4 |
| AAAA | IPv6 Address | monsite.com → 2606:2800:220:1:: | Résolution nom vers IPv6 |
| CNAME | Canonical Name | www.monsite.com → monsite.com | Alias pointant vers un autre nom |
| MX | Mail Exchanger | monsite.com → mail.monsite.com (prio 10) | Serveur de messagerie du domaine |
| PTR | Pointer | 34.216.184.93.in-addr.arpa → monsite.com | Reverse DNS (IP → nom) |
| NS | Name Server | monsite.com → ns1.hebergeur.com | Serveurs DNS autoritaires du domaine |
| SOA | Start of Authority | Serial, Refresh, Retry, Expire, TTL | Infos administratives de la zone DNS |
| TXT | Text | v=spf1 include:... → SPF record | SPF, DKIM, DMARC, vérification domaine |
| SRV | Service | _sip._tcp.monsite.com → sipserver:5060 | Localisation de services (SIP, LDAP, XMPP) |
Processus de résolution DNS
1. Cache local (fichier hosts, cache OS) → 2. Serveur DNS récursif (fourni par DHCP/FAI) → 3. Serveur Root (.) → 4. Serveur TLD (.com, .fr) → 5. Serveur autoritaire du domaine → Réponse mise en cache selon TTL.
DNS Récursif vs AutoritaireDNS
Résolveur récursif = interroge d'autres serveurs DNS pour le compte du client (ex: 8.8.8.8 Google, 1.1.1.1 Cloudflare). Serveur autoritaire = détient la réponse finale pour sa zone (ex: le serveur DNS de votre hébergeur).
TTL (DNS)Cache
Time To Live — Durée en secondes pendant laquelle un enregistrement DNS est mis en cache. TTL court (300s) = propagation rapide des changements. TTL long (86400s) = moins de requêtes mais changements lents à propager.
🔄
DHCP — Processus DORA
Dynamic Host Configuration Protocol
DORA — 4 étapes d'attribution IP
D = Discover (broadcast, le client cherche un serveur DHCP) → O = Offer (le serveur propose une IP) → R = Request (le client accepte l'offre) → A = Acknowledge (le serveur confirme et attribue l'IP, masque, GW, DNS, durée du bail)
| Étape DORA | Type message | Src → Dst | Description |
|---|---|---|---|
| Discover | DHCPDISCOVER | 0.0.0.0 → 255.255.255.255 (broadcast) | Le client broadcast pour trouver un serveur DHCP |
| Offer | DHCPOFFER | Serveur → broadcast | Le serveur propose une IP disponible + paramètres |
| Request | DHCPREQUEST | 0.0.0.0 → 255.255.255.255 | Le client accepte l'offre et le fait savoir (en broadcast pour informer les autres serveurs) |
| Acknowledge | DHCPACK | Serveur → client | Confirmation définitive — le bail commence |
Bail DHCP (Lease)DHCP
Durée de validité d'une adresse IP attribuée par DHCP. À 50% du bail, le client tente de renouveler (DHCPREQUEST unicast). À 87.5%, il re-broadcast. Si pas de renouvellement → libération de l'IP.
DHCP Relay (ip helper-address)DHCP
Permet au serveur DHCP de fonctionner sur un sous-réseau différent des clients. Le routeur intercepte les broadcasts DHCP et les relaie en unicast vers le serveur distant.
Cisco : ip helper-address [IP serveur DHCP] sur l'interface cliente du routeur.
🔌
Câblage & Normes physiques
Catégories Ethernet, fibre, connecteurs, PoE
| Catégorie | Débit max | Distance max | Fréquence | Notes |
|---|---|---|---|---|
| Cat 5e | 1 Gb/s | 100 m | 100 MHz | Standard LAN courant, très répandu |
| Cat 6 | 10 Gb/s | 55 m (10G) / 100m (1G) | 250 MHz | 10G sur courte distance, blindage partiel |
| Cat 6A | 10 Gb/s | 100 m | 500 MHz | 10G sur 100m, blindage amélioré (STP), plus rigide |
| Cat 7 | 10 Gb/s | 100 m | 600 MHz | Blindage total (S/FTP), connecteur GG45 ou TERA |
| Cat 8 | 25-40 Gb/s | 30 m | 2000 MHz | Datacenters, liaisons serveur-switch courtes |
T568A / T568B — Brochage RJ45Norme
Normes de brochage des 8 fils dans un connecteur RJ45. T568B = standard le plus utilisé en Europe et Amérique (blanc-orange, orange, blanc-vert, bleu, blanc-bleu, vert, blanc-marron, marron). Câble croisé = T568A d'un côté, T568B de l'autre (obsolète grâce à l'Auto-MDIX).
Fibre monomode (SMF)Optique
Une seule trajectoire de lumière (cœur très fin ~9µm). Longues distances (plusieurs dizaines de km). Émetteurs laser. Câble jaune généralement. Utilisé pour les liaisons inter-sites, métro, WAN.
Fibre multimode (MMF)Optique
Plusieurs trajectoires lumineuses (cœur ~50 ou 62.5µm). Courtes distances (<2km). Émetteurs LED ou VCSEL. Câble orange (OM1/OM2) ou aqua (OM3/OM4). Utilisé dans les datacenters et bâtiments.
SFP / SFP+ / QSFPModule
Small Form-factor Pluggable — Modules enfichables permettant d'adapter le type de liaison (cuivre ou fibre, différentes distances) sur un switch ou routeur. Échangeables à chaud.
SFP = 1 Gb/s. SFP+ = 10 Gb/s. SFP28 = 25 Gb/s. QSFP+ = 40 Gb/s. QSFP28 = 100 Gb/s.
PoE — Power over EthernetAlimentation
Alimentation électrique via le câble Ethernet — permet d'alimenter des équipements (AP Wi-Fi, téléphones IP, caméras IP) sans câble d'alimentation séparé. Le switch PoE fournit le courant.
PoE (802.3af) = 15.4W. PoE+ (802.3at) = 30W. PoE++ (802.3bt) = 60-100W. Budget total = somme de tous les ports PoE.
Auto-MDIXEthernet
Fonctionnalité des équipements modernes détectant automatiquement le type de câble (droit ou croisé) et s'adaptant. Élimine le besoin de câbles croisés entre équipements de même type (switch-switch, PC-PC).
🛡️
Haute Disponibilité & Redondance
VRRP, HSRP, failover, QoS, agrégation de liens
VRRP — Virtual Router Redundancy ProtocolStandard
Protocole standard (RFC 5798) de redondance de passerelle. Plusieurs routeurs partagent une adresse IP virtuelle. Un routeur est "Master" (actif), les autres sont "Backup". Si le Master tombe, un Backup prend le relais en secondes.
Priorité 100 par défaut. Priorité la plus haute = Master. IP virtuelle = adresse de passerelle des hôtes.
HSRP — Hot Standby Router ProtocolCisco
Équivalent Cisco propriétaire de VRRP. Actif/Standby. Le routeur Actif répond à l'IP virtuelle. Le Standby prend le relais si l'Actif ne répond plus aux hello. Possibilité de configurer plusieurs groupes HSRP.
GLBP (Gateway Load Balancing Protocol) = Cisco, permet la répartition de charge entre plusieurs routeurs (pas juste actif/passif).
Failover Actif/Passif vs Actif/ActifHA
Actif/Passif : un équipement traite le trafic, l'autre attend (en veille). Basculement en cas de panne. Ressources en veille = gaspillage mais simplicité.
Actif/Actif : les deux équipements traitent du trafic simultanément (load-sharing). Meilleure utilisation mais plus complexe.
Actif/Actif : les deux équipements traitent du trafic simultanément (load-sharing). Meilleure utilisation mais plus complexe.
SLA — Service Level AgreementContrat
Engagement contractuel sur la qualité et disponibilité du service réseau. Définit : taux de disponibilité (99.99% = "4 nines" = 52 min downtime/an), latence maximale, bande passante garantie, temps de résolution des incidents.
QoS — Quality of ServiceTrafic
Mécanismes de priorisation du trafic réseau pour garantir les performances des applications critiques. Phases : Classification (identifier le trafic), Marquage (DSCP), Mise en file d'attente (queuing), Shaping/Policing (contrôle du débit).
DSCP EF (46) = VoIP priorité max. DSCP AF41 = vidéo. DSCP BE (0) = best effort. Marquage en entrée du réseau, respecté à chaque saut.
🚪
Ports & Commandes essentielles
À connaître par cœur pour l'examen
Méthode de mémorisation des ports
Associe chaque port à son service : 20/21=FTP (fich.transfer), 22=SSH (sécurisé), 23=Telnet (non sécurisé), 25=SMTP (mail sortant), 53=DNS (annuaire), 80=HTTP (web), 443=HTTPS (web sécurisé), 3389=RDP (bureau distant).
💻
Commandes de diagnostic
Linux, Windows & Cisco IOS
📖
Glossaire général — Termes fondamentaux
Tous les termes réseau à maîtriser
🔄
NAT / PAT / SNAT / DNAT — Traduction d'adresses
Network Address Translation — mécanismes, types et cas d'usage
Pourquoi le NAT existe-t-il ?
L'espace d'adressage IPv4 (≈4,3 milliards d'adresses) est épuisé depuis 2011. Le NAT permet à des milliers de machines utilisant des adresses privées (RFC 1918) de partager quelques adresses publiques routables sur Internet. C'est le routeur ou firewall de bordure qui effectue la traduction.
NAT Statique (Static NAT)1:1
Correspondance fixe et permanente entre une adresse IP privée et une adresse IP publique. Chaque machine privée a sa propre IP publique dédiée. La traduction est bidirectionnelle : l'hôte interne peut être joint depuis Internet via son IP publique.
Usage : exposer un serveur interne (web, mail) sur Internet avec une IP publique fixe. Problème : 1 IP publique par machine → consomme les adresses.
ip nat inside source static 192.168.1.10 203.0.113.10
NAT Dynamique (Dynamic NAT)Pool
Correspondance dynamique entre adresses privées et un pool d'adresses publiques. Quand un hôte privé initie une connexion, une IP publique libre du pool lui est attribuée temporairement. Si le pool est épuisé, nouvelles connexions refusées.
Usage : quand on a plusieurs IP publiques à répartir. Moins courant que PAT. La table NAT est vidée après timeout.
ip nat pool MONPOOL 203.0.113.1 203.0.113.10 netmask 255.255.255.240
PAT — Port Address TranslationN:1
Aussi appelé NAT overload ou NAPT. Permet à des milliers de machines privées de partager une seule IP publique en différenciant les sessions par le numéro de port source. C'est ce que fait votre box internet.
Jusqu'à ~65 000 sessions simultanées par IP publique (ports 1-65535). C'est le NAT le plus utilisé dans le monde.
ip nat inside source list ACL_LAN interface GigabitEthernet0/1 overload
SNAT — Source NATSortant
Traduction de l'adresse IP source d'un paquet. Utilisé pour les connexions sortantes (LAN → Internet). Le routeur/firewall remplace l'IP privée source par une IP publique avant d'envoyer sur Internet. PAT est une forme de SNAT.
iptables : -t nat -A POSTROUTING -o eth0 -j MASQUERADE (SNAT dynamique) ou -j SNAT --to-source 203.0.113.1
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
DNAT — Destination NATEntrant
Traduction de l'adresse IP destination d'un paquet. Utilisé pour les connexions entrantes (Internet → serveur interne). Le routeur/firewall redirige le trafic arrivant sur l'IP publique vers un serveur privé interne. C'est le mécanisme du port forwarding.
Exemple : trafic entrant sur IP_publique:443 → redirigé vers 192.168.1.10:443 (serveur web interne)
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j DNAT --to-destination 192.168.1.10:443
Port Forwarding (redirection de port)DNAT
Application concrète du DNAT. Redirige un port public vers un serveur interne. Exemple : port 80 de l'IP publique → serveur web 192.168.1.50:80. Indispensable pour exposer des services internes sur Internet sans IP publique dédiée.
Configurable sur pfSense : Firewall → NAT → Port Forward. Sur box FAI : onglet "NAT/PAT" ou "Règles". Attention : exposer RDP (3389) directement = risque majeur.
NAT Hairpinning (NAT Loopback)Avancé
Permet à un client interne d'atteindre un serveur interne via son adresse IP publique. Sans hairpinning, un client LAN ne peut pas joindre le serveur LAN via l'IP publique (la requête revient sur le firewall côté interne et n'est pas redirigée). Doit être explicitement activé.
pfSense : cocher "NAT Reflection" dans les règles de port forward. Utile quand le DNS interne pointe vers l'IP publique.
MASQUERADELinux/iptables
Variante du SNAT sous Linux/iptables où l'adresse source est automatiquement remplacée par l'IP de l'interface de sortie, même si cette IP change (DHCP). Pratique pour les connexions Internet dynamiques. Plus flexible que SNAT mais légèrement plus lent.
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
🗂️
Table NAT — Comment ça fonctionne
Mécanisme interne de traduction
Le NAT est stateful
Le routeur/firewall maintient une table des connexions actives (5-tuple : protocole, IP src, port src, IP dst, port dst). Quand la réponse arrive de l'extérieur, il retrouve l'entrée correspondante et restitue l'adresse privée originale. Sans cette table, les réponses ne pourraient pas être retranslées.
| Concept | Terminologie Cisco | Description |
|---|---|---|
| Inside Local | IP source originale | Adresse IP privée de l'hôte interne (ex: 192.168.1.10) — vue depuis l'intérieur |
| Inside Global | IP source traduite | Adresse IP publique représentant l'hôte interne côté Internet (ex: 203.0.113.1:45678) |
| Outside Global | IP destination réelle | Adresse IP publique du serveur distant (ex: 142.250.74.46 = Google) |
| Outside Local | IP destination vue interne | Adresse avec laquelle l'hôte interne pense parler (souvent = Outside Global) |
⚖️
Comparatif des types NAT
| Type | Ratio | Direction | Ports traduits | Usage principal | Accessible depuis Internet |
|---|---|---|---|---|---|
| NAT Statique | 1:1 | Bi-directionnel | Non | Serveur exposé | ✅ Oui (IP fixe) |
| NAT Dynamique | N:Pool | Sortant | Non | Pool IPs publiques | ❌ Non (temporaire) |
| PAT / Overload | N:1 | Sortant | ✅ Oui | Box internet, LAN entreprise | ❌ Non (sans port forward) |
| DNAT / Port Forward | 1:1 (port) | Entrant | ✅ Oui | Exposer service interne | ✅ Oui (via port spécifique) |
| MASQUERADE | N:1 | Sortant | ✅ Oui | Linux gateway dynamique | ❌ Non |
Limites et problèmes du NAT
Le NAT brise le principe de bout en bout d'Internet. Protocoles problématiques : FTP actif (le serveur doit initier une connexion vers le client → bloqué), SIP/VoIP (l'IP privée est dans le payload, pas l'en-tête), IPsec en mode transport. Solutions : ALG (Application Layer Gateway), STUN/TURN pour VoIP, VPN. IPv6 élimine le besoin du NAT grâce à l'espace d'adressage quasi-illimité.
🛡️
Sécurité réseau avancée
Attaques, mécanismes de défense, VPN, firewall, IDS/IPS
💀
Attaques réseau courantes
À connaître : principe + contre-mesure
ARP Spoofing / ARP PoisoningMitM
L'attaquant envoie de fausses réponses ARP pour associer sa MAC à l'IP d'un hôte légitime (ex: la passerelle). Les victimes envoient leur trafic vers l'attaquant → Man-in-the-Middle. ARP n'a aucune authentification nativement.
Contre-mesures : Dynamic ARP Inspection (DAI) sur switch manageable, ARP statique, détection via Wireshark (doublons ARP), 802.1X.
arpspoof -i eth0 -t 192.168.1.1 192.168.1.100
DHCP Starvation + Rogue DHCPL2
Starvation : l'attaquant envoie des milliers de DHCPDISCOVER avec de fausses MAC pour épuiser le pool DHCP. Plus d'IP disponibles pour les vrais clients.
Rogue DHCP : l'attaquant installe un faux serveur DHCP qui distribue sa propre passerelle → tout le trafic passe par lui.
Rogue DHCP : l'attaquant installe un faux serveur DHCP qui distribue sa propre passerelle → tout le trafic passe par lui.
Contre-mesure : DHCP Snooping (switch ne fait confiance qu'aux ports autorisés pour répondre au DHCP). Port Security pour limiter les MAC par port.
DNS Spoofing / Cache PoisoningL7
L'attaquant injecte de faux enregistrements DNS dans le cache d'un résolveur. Les clients interrogeant ce résolveur obtiennent une fausse adresse IP et sont redirigés vers un site malveillant (phishing, vol d'identifiants).
Contre-mesure : DNSSEC (signatures cryptographiques des enregistrements), DoH/DoT (DNS over HTTPS/TLS), randomisation du port source et de l'ID de transaction.
DoS / DDoSDisponibilité
Denial of Service : saturation d'une cible (serveur, lien réseau) pour la rendre indisponible. DDoS = attaque distribuée depuis des milliers de machines (botnet). Types : volumétrique (flood UDP/ICMP), protocol (SYN flood), applicatif (HTTP flood).
SYN flood : envoyer des SYN sans jamais envoyer le ACK → tables de connexions saturées. Contre-mesure : SYN cookies, rate-limiting, scrubbing center, CDN/Anycast.
VLAN HoppingL2
Technique permettant d'accéder à un VLAN non autorisé. Deux méthodes : Switch Spoofing (l'attaquant négocie un trunk avec le switch) et Double Tagging (ajouter deux tags 802.1Q, le premier est retiré par le switch, le second subsiste et atterrit dans le VLAN cible).
Contre-mesures : désactiver DTP, changer le VLAN natif (utiliser un VLAN dédié inutilisé), désactiver les ports inutilisés, Port Security.
MAC FloodingL2
Saturation de la table CAM du switch avec des milliers de fausses adresses MAC. Le switch ne pouvant plus associer MAC → port, il passe en mode fail-open (broadcast sur tous les ports = comportement hub). L'attaquant reçoit alors tout le trafic.
Contre-mesure : Port Security (limiter le nombre de MAC apprises par port, ex: max 1 ou 2 MAC par port). En cas de violation : shutdown du port.
macof -i eth0 # outil de MAC flooding (à des fins éducatives uniquement)
Man-in-the-Middle (MitM)Interception
L'attaquant s'interpose entre deux parties communicantes. Il peut lire, modifier ou réinjecter le trafic. Vecteurs courants : ARP Spoofing, Rogue AP Wi-Fi, SSL Stripping (forcer HTTP au lieu de HTTPS), DNS Spoofing.
Contre-mesures : HTTPS partout (HSTS), certificats valides, DNSSEC, VPN, 802.1X, méfiance des réseaux Wi-Fi publics.
Attaque par Brute-Force / DictionnaireAuth
Brute-force : essai exhaustif de toutes les combinaisons de mots de passe. Dictionnaire : liste prédéfinie de mots de passe courants. Cibles : SSH, RDP (3389), HTTP admin, FTP. Tools : Hydra, Medusa, Ncrack.
Contre-mesures : fail2ban (blocage IP après N échecs), limitation des tentatives, MFA, clés SSH, désactivation des comptes par défaut, changer les ports par défaut (sécurité par l'obscurité).
hydra -l admin -P passwords.txt ssh://192.168.1.1
🔐
VPN — Virtual Private Network
IPsec, SSL/TLS, OpenVPN, WireGuard
IPsec — Site-to-Site VPNL3
Suite de protocoles cryptographiques sécurisant les communications IP. Deux composants : AH (Authentication Header, intégrité uniquement) et ESP (Encapsulating Security Payload, chiffrement + intégrité). Deux modes : Transport (hôte à hôte, en-têtes originaux conservés) et Tunnel (site à site, paquet entier encapsulé).
Phase 1 (IKE) : négociation des algorithmes, échange de clés Diffie-Hellman, authentification. Phase 2 : création du tunnel de données (SA).
OpenVPNSSL/TLS
VPN open-source basé sur SSL/TLS. Utilise le port UDP 1194 (ou TCP). Traverse facilement les firewalls et NAT (contrairement à IPsec). Authentification par certificats X.509 ou login/mdp. Très utilisé en entreprise pour les accès distants (Road Warrior).
pfSense intègre OpenVPN nativement. Client : OpenVPN Community ou Viscosity. Configuration exportable depuis pfSense directement.
WireGuardModerne
VPN moderne, léger et très rapide. Code source minimaliste (~4000 lignes vs 70 000 pour OpenVPN). Basé sur Curve25519 (échange de clés), ChaCha20 (chiffrement), Poly1305 (authentification). Port UDP configurable. Intégré au noyau Linux depuis 5.6.
Performances 3-5x supérieures à OpenVPN. Idéal pour les mobiles (reconnexion rapide). Supporte le roaming d'IP. Implémenté dans pfSense (paquet wireguard).
🔍
IDS / IPS — Détection et prévention d'intrusion
| Critère | IDS (Intrusion Detection System) | IPS (Intrusion Prevention System) |
|---|---|---|
| Mode | Passif (copie du trafic / port miroir) | Inline (dans le flux réseau) |
| Action | Alerte uniquement, aucun blocage | Bloque, rejette, réinitialise la connexion |
| Impact si fail | Aucun (hors du flux) | Peut perturber le trafic légitime |
| Faux positifs | Tolérable (pas de blocage) | Critique (peut bloquer le trafic légitime) |
| Position réseau | Copie via SPAN/TAP | Entre firewall et LAN (inline) |
| Outils open-source | Snort (mode IDS), Zeek, Suricata | Snort (mode IPS), Suricata inline |
Méthodes de détection IDS/IPS
Basée sur signatures (règles prédéfinies, rapide mais ne détecte pas les 0-day) vs basée sur anomalies/comportement (crée un profil du trafic normal et alerte sur les déviations, plus efficace mais plus de faux positifs). Snort/Suricata utilisent des règles téléchargeables (Emerging Threats, Snort VRT).
🧱
Firewall — Types et fonctionnement
Firewall Stateless (filtrage de paquets)L3/L4
Analyse chaque paquet indépendamment selon des règles ACL (IP source, IP destination, port, protocole). Rapide mais basique : ne connaît pas le contexte de la connexion. Un paquet TCP sans SYN peut passer si la règle l'autorise.
ACL Cisco : permit tcp 192.168.1.0 0.0.0.255 any eq 80. Évaluées dans l'ordre, la première correspondance gagne. Toujours une deny any implicite en fin.
Firewall StatefulL4
Maintient une table d'état des connexions (state table). Connaît l'état de chaque session TCP (NEW, ESTABLISHED, RELATED). Autorise automatiquement le trafic de retour des connexions établies. Beaucoup plus intelligent et sécurisé.
pfSense, iptables (-m state --state ESTABLISHED,RELATED -j ACCEPT), Cisco ASA. Le trafic de retour est autorisé implicitement si la connexion initiale a été permise.
DMZ — Zone DémilitariséeArchitecture
Zone réseau intermédiaire entre Internet et le LAN interne. Héberge les serveurs accessibles depuis l'extérieur (web, mail, DNS public). Isolée par deux firewalls (ou un firewall à 3 interfaces). En cas de compromission d'un serveur DMZ, le LAN interne reste protégé.
Règles typiques : Internet → DMZ (ports 80/443). DMZ → LAN : interdit ou très restreint. LAN → DMZ : autorisé pour la gestion. LAN → Internet : autorisé via NAT.
🌐
IPv6 — Internet Protocol version 6
Adressage 128 bits, types d'adresses, SLAAC, cohabitation IPv4
Pourquoi IPv6 ?
IPv4 = 4,3 milliards d'adresses, épuisées depuis 2011. IPv6 = 2¹²⁸ adresses ≈ 340 sextillions — assez pour donner une adresse à chaque grain de sable de la Terre, plusieurs fois. IPv6 élimine le besoin du NAT, simplifie le routage et intègre nativement IPsec et la mobilité.
Structure d'une adresse IPv6128 bits
128 bits écrits en 8 groupes de 4 chiffres hexadécimaux séparés par des ':'. Exemple :
2001:0db8:85a3:0000:0000:8a2e:0370:7334. Règles d'abréviation : (1) zéros de tête omissibles, (2) groupe(s) de 0000 consécutifs → '::' (une seule fois dans l'adresse).2001:0db8:0000:0000:0000:0000:0000:0001 → 2001:db8::1. La notation :: peut remplacer une seule séquence de groupes nuls.
Adresse Link-LocalFE80::/10
Adresse automatiquement générée sur chaque interface IPv6. Préfixe FE80::/10. Non routable (reste sur le lien local). Utilisée pour les communications sur le segment local : découverte de voisins (NDP), routage OSPF/EIGRP, RA des routeurs. Obligatoire sur toute interface IPv6.
Générée à partir de l'adresse MAC via le format EUI-64 (on insère FF:FE au milieu de la MAC et on inverse le 7ème bit). Ex : MAC aa:bb:cc:dd:ee:ff → FE80::a8bb:ccff:fedd:eeff
Adresse Global Unicast (GUA)2000::/3
Équivalent des adresses publiques IPv4. Routable sur Internet. Préfixe 2000::/3 (commence par 2 ou 3). Structure : Préfixe opérateur (48 bits) + ID sous-réseau (16 bits) + ID interface (64 bits). Assignée par les FAI ou ARIN/RIPE.
2001:db8::/32 = plage réservée à la documentation et aux exemples (RFC 3849). Ne jamais router cette plage.
Adresse Unique Local (ULA)FC00::/7
Équivalent des adresses privées IPv4 (RFC 1918). Préfixe FC00::/7 (FC00:: ou FD00::). Non routable sur Internet. Utilisée pour les communications internes à une organisation. À générer aléatoirement (FD + 40 bits aléatoires) pour éviter les conflits lors de fusions de réseaux.
Contrairement aux adresses privées IPv4, les ULA ne nécessitent pas de NAT pour communiquer en interne. Chaque hôte garde son adresse unique.
Adresse Multicast IPv6FF00::/8
Préfixe FF00::/8. Remplace le broadcast IPv4 (inexistant en IPv6). Adresses importantes : FF02::1 = tous les nœuds du lien, FF02::2 = tous les routeurs, FF02::5/6 = OSPF, FF02::1:2 = serveurs DHCP. FF02::1:FFxx:xxxx = adresse de sollicitation de nœud (NDP).
Il n'y a PAS de broadcast en IPv6. Tout ce qui était broadcast en IPv4 utilise du multicast ciblé en IPv6.
SLAAC — Autoconfiguration sans étatRFC 4862
Stateless Address Autoconfiguration — Un hôte peut se configurer automatiquement en IPv6 sans serveur DHCP. Étapes : (1) Génération de l'adresse link-local, (2) DAD (Duplicate Address Detection), (3) Envoi d'un RS (Router Solicitation), (4) Le routeur répond avec un RA (Router Advertisement) contenant le préfixe, (5) L'hôte construit son GUA.
SLAAC donne l'adresse et la passerelle. Pour le DNS, il faut DHCPv6 ou les options RDNSS/DNSSL dans le RA (RFC 8106).
🔄
NDP — Neighbour Discovery Protocol
Remplace ARP en IPv6
| Message NDP | Équivalent IPv4 | Rôle |
|---|---|---|
| NS — Neighbour Solicitation | ARP Request | Demande la MAC associée à une adresse IPv6 |
| NA — Neighbour Advertisement | ARP Reply | Répond avec sa propre adresse MAC |
| RS — Router Solicitation | — | Demande d'un RA au routeur (au démarrage de l'hôte) |
| RA — Router Advertisement | — | Annonce le préfixe, la passerelle, les flags SLAAC/DHCPv6 |
| Redirect | ICMP Redirect | Indique un meilleur prochain saut pour une destination |
🤝
Cohabitation IPv4 / IPv6
Dual-StackTransition
Un équipement dispose simultanément d'une adresse IPv4 et IPv6. Il utilise IPv6 si disponible, IPv4 sinon. C'est la méthode de transition recommandée. La majorité des OS modernes (Windows, Linux, macOS) sont dual-stack par défaut.
Tunneling 6in4 / 6to4Transition
Encapsule des paquets IPv6 dans des paquets IPv4 pour les transporter sur une infrastructure IPv4 uniquement. Protocole IP numéro 41. Techniques : 6in4 (tunnel manuel), 6to4 (automatique, adresses 2002::/16), Teredo (encapsulation UDP, traverse NAT).
📶
Wi-Fi — Réseaux sans fil 802.11
Standards, sécurité, modes de fonctionnement, dépannage
| Standard | Nom commercial | Fréquence | Débit max théorique | Portée indoor |
|---|---|---|---|---|
| 802.11b | — | 2.4 GHz | 11 Mb/s | ~35m |
| 802.11g | — | 2.4 GHz | 54 Mb/s | ~38m |
| 802.11n | Wi-Fi 4 | 2.4 + 5 GHz | 600 Mb/s | ~70m |
| 802.11ac | Wi-Fi 5 | 5 GHz | 6.9 Gb/s | ~35m |
| 802.11ax | Wi-Fi 6 / 6E | 2.4 + 5 + 6 GHz | 9.6 Gb/s | ~35m |
| 802.11be | Wi-Fi 7 | 2.4 + 5 + 6 GHz | 46 Gb/s | ~35m |
🔒
Sécurité Wi-Fi
WEP — Wired Equivalent PrivacyOBSOLÈTE !
Premier protocole de sécurité Wi-Fi (RC4, clés 64 ou 128 bits). Complètement cassé depuis 2001. Un attaquant peut retrouver la clé en quelques minutes avec des outils comme aircrack-ng. À ne JAMAIS utiliser. Désactivé par défaut sur tous les équipements récents.
Si vous voyez WEP activé sur un réseau, c'est un réseau non sécurisé. Vecteur d'attaque trivial.
WPA / WPA2Courant
WPA (TKIP, RC4) = transition rapide post-WEP, vulnérable. WPA2 = AES-CCMP, robuste. Deux modes : Personal (PSK) = clé pré-partagée (mot de passe Wi-Fi), Enterprise (EAP/802.1X) = authentification individuelle via RADIUS. WPA2-PSK reste vulnérable aux attaques par dictionnaire sur le handshake 4-way.
WPA2-PMKID attack : capture de la trame PMKID (sans client connecté) puis attaque hors-ligne sur la clé PSK.
WPA3Moderne
Dernière génération (2018). Remplace PSK par SAE (Simultaneous Authentication of Equals) = protection contre les attaques par dictionnaire off-line (chaque authentification est unique, Dragonfly protocol). Forward Secrecy = capture passée du trafic inutilisable si la clé est compromise plus tard. WPA3-Enterprise : AES-256 + SHA-384.
802.1X — Wi-Fi EnterpriseAAA
Authentification port-based via RADIUS. Chaque utilisateur a ses propres identifiants (certificat ou login/mdp). Le trafic non authentifié est bloqué par l'AP. Méthodes EAP : EAP-TLS (certificats), PEAP (tunnel TLS + MSCHAPv2), EAP-TTLS. Standard pour les Wi-Fi entreprises sécurisées.
Trilogie : Supplicant (client) ↔ Authenticator (AP) ↔ Authentication Server (RADIUS). FreeRADIUS + Active Directory = implémentation libre courante.
Attaque Evil Twin / Rogue APAttaque
L'attaquant crée un faux point d'accès avec le même SSID que le réseau légitime. Les clients se connectent au faux AP (signal plus fort ou déauthentification forcée du vrai AP). L'attaquant devient MitM de toutes les connexions. Très courant dans les lieux publics.
Contre-mesures : WPA3 (validation mutuelle), WIDS (Wireless Intrusion Detection), VPN obligatoire sur tous les réseaux, HSTS.
Canaux Wi-Fi & InterférencesRF
2.4 GHz : 14 canaux de 20 MHz, seulement 3 non-chevauchants (1, 6, 11). Encombré (voisins, Bluetooth, micro-ondes). Meilleure portée.
5 GHz : plus de canaux non-chevauchants (20/40/80/160 MHz). Moins encombré, plus de débit, portée réduite.
6 GHz (Wi-Fi 6E) : très peu d'interférences, canaux larges disponibles.
5 GHz : plus de canaux non-chevauchants (20/40/80/160 MHz). Moins encombré, plus de débit, portée réduite.
6 GHz (Wi-Fi 6E) : très peu d'interférences, canaux larges disponibles.
Surveiller l'utilisation des canaux avec des outils comme inSSIDer, WiFi Analyzer. En entreprise, configurer les AP en mode automatique ou en planification RF soigneuse.
🏛️
Active Directory & Authentification
AD DS · Kerberos · LDAP · GPO · DNS · Sites · PowerShell
Qu'est-ce qu'Active Directory ?
AD DS (Active Directory Domain Services) est l'annuaire d'entreprise Microsoft. Il centralise l'authentification, les autorisations et la configuration de tous les utilisateurs, ordinateurs et ressources d'un domaine Windows. Basé sur LDAP pour l'accès à l'annuaire et Kerberos pour l'authentification. Sans AD, chaque serveur gère ses propres comptes — avec AD, tout est centralisé.
Domain Controller (DC)Serveur
Serveur qui héberge Active Directory. Il authentifie les utilisateurs, applique les GPO et réplique les données AD avec les autres DCs. Un domaine doit avoir au minimum 2 DCs pour la redondance.
5 rôles FSMO : PDC Emulator, RID Master, Infrastructure Master (par domaine) + Schema Master, Domain Naming Master (par forêt). PDC Emulator = source de temps NTP du domaine.
Structure hiérarchique ADArchitecture
Forêt (Forest) → Arbre (Tree) → Domaine → OU (Organizational Unit) → Objets (Users, Computers, Groups, GPOs). La forêt est la limite de sécurité ultime. Les domaines d'une même forêt se font confiance mutuellement.
DN (Distinguished Name) : CN=Jean Dupont,OU=IT,DC=mondomaine,DC=local — identifie un objet de manière unique dans l'annuaire.
Kerberos — AuthentificationPort 88
Protocole d'authentification mutuelle par tickets chiffrés. Composants : KDC (Key Distribution Center = le DC), TGT (Ticket Granting Ticket), Service Ticket. Flux : AS-REQ → AS-REP (TGT) → TGS-REQ → TGS-REP (ticket service) → accès ressource.
NTP critique : si l'heure d'un poste dévie de plus de 5 min par rapport au DC, l'authentification Kerberos échoue. Le PDC Emulator est la source de temps du domaine.
LDAP dans ADPort 389/636
Protocole d'accès à l'annuaire AD. Port 389 (non chiffré), port 636 (LDAPS, chiffré TLS). Utilisé pour les requêtes, authentifications, et modifications d'objets AD. Tout client qui s'authentifie via AD utilise LDAP en arrière-plan.
ldapsearch -H ldap://dc1.mondomaine.local -b "DC=mondomaine,DC=local" "(sAMAccountName=jdupont)"
Global Catalog (GC)Port 3268
Catalogue contenant un sous-ensemble des attributs de tous les objets de la forêt. Indispensable pour : résoudre les groupes Universal, la connexion des utilisateurs dans une forêt multi-domaines, les recherches globales. Port LDAP 3268 (3269 LDAPS).
Toujours activer le GC sur tous les DCs dans un domaine unique. Si le GC est indisponible : connexions ralenties ou impossible dans une forêt multi-domaines.
RODC — Read-Only DCSécurité
DC en lecture seule, conçu pour les sites distants sans sécurité physique (agences). Ne stocke pas les mots de passe (sauf ceux explicitement autorisés via Password Replication Policy). En cas de vol : risque limité.
Le RODC transfère les authentifications qu'il ne peut pas satisfaire vers un DC complet (writable DC) sur le site hub.
👥
Groupes Active Directory
Types, portées et règle AGDLP
Règle AGDLP — à retenir par cœur
Account → Global group → Domain Local group → Permission. Mettre les utilisateurs dans un groupe Global (par rôle métier), le Global dans un Domain Local (par ressource), et donner la permission au Domain Local. Scalable et maintenable.
| Portée | Membres acceptés | Utilisable dans | Usage typique |
|---|---|---|---|
| Domain Local | Tout le monde (forêt) | Domaine local seulement | Assigner permissions sur ressources locales (partages, imprimantes) |
| Global | Même domaine uniquement | N'importe où dans la forêt | Regrouper utilisateurs par rôle métier : GRP_Comptabilité, GRP_IT |
| Universal | Toute la forêt | N'importe où dans la forêt | Accès multi-domaines, stocké dans le GC — utiliser avec parcimonie |
Sécurité vs DistributionType
Sécurité : assigne des permissions sur des ressources NTFS, partages, GPO. Peut aussi servir de liste de diffusion mail. Distribution : uniquement pour les listes de diffusion mail (Exchange). Ne peut pas recevoir de permissions. Toujours préférer les groupes de Sécurité.
⚙️
GPO — Group Policy Object
Stratégies de groupe et ordre d'application
GPO — Ordre LSDOUStratégie
Les GPO s'appliquent dans l'ordre : Local → Site → Domain → OU (de la plus haute à la plus proche). La dernière appliquée l'emporte (sauf si "Enforced" ou "Block Inheritance"). Permet de centraliser la config : fond d'écran, politique mot de passe, pare-feu, logiciels, scripts.
gpupdate /force # Forcer application immédiate
gpresult /r # GPO appliquées au compte courant
gpresult /h rapport.html # Rapport HTML complet RSoP
Politique de mots de passe (PSO)Sécurité
Default Domain Policy : longueur min (≥12), complexité, durée max (90j), historique (24), seuil verrouillage (5 tentatives), durée verrouillage (30 min). Fine-Grained (PSO) : politique différente par groupe — ex: admins → 20 chars, 3 tentatives. Priorité : PSO > Default Domain Policy.
New-ADFineGrainedPasswordPolicy -Name "AdminPSO" -Precedence 10 -MinPasswordLength 20 -LockoutThreshold 3
🌐
DNS intégré à Active Directory
AD dépend entièrement du DNS
Règle d'or : AD = DNS
Sans DNS fonctionnel, Active Directory ne fonctionne pas. Les clients trouvent le DC via des enregistrements SRV DNS. Diagnostic rapide :
dcdiag /test:dns et nslookup -type=SRV _ldap._tcp.mondomaine.local.
Zones AD-IntegratedDNS
Zone DNS stockée directement dans la base AD (au lieu d'un fichier .dns). Avantages : réplication automatique entre DCs via AD, mises à jour dynamiques sécurisées (seuls les membres du domaine peuvent enregistrer), pas de zone primaire unique. À toujours utiliser en environnement AD.
Portée : ForestDNSZones (toute la forêt) ou DomainDNSZones (domaine uniquement).
Enregistrements SRV (AD)DNS
AD enregistre automatiquement des records SRV pour la localisation des services :
_ldap._tcp.dom.local → DC, _kerberos._tcp.dom.local → KDC, _gc._tcp.dom.local → GC. Sans ces enregistrements, les clients ne trouvent pas le DC.nslookup -type=SRV _ldap._tcp.mondomaine.local
nslookup -type=SRV _kerberos._tcp.mondomaine.local
🗺️
Sites AD & Réplication
Topologie, KCC, USN, repadmin
Sites ADRéplication
Représentation d'un emplacement physique bien connecté. Les DCs d'un même site se répliquent en quelques secondes. Les DCs de sites différents via des Site Links (planifiés, compressés). Les clients s'authentifient sur le DC du site local en priorité (économise la WAN).
À créer dès que la liaison WAN est <100 Mb/s ou avec latence. Configurer dans "Sites et services Active Directory".
Réplication AD — KCC & USNTechnique
KCC (Knowledge Consistency Checker) : crée automatiquement la topologie de réplication optimale. USN (Update Sequence Number) : compteur per-DC, permet de savoir quelles modifications ont été répliquées. Tombstone : objet marqué supprimé, répliqué 180 jours avant suppression définitive.
repadmin /replsummary # État global réplication
repadmin /showrepl # Détail des connexions
dcdiag /test:replications # Diagnostic complet
Relations d'approbation (Trust)Multi-domaines
Permettent aux utilisateurs d'un domaine/forêt d'accéder aux ressources d'un autre. Intra-forêt : transitif automatique. External Trust : entre forêts différentes, non-transitif. Forest Trust : entre deux forêts entières, transitif.
⚠️ Piège d'examen : "A fait confiance à B" = utilisateurs de B accèdent aux ressources de A (sens inverse de l'intuition).
💻
PowerShell Active Directory
Module RSAT-AD-PowerShell — commandes essentielles pour l'examen
| Commande | Action |
|---|---|
| Get-ADUser -Filter * -Properties * | Lister tous les utilisateurs avec tous leurs attributs |
| Get-ADUser -Identity "jdupont" -Properties MemberOf | Voir les groupes d'un utilisateur |
| New-ADUser -Name "Jean Dupont" -SamAccountName "jdupont" -Enabled $true | Créer un utilisateur |
| Set-ADUser -Identity "jdupont" -Department "IT" -Title "Admin Réseau" | Modifier les attributs d'un utilisateur |
| Disable-ADAccount -Identity "jdupont" | Désactiver un compte utilisateur |
| Add-ADGroupMember -Identity "GRP_Admins" -Members "jdupont" | Ajouter un utilisateur à un groupe |
| Get-ADGroupMember -Identity "GRP_Admins" | Lister les membres d'un groupe |
| Search-ADAccount -LockedOut | Unlock-ADAccount | Déverrouiller tous les comptes verrouillés |
| Get-ADDomainController -Filter * | Lister tous les DCs du domaine |
| Import-Csv users.csv | ForEach-Object { New-ADUser ... } | Création en masse depuis un CSV |
| Move-ADObject -Identity "CN=jdupont,OU=IT..." -TargetPath "OU=RH..." | Déplacer un objet entre OUs |
| Get-ADComputer -Filter {OperatingSystem -like "*Server*"} | Lister les serveurs Windows du domaine |
🔒
Sécurité Active Directory
Attaques et contre-mesures
Pass-the-Hash / Pass-the-TicketAttaque
PtH : utiliser le hash NTLM d'un mot de passe pour s'authentifier sans connaître le mot de passe en clair. PtT : réutiliser un ticket Kerberos volé (TGT ou service ticket). Outils : Mimikatz, Impacket.
Contre-mesures : Protected Users group, Credential Guard, tiered admin model, LAPS (mots de passe locaux uniques par machine).
KerberoastingAttaque
Demander un ticket de service pour un compte avec SPN (Service Principal Name), puis craquer le hash hors-ligne. Les comptes de service avec des mots de passe faibles sont vulnérables. N'importe quel utilisateur du domaine peut effectuer cette attaque.
Contre-mesures : mots de passe longs et complexes (≥25 chars) pour les comptes de service, gMSA (Group Managed Service Accounts), surveiller les TGS-REQ anormaux.
DCSync & Golden TicketAttaque
DCSync : simuler un DC pour extraire tous les hashes AD via la réplication (nécessite privilèges Domain Admin ou Replication). Golden Ticket : forger un TGT valide en connaissant le hash du compte KRBTGT → accès illimité au domaine pour 10 ans.
Contre-mesures : réinitialiser le mot de passe KRBTGT 2x après un incident, surveiller les événements 4769 (TGS requests anormaux), ATA/Defender for Identity.
Ports réseau Active Directory à mémoriser
TCP/UDP 88 = Kerberos · TCP/UDP 389 = LDAP · TCP 636 = LDAPS · TCP/UDP 53 = DNS · TCP 135 = RPC Endpoint Mapper · TCP 445 = SMB/SYSVOL · TCP 3268 = Global Catalog LDAP · TCP 3269 = GC LDAPS · TCP 49152-65535 = RPC dynamique (à autoriser entre DCs sur les firewalls)
🔧
Méthodologie de dépannage réseau
Approche OSI bottom-up, isolation des problèmes, commandes clés
La règle d'or du troubleshooting
Ne jamais supposer, toujours vérifier. Commencer par le bas du modèle OSI (physique) et remonter couche par couche jusqu'à trouver la panne. Documenter chaque test effectué et son résultat.
📋
Méthode OSI Bottom-Up
Checklist de diagnostic couche par couche
| Couche | Questions à se poser | Commandes / Actions |
|---|---|---|
| 1 — Physique | Câble branché ? LED allumée ? Port switch actif ? | Vérification visuelle, test câble, swap port switch |
| 2 — Liaison | Adresse MAC apprise ? VLAN correct ? STP en Forwarding ? | show mac address-table, show vlan brief, show spanning-tree |
| 3 — Réseau | Adresse IP correcte ? Masque correct ? Passerelle joignable ? | ipconfig /all, ip addr, ping gateway, show ip route |
| 4 — Transport | Port ouvert ? Service en écoute ? Firewall bloque ? | netstat -ano, ss -tulnp, telnet IP port, nmap |
| 5-7 — Application | DNS fonctionne ? Service configuré correctement ? Logs ? | nslookup, dig, curl, journalctl, event viewer |
🩺
Scénarios de panne courants
Pas d'adresse IP (169.254.x.x)DHCP
L'hôte a une adresse APIPA → le DHCP n'a pas répondu. Causes : serveur DHCP éteint, pool épuisé, VLAN incorrect sur le port switch, câble physique défaillant, service DHCP arrêté. L'hôte broadcast mais personne ne répond.
Diagnostiquer : ping 255.255.255.255 (broadcast local), ipconfig /release puis /renew, vérifier les logs du serveur DHCP, vérifier DHCP Snooping sur le switch (port trusted ?).
Ping OK mais navigation KODNS/HTTP
Connectivité IP fonctionne (couche 3 OK) mais le navigateur échoue. Causes les plus fréquentes : serveur DNS inaccessible ou mal configuré, proxy HTTP non configuré, filtrage HTTP sur le firewall, certificat TLS expiré ou bloqué.
Tester : nslookup google.com (DNS OK ?), curl http://8.8.8.8 (HTTP sans DNS), vérifier les paramètres proxy du navigateur, tester avec IP directe au lieu du nom.
Connectivité intermittenteL1/L2
La connexion coupe aléatoirement. Causes fréquentes : câble défaillant (coupure intermittente, paire cassée), duplex mismatch (un côté full, l'autre half → collisions), boucle L2 (STP qui converge), surcharge du lien, problème de driver NIC.
Diagnostiquer : show interface (compteurs d'erreurs, CRC, collisions), ping continu avec statistiques de pertes, test avec autre câble, vérifier négociation duplex/vitesse.
Pas d'accès à Internet (interne OK)NAT/Routage
Les ressources internes sont accessibles mais pas Internet. Causes : NAT mal configuré, route par défaut manquante sur le routeur, règle firewall bloquante en sortie, problème chez le FAI, DNS interne ne résout pas les noms externes.
Tester : ping 8.8.8.8 (routage), nslookup google.com 8.8.8.8 (DNS externe direct), traceroute (où ça s'arrête ?), vérifier les logs NAT/firewall.
🔍
Commandes de diagnostic avancées
ping — Options utilesICMP
Test de connectivité réseau de base via ICMP echo request/reply. Les statistiques indiquent la latence (RTT) et les pertes de paquets.
ping -t 8.8.8.8 # Windows : ping continu
ping -c 100 8.8.8.8 # Linux : 100 paquets
ping -s 1400 8.8.8.8 # Tester MTU (paquet de 1400 octets)
ping -l 1472 8.8.8.8 # Windows : taille de payload
traceroute / tracertRoutage
Identifie chaque routeur (hop) sur le chemin vers la destination en exploitant le TTL. Si un hop affiche *** (timeout), ce routeur filtre les ICMP ou bloque (pas forcément une panne).
traceroute -n 8.8.8.8 # Linux, sans résolution DNS
tracert /d 8.8.8.8 # Windows, sans résolution DNS
traceroute -T -p 80 google.com # Via TCP port 80 (si ICMP filtré)
netstat / ssConnexions
Voir les ports en écoute et les connexions établies. Indispensable pour vérifier qu'un service tourne bien et sur quel port.
ss -tulnp # Linux : ports en écoute + PID
netstat -ano # Windows : toutes connexions + PID
netstat -ano | findstr :80 # Filtrer port 80 (Windows)
ss -s # Statistiques réseau Linux
dig / nslookupDNS
Tester la résolution DNS manuellement, spécifier un autre serveur DNS, requêter des types d'enregistrements spécifiques.
dig google.com A # Enregistrement A
dig google.com MX # Enregistrement MX (mail)
dig @8.8.8.8 google.com # Utiliser DNS Google
dig -x 8.8.8.8 # Reverse DNS
nslookup google.com 1.1.1.1 # Windows avec DNS Cloudflare
🔬
Wireshark & Nmap — Analyse réseau
Filtres de capture, lecture de trames, scans de sécurité
🦈
Wireshark — Filtres essentiels
Filtres d'affichage (display filters) à connaître par cœur
Filtres de capture vs filtres d'affichage
Filtres de capture (BPF) : appliqués avant la capture, syntaxe simplifiée (port 80, host 192.168.1.1). Filtres d'affichage : appliqués après, plus puissants (http, ip.addr == 192.168.1.1, tcp.flags.syn == 1). Les deux coexistent mais syntaxe différente.
| Filtre Wireshark | Ce qu'il affiche |
|---|---|
| ip.addr == 192.168.1.10 | Tout le trafic vers ou depuis cette IP |
| ip.src == 192.168.1.10 | Trafic émis par cette IP uniquement |
| tcp.port == 80 | Trafic TCP sur le port 80 (source ou destination) |
| http | Tout le trafic HTTP (layer 7) |
| dns | Toutes les requêtes et réponses DNS |
| tcp.flags.syn == 1 && tcp.flags.ack == 0 | Paquets SYN initiaux (début de connexion TCP) |
| tcp.flags.rst == 1 | Paquets RST (connexion refusée / réinitialisée) |
| arp | Tout le trafic ARP (résolution MAC) |
| icmp | Pings et messages ICMP |
| !(arp or dns or icmp) | Exclure le trafic de fond pour voir l'essentiel |
| frame contains "password" | Chercher le mot "password" dans toutes les trames |
| tcp.analysis.retransmission | Retransmissions TCP (indicateur de congestion/perte) |
| http.request.method == "POST" | Requêtes HTTP POST (soumissions de formulaires) |
| tls.handshake.type == 1 | Client Hello TLS (début de session HTTPS) |
📖
Lire un TCP 3-way Handshake dans Wireshark
Étapes à identifier dans la capture
1. Paquet SYN : flags=0x002, IP client → IP serveur, port dst = service (ex: 80). Seq=0 (relatif).
2. Paquet SYN-ACK : flags=0x012, IP serveur → IP client. Seq=0, Ack=1.
3. Paquet ACK : flags=0x010, client → serveur. Ack=1. La connexion est établie.
Ensuite le trafic applicatif commence (HTTP GET, etc.).
Fermeture normale : FIN-ACK → FIN-ACK → ACK. Fermeture brutale : RST.
🗺️
Nmap — Scans essentiels
Découverte réseau et audit de sécurité
| Commande Nmap | Type de scan | Description |
|---|---|---|
| nmap 192.168.1.0/24 | Découverte réseau | Scanner toutes les machines actives du réseau (ping scan + port scan basique) |
| nmap -sn 192.168.1.0/24 | Ping sweep | Lister les hôtes actifs uniquement (pas de scan de ports) |
| nmap -sS 192.168.1.10 | SYN scan (stealth) | Scan discret : envoie SYN, n'établit pas la connexion. Nécessite root/admin. |
| nmap -sV 192.168.1.10 | Détection version | Détecte les services et leurs versions (Apache 2.4.41, OpenSSH 8.2…) |
| nmap -O 192.168.1.10 | Détection OS | Fingerprinting du système d'exploitation via les spécificités de la pile TCP/IP |
| nmap -A 192.168.1.10 | Scan agressif | -sV + -O + scripts NSE + traceroute. Très complet mais bruyant. |
| nmap -p 22,80,443 192.168.1.10 | Ports spécifiques | Scanner uniquement les ports 22, 80 et 443 |
| nmap -p- 192.168.1.10 | Tous les ports | Scanner les 65 535 ports (lent) |
| nmap --script vuln 192.168.1.10 | Scripts de vuln | Tester des vulnérabilités connues via les scripts NSE |
| nmap -sU -p 53,161 192.168.1.10 | Scan UDP | Scanner les ports UDP (DNS, SNMP). Plus lent que TCP. |
Utilisation légale de Nmap
Scanner un réseau sans autorisation est illégal dans la plupart des pays. Nmap ne doit être utilisé que sur des réseaux dont vous êtes propriétaire ou pour lesquels vous avez une autorisation écrite. En milieu professionnel : toujours avoir un mandat/permission avant tout pentest ou audit.