Net

RCC

Some network concept/protocols documentation

Subnets reminder

Models

OSI

TCP/IP

Network topology

Wifi

Mesh

https://docs.fortinet.com/document/fortiap/7.6.0/fortiwifi-and-fortiap-configuration-guide/196651/wireless-mesh-configuration

Câbles

Fibres

https://www.tlnetworx.com/blogs/news/single-mode-vs-multimode-fiber-whats-the-difference

Dynamic Trunk Protocol (DTP)

Le Dynamic Trunk Protocol ou DTP est un protocole réseau propriétaire de Cisco Systems, permettant de gérer dynamiquement l'activation/désactivation du mode trunk d'un port sur un commutateur réseau.

Pour désactiver l'auto négociation sur une interface d'un équipement Cisco, utiliser :

DTP mode

Protocol STP

Le Spanning Tree Protocol (aussi appelé STP) est un protocole réseau de niveau 2 permettant de déterminer une topologie réseau sans boucle (appelée algorithme de l'arbre recouvrant) dans les LAN avec ponts

Types de ports:

• Port racine

  • Port sur les switchs non-root qui désigne le port le plus proche du pont racine

• Port désignés

  • Le port désigné est un port sur le segment qui a le coût du chemin racine interne vers le pont racine. Le port désigné a le meilleur chemin pour recevoir le trafic qui conduit au pont racine

• Port alternatifs (bloqués)

  • Ni racine, ni désigné = alternatifs (ou de secours). Ils sont à l’état de suppression ou de blocage

DHCPv4 Server

DHCPv4 process

Relay

Relayed service by routers :

• Port 37: Time

• Port 49: TACACS

• Port 53: DNS

• Port 67: DHCP/BOOTP server

• Port 68: DHCP/BOOTP client

• Port 69: TFTP

• Port 137: NetBIOS name service

• Port 138: NetBIOS datagram service

SLAAC and DHCPv6

https://www.ietf.org/proceedings/44/I-D/draft-ietf-dhc-dhcpv6-14.txt

IPV6

Structure d’adresse de multidiffusion

Les adresses de multidiffusion IPv6 sont un type d'adresse utilisé pour la communication un-à-plusieurs sur les réseaux IPv6.

Les adresses de multidiffusion IPv6 sont définies dans la plage d'adresses « ff00::/8 ». Ces adresses sont divisées en deux parties :

• 8 premiers bits : Le préfixe « ff » indique que l'adresse est multicast.

• 4 bits suivants : Le champ flags, réservé aux extensions futures et actuellement mis à « 0 ».

• Champ de portée : Spécifie la portée de l'adresse et détermine quels appareils peuvent recevoir des paquets de multidiffusion. Les valeurs courantes pour le champ scope sont :

  • 0 : réservé (non utilisé).

  • 1 : Link-local (restriction au réseau local).

  • 2 : Local-domain (restriction à un domaine administratif).

  • 5 : Site-local (restriction à un site géographique).

  • 8 : Organisation-locale (restriction à une seule organisation).

  • E : Global (atteint plusieurs réseaux).

Les adresses connues :

• All Nodes, ff02::1 : Utilisé pour envoyer des paquets à tous les noeuds d’un réseau local

• Tous les routeurs, ff02::2 : Envoyer des paquets à tous les routeurs d’un réseau local

• Tous les DNS, ff02 :: fb

• Tous les routeurs OSPF, ff02::5 : à tous les routeurs exécutant OSPF sur un réseau.

• Tous les routeurs RIP, ff02::9 : à tous les routeurs exécutant RIP sur un réseau

ICMPv6 RA flags

• A - Use SLAAC to create GUA (this RA)

• O - Use additional information from stateless DHCPv6 (RA + DHCPv6 Server)

• M - Use a stateful DHCPv6

DHCPv6 process

Duplication Address Detection (DAD)

Note: DAD is really not required because a 64-bit interface ID provides 18 quintillion possibilities.

Case 1

Address virtually guaranteed.

Case 2

The host must generate a new interface ID to use.

Stateless DHCPv6

• Does not maintain a list of IPv6 Bindings

• RA message contains

  • The IPv6 GUA network prefix and prefix length.

  • A flag set to 1 informing the host to use SLAAC

  • O flag set to 1 informing the host to seek that additional configuration information from a DHCPv6 server.

  • (M flag set to 0)

Host Process to Generate Interface ID

• EUI-64

• Randomly Generated

Stateful DHCPv6 Operation

• Does maintain a list of IPv6 Bindings

• RA message contains

  • The IPv6 GUA network prefix and prefix length.

  • A flag set to 0 informing the host to contact a DHCPv6 server.

  • O flag set to 0 informing the host to contact a DHCPv6 server.

  • M flag set to the value 1

Others Commands

Autres notes

• Rubrique 8.3.0 - Les hôtes DHCPv6 enverront un message DHCP SOLICIT à l'adresse de multidiffusion de tous les routeurs DHCP de FF02::1:2.

Concepts du FHRP

First Hot Redundancy Protocol

Options FHRP

VRRP

Ce code Mermaid crée un diagramme représentant trois routeurs (R1, R2, R3) participant au protocole VRRP. Router 1 (R1) est désigné comme le routeur principal (VRP), tandis que Router 2 (R2) et Router 3 (R3) agissent en tant que routeurs de secours (VRS1 et VRS2). Les routeurs partagent une adresse IPv4 virtuelle qui est associée à un sous-réseau commun (Subnet).

HSRP

Le protocole HSRP (Hot Standby Router Protocol) a été conçu par Cisco pour assurer la redondance des passerelles sans configuration supplémentaire des périphériques finaux.

Priorité HSRP

• va de 0 à 255 (le plus haut prend le dessus) - Par défaut = 100

• se gère avec la commande standby priority

• Par défaut, après être devenu le routeur actif, ce routeur reste le même si un autre routeur associé à une priorité plus élevée est connecté.

Etat

Routages

Route par défaut : Spécifie un routeur de tronçon suivant à utiliser lorsque la table de routage ne contient pas de route spécifique pour l’IP de destination. Elle peut être sous forme de route statique, ou appris automatiquement à partir d’un protocole de routage dynamique.

Réseaux directement connectés : Sont des réseaux configurés sur les interfaces actives d’un routeur. Un réseau directement connecté est ajouté à la table de routage lorsqu’une interface est configurée avec une adresse IP et un masque de sous-réseau. (et est active)

Réseau distants : Réseaux pas directement connectés au routeur. Le routeur peut apprendre des réseaux de deux manières : Routes statiques, ou avec protocoles de routages dynamique

Le meilleur chemin

Le meilleur chemin équivaut à la correspondance la plus longue avec le préfixe (adresse réseau).

La table de routage contient des entrées de routage composées d’un préfixe et d’une longueur de préfixe (subnet mask).

Dans le tableau, un paquet IPv4 a l'adresse IPv4 de destination 172.16.0.10. Le routeur a trois entrées de route dans sa table de routage IPv4 qui correspondent à ce paquet : 172.16.0.0/12, 172.16.0.0/18 et 172.16.0.0/26. Parmi les trois routes, 172.16.0.0/26 est celle qui présente la plus longue correspondance et doit être choisir pour transférer le paquet. N’oubliez pas qu’une route est une correspondance lorsqu’elle possède au minimum le nombre de bits correspondants indiqués par le masque de sous-réseau de la route.

Protocoles de routage dynamique

• OSPF : Open Shortest Path First

• EIGRP : Enhanced Interior Gateway Routing Protocol

Table de routage

On y trouve :

• Des réseaux connectés directement

• Des routes statiques

• Des routes de protocole de routage dynamique

• Des routes par défaut

Transmission de packet

1. Le bloc de liaison de données avec un paquet IP encapsulé arrive sur l’interface d’entrée

2. Le routeur examine l’adresse IP de dest. et consulte sa table de routage

3. Il trouve le préfixe correspondant le plus long dans la table de routage

4. Il encapsule le paquet dans un cadre de liaison de donnéeset le transmet à l’extérieur de l’interface de sortie. (La destination peut soit être un périphérique directement, soit le routeur de saut suivant)

5. Si aucune entrée de route correspond, le paquet est supprimé

Transfère de paquet

Réseau directement connecté

Cela signifie que l’IP de dest. appartient à un périphérique sur le réseau directement connecté. Le paquet peut donc être transféré directement au périph. final.

Pour encapsuler le paquet, le routeur doit déterminer son adresse MAC de destination. Le protocole varie selon IPv4 ou IPv6.

• Paquet IPv4 : Le routeur vérifie sa table ARP pour l’IP de destination. Si aucune correspondance, le routeur envoie une requête ARP. Après réponse du destinataire, le routeur peut transférer le parquet IP.

• Paquet IPv6 : Le routeur vérifie le cache de son voisin. Si il n’y aucune correspondance (IP↔MAC), le routeur envoie un NS (ICMPv6). Le périphérique de destination répond avec un message NA (Neighbor Annoncement) dans lequel il mettre son adresse MAC.

Routeur de tronçon suivant

Si l’entrée route indique une IP de destination sur un réseau distant, ça signifie que le périphérique n’est pas directement connecté au routeur. ⇒ Le paquet devra donc passer pas un autre routeur, *le routeur de tronçon suivant .*

Si le routeur de transfert et le routeur de tronçon suivante si trouve un réseau Ethernet, les processus similaires (ARP et ICMPv6) sont utilisés pour déterminer la MAC de destination du paquet. La différence, c’est qu’on cherche l’IP du saut suivant, au lieu du destinataire.

Aucune correspondance

Aucune correspondance entre IP de destination et préfixe dans la table de routage + aucune route par défaut ⇒ Paquet supprimé

Mécanisme de transfert de paquet

• La commutation de processus résout un problème à la main, même si le problème s’est déjà posé

• La commutation rapide résout un problème à la et mémorise la solution de résolution

• Le protocole CEF (Cisco Express Forwarding) résout à l’avance tous les problèmes possibles dans un tableur. ⇒ Par défaut sur les routeurs cisco

Entrée de table de routage

Code des sources de route

PREROUTING vs POSTROUTING

Configuration de routes

Types de routes

Administrative distance

Plus la valeur de la distance administrative est petite, plus le protocole est fiable.

La distance administrative est le premier critère qu'utilise un routeur pour déterminer quel protocole de routage à utiliser si deux protocoles fournissent des informations de routage pour la même destination.

Default distance value table

Concept de sécurité

Composants du AAA

Authentification, Autorisation, Comptabilité (Authentification, Autorization & Accounting) Concepte similaire aux cartes de crédit : Identifie qui on est, Combien je peux gaspiller, et garder une trace de ce que j’ai acheté. Cadre principal pour configurer le contrôle d’accès sur un périphérique réseau. AAA est une façon de controler :

• Qui est autoriser d’accèder au réseau

• Ce qu’il peuvent faire

• Garder une trace des actions qu’ils ont fait dans le réseau

Authentification

Local AAA auth

Les identifiants sont stockés localement sur le périphérique réseau.L’utilisateur sur la base de données interne du périph.

Server-Based AAA auth.

Le périphérique auquel on veut se connecter (par ex. un routeur) accède à un serveur central qui contiens les identifiants de tous les utilisateurs. Le routeur utilise le protocol RADIUS (Remote Authentification Dial-In User Service) ou le Terminal Access Controller Access Control System (TACACS+) pour communique avec le serveur d’authentification. Plus approprié lorsqu’on a plusieurs périphérique réseau.

Autorisation

L’autorisation utilise un ensemble d’attributs qui décrit les accès de l’utilisateur sur le réseau. Ces attributs sont utilisés par le serveur AAA pour détérminer les privilèges et les restrictions pour cet utilisateurs.

Accounting

La principal utilisation de l’accounting c’est de le combiner avec l’authentification AAA. Le serveur AAA garde des logs détaillés et exacte de ce que l’utilisateur authentifié fait sur le réseau.

802.1X

IEEE 802.1X est un protocol d’authentification et de contrôlet d’accès sur les ports. Ce protocol restreint les appareils non-autorisés de se connecter au LAN à travers des ports.

Vulnérabilité de la couche 2

Les catégories d’attaque d’un switch

Inondation de la table d’adresses MAC (ARP poisoning ou ARP Spoofing)

Les tables ont des tailles fixées, et un switch peut manquer de ressources pour stocker les MAC adresses. Les attaques par inondations profitent de ça en mettant plein de fausse adresse MAC dans la table jusqu’à ce que la table soit full. Quand elle est pleine, les trames sont envoyées sont sur tous les ports du switch, ce qui permet à un assaillant de récupérer toute les trames.

Pour faire face à ça, il faut utiliser le “port security”. Cela autorise uniquement un nombre spécifique d’adresse MAC source à être apprise sur ce port. Par défaut, le mode violation est “shutdown”.

Attaque DHCP

Attaques de famine DHCP (DHCP Starvation Attack)

Le but de cette attaque est de créer une DoS pour connecter les clients. Respose sur un outil d’attaque comme Gobbler. Cet outil est capable d’éxaminer la totalité des adresses IP louables et essaies de toutes les louer. ⇒ Il crée des messages de découverte DHCP avec de fausses adresses MAC.

Attaque d’Usurpation DHCP (DHCP Spoofing)

Se produit lorsqu’un serveur DHCP non autorisé (DHCP Rogue) se connecte au réseau et fourni des config. IP incorrectes aux clients légitimes.

• Gateway incorrecte, fournit des :

  • Passerelle non valide

  • IP de sa machine pour faire du Man-In-The-Middle

• DNS incorrecte

  • Fournit une adresse de serveur DNS incorrecte. Peut donc diriger l’utilisateur vers un site web néfaste

• Adresse IP incorrecte

  • Fournit une adresse IP invalide pour créer une attaque DoS sur le client DHCP.

Attaques STP

BPDU = Bridge Protocol data Units, messages utilisés par le protocol STP pur écahnger des informations entre les switchs. Les BPDU contiennent des informations telles que la priorité du pont, l'identifiant du pont et d'autres détails de configuration, permettant aux commutateurs de calculer la topologie du réseau et de prévenir les boucles.

Les attaquants peuvent manipuler le protocole STP en envoyant des BPDU falsifiés pour usurper le rôle de pont racine, modifiant ainsi la topologie du réseau. En abaissant artificiellement la priorité du pont dans les BPDU, les attaquants cherchent à être élus comme pont racine, leur permettant de capturer tout le trafic du réseau commuté. Cette manipulation provoque des recalculs du spanning-tree, affectant la stabilité et la sécurité du réseau.

Usurpation d’adresse

L’usurpation d’adresses (IP ou MAC) est lorsqu’on détourne l’adresse valide d’un autre device sur le sous-réseau ou utilise une IP aléatoire.

L’usupration MAC consiste à modifier son adresse MAC pour correspondre à une autre adresse MAC aonnue d’une hôte cible. L’attaquant envoie une trame dans tout le réseau avec la nouvelle adresse MAC. Lorsqu’un switch reçoit cette trame, il va l’examiné puis changer l’entrée dans la table MAC en l’attribuant au nouveau port (port de l’assaillant). L’assaillant reçoit ensuite les trames déstinée à l’hôte.

L'usurpation d'adresse IP et MAC peut être atténuée en implémentant IPSG.

Reconnaissance CDP

Le protocole CDP (Cisco Discovery Protocol) est un protocole propriétaire de découverte de liaison de couche 2, activé par défaut sur tous les devices Cisco.

Les informations fournies par CDP peuvent être utilisées par un assaillant pour découvrir les vulnérabilités de l’infra. réseau. Il est possible d’identifier la version logicielle de Cisco IOS utilisée par le device, et donc de rechercher d’éventuelles failles connues pour cette version.

Les diffusions CDP ne sont ni chiffrées, ni authentifiées ⇒ un acteur peut donc compromettre l’infra résau en envoyant de fausse trames CDP avec de fausses informations aux devices Cisco.

Pour réduire le risque :

• Limiter l’utilisation de CDP, en le désactivant sur les devices Cisco

**Remarque**: Le protocole LLDP (Link Layer Discovery Protocol) est également vulnérable aux attaques de reconnaissance. configurez **no lldp run** pour désactiver LLDP globalement. Pour désactiver LLDP sur l'interface, configurez **no lldp transmit** et **no lldp receive**

Switch security configuration

DHCP Snooping

L’espionnage DHCP détermine si les messages viennent d’une source de confiance ou non approuvée, configurée administrativement. il limite la fiabilité du trafic DHCP de sources non approuvées. Par défaut, toutes les interfaces sont traitées comme non fiables. Les interfaces doivent être configurées comme fiables.

Implémentation

1. Activer l’espionnage :

   1. ip dhcp snooping

2. Sur les ports approuvés, configurer l’interface

   1. ip dhcp snooping trust

3. Limiter le nombre de message de découverte DHCP pouvant être reçus par seconde sur les ports non approuvés

   1. ip dhcp snooping limit rate.

4. Activer la surveillanceDHCP par VLAN ou plage de VLAN

   1. ip dhcp snooping vlan

show ip dhcp snooping pour vérifier la surveillance DHCP.

ARP Attacks

L’inspection ARP Dynamique (DAI) nécessite l’espionnage DHCP et aide à prevenir les attaques ARP en :

• Ne pas relayer les réponses ARP non valides ou gratuites vers d'autres ports du même VLAN.

• Interception de toutes les requêtes et les réponses ARP sur les ports non approuvés.

• Vérification de chaque paquet intercepté pour une liaison IP-MAC valide.

• Abandon et journalisation des réponses ARP provenant de non valides pour empêcher l'empoisonnement ARP.

• Error-disabling l'interface si le nombre DAI des paquets ARP configurés sont dépassées.

Pour atténuer les risques d'usurpation ARP et d'empoisonnement ARP :

1. Activer le DHCP Snooping

2. Activer le DHCP Snooping sur les VLAN sélectionnés

3. Activer l’inspection ARP dynamique (DAI) sur les VLAN sélectionnés

4. Configurer les interfaces approuvées avec DHCP snooping et DAI

NAT

Terminologies

Adresse interne - Adresse du périphérique traduite via le NAT

Adresse externe - Adresse du périphérique de destination

Adresse locale - Fait référence à toute adresse qui apparaît sur la partie interne du réseau

Adresse globale - Fait référence à toute adresse qui apparaît sur la partie externe du réseau

Local interne - Adresse de la source vue du réseau interne. (Adresse IPv4 privée)

Globale interne - Adresse de la source vue du réseau externe. (IPv4 routable globalement)

Global externe - Adresse de destination vue du réseau externe. (IPv4 routable globalement)

Global externe - L'adresse de destination vue du réseau externe. (Bien que cela soit rarement le cas, cette adresse peut être différente de l'adresse de destination globalement routable.

Type de NAT

NAT statique

Mappage de type 1-1. Adresse locale interne ↔ Adresse globale interne

NAT dynamique

Utilise un pool d’adresse publiques et les attribue selon la méthode du premier arrivé. Lorsqu’un périphérique interne demande l’accès à un réseau externe, le NAT lui attribue une adresse IPv4 publique dynamique.

PAT

forme la plus courante

Le PAT consiste à mapper plusieurs IP privées à une IP publique. (Ce que font la plupart des routeurs personnels). Le PAT garantit que chaque périphérique utilise un port TCP différent pour chaque session sur internet.

Redirection de port, en gros.

Comparaison

Avantages et inconvénients

• Économie d'adresses : La NAT permet la privatisation des intranets et économise les adresses en multiplexant au niveau du port de l’application. Plusieurs hôtes internes peuvent partager une même adresse IPv4 publique.

• Souplesse des connexions : La NAT permet l'utilisation de pools multiples, de sauvegarde et d’équilibrage de charge, assurant des connexions plus fiables au réseau public.

• Cohérence des schémas d’adressage : La NAT permet de conserver le schéma d’adresses IPv4 privées existant lors d’un changement de FAI, sans réadressage coûteux des hôtes internes.

• Masquage des adresses : En utilisant les adresses IPv4 de la RFC 1918, la NAT cache les adresses IPv4 des utilisateurs et autres périphériques, offrant une certaine protection.

• Réduction des performances : La NAT augmente les délais de transfert, surtout pour les protocoles en temps réel comme la voix sur IP.

• Perte d'adressage de bout en bout : Elle complique la compatibilité avec certaines applications et la traçabilité des paquets.

• Problèmes avec CGN : La NAT à double couche (CGN) aggrave ces problèmes avec des niveaux supplémentaires de traduction.

• Complexité des protocoles de tunneling : Elle complique l'utilisation des protocoles comme IPsec et certains services nécessitant des connexions TCP depuis l'extérieur.

SFP négociation