-
Notifications
You must be signed in to change notification settings - Fork 0
Home
Synthèse complète pour la formation cybersécurité Couvre : topologies, équipements, subnetting, ARP, DHCP
Un LAN (Local Area Network) est un réseau local qui relie des appareils entre eux dans un espace géographique limité : un bureau, un bâtiment, un campus.
C'est l'opposé d'Internet (WAN, Wide Area Network) qui lui relie des réseaux entre eux à l'échelle mondiale.
Exemples de LAN
- Le réseau de ton appartement avec ta box, ton PC et ton téléphone
- Le réseau d'une entreprise avec ses PC, imprimantes, serveurs et caméras
- Le réseau d'une école avec ses salles informatiques
Une topologie c'est la forme physique ou logique d'un réseau. Comment les appareils sont reliés entre eux.
C'est la plus utilisée aujourd'hui. Chaque appareil est connecté individuellement à un point central (switch ou hub).
PC1 ──┐
PC2 ──┤
PC3 ──┼── SWITCH CENTRAL
PC4 ──┤
PC5 ──┘
Avantages
- Si un appareil tombe, les autres continuent de fonctionner
- Facile à agrandir : tu branches juste un câble de plus sur le switch
- Simple à dépanner : tu isoles facilement l'appareil problématique
Inconvénients
- Coûteuse : beaucoup de câbles et un équipement central dédié
- Si le switch central tombe, tout le réseau tombe
- Plus le réseau grandit, plus la maintenance est lourde
Tous les appareils sont branchés sur un seul câble principal appelé backbone cable. Les données voyagent sur ce câble et chaque appareil écoute pour voir si le message lui est destiné.
PC1 ── PC2 ── PC3 ── PC4 ── PC5
|_________________________________|
BACKBONE CABLE
Avantages
- Peu chère à installer
- Simple à mettre en place sur un petit réseau
Inconvénients
- Un seul point de défaillance : si le câble principal se coupe, tout tombe
- Si plusieurs appareils envoient des données en même temps, il y a collision et embouteillage
- Difficile à dépanner car tout passe par le même câble
Les appareils sont connectés en cercle. Les données voyagent dans un seul sens autour de l'anneau en passant par chaque appareil jusqu'à destination.
PC1 → PC2 → PC3
↑ ↓
PC5 ← PC4 ←──┘
Avantages
- Peu de câbles nécessaires
- Facile à dépanner car les données vont dans un seul sens
- Moins de congestion que le bus
Inconvénients
- Lent : les données passent par tous les appareils intermédiaires avant d'arriver
- Si un appareil ou un câble casse, tout l'anneau est mort
- Peu utilisée aujourd'hui
| Critère | Étoile | Bus | Anneau |
|---|---|---|---|
| Coût | Élevé | Faible | Moyen |
| Fiabilité | Haute | Faible | Moyenne |
| Scalabilité | Excellente | Faible | Moyenne |
| Usage aujourd'hui | Très courant | Obsolète | Rare |
Le hub est l'ancêtre du switch. Quand il reçoit un paquet, il l'envoie à tous les appareils connectés sans distinction. Résultat : beaucoup de trafic inutile et des collisions fréquentes. Pratiquement plus utilisé.
Le switch est intelligent. Il maintient une table qui associe chaque port à l'adresse MAC de l'appareil branché dessus. Quand il reçoit un paquet, il l'envoie uniquement au bon destinataire.
Ce qui le différencie du hub
- Hub : envoie à tout le monde
- Switch : envoie uniquement à la bonne destination
Caractéristiques
- Existe en 4, 8, 16, 24, 32 ou 64 ports
- Peut être connecté à d'autres switches pour agrandir le réseau
- Utilisé dans tous les réseaux d'entreprise
Le routeur connecte des réseaux différents entre eux. Son travail s'appelle le routing : choisir le meilleur chemin pour acheminer les données d'un réseau à un autre.
La différence fondamentale avec le switch
- Switch : gère la communication à l'intérieur d'un réseau local
- Routeur : gère la communication entre des réseaux différents
Exemple Ton réseau domestique (192.168.1.0/24) est un LAN. Internet est un autre réseau. C'est le routeur (ta box) qui fait le lien entre les deux.
Redondance On peut connecter plusieurs routeurs entre eux pour créer plusieurs chemins possibles. Si un chemin tombe, les données empruntent un autre chemin. Ça ralentit légèrement mais ça évite toute coupure.
Le subnetting c'est découper un réseau IP en sous-réseaux plus petits. Comme couper un gâteau en parts : tu décides qui reçoit quelle portion du réseau.
Efficacité Les données restent dans leur sous-réseau et ne polluent pas les autres segments. Moins de trafic inutile, meilleures performances globales.
Sécurité C'est le bénéfice le plus important. En isolant les segments, une compromission dans un sous-réseau ne se propage pas automatiquement aux autres.
Exemple du café : deux réseaux coexistent.
- Un réseau interne pour les employés et les caisses
- Un réseau public pour les clients WiFi
Sans subnetting, un client malveillant pourrait accéder aux systèmes internes. Avec le subnetting, les deux segments sont complètement isolés l'un de l'autre.
Contrôle total L'administrateur réseau décide exactement qui peut parler à qui, quelles machines ont accès à quels services, comment le trafic circule.
C'est un nombre de 32 bits (4 octets) qui définit la taille du sous-réseau. Il indique quelle partie de l'adresse IP représente le réseau et quelle partie représente l'hôte.
Exemples courants
| Masque | Notation CIDR | Hôtes disponibles | Usage typique |
|---|---|---|---|
| 255.255.255.0 | /24 | 254 | Réseau domestique, petit bureau |
| 255.255.0.0 | /16 | 65 534 | Réseau d'entreprise moyen |
| 255.0.0.0 | /8 | 16 777 214 | Très grand réseau |
Adresse réseau Identifie le sous-réseau lui-même. Non attribuable à un appareil. C'est toujours la première adresse du range. Exemple : 192.168.1.0
Adresse hôte Identifie un appareil spécifique sur le réseau. Toutes les adresses entre la première et la dernière. Exemple : 192.168.1.100
Passerelle par défaut (Default Gateway) L'appareil chargé d'envoyer les données vers d'autres réseaux. C'est généralement le routeur. Utilise conventionnellement la première (.1) ou la dernière (.254) adresse du range. Exemple : 192.168.1.254
Prenons 192.168.1.100 / 255.255.255.0
- Réseau : 192.168.1.0
- Plage d'hôtes disponibles : 192.168.1.1 à 192.168.1.254
- Passerelle : 192.168.1.1 ou 192.168.1.254
- Broadcast : 192.168.1.255 (envoie à tous les appareils du réseau)
Sur un réseau local, les appareils communiquent via leurs adresses MAC. Mais quand tu veux envoyer des données à quelqu'un, tu connais son IP, pas sa MAC. ARP fait la traduction.
Tu es dans un open space. Tu veux parler à quelqu'un mais tu connais seulement son numéro de badge, pas son visage.
- Tu te lèves et tu cries : "Qui a le badge 47 ?" → ARP Request (broadcast)
- La personne lève la main : "C'est moi, je suis là-bas" → ARP Reply
- Tu notes sa localisation dans ta tête → Cache ARP
Étape 1 : ARP Request Ton appareil envoie un message en broadcast à tout le réseau : "Qui possède l'IP 192.168.1.50 ? Réponds-moi avec ta MAC." Tous les appareils reçoivent le message.
Étape 2 : ARP Reply L'appareil qui possède cette IP répond uniquement à toi : "C'est moi. Ma MAC est a4:c3:f0:85:ac:2d."
Étape 3 : Cache ARP Ton appareil stocke la correspondance IP / MAC dans son cache pour ne pas redemander à chaque communication.
Un attaquant envoie de fausses réponses ARP sans qu'on lui ait rien demandé. Il dit à tous les appareils du réseau : "L'IP du routeur (192.168.1.1) c'est moi." Les appareils mettent à jour leur cache avec cette fausse info et commencent à lui envoyer tout leur trafic Internet. L'attaquant se retrouve au milieu de toutes les communications sans que personne s'en rende compte.
C'est une attaque Man-in-the-Middle. Il peut lire, modifier ou bloquer les données qui passent.
Protection : Dynamic ARP Inspection (DAI) sur les switches d'entreprise.
Chaque appareil qui rejoint un réseau a besoin d'une adresse IP. Sans DHCP, il faudrait configurer manuellement une IP sur chaque PC, imprimante, téléphone. Impossible à gérer à grande échelle.
D : Discover L'appareil arrive sur le réseau et ne connaît pas encore son IP. Il envoie un message en broadcast : "Y a-t-il un serveur DHCP ici ?"
O : Offer Le serveur DHCP répond : "Oui, je suis là. Je te propose l'IP 192.168.1.105."
R : Request L'appareil accepte : "Je prends cette IP, confirme."
A : Acknowledge Le serveur confirme : "C'est validé. Tu as l'IP 192.168.1.105 pour les prochaines X heures."
L'IP attribuée par DHCP est temporaire. Elle est donnée pour une durée définie (le bail). Une fois le bail expiré, l'IP peut être réattribuée à un autre appareil. C'est pourquoi ton IP peut changer d'une connexion à l'autre.
DHCP Starvation : un attaquant envoie des milliers de requêtes DHCP pour épuiser toutes les IP disponibles. Les vrais appareils ne peuvent plus obtenir d'IP et sont exclus du réseau.
Rogue DHCP : un attaquant installe un faux serveur DHCP sur le réseau. Il répond aux requêtes Discover avant le vrai serveur et attribue de fausses configurations, notamment une fausse passerelle qui pointe vers lui. Résultat : encore une attaque Man-in-the-Middle.
Quand ton PC veut accéder à un site web, voilà ce qui se passe réellement sur le réseau.
- Ton PC obtient une IP via DHCP au démarrage
- Tu tapes une URL : ton PC a besoin de l'IP du site (DNS, autre protocole)
- Pour envoyer les données au routeur, ton PC cherche sa MAC via ARP
- Le switch achemine le paquet vers le bon port grâce à sa table MAC
- Le routeur reçoit le paquet et le transfère vers Internet
- La réponse fait le chemin inverse
Chaque protocole joue un rôle précis dans cette chaîne. Aucun n'est superflu.
| Concept | Risque si mal configuré | Contrôle ISO 27001 |
|---|---|---|
| Topologie sans redondance | Panne totale sur un point de défaillance unique | A.8.14 Redondance |
| Réseau non segmenté | Propagation latérale d'une attaque | A.8.22 Cloisonnement |
| ARP sans protection | Man-in-the-Middle, interception de trafic | A.8.20 Sécurité réseau |
| DHCP non sécurisé | Rogue DHCP, redirection du trafic | A.8.20 Sécurité réseau |
| WiFi invité non isolé | Accès aux systèmes internes depuis le réseau public | A.8.22 Cloisonnement |
Un audit réseau en GRC c'est vérifier systématiquement chacun de ces points. Pas besoin d'être ingénieur réseau pour ça, il faut juste savoir ce qu'on cherche et pourquoi ça compte.