Ajouter à la (aux) collection (s) Ajouter à enregistré
  1. Ingénierie
  2. Informatique
  3. Réseau informatique

Module 8 – Discovery 2 version 4.1

publicité 
Module 8 – Discovery 2 version 4.1 - Page 1 sur 52
Responsabilités des
fournisseurs de
services Internet
1 Considérations sur la sécurité des fournisseurs de
services Internet
1.1 Services de sécurité de FAI
Toute connexion Internet active peut transformer l’ordinateur qui l’utilise en cible d’activité
malveillante. Un programme malveillant, comme un virus, un ver ou un logiciel espion, peut
vous atteindre par l’intermédiaire d’un courriel ou d’un téléchargement depuis un site Web.
Des problèmes à l’origine de pannes massives chez les FAI proviennent souvent de systèmes
non sécurisés chez les clients du FAI.
Module 8 – Discovery 2 version 4.1 - Page 2 sur 52
Si le fournisseur de services Internet héberge des sites Web ou de commerce électronique, il
peut disposer de fichiers confidentiels contenant des données financières ou des informations
de comptes bancaires stockés sur ses serveurs. Le FAI est tenu de stocker les données de ses
clients de manière sécurisée.
Les FAI jouent un rôle important en matière de protection des utilisateurs privés et
professionnels qui utilisent leurs services. Les services de sécurité qu’ils fournissent protègent
également les serveurs qui sont installés dans les locaux du fournisseur de services. Les
fournisseurs de services sont souvent sollicités par leurs clients pour les aider à sécuriser leurs
réseaux locaux et leurs stations de travail afin de réduire les risques d’atteinte à leur intégrité.
De nombreuses mesures peuvent être prises à la fois sur les sites des clients et du FAI pour
sécuriser les systèmes d’exploitation, les données stockées sur les systèmes d’exploitation et
les données échangées entre systèmes informatiques.
Si un FAI fournit des services d’hébergement de sites Web ou de messagerie à un client, il est
important qu’il protège également ces informations contre les attaques. Cette protection peut
être compliquée car les FAI utilisent souvent un même serveur, ou une grappe de serveurs,
pour gérer des données appartenant à plusieurs clients.
Pour aider à empêcher les attaques contre ces données, de nombreux FAI proposent des
services de sécurité à leurs clients. Une part importante du travail d’un technicien de support
technique sur site consiste à mettre en œuvre des méthodes recommandées en matière de
sécurité sur les ordinateurs clients. Parmi les services de sécurité qu’un technicien de support
technique de FAI peut fournir figurent :






Aider les clients à créer des mots de passe pour les périphériques
Sécuriser les applications à l’aide de correctifs et de mises à niveau de logiciels
Supprimer toutes les applications et services inutiles susceptibles de constituer autant
de failles
Veiller à ce que les applications et les services soient accessibles exclusivement aux
utilisateurs qui en ont besoin
Configurer des pare-feu et des logiciels antivirus
Exécuter des balayages de sécurité sur les logiciels et les services afin de déterminer
les failles que le technicien devra protéger contre les attaques
Module 8 – Discovery 2 version 4.1 - Page 3 sur 52
1.2 Pratiques de sécurité
Il est essentiel que les FAI aient mis en place des mesures pour protéger les informations de
leurs clients contre les attaques. Les fonctionnalités et procédures courantes en matière de
sécurité des données sont les suivantes :




Chiffrer les données stockées sur les disques durs des serveurs
Utiliser des autorisations pour sécuriser l’accès aux fichiers et aux dossiers
Autoriser ou interdire l’accès en fonction du compte d’utilisateur ou de l’adhésion à un
groupe
Attribuer différents niveaux d’autorisation d’accès en fonction du compte d’utilisateur
ou de l’adhésion à un groupe
La règle d’or en matière d’attribution d’autorisations d’accès à des fichiers et à des dossiers
consiste à en accorder le moins possible. Cela revient à donner aux utilisateurs l’accès aux
seules ressources nécessaires à l’exercice de leurs fonctions. Cela signifie également donner
un niveau d’autorisation approprié, notamment un accès en lecture seule ou en écriture.
Module 8 – Discovery 2 version 4.1 - Page 4 sur 52
Le processus AAA (authentification, autorisation et comptabilisation) est un processus en
trois étapes utilisé par les administrateurs réseau pour compliquer aux utilisateurs mal
intentionnés la tâche d’accéder à un réseau.
L’authentification nécessite que l’utilisateur prouve son identité à l’aide d’un nom
d’utilisateur et d’un mot de passe. Les bases de données d’authentification sont généralement
stockées sur des serveurs qui utilisent les protocoles RADIUS ou TACACS.
L’autorisation donne à un utilisateur le droit d’utiliser des ressources spécifiques et
d’effectuer des tâches précises.
La comptabilisation consiste à observer l’utilisation et la durée d’utilisation des applications.
Module 8 – Discovery 2 version 4.1 - Page 5 sur 52
Par exemple, l’authentification confirme qu’un utilisateur nommé « participant » existe et est
autorisé à ouvrir une session. Les services d’autorisation spécifient qu’un utilisateur
participant est autorisé à accéder au serveur hôte XYZ via Telnet. Le service de
comptabilisation note que l’utilisateur participant a accédé au serveur hôte XYZ via Telnet tel
jour, pendant 15 minutes.
Le processus AAA peut être utilisé sur différents types de connexions réseau. Il nécessite une
base de données pour conserver la trace des informations d’identification, des autorisations et
des statistiques de compte des utilisateurs. L’authentification locale est la forme la plus simple
de processus AAA et utilise une base de données locale sur le routeur passerelle. Si une
organisation compte de nombreux utilisateurs authentifiés AAA, cette organisation doit
utiliser une base de données sur un serveur distinct.
1.3 Chiffrement des données
Les FAI doivent aussi se soucier de sécuriser les données qui sont transmises à destination et
en provenance de leurs serveurs. Par défaut, les données envoyées via le réseau sont
transmises en texte brut et ne sont pas sécurisées. Des individus non autorisés peuvent donc
intercepter des données non sécurisées pendant leur transmission. L’interception des données
en transit contourne tous les mécanismes de sécurité du système de fichiers mis en place sur
les données. Certaines méthodes permettent de se prémunir de cette faille de sécurité.
Chiffrement
Le chiffrement numérique est un processus consistant à chiffrer toutes les données transmises
entre le client et le serveur. Nombre de protocoles de transmission des données offrent une
version sécurisée reposant sur le chiffrement numérique. Au titre de méthode recommandée,
utilisez la version sécurisée d’un protocole lorsque les données échangées entre deux
ordinateurs sont confidentielles.
Par exemple, si un utilisateur doit soumettre un nom d’utilisateur et un mot de passe pour
ouvrir une session sur un site Web de commerce électronique, un protocole sécurisé est requis
pour protéger le nom d’utilisateur et le mot de passe contre les tentatives d’interception. Des
protocoles sécurisés sont également requis pour toute soumission d’informations de carte ou
de compte bancaires.
Pour naviguer sur Internet et consulter des sites Web en accès public, la sécurisation des
données transmises est inutile. L’utilisation d’un protocole sécurisé dans ce cas de figure peut
augmenter les temps de réponse et les volumes de calcul.
Module 8 – Discovery 2 version 4.1 - Page 6 sur 52
Les applications utilisent de nombreux protocoles réseau. Certains proposent des versions
sécurisées, d’autres non :



Serveurs Web - Les serveurs Web utilisent par défaut le protocole HTTP, qui n’est
pas un protocole sécurisé. L’utilisation de HTTPS, qui est un protocole SSL (secure
socket layer), permet un échange de données sécurisé.
Serveurs de messagerie - Les serveurs de messagerie utilisent différents protocoles,
tels que SMTP, POP3 ou IMAP4. Lorsqu’un utilisateur ouvre une session sur un
serveur de messagerie, il doit, conformément aux protocoles POP3 et IMAP4,
s’authentifier en fournissant son nom d’utilisateur et son mot de passe. Par défaut, ces
données sont envoyées sans mécanisme de sécurité et peuvent être interceptées. Le
protocole POP3 peut être sécurisé avec SSL. SMTP et IMAP4 peuvent utiliser SSL ou
TLS (Transport Layer Security) comme protocole de sécurité.
Serveurs Telnet - L’utilisation de Telnet pour accéder à distance à un routeur ou un
commutateur Cisco crée une connexion non sécurisée. Telnet envoie sur le réseau les
informations d’authentification, ainsi que les commandes saisies par l’utilisateur en
Module 8 – Discovery 2 version 4.1 - Page 7 sur 52


texte clair. Utilisez le protocole SSH (Secure Shell) pour vous authentifier et utiliser le
routeur ou le commutateur de manière sécurisée.
Serveurs FTP - FTP est également un protocole non sécurisé. Lorsque vous ouvrez
une session sur un serveur FTP, les informations d’authentification sont envoyées en
texte brut. Le protocole FTP peut utiliser SSL pour échanger de manière sécurisée des
informations d’authentification et des données. Certaines versions de FTP peuvent
également utiliser SSH.
Serveurs de fichiers - Les serveurs de fichiers peuvent utiliser de nombreux
protocoles différents pour échanger les données, suivant le système d’exploitation de
l’ordinateur. Dans la plupart des cas, les versions des protocoles de serveur de fichiers
ne sont pas sécurisées.
IPSec (IP Security) est un protocole de sécurité de la couche réseau pouvant être utilisé pour
sécuriser tout protocole de la couche application utilisé dans un but de communication. Cela
comprend les protocoles de serveur de fichiers qui ne proposent pas de version sécurisée.
Travaux pratiques : Effectuez les tâches de sécurité nécessaires pour
analyser et sécuriser les données locales et transmises.
2 Outils de sécurité
Module 8 – Discovery 2 version 4.1 - Page 8 sur 52
2.1 Listes de contrôle d’accès et filtrage de port
En dépit de l’utilisation de la méthode AAA et du chiffrement, un FAI doit encore se protéger
contre de nombreux types d’attaques différents. Les FAI sont particulièrement vulnérables
aux attaques par déni de service (DoS), car ils peuvent héberger des sites pour de nombreux
noms de domaines enregistrés différents qui peuvent nécessiter ou non une authentification. Il
existe actuellement trois principaux types d’attaque par déni de service.
DoS
Une attaque DoS standard se produit lorsqu’un serveur ou un service est attaqué pour
empêcher les accès légitimes à ce service. Parmi les attaques DoS standard, citons les
inondations SYN, les inondations ping, les attaques LAND, les attaques par consommation de
bande passante et les attaques par dépassement de mémoire tampon.
Module 8 – Discovery 2 version 4.1 - Page 9 sur 52
DDoS
Une attaque par déni de service distribué (DDoS) se produit lorsque plusieurs ordinateurs sont
utilisés pour attaquer une cible spécifique. L’agresseur a accès à de nombreux ordinateurs
compromis, généralement sur Internet. Grâce à ce dispositif, l’agresseur peut lancer son
attaque à distance. Les attaques DDoS sont généralement de même type que les attaques DoS
standard, à ceci près que les attaques DDoS sont lancées simultanément depuis plusieurs
ordinateurs.
DRDoS
Une attaque par déni de service réfléchi distribué (DRDoS) se produit lorsqu’un agresseur
envoie une fausse requête à de nombreux ordinateurs sur Internet, l’adresse source étant
modifiée pour être l’ordinateur ciblé. Les ordinateurs qui reçoivent la requête répondent.
Toutes les requêtes sont alors dirigées vers l’ordinateur cible. En raison de l’effet miroir de
l’attaque, il est très difficile d’identifier l’ordinateur à l’origine de l’attaque.
Les FAI doivent être capables de filtrer les éléments du trafic réseau, tels que les attaques
DoS, qui peuvent être néfastes au fonctionnement de leur réseau ou de leurs serveurs. Les
Module 8 – Discovery 2 version 4.1 - Page 10 sur 52
filtres de port et les listes de contrôle d’accès (ACL) permettent de contrôler le trafic vers les
serveurs et l’équipement réseau.
Filtrage de port
Le filtrage de port permet de contrôler le flux du trafic en fonction d’un port TCP ou UDP
spécifique. De nombreux systèmes d’exploitation de serveur disposent d’options permettant
de restreindre l’accès grâce au filtrage de port. Le filtrage de port est également utilisé par les
routeurs et les commutateurs de réseau pour aider à contrôler le flux du trafic et sécuriser
l’accès au périphérique.
Module 8 – Discovery 2 version 4.1 - Page 11 sur 52
Listes de contrôle d’accès
Les listes de contrôle d’accès permettent de définir le trafic qui est autorisé ou refusé en
fonction des adresses IP source et/ou de destination. Elles peuvent également autoriser ou
interdire le trafic sur le port source et de destination du protocole utilisé. Elles permettent par
ailleurs de contrôler le trafic des mises à jour du routage et ICMP. Les administrateurs créent
des listes de contrôle d’accès sur des périphériques réseau, tels que les routeurs, pour
contrôler si le trafic est transféré ou bloqué.
Les listes de contrôle d’accès ne sont que la première ligne de défense et ne suffisent pas à
sécuriser un réseau. Elles se contentent d’empêcher l’accès à un réseau et n’ont pas la capacité
de protéger le réseau contre tous les types d’attaques malveillantes.
Travaux pratiques : Déterminer où implémenter les listes de contrôle
d’accès et les filtres de ports afin de faciliter la protection du réseau
2.2 Pare-feu
Un pare-feu est un matériel ou logiciel réseau qui définit le trafic qui est autorisé à circuler
dans les sections du réseau et la manière dont le trafic est géré.
Les listes de contrôle d’accès sont un des outils utilisés par les pare-feu. Elles permettent de
contrôler le type de trafic qui est autorisé à franchir le pare-feu, ainsi que la direction dans
laquelle le trafic est autorisé à circuler. Sur un réseau de taille moyenne, la quantité de trafic et
de protocoles réseau devant être contrôlés est relativement importante. Par ailleurs, les listes
de contrôle d’accès des pare-feu peuvent devenir très compliquées.
Module 8 – Discovery 2 version 4.1 - Page 12 sur 52
Les pare-feu utilisent des listes de contrôle d’accès pour contrôler quel trafic est autorisé ou
bloqué. Ils évoluent en permanence, à mesure que de nouveaux moyens sont développés et
que de nouvelles menaces sont découvertes.
Différents pare-feu offrent divers types de fonctionnalités. Par exemple, un pare-feu à
inspection dynamique de paquets ou pare-feu dynamique, conserve la trace du processus de
communication qui intervient entre les périphériques source et de destination. Il le fait à l’aide
d’une table d’états. Lorsqu’un flux de communication est approuvé, seul le trafic appartenant
à un de ces flux de communication approuvés est autorisé à franchir le pare-feu. Le logiciel
Cisco IOS Firewall est intégré au logiciel Cisco IOS et permet à l’utilisateur de transformer
un routeur en pare-feu de couche réseau à inspection dynamique.
Les pare-feu évoluent en permanence, à mesure que de nouveaux moyens sont développés et
que de nouvelles menaces sont découvertes. Plus le pare-feu intègre de fonctionnalités, plus le
traitement des paquets est long.
Les pare-feu peuvent assurer un périmètre de sécurité à l’ensemble du réseau et à des
segments locaux internes du réseau, tels que des batteries de serveurs.
Dans un réseau de FAI ou de PME, les pare-feu sont généralement implémentés en couches
multiples. Le trafic entrant en provenance d’un réseau non fiable entre d’abord en contact
avec un routeur filtrant sur le routeur périphérique. Le trafic autorisé franchit le routeur
périphérique pour atteindre un pare-feu interne qui dirige le trafic vers une zone démilitarisée
(DMZ). La zone démilitarisée sert à stocker les serveurs auxquels les utilisateurs Internet sont
autorisés à accéder. Seul le trafic autorisé à accéder à ces serveurs pénètre dans la zone
démilitarisée. Les pare-feu contrôlent également le type de trafic autorisé à accéder au réseau
local protégé. Le trafic autorisé à accéder au réseau interne est généralement un trafic
répondant à une demande spécifique d’un périphérique interne. Par exemple, si un
périphérique interne demande une page Web depuis un serveur externe, le pare-feu autorise la
page Web requise à infiltrer le réseau interne.
Certaines organisations peuvent choisir d’implémenter des pare-feu internes pour protéger des
zones sensibles. Les pare-feu internes permettent de limiter l’accès à des secteurs du réseau
nécessitant un niveau de protection supplémentaire. Des pare-feu internes séparent et
protègent les ressources de l’entreprise en réseau contre les utilisateurs appartenant à cette
entreprise. Les pare-feu internes protègent contre les pirates externes et internes, ainsi que
contre les attaques internes accidentelles et les programmes malveillants.
Module 8 – Discovery 2 version 4.1 - Page 13 sur 52
Exercice Packet Tracer : Dans cet exercice, vous êtes un technicien qui
s’occupe du support technique pour une PME. Les activités de cette PME se
sont développées. Elle est à présent dotée d’un service de recherche et
développement qui met au point un nouveau projet très confidentiel. La viabilité
de ce projet repose sur la protection des données utilisées par les équipes au sein
de ce service. Votre tâche consiste à installer des pare-feu pour protéger le
réseau en tenant compte de critères spécifiques.
2.3 IDS et IPS
Les FAI ont également la responsabilité d’empêcher, dans la mesure du possible, les
intrusions dans leurs réseaux et les réseaux des clients qui achètent leurs services de gestion.
Pour ce faire, ils utilisent souvent deux outils.
Système de détection d’intrusions (IDS)
Un système de détection d’intrusions (IDS) est une solution logicielle ou matérielle qui écoute
passivement le trafic réseau. Le trafic réseau ne transite pas par un périphérique IDS. Le
périphérique IDS surveille le trafic via une interface réseau. Lorsque ce système détecte du
trafic malveillant, il envoie une alerte à une station d’administration préconfigurée.
Module 8 – Discovery 2 version 4.1 - Page 14 sur 52
Système de protection contre les intrusions (IPS)
Le système de protection contre les intrusions est un dispositif (physique ou logiciel) actif. Le
trafic entre par une interface du système IPS et ressort par l’autre. Le système IPS examine les
paquets de données qui se trouvent réellement dans le trafic réseau et opère en temps réel pour
autoriser ou interdire les paquets qui veulent accéder au réseau.
Les technologies IDS et IPS sont déployées en tant que capteurs. Un capteur IDS ou IPS peut
être un des éléments suivants :



Un routeur configuré avec Cisco IOS version IPS
Un appareil (matériel) spécifiquement conçu pour fournir des services IDS ou IPS
dédiés
Un module réseau installé dans un appareil de sécurité adaptatif (ASA), un
commutateur ou un routeur
Les capteurs IDS et IPS répondent différemment aux incidences détectées sur le réseau, mais
chacun joue un rôle au sein d’un réseau.
Module 8 – Discovery 2 version 4.1 - Page 15 sur 52
Les solutions IDS sont réactives en présence d’intrusions détectées. Elles détectent les
intrusions sur la base d’une signature, qu’il s’agisse du trafic réseau ou de l’activité des
ordinateurs. Elles n’empêchent pas le trafic initial d’accéder à leur destination, mais elles
réagissent à l’activité détectée.
Lorsqu’il est configuré de manière appropriée, le système IDS peut bloquer de futurs éléments
malveillants du trafic en reconfigurant activement les périphériques réseau tels que les
appareils de sécurité ou les routeurs en réaction à la détection d’un élément dangereux. Il est
important de réaliser que l’élément malveillant d’origine a déjà traversé le réseau jusqu’à sa
destination et qu’il ne peut pas être bloqué. Seuls les éléments ultérieurs sont bloqués. De ce
point de vue, les périphériques IDS ne peuvent pas empêcher certaines intrusions.
Les solutions IDS sont souvent utilisées sur un périmètre non fiable d’un réseau à l’extérieur
du pare-feu. À cet endroit, le système IDS peut analyser le type de trafic qui atteint le pare-feu
et déterminer comment les attaques sont exécutées. Le pare-feu peut être utilisé pour bloquer
la plupart des éléments de trafic malveillants. Un système IDS peut également être placé à
l’intérieur du pare-feu afin d’y détecter d’éventuelles erreurs de configuration. Lorsque le
capteur IDS est placé dans le pare-feu, toute alarme qui se déclenche indique qu’un élément
malveillant a franchi le pare-feu. Ces alarmes signifient que le pare-feu n’a pas été
correctement configuré.
Module 8 – Discovery 2 version 4.1 - Page 16 sur 52
Système de protection contre les intrusions (IPS)
Contrairement aux solutions IDS, dites réactives, les solutions IPS sont proactives. Elles
bloquent toute activité douteuse en temps réel. Un système IPS est capable d’examiner la
quasi-totalité du paquet de données de la couche 2 à la couche 7 du modèle OSI. Lorsque le
système IPS détecte un élément de trafic malveillant, il le bloque immédiatement. Le
système IPS envoie alors une alerte à une station d’administration pour signaler l’intrusion.
Les éléments de trafic malveillants originaux et ultérieurs sont bloqués puisque le système IPS
empêche proactivement les attaques.
Un système IPS est un appareil de détection des intrusions, pas un logiciel. Le système IPS est
le plus souvent placé à l’intérieur du pare-feu. L’explication est qu’il peut examiner la plus
grande partie du paquet de données et, par conséquent, protéger les applications serveur si du
trafic malicieux est envoyé. Le pare-feu n’examine généralement pas le paquet de données
dans son ensemble, mais le système IPS le fait. Le pare-feu rejette la plupart des paquets non
autorisés, mais il laisse passer certains paquets malveillants. Comme il a moins de paquets à
examiner, le système IPS peut examiner chaque paquet en entier, ce qui lui permet d’arrêter
immédiatement les nouvelles attaques que le pare-feu n’était à l’origine pas configuré pour
arrêter. Le système IPS peut aussi arrêter les attaques que le pare-feu ne peut pas bloquer en
raison de ses limites.
Corrigé
Module 8 – Discovery 2 version 4.1 - Page 17 sur 52
2.4 Sécurité des réseaux locaux sans fil
Certains FAI offrent des services qui créent des points d’accès sans fil permettant aux clients
de se connecter à des réseaux locaux sans fil (WLAN). Un réseau sans fil est facile à
implémenter mais vulnérable s’il n’est pas correctement configuré. Étant donné que le signal
sans fil traverse les murs, il est accessible depuis l’extérieur des locaux de l’entreprise. Il est
possible de sécuriser un réseau sans fil en modifiant ses paramètres par défaut, en activant
l’authentification ou en activant le filtrage des adresses MAC.
Modification des paramètres par défaut
Les valeurs par défaut des SSID, noms d’utilisateur et mots de passe sur un point d’accès sans
fil doivent être modifiées. Il faut également désactiver la fonction de diffusion du SSID.
Activation de l’authentification
L’authentification est la procédure qui permet d’accéder au réseau à l’aide d’identifiants de
connexion. Elle permet de vérifier que le périphérique qui tente de se connecter au réseau est
un périphérique de confiance. Trois méthodes d’authentification peuvent être utilisées :

Authentification ouverte - Tous les clients, quels qu’ils soient, peuvent obtenir un
accès. L’authentification ouverte est principalement utilisée sur les réseaux publics
sans fil.
Module 8 – Discovery 2 version 4.1 - Page 18 sur 52

Clé prépartagée (PSK) - Nécessite une clé préconfigurée correspondante sur le
serveur et le client. Lors de la connexion, le point d’accès envoie une chaîne d’octets
aléatoire au client. Le client accepte cette chaîne, la chiffre (ou la brouille) sur la base
de la clé définie et la renvoie au point d’accès. Celui-ci reçoit la chaîne chiffrée et
utilise sa clé pour la déchiffrer (ou en annuler le brouillage). Si les deux éléments
concordent, l’authentification est réussie.

Extensible Authentication Protocol (EAP) - Permet une authentification mutuelle,
ou bidirectionnelle, ainsi qu’une authentification de l’utilisateur. Lorsqu’un
logiciel EAP est installé sur le client, celui-ci se met en communication avec le serveur
d’authentification principal, tel que RADIUS.
Module 8 – Discovery 2 version 4.1 - Page 19 sur 52
Activation du filtrage d’adresse MAC
Le filtrage d’adresse MAC empêche les ordinateurs indésirables de se connecter à votre
réseau en imposant une restriction sur les adresses MAC. Toutefois, comme il est possible de
cloner une adresse MAC, d’autres mesures de sécurité doivent être implémentées en plus du
filtrage d’adresse MAC.
Il est important de définir le chiffrement sur les paquets transmis envoyés via un réseau sans
fil. Trois principaux types de chiffrement sont applicables aux réseaux sans fil :

WEP - Une clé WEP (Wired Equivalent Privacy) permet de chiffrer les données
échangées entre des nœuds sans fil. WEP utilise une clé hexadécimale prépartagée de
64, 128 ou 256 bits pour chiffrer les données. Une importante faiblesse de WEP est
son utilisation de clés de chiffrement statiques. La même clé est utilisée par chaque
dispositif pour chiffrer chaque paquet transmis. Il existe de nombreux outils de
déverrouillage WEP accessibles sur Internet. WEP ne doit être utilisé qu’avec des
équipements plus anciens ne prenant pas en charge les protocoles de sécurité sans fil
plus récents.
Module 8 – Discovery 2 version 4.1 - Page 20 sur 52

WPA - Le protocole Wifi Protected Access (WPA) est la technologie de chiffrement
sans fil la plus récente. Il intègre un algorithme de chiffrement amélioré appelé TKIP
(Temporal Key Integrity Protocol). Le protocole TKIP génère une clé unique pour
chaque client et fait tourner les clés de sécurité à un intervalle configurable. Le
protocole WPA offre un mécanisme d’authentification réciproque. Étant donné que le
client et le point d’accès possèdent tous deux la clé, celle-ci n’est jamais transmise.

WPA2 - est une version améliorée et plus récente du protocole WPA. Il utilise la
technologie AES (Advanced Encryption Standard), plus sécurisée.
Module 8 – Discovery 2 version 4.1 - Page 21 sur 52
Exercice Packet Tracer : Au cours de cet exercice, vous allez
configurer la sécurité WEP sur une station de travail et un routeur sans
fil Linksys.
* Remarque : Packet Tracer ne prend pas en charge WPA actuellement. Toutefois, WEP et
WPA sont activés par un processus similaire.
2.5 Sécurité de l’hôte
Quelles que soient les couches de défense en place sur le réseau, tous les serveurs sont
susceptibles d’être attaqués s’ils ne sont pas correctement sécurisés. Les serveurs des FAI sont
particulièrement vulnérables, car ils sont généralement accessibles depuis Internet. De
nouvelles failles sont identifiées chaque jour dans le système de sécurité des serveurs, aussi, il
est essentiel pour un FAI de prémunir ses serveurs des modes d’attaque connus et inconnus
dès que cela est possible. Pour ce faire, ils peuvent utiliser des pare-feu basés sur hôte.
Module 8 – Discovery 2 version 4.1 - Page 22 sur 52
Un pare-feu basé sur hôte est un logiciel qui s’exécute directement sur un système
d’exploitation hôte. Il protège l’hôte contre les attaques ayant pu franchir toutes les autres
couches de défense. Les pare-feu basés sur hôte contrôlent le trafic réseau entrant et sortant.
Ces pare-feu autorisent le filtrage basé sur l’adresse et le port d’un ordinateur, offrant ainsi
une protection supplémentaire au simple filtrage de port.
Les pare-feu basés sur hôte sont généralement dotés de règles prédéfinies qui bloquent tout
trafic réseau entrant. Des exceptions sont faites à ces règles pour permettre un flux
correctement dosé de trafic réseau entrant et sortant. En activant les pare-feu basés sur hôte, il
est important de trouver un juste équilibre entre ménager suffisamment d’espace pour
permettre aux ressources réseau de faire leur travail et protéger les applications contre les
attaques malveillantes. De nombreux systèmes d’exploitation de serveur sont préconfigurés
avec un simple pare-feu basé sur hôte doté d’options limitées. Il existe également des
progiciels tiers plus avancés.
Les FAI utilisent des pare-feu basés sur hôte afin de restreindre l’accès aux services
spécifiques offerts par un serveur. Avec un pare-feu basé sur hôte, le FAI protège ses serveurs
et les données de ses clients en bloquant l’accès aux ports extérieurs qui sont accessibles.
Les serveurs de FAI qui utilisent des pare-feu basés sur hôte sont protégés contre une variété
de types d’attaques et de failles.
Attaques connues
Les pare-feu basés sur hôte reconnaissent les activités malveillantes en fonction de signatures
ou de mécanismes opératoires actualisables. Ils détectent une attaque connue et bloquent le
trafic transitant par le port d’entrée de l’attaque.
Module 8 – Discovery 2 version 4.1 - Page 23 sur 52
Services vulnérables
Les pare-feu basés sur hôte protègent les services exploitables exécutés sur les serveurs en
empêchant l’accès aux ports utilisés par ces services. Certains pare-feu basés sur hôte peuvent
également inspecter le contenu d’un paquet pour vérifier s’il contient un code malveillant. Les
serveurs de sites Web et de messagerie sont des cibles classiques des pirates de services. Ils
peuvent être protégés si le pare-feu basé sur hôte est capable d’effectuer une inspection de
paquet.
Vers et virus
Les vers se propagent en exploitant les points vulnérables des services et autres failles des
systèmes d’exploitation. Les pare-feu basés sur hôte empêchent ces programmes malveillants
Module 8 – Discovery 2 version 4.1 - Page 24 sur 52
d’accéder aux serveurs. Ils peuvent également contribuer à empêcher la dissémination des
vers et des virus en contrôlant le trafic sortant en provenance d’un serveur.
Portes dérobées et chevaux de Troie
Les portes dérobées et chevaux de Troie permettent aux pirates d’accéder à distance aux
serveurs d’un réseau. Le logiciel procède généralement à l’envoi d’un message au pirate pour
lui indiquer qu’il a réussi à pénétrer le système. Il fournit ensuite un service que le pirate
informatique peut utiliser pour accéder au système. Les pare-feu basés sur hôte peuvent
empêcher un cheval de Troie d’envoyer un message en limitant l’accès en sortie du réseau. Ils
peuvent également empêcher le pirate de se connecter à quel que service que ce soit.
Module 8 – Discovery 2 version 4.1 - Page 25 sur 52
Outre les pare-feu basés sur hôte, il est possible d’installer un logiciel Anti-X comme mesure
de sécurité plus complète. Il s’agit d’un logiciel qui protège les systèmes informatiques contre
les virus, les vers, les logiciels espion, les logiciels malveillants, le hameçonnage et même le
courrier indésirable. Le logiciel Anti-X fait partie intégrante du bouquet de services de
sécurité de nombreux FAI. Tous les logiciels Anti-X ne protègent pas contre les mêmes
menaces. Le FAI doit constamment vérifier les menaces contre lesquelles protège
effectivement le logiciel Anti-X et faire des recommandations basées sur une analyse de la
menace qui pèse sur la société.
De nombreux progiciels Anti-X permettent une gestion à distance, notamment grâce à un
système de notification capable d’alerter l’administrateur ou le technicien de l’assistance
technique de la présence d’une infection, par courriel ou téléavertisseur. Une notification
immédiate à la personne appropriée peut réduire énormément l’impact de l’infection.
L’utilisation de logiciels Anti-X ne diminue pas le nombre de menaces au réseau mais réduit
les risques d’infection.
Des infections et des attaques se produiront immanquablement à l’occasion et elles peuvent
être redoutables. Il est important de pouvoir s’appuyer sur un processus de gestion des
incidents permettant de remonter toutes les incidences et leurs résolutions afin d’aider à
empêcher le retour de cette infection. Les FAI sont responsables de la protection et de
l’intégrité des données qu’ils hébergent pour leurs clients, ils doivent donc assurer une gestion
Module 8 – Discovery 2 version 4.1 - Page 26 sur 52
des incidents efficace. Par exemple, si le réseau du FAI est la cible d’un pirate et, qu’en fin de
compte, des milliers de numéros de carte de crédit qui étaient stockés dans une base de
données gérée par le FAI sont volés, le client doit en être informé pour pouvoir avertir à son
tour les propriétaires des cartes.
Travaux pratiques : Recommandez un progiciel Anti-X à une petite
entreprise.
3 Surveillance et gestion du FAI
3.1 Accords de niveau de service
Un FAI et un utilisateur sont généralement liés par un contrat appelé accord de niveau de
service. Il documente les attentes et les obligations de chaque partie. Un accord de niveau de
service inclut généralement les éléments suivants :








Description des services
Coûts
Suivi et rapport
Gestion des problèmes
Sécurité
Résiliation
Sanctions pour les arrêts de service
Disponibilité, performances et fiabilité
L’accord de niveau de service est un document important qui souligne clairement la gestion,
la surveillance et la maintenance d’un réseau.
Module 8 – Discovery 2 version 4.1 - Page 27 sur 52
Travaux pratiques : Examinez un accord de niveau de
service, familiarisez-vous avec ses sections.
3.2 Surveillance des performances de liaison du réseau
Le FAI est responsable de la surveillance et de la vérification de la connexion des
périphériques. Cette responsabilité vise tous les équipements qui appartiennent au FAI, ainsi
que l’équipement installé chez le client que le FAI accepte de surveiller dans le cadre de
l’accord de niveau de service. La surveillance et la configuration peuvent être effectuées hors
bande, avec une connexion console directe, ou intrabande à l’aide d’une connexion réseau.
La gestion hors bande est utile dans les configurations initiales, si le périphérique n’est pas
accessible via le réseau ou si une inspection visuelle du périphérique est nécessaire.
La plupart des FAI ne sont pas en mesure d’inspecter visuellement tous les périphériques, ni
même d’y avoir un accès physique. Un outil de gestion intrabande simplifie l’administration
car le technicien n’a pas besoin d’une connexion physique. Pour cette raison, la gestion
intrabande est préférable à la gestion hors bande en ce qui concerne les serveurs et
équipements de réseau qui sont accessibles en réseau. De plus, les outils intrabande
conventionnels peuvent offrir plus de fonctionnalités que la gestion hors bande, à savoir, par
exemple, une vue d’ensemble de la conception du réseau. Les protocoles de gestion
intrabande traditionnels comprennent Telnet, SSH, HTTP et SNMP.
De nombreux outils incorporés, outils commerciaux et outils en shareware (partagiciels)
utilisent ces protocoles de gestion. Par exemple, l’accès HTTP s’effectue par un
navigateur Web. Certaines applications, telles que Cisco SDM, utilisent cet accès pour la
gestion intrabande.
Travaux pratiques : Téléchargez, installez, puis effectuez une
capture réseau avec Wireshark.
3.3 Gestion des périphériques avec des outils intrabande
Une fois qu’un nouveau périphérique réseau est installé sur le site du client, il doit être
surveillé à distance depuis le site du FAI. Il peut arriver que des modifications mineures de la
configuration soient nécessaires sans que le technicien se trouve physiquement présent sur le
site du client.
Un client Telnet peut être utilisé sur une connexion de réseau IP pour se connecter à un
périphérique intrabande à des fins de surveillance et d’administration. Une connexion qui
utilise Telnet est nommée connexion ou session VTY (Virtual Terminal). Telnet est un
protocole client/serveur. Le périphérique qui se connecte exécute le client Telnet. Pour
prendre en charge les connexions du client Telnet, le serveur exécute un service nommé
démon Telnet.
La plupart des systèmes d’exploitation comportent un client Telnet de couche application. Sur
un ordinateur exécutant Microsoft Windows, Telnet peut s’exécuter à partir de l’invite de
Module 8 – Discovery 2 version 4.1 - Page 28 sur 52
commandes. D’autres applications terminales courantes s’exécutant en tant que clients Telnet
sont HyperTerminal, Minicom et TeraTerm. Les périphériques tels que les routeurs exécutent
le client Telnet et le démon Telnet, et peuvent agir comme client ou serveur.
Une fois qu’une connexion Telnet a été établie, les utilisateurs peuvent exécuter n’importe
quelle fonction autorisée sur le serveur, simplement comme s’ils utilisaient une session de
ligne de commande sur le serveur lui-même. S’ils en ont l’autorisation, ils peuvent lancer et
arrêter des processus, configurer le périphérique et même mettre le système hors tension.
Il est possible de lancer une session Telnet à l’aide de l’interface de ligne de commande du
routeur en entrant la commande telnet, suivie de l’adresse IP ou du nom de domaine. Un
client Telnet peut se connecter à plusieurs serveurs simultanément. Sur un routeur Cisco, la
combinaison de touches Ctrl-Maj-6 X permet d’alterner entre des sessions Telnet. Par ailleurs,
un serveur Telnet peut prendre en charge plusieurs connexions de clients. Sur un routeur
agissant comme serveur, la commande show sessions affiche toutes les connexions des
clients.
Travaux pratiques : Utilisez Telnet pour gérer les périphériques
réseau distants.
Le protocole Telnet prend en charge l’authentification de l’utilisateur mais pas le transport des
données chiffrées. Toutes les données échangées pendant une session Telnet sont transportées
en tant que texte clair sur le réseau. C’est-à-dire que les données peuvent être interceptées et
comprises facilement, y compris le nom d’utilisateur et le mot de passe utilisés pour
authentifier le périphérique.
Si la sécurité est un facteur important, le protocole SSH (Secure Shell) fournit une méthode
alternative sécurisée pour accéder au serveur. Ce protocole permet une connexion à distance
sécurisée et d’autres services réseau. Il permet également une authentification plus forte
qu’avec Telnet et prend en charge le transport des données de session à l’aide du chiffrement.
Il est conseillé aux professionnels de la gestion des réseaux de toujours utiliser SSH à la place
de Telnet dans la mesure du possible.
Il existe deux versions du service de serveur SSH. La version SSH prise en charge dépend de
l’image Cisco IOS chargée sur le périphérique. Le choix de logiciels clients SSH disponibles
pour PC est très large. Un client SSH doit prendre en charge la version SSH configurée sur le
serveur.
Travaux pratiques : Configurez un routeur distant avec SSH.
3.4 Utilisation de SNMP et Syslog
SNMP est un protocole de gestion de réseau qui permet aux administrateurs réseau de
collecter des données sur le réseau et les périphériques correspondants. Le logiciel du système
Module 8 – Discovery 2 version 4.1 - Page 29 sur 52
de gestion SNMP est disponible dans des outils tels que CiscoWorks. Des versions gratuites
de CiscoWorks sont accessibles en téléchargement sur Internet. Le logiciel de l’agent de
gestion SNMP est souvent incorporé dans les systèmes d’exploitation des serveurs, routeurs et
commutateurs.
Le protocole SNMP est composé de quatre composants principaux :




Station de gestion - Ordinateur sur lequel l’application de gestion SNMP a été
chargée, utilisé par l’administrateur pour surveiller et configurer le réseau.
Agent de gestion - Logiciel installé sur un périphérique géré par SNMP.
Base de données MIB - Base de données tenue à jour par un périphérique sur luimême concernant les paramètres de performance du réseau.
Protocole de gestion de réseau - Protocole de communication utilisé entre la station
de gestion et l’agent de gestion.
La station de gestion contient les applications de gestion SNMP que l’administrateur utilise
pour configurer les périphériques sur le réseau. Elle contient également des données
concernant ces périphériques. La station de gestion collecte les informations en sondant les
Module 8 – Discovery 2 version 4.1 - Page 30 sur 52
périphériques. Un sondage se produit lorsque la station de gestion demande des informations
spécifiques à un agent.
L’agent rend compte à la station de gestion en répondant aux requêtes. Lorsque la station de
gestion sonde un agent, celui-ci fait appel aux statistiques recueillies dans la base de
données MIB.
Les agents peuvent également être configurés avec des pièges. Les pièges sont des
événements déclencheurs d’alarme. Certaines zones de l’agent sont configurées avec des
seuils, ou valeurs maximales, devant être observés, tels que la quantité de trafic pouvant
accéder à un port spécifique. Si ce seuil est atteint, l’agent envoie un message d’alerte à la
station de gestion. Les pièges évitent à la station de gestion de sonder en permanence les
périphériques réseau.
Les stations de gestion et les périphériques gérés sont identifiés par un ID (ou identificateur)
de communauté. L’identificateur de communauté sur l’agent SMNP doit correspondre à celui
de la station de gestion SMNP. Lorsqu’un agent doit envoyer des informations vers une
station de gestion en raison d’une interrogation ou d’un piège, il commence par vérifier la
station de gestion à l’aide de l’identificateur de communauté.
Le stockage et la consultation périodique des journaux de périphériques constituent une part
importante de la surveillance du réseau. Syslog est le standard de journalisation des
événements système. Comme SNMP, Syslog est un protocole de la couche application qui
permet aux périphériques d’envoyer des informations à un démon Syslog installé et exécuté
sur une station de gestion.
Module 8 – Discovery 2 version 4.1 - Page 31 sur 52
Un système Syslog est constitué de serveurs et de clients Syslog. Ces serveurs acceptent et
traitent les messages de consignation en journal des clients Syslog. Un client Syslog est un
périphérique surveillé qui génère et transfère les messages de consignation aux serveurs
Syslog.
Les messages de consignation présentent généralement les éléments suivants : identificateur,
type de message, horodatage (date, heure), périphérique émetteur et texte du message. Suivant
l’équipement de réseau émetteur, un message Syslog peut contenir d’autres éléments que ceux
listés ici.
4 Sauvegardes et reprise après sinistre
4.1 Support de sauvegarde
Module 8 – Discovery 2 version 4.1 - Page 32 sur 52
Un logiciel de gestion et de surveillance du réseau aide les fournisseurs de services Internet et
les entreprises à identifier et à corriger les problèmes que peut connaître le réseau. Ce logiciel
peut également aider à corriger les causes des pannes du réseau, telles que celles causées par
les programmes malveillants, les fonctionnalités du réseau et les périphériques défectueux
Quelle que soit la cause de la panne, un FAI qui héberge des sites Web ou une messagerie
pour ses clients doit protéger le site Web et le courriel en veillant à ce qu’il ne se perde pas.
La perte de données stockées sur un site Web peut nécessiter des centaines, voire des milliers,
d’heures en recréation de contenu, sans parler de la perte commerciale engendrée par
l’interruption du service pendant la recréation nécessaire du contenu.
La perte de messages électroniques stockés sur le serveur de messagerie du FAI peut dévaster
une activité qui repose sur les données contenues dans ces messages. Certaines entreprises
sont légalement tenues de conserver des copies de toute correspondance électronique. Pour
elles, la perte de ces données est une faute grave.
La sauvegarde des données est donc essentielle. Le travail de l’informaticien consiste à limiter
les risques de perte de données et à mettre au point les mécanismes permettant la récupération
rapide de toute donnée perdue.
Lorsqu’un FAI doit sauvegarder ses données, il doit équilibrer le coût de la solution de
sauvegarde et son efficacité. Le choix du support de sauvegarde peut être complexe compte
tenu des nombreux facteurs entrant en ligne de compte.
Certains de ces facteurs sont les suivants :





Quantité de données
Coût des supports
Performances des supports
Fiabilité des supports
Facilité de sauvegarde hors-site
Il existe de nombreux types de supports de stockage, à savoir les bandes magnétiques, les
disques optiques, les disques durs et les disques durs électroniques.
Module 8 – Discovery 2 version 4.1 - Page 33 sur 52
La bande magnétique demeure l’un des types de support de sauvegarde les plus répandus. Les
bandes offrent de grandes capacités de stockage et constituent le support le plus économique
du marché. Pour des volumes de données supérieurs à une bande, des chargeurs automatiques
et des bibliothèques permettant de changer de bande au cours de la procédure de sauvegarde,
permettant aux données d’être stockées sur autant de bandes que nécessaire. Ce matériel,
parfois onéreux, s’emploie rarement dans les petites et moyennes entreprises. Toutefois,
suivant le volume de données, une entreprise peut n’avoir aucune autre solution que de se
doter d’un chargeur automatique ou d’une bibliothèque.
Les bandes sont fragiles et sujettes à défaillance et les lecteurs nécessitent un nettoyage
régulier pour être maintenus en bon état. Les bandes ont également un niveau élevé de
défaillance car elles se détériorent à l’usage. Les bandes doivent être utilisées pendant une
durée déterminée avant d’être retirées de la circulation. Voici quelques types de bandes :




DDS (Digital Data Storage)
DAT (Digital Audio Tape)
DLT (Digital Linear Tape)
LTO (Linear Tape-Open)
Chacune de ces bandes ont des capacités et des caractéristiques de performance différentes.
Disques optiques
Un support optique est un choix fréquent pour le stockage de quantités de données moindres.
Les CD ont une capacité de stockage d’environ 700 Mo, les DVD peuvent stocker jusqu’à
8,5 Go de données sur un disque à face unique et double couche, et les disques HD-DVD et
Blu-Ray peuvent atteindre des capacités de stockage supérieures à 25 Go par disque. Les FAI
peuvent utiliser un support optique pour transférer des données de contenu Web à leurs
clients, lesquels peuvent utiliser ce même support pour transférer des contenus de site Web au
site d’hébergement du FAI. Un support optique est facilement accessible par n’importe quel
ordinateur équipé d’un lecteur de CD ou de DVD.
Module 8 – Discovery 2 version 4.1 - Page 34 sur 52
Disques durs
Les systèmes de sauvegarde sur disque dur sont de plus en plus populaires en raison du prix
peu élevé des lecteurs à haute capacité. Toutefois, les disques durs ne facilitent pas le
stockage hors site. De grandes matrices de disques telles que DAS (Direct Attached Storage),
le stockage en réseau NAS (Network Attached Storage) et le réseau de stockage SAN
(Storage Area Networks) ne sont pas transportables.
Module 8 – Discovery 2 version 4.1 - Page 35 sur 52
Module 8 – Discovery 2 version 4.1 - Page 36 sur 52
De nombreuses implémentations de systèmes de sauvegarde sur disque dur sont associées à
des systèmes de sauvegarde sur bande pour le stockage hors site. L’utilisation de disques durs
et de bandes au sein d’une solution de sauvegarde à plusieurs niveaux offre un délai de reprise
rapide, les données étant disponibles localement sur les disques durs, associée à une solution
d’archivage à long terme.
Disques durs électroniques
Le stockage sur disque dur électronique fait référence à tout support de stockage non volatile,
ne possédant pas d’élément mobile. Les exemples de ces supports vont des lecteurs de la taille
d’un timbre-poste capables de stocker jusqu’à 1 Go de données aux ensembles de la taille
d’un routeur capables de stocker 1 000 Go (1 To) de données.
Les disques durs électroniques sont idéaux lorsque la rapidité du stockage et de la
récupération des données est importante. Les systèmes de stockage de données sur disques
durs électroniques sont particulièrement adaptés pour l’accélération des bases de données,
l’accès et le montage vidéo de haute définition, l’extraction des données et les réseaux de
stockage SAN. Les périphériques de stockage sur disque dur électronique sont parfois
extrêmement onéreux, mais les prix baisseront avec le temps et l’évolution de la technologie.
Module 8 – Discovery 2 version 4.1 - Page 37 sur 52
4.2 Méthodes de sauvegarde des fichiers
Une fois le support de sauvegarde choisi, vous devez sélectionner une méthode de
sauvegarde.
Normale
Une sauvegarde normale (ou totale) copie entièrement tous les fichiers sélectionnés. Chaque
fichier est alors marqué comme ayant été sauvegardé. Dans le cas d’une sauvegarde normale,
seule la sauvegarde la plus récente est utile pour récupérer tous les fichiers, ce qui accélère et
simplifie le processus de récupération. Toutefois, étant donné que toutes les données sont
sauvegardées, cette procédure est celle qui prend le plus de temps.
Différentielle
Une sauvegarde différentielle ne copie que les fichiers qui ont été modifiés depuis la dernière
sauvegarde totale. Avec les sauvegardes différentielles, une sauvegarde totale est nécessaire
au premier jour du cycle de sauvegarde. Seuls les fichiers qui ont été créés ou modifiés depuis
l’heure de la dernière sauvegarde sont alors enregistrés. Le processus de sauvegarde
différentielle se poursuit jusqu’à ce qu’une autre sauvegarde totale soit effectuée. Cela réduit
la durée de la sauvegarde. Pour restaurer les données, il convient de restaurer d’abord la
dernière sauvegarde normale. La sauvegarde différentielle la plus récente restaure ensuite tous
les fichiers qui ont été modifiés depuis la dernière sauvegarde totale.
Module 8 – Discovery 2 version 4.1 - Page 38 sur 52
Incrémentielle
Une sauvegarde incrémentielle diffère d’une sauvegarde différentielle sur un point important.
Si une sauvegarde différentielle n’enregistre que les fichiers qui ont changé depuis la dernière
sauvegarde totale, la sauvegarde incrémentielle n’enregistre que les fichiers qui ont été créés
ou modifiés depuis la dernière sauvegarde incrémentielle. Cela signifie que, si une sauvegarde
incrémentielle est effectuée chaque jour, le support de sauvegarde ne contient que les fichiers
créés ou modifiés ce jour. Les sauvegardes incrémentielles constituent le mode de sauvegarde
le plus rapide. Toutefois, elles prennent le plus de temps à restaurer, étant donné que la
dernière sauvegarde totale ainsi que chaque sauvegarde incrémentielle depuis la dernière
sauvegarde totale doivent être restaurées.
Les systèmes de sauvegarde nécessitent une maintenance régulière pour continuer à
fonctionner correctement. Plusieurs mesures aident à s’assurer du succès des sauvegardes :




Remplacer les supports - De nombreux scénarios de sauvegarde impliquent le
remplacement quotidien du support de sauvegarde pour disposer d’un historique des
données sauvegardées. Une perte de données peut se produire si la bande ou le disque
n’est pas remplacé quotidiennement. Le remplacement des bandes étant une tâche
manuelle, il est sujet à erreur de manipulation. Les utilisateurs doivent observer une
méthode de notification, comme un calendrier ou une planification de tâche.
Consulter les journaux de sauvegarde - La quasi-totalité des logiciels de sauvegarde
produisent des journaux de sauvegarde. Ces journaux vous permettent de savoir si la
sauvegarde s’est bien déroulée ou, dans le cas contraire, où elle a échoué. Une
consultation périodique des journaux de sauvegarde permet d’identifier rapidement
tout problème de sauvegarde susceptible de nécessiter une intervention.
Effectuer des tests de restauration - Même si un journal de sauvegarde indique le
succès de la sauvegarde, il peut exister d’autres problèmes qui n’y sont pas indiqués.
Effectuez régulièrement un test de restauration des données pour vérifier que les
données sauvegardées sont exploitables et que la procédure de restauration fonctionne.
Assurer la maintenance des lecteurs - Nombre de systèmes de sauvegarde
nécessitent un matériel spécial pour effectuer les sauvegardes. Les systèmes de
sauvegarde sur bande utilisent un lecteur de bande pour lire les bandes et y inscrire les
données. Les lecteurs de bande s’encrassent à force d’utilisation, ce qui peut entraîner
des défaillances mécaniques. Nettoyez régulièrement le lecteur de bande à l’aide de
bandes de nettoyage appropriées. Il est bon de défragmenter régulièrement les
systèmes de sauvegarde sur disque dur. Les performances générales du système s’en
trouveront améliorées.
Module 8 – Discovery 2 version 4.1 - Page 39 sur 52
Travaux pratiques : Planifiez une solution de sauvegarde pour une
petite entreprise.
4.3 Sauvegarde et récupération du logiciel Cisco IOS
En plus de sauvegarder les fichiers des serveurs, il est également nécessaire que le FAI
protège les configurations et le logiciel Cisco IOS utilisé sur ses périphériques réseau. Les
fichiers de configuration et logiciels des périphériques réseau Cisco peuvent être sauvegardés
sur un serveur réseau via TFTP et des variantes de la commande copy. La commande
permettant de sauvegarder le fichier IOS est très similaire à celle qui permet de sauvegarder
un fichier de configuration exécuté.
Pour sauvegarder le logiciel Cisco IOS, exécutez les trois étapes de base suivantes :
Étape 1. Envoyez des requêtes ping vers le serveur TFTP où le fichier doit être enregistré.
Cela permet de vérifier la connectivité au serveur TFTP. Utilisez la commande ping.
Module 8 – Discovery 2 version 4.1 - Page 40 sur 52
Étape 2. Sur le routeur, vérifiez l’image IOS en mémoire flash. Utilisez la commande show
flash pour afficher le nom du fichier de l’image IOS et la taille du fichier. Confirmez que le
serveur TFTP dispose d’assez d’espace disque pour enregistrer le fichier.
Étape 3. Copiez l’image IOS sur le serveur TFTP en utilisant la commande suivante :
Router# copy flash tftp
Lorsque vous utilisez la commande copy, le routeur vous demande le nom du fichier source,
l’adresse IP du serveur TFTP et le nom du fichier de destination.
Les images stockées sur le serveur TFTP peuvent être utilisées pour restaurer ou mettre à
niveau le logiciel Cisco IOS sur des routeurs et commutateurs d’un réseau.
Les étapes pour la mise à niveau d’un fichier d’image IOS sur un routeur sont similaires à
celles utilisées pour sauvegarder le fichier sur le serveur TFTP. Veillez à utiliser la commande
show flash pour vérifier l’espace disponible en mémoire flash et confirmer que l’espace est
suffisant pour le fichier IOS avant de lancer la mise à niveau ou la restauration.
Pour mettre à niveau le logiciel Cisco IOS, utilisez la commande suivante :
copy tftp: flash:
Lors de la mise à niveau, le routeur vous demande de saisir l’adresse IP du serveur TFTP,
suivie du nom de fichier de l’image sur le serveur à utiliser. Le routeur peut vous inviter à
effacer la mémoire flash si la mémoire est insuffisante pour l’ancienne image et la nouvelle.
Lorsque l’image est effacée de la mémoire flash, une série de « e » apparaît pour indiquer
l’effacement. Une fois la nouvelle image chargée, elle est vérifiée, et le périphérique de
gestion du réseau peut être chargé avec la nouvelle image Cisco IOS.
Si l’image IOS est perdue et doit de nouveau être chargée, un processus distinct, qui utilise le
mode ROMmon, est requis.
Module 8 – Discovery 2 version 4.1 - Page 41 sur 52
Travaux pratiques : Utilisez un serveur TFTP pour sauvegarder et
restaurer une image Cisco IOS.
Si le routeur est configuré pour un amorçage depuis la mémoire flash, mais que l’image Cisco
IOS dans la mémoire flash est effacée, corrompue ou inaccessible en raison d’un manque de
mémoire, vous devrez peut-être restaurer l’image. Le moyen le plus rapide de restaurer une
image Cisco IOS sur le routeur consiste à utiliser TFTP en mode ROM monitor (ROMmon).
Le transfert TFTP ROMmon est exécuté sur un port LAN (réseau local) spécifié (par défaut la
première interface LAN disponible). Pour utiliser TFTP en mode ROMmon, l’utilisateur doit
commencer par définir quelques variables environnementales, dont l’adresse IP, puis utiliser
la commande tftpdnld pour restaurer l’image.
Pour définir une variable environnementale ROMmon, entrez le nom de la variable, un signe
égal (=) et la valeur pour la variable. Par exemple, pour définir l’adresse IP sur 10.0.0.1,
entrez IP_ADDRESS=10.0.0.1.
Les variables environnementales requises sont :





IP_ADDRESS - adresse IP sur l’interface LAN
IP_SUBNET_MASK - masque de sous-réseau pour l’interface LAN
DEFAULT_GATEWAY - passerelle par défaut pour l’interface LAN
TFTP_SERVER - adresse IP sur le serveur TFTP
TFTP_FILE - nom du fichier Cisco IOS sur le serveur
Utilisez la commande set pour afficher et vérifier les variables environnementales ROMmon.
Une fois les variables définies, entrez la commande tftpdnld. Lors de la réception de chaque
datagramme du fichier Cisco IOS, un point d’exclamation (!) apparaît. La mémoire flash
existante est effacée lors de la copie du fichier Cisco IOS. Cela inclut tous les fichiers présents
dans la mémoire flash, pas seulement le fichier IOS en cours. Il est donc important de
sauvegarder ces fichiers sur un serveur TFTP, au cas où il serait nécessaire de restaurer
l’image IOS.
Lorsque l’invite ROMmon apparaît (rommon 1>), vous pouvez redémarrer le routeur en
entrant la commande reset ou i. Le routeur devrait alors démarrer depuis la nouvelle image
Cisco IOS dans la mémoire flash.
Travaux pratiques : Utilisez ROMmon et tftpdnld pour gérer une
image IOS.
4.4 Plan de reprise après sinistre
Module 8 – Discovery 2 version 4.1 - Page 42 sur 52
La sauvegarde des données est une partie essentielle de tout plan de reprise après sinistre. Un
plan de reprise après sinistre est un document qui décrit de manière exhaustive comment
relancer et maintenir rapidement l’activité pendant ou après un sinistre. L’objectif de ce plan
est de veiller à ce que l’entreprise puisse s’adapter aux changements physiques et sociaux
induits par un sinistre. Un sinistre peut prendre différents visages, de la catastrophe naturelle
nuisible à la structure du réseau à l’attaque malveillante contre le réseau lui-même.
Le plan de reprise après sinistre peut viser des informations telles que des emplacements hors
site où les services peuvent être déménagés, des informations sur la mise hors service de
périphériques et de serveurs, et des options de connexion de secours. Lors de l’élaboration
d’un plan de reprise, il est important de bien comprendre les services qui sont cruciaux pour le
maintien des opérations. Les services devant éventuellement rester opérationnels pendant un
sinistre sont les suivants :






Bases de données
Serveurs d’applications
Serveurs de gestion de système
Web
Magasins de données
Annuaire
Pour concevoir un plan de reprise après sinistre, il est important de comprendre les besoins de
l’organisation. Il importe également d’obtenir le support nécessaire pour un plan de reprise
après sinistre. Vous devez respecter plusieurs étapes pour concevoir un plan de reprise
efficace.
Module 8 – Discovery 2 version 4.1 - Page 43 sur 52





Évaluation de la vulnérabilité - Évaluez le niveau de vulnérabilité des processus
d’entreprise critiques et des applications vis-à-vis des sinistres courants
Évaluation des risques - Analysez le risque de survenue d’un sinistre, ainsi que ses
effets et son coût sur l’activité de l’entreprise. Une partie de l’évaluation du risque
consiste à établir un palmarès des 10 premiers sinistres potentiels accompagnés de
leurs effets, sans oublier un scénario dans lequel l’activité de l’entreprise est réduite à
néant.
Sensibilisation de la direction - Utilisez les informations collectées sur la
vulnérabilité et le risque pour obtenir l’approbation de la direction de l’entreprise sur
le projet de reprise après sinistre. Le maintien des équipements et des sites en cas de
reprise après sinistre peut s’avérer très coûteux. La direction de l’entreprise doit
connaître les conséquences éventuelles de toute situation de sinistre.
Groupe de planification - Établissez un groupe de planification pour gérer le
développement et l’implémentation d’une stratégie et d’un plan de reprise après
sinistre. Lorsqu’un sinistre se produit, quelle que soit son ampleur, il est important que
chacun comprenne son rôle et ses responsabilités.
Établir des priorités - Affectez une priorité à chaque scénario de sinistre, tel que
critique, important ou mineur, pour le réseau, les applications et les systèmes de
l’entreprise.
Le processus de planification de reprise après sinistre doit d’abord impliquer la direction, puis
progressivement tout le personnel intervenant dans les processus d’entreprise critiques.
Chacun doit être impliqué et soutenir le plan pour que celui-ci réussisse.
Une fois les services et applications les plus critiques pour une entreprise identifiés, ces
informations doivent servir à créer un plan de reprise après sinistre. La création et la mise en
oeuvre d’un plan de reprise après sinistre comportent cinq phases principales :
Phase 1 - Stratégie de reprise de la conception du réseau
Module 8 – Discovery 2 version 4.1 - Page 44 sur 52
Analysez la conception du réseau. Voici certains des aspects de la conception du réseau
devant être inclus dans la reprise après sinistre :




Le réseau est-il conçu pour survivre à un sinistre de grande ampleur ? Des options de
connexion de secours sont-elles disponibles, et existe-t-il de la redondance dans la
conception du réseau ?
Disponibilité de serveurs hors site capables de prendre en charge des application telles
que la messagerie et la base de données.
Disponibilité d’équipement de secours pour remplacer des routeurs, commutateurs et
autres périphériques réseau susceptibles de tomber en panne.
Emplacement des services et ressources requis par le réseau. Sont-ils
géographiquement dispersés ?
Phase 2 - Inventaire et documentation
Créez la liste de tous les sites, périphériques, fournisseurs, services et noms de contacts.
Vérifiez les estimations de coûts créées à l’étape d’évaluation des risques.
Phase 3 - Vérification
Créez un processus de vérification prouvant que la stratégie de reprise après sinistre
fonctionne. Effectuez des exercices de reprise après sinistre afin de garantir que le plan est à
jour et opérationnel.
Phase 4 - Approbation et implémentation
Obtenez l’approbation de la direction et créez un budget pour mettre en œuvre le plan de
reprise après sinistre.
Phase 5 - Révision
Une fois que le plan de reprise après sinistre a été implémenté pendant un an, révisez-le.
Module 8 – Discovery 2 version 4.1 - Page 45 sur 52
Corrigé
Module 8 – Discovery 2 version 4.1 - Page 46 sur 52
5 Résumé du chapitre
Module 8 – Discovery 2 version 4.1 - Page 47 sur 52
Module 8 – Discovery 2 version 4.1 - Page 48 sur 52
Module 8 – Discovery 2 version 4.1 - Page 49 sur 52
6 Questionnaire du chapitre
Question 1
Question 2
Question 3
Question 4
Question 5
Module 8 – Discovery 2 version 4.1 - Page 50 sur 52
Question 6
Question 7
Question 8
Module 8 – Discovery 2 version 4.1 - Page 51 sur 52
Question 9
Question 10
Module 8 – Discovery 2 version 4.1 - Page 52 sur 52
Corrigé
Reponse 1 : 4
Reponse 2 : 3
Reponse 3 : 3
Reponse 4 : 3 et 4
Reponse 5 : 3 et 5
Reponse 6 : 3
Reponse 7 : 3
Reponse 8 : 4
Reponse 9 :3
Reponse 10 : 4
Documents connexes
Informations sur Internet
Informations sur Internet
curriculum vitæ compétences
curriculum vitæ compétences
DSIPL-Fiche de poste Administrateur système Réseau informatique
DSIPL-Fiche de poste Administrateur système Réseau informatique
Lausanne célèbre sa diversité sportive et ses champions
Lausanne célèbre sa diversité sportive et ses champions
Solution Beemo2Beemo
Solution Beemo2Beemo
E-COD_fiche programme_ Bachelor chef de projet en Marketing
E-COD_fiche programme_ Bachelor chef de projet en Marketing
Annonce création FAI²R - Alliance Maladies Rares
Annonce création FAI²R - Alliance Maladies Rares
« Que faire en cas de difficultés ? » Fiche Pratique n° 1
« Que faire en cas de difficultés ? » Fiche Pratique n° 1
Ressource 4
Ressource 4
Fiche 12 - Hautefort, notre patrimoine
Fiche 12 - Hautefort, notre patrimoine
Téléchargement
publicité