U7 — Cybersécurité des services informatiques
Session 2025 — SA Blanca
📋 Épreuve
U7 — Cybersécurité
🎓 Option
SISR
⏱️ Durée / Coeff.
4 heuresCoeff. 4
📊 Barème
Dossier A — 46 ptsDossier B — 34 ptsTotal 80 pts
📋 Statut
Corrigé
📑 Table des matières
🏢 Contexte & réseau SA Blanca
🔴 DOSSIER A — Incident réseau (46 pts)
Mission A1 — Analyse & interventions immédiates
A1.1 — LED du commutateur D2
A1.2 — Table MAC & mode fail-open
A1.3 — Risque RGPD
A1.4 — Priorité ITIL
A1.5 — Action d'urgence
Mission A2 — Recherche des causes
A2.1 — ARP Spoofing ou MAC Flooding ?
A2.2 — Identifier l'appareil responsable
A2.3 — Type d'attaque
Mission A3 — Remédiation
A3.1 — Port security
A3.2 — SNMP v3 & trap
A3.3 — Commande Kali Linux
🔵 DOSSIER B — Sécurisation Wi-Fi (34 pts)
Mission B1 — Justification
Mission B2 — Portail captif
✅ Synthèse — Vocabulaire clef
🏢 Contexte — SA Blanca
BLANCA = société mulhousienne de formation (gestion d'entreprise, logiciels, PGI). Plateforme LMS déployée en DMZ. Tu intègres Impact Informatique (prestataire sécurité — Maud IMBERT) pour gérer un incident réseau et sécuriser le Wi-Fi.
Architecture réseau — Document 1 (Plan du réseau)
🌐 DMZ — 192.168.0.0/24
Serveur web : .11
Moodle public : .12
Moodle public : .12
🖥️ VLAN 10 — 192.168.10.0/24
Production : serveurs, salles travail, Wi-Fi interne
DHCP : .11 à .210
NAS : .243
DHCP : .11 à .210
NAS : .243
📊 VLAN 20 — 192.168.20.0/24
Surveillance / supervision
Serveur SNMP : .11
Serveur SNMP : .11
| Équipement | Détail |
|---|---|
| 2 pare-feux Stormshield | Filtrage, IDS/IPS, antivirus, VPN. Politique : tout interdit par défaut |
| C1, C2 | Commutateurs L3 — cœur de réseau — routage inter-VLAN |
| D1 à D7 | Commutateurs L2 — distribution et accès |
| NAS 192.168.10.243 | Partage fichiers SMBv2 (non chiffré) + Rsync over SSH — données clients/RH |
| 802.1x + RADIUS + LDAPS | Authentification réseau filaire (employés permanents) |
🔴 DOSSIER A — Gestion d'un incident sur le réseau local
Situation : Le réseau VLAN 10 devient extrêmement lent puis totalement bloqué. Le commutateur D2 montre des LED anormales. La table MAC affiche 8 000/8 000 entrées (capacité max atteinte) avec des adresses MAC très similaires (0030c1-7f49xx).
Mission A1 — Analyse de l'incident et interventions immédiates
Question A1.1
Interpréter l'état des LED du commutateur D2 expliquant les lenteurs observées. Justifier.
▶💡 Réponse A1.1
LED module d'extension orange clignotant → dysfonctionnement sur le commutateur (défaillance d'un port, module ou ventilateur) — Doc A3.
LED des ports orange clignotant très rapidement → collisions détectées à très haute fréquence (la fréquence de clignotement est proportionnelle à la fréquence des collisions) — Doc A3.
Conclusion : le commutateur D2 subit un nombre anormal de collisions, ce qui provoque les lenteurs généralisées sur le VLAN 10.
LED des ports orange clignotant très rapidement → collisions détectées à très haute fréquence (la fréquence de clignotement est proportionnelle à la fréquence des collisions) — Doc A3.
Conclusion : le commutateur D2 subit un nombre anormal de collisions, ce qui provoque les lenteurs généralisées sur le VLAN 10.
Question A1.2
Préciser quelles trames ne devraient pas apparaître dans la capture Wireshark. Justifier.
Analyser la table MAC et déduire le mode de fonctionnement actuel du commutateur en défaut.
Expliquer l'impact sur les autres commutateurs et les conséquences sur le VLAN 10.
▶💡 Réponse A1.2
a) Trame anormale :
La trame n°03 (IP src 192.168.10.61 → dst 192.168.10.86) ne devrait pas apparaître sur la machine 192.168.10.86 car elle n'en est pas la destination. En fonctionnement normal, un commutateur envoie une trame uniquement vers le port correspondant à l'adresse MAC de destination. Si 192.168.10.86 reçoit cette trame, c'est que le commutateur diffuse en broadcast (mode hub).
b) Table MAC saturée → mode fail-open :
La table MAC affiche 8 000/8 000 entrées (capacité RAM maximale atteinte). Les adresses MAC enregistrées sont très proches (0030c1-7f49xx sur les mêmes ports), signe qu'une seule source génère des milliers d'adresses MAC aléatoires. La mémoire étant pleine, le commutateur ne peut plus enregistrer de nouvelles associations → il passe en mode fail-open et se comporte comme un concentrateur (hub) : il diffuse toutes les trames sur tous les ports du VLAN — Doc A1.
c) Impact sur les autres commutateurs :
Les autres commutateurs (C1, C2, D1…) reçoivent massivement ce trafic via les liens inter-commutateurs. Leurs tables MAC se remplissent à leur tour (Doc A7 : C1 port 11 = 601* adresses, C2 port 24 = 601* adresses, D1 port 24 = 603* adresses — toutes en augmentation rapide). Conséquence : saturation progressive de tout le VLAN 10, lenteurs extrêmes généralisées puis impossibilité totale d'utiliser le réseau.
La trame n°03 (IP src 192.168.10.61 → dst 192.168.10.86) ne devrait pas apparaître sur la machine 192.168.10.86 car elle n'en est pas la destination. En fonctionnement normal, un commutateur envoie une trame uniquement vers le port correspondant à l'adresse MAC de destination. Si 192.168.10.86 reçoit cette trame, c'est que le commutateur diffuse en broadcast (mode hub).
b) Table MAC saturée → mode fail-open :
La table MAC affiche 8 000/8 000 entrées (capacité RAM maximale atteinte). Les adresses MAC enregistrées sont très proches (0030c1-7f49xx sur les mêmes ports), signe qu'une seule source génère des milliers d'adresses MAC aléatoires. La mémoire étant pleine, le commutateur ne peut plus enregistrer de nouvelles associations → il passe en mode fail-open et se comporte comme un concentrateur (hub) : il diffuse toutes les trames sur tous les ports du VLAN — Doc A1.
c) Impact sur les autres commutateurs :
Les autres commutateurs (C1, C2, D1…) reçoivent massivement ce trafic via les liens inter-commutateurs. Leurs tables MAC se remplissent à leur tour (Doc A7 : C1 port 11 = 601* adresses, C2 port 24 = 601* adresses, D1 port 24 = 603* adresses — toutes en augmentation rapide). Conséquence : saturation progressive de tout le VLAN 10, lenteurs extrêmes généralisées puis impossibilité totale d'utiliser le réseau.
Question A1.3
Expliquer en quoi la situation actuelle présente un risque RGPD.
Proposer une évolution de l'architecture réseau pour limiter le risque.
▶💡 Réponse A1.3
a) Risque RGPD :
Le NAS (192.168.10.243) contient des données personnelles de clients et utilisateurs. Il est accessible via SMBv2 non chiffré (Doc A4 — trames 01 et 04). En mode fail-open, toutes les trames sont diffusées à tous les hôtes du VLAN 10 : n'importe quel équipement peut intercepter les échanges SMB contenant des données personnelles.
→ Critère RGPD violé : confidentialité des données à caractère personnel (article 32 RGPD — obligation de sécurité des traitements).
b) Évolution architecture :
Isoler les serveurs sensibles (NAS, serveurs administratifs) dans un VLAN dédié séparé du VLAN 10 (utilisateurs). Même en cas de saturation du VLAN utilisateurs, les serveurs ne sont pas exposés. Ajouter des règles de filtrage sur les commutateurs L3 pour contrôler l'accès aux serveurs. Envisager SMBv3 chiffré pour les échanges avec le NAS.
Le NAS (192.168.10.243) contient des données personnelles de clients et utilisateurs. Il est accessible via SMBv2 non chiffré (Doc A4 — trames 01 et 04). En mode fail-open, toutes les trames sont diffusées à tous les hôtes du VLAN 10 : n'importe quel équipement peut intercepter les échanges SMB contenant des données personnelles.
→ Critère RGPD violé : confidentialité des données à caractère personnel (article 32 RGPD — obligation de sécurité des traitements).
b) Évolution architecture :
Isoler les serveurs sensibles (NAS, serveurs administratifs) dans un VLAN dédié séparé du VLAN 10 (utilisateurs). Même en cas de saturation du VLAN utilisateurs, les serveurs ne sont pas exposés. Ajouter des règles de filtrage sur les commutateurs L3 pour contrôler l'accès aux serveurs. Envisager SMBv3 chiffré pour les échanges avec le NAS.
Question A1.4
La priorité P2 Élevée est-elle toujours d'actualité ? Proposer une nouvelle évaluation.
▶💡 Réponse A1.4
Non, la priorité doit être réévaluée à P1 — Majeure.
Raisonnement selon la matrice ITIL (Doc A5) :
• Impact = Élevé : toute l'organisation est affectée (tous les services, tous les utilisateurs → impossibilité totale d'utiliser le réseau)
• Urgence = Urgent : blocage complet de l'activité de l'organisation → système critique indisponible
Matrice ITIL : Impact Élevé + Urgence Urgent → P1 — Majeure
Définition P1 : "Interruption complète d'un service, application ou système, du réseau ou d'un élément de configuration identifié comme critique." Délai de résolution cible : 2 heures.
Initialement P2 car le réseau fonctionnait avec des lenteurs (performance réduite). Maintenant le réseau est totalement bloqué → P1.
Raisonnement selon la matrice ITIL (Doc A5) :
• Impact = Élevé : toute l'organisation est affectée (tous les services, tous les utilisateurs → impossibilité totale d'utiliser le réseau)
• Urgence = Urgent : blocage complet de l'activité de l'organisation → système critique indisponible
Matrice ITIL : Impact Élevé + Urgence Urgent → P1 — Majeure
Définition P1 : "Interruption complète d'un service, application ou système, du réseau ou d'un élément de configuration identifié comme critique." Délai de résolution cible : 2 heures.
Initialement P2 car le réseau fonctionnait avec des lenteurs (performance réduite). Maintenant le réseau est totalement bloqué → P1.
Question A1.5
Proposer une action d'urgence et le point de blocage qu'elle résoudrait.
▶💡 Réponse A1.5
Action : Utiliser l'interrupteur d'arrêt d'urgence de l'armoire contenant tous les commutateurs.
Justification :
• Impossible de se connecter à l'interface de contrôle des commutateurs (réseau saturé)
• L'arrêt d'urgence coupe l'alimentation → vide les tables MAC stockées en RAM (mémoire volatile)
• Au redémarrage, les commutateurs repartent avec des tables MAC vides → retrouvent un fonctionnement normal (mode commutateur, pas hub)
• Doc A1 : "Un redémarrage de ces derniers permet de vider ces tables et de retrouver provisoirement un fonctionnement normal."
• C'est une solution provisoire : il faudra ensuite identifier et neutraliser la source de l'attaque.
Justification :
• Impossible de se connecter à l'interface de contrôle des commutateurs (réseau saturé)
• L'arrêt d'urgence coupe l'alimentation → vide les tables MAC stockées en RAM (mémoire volatile)
• Au redémarrage, les commutateurs repartent avec des tables MAC vides → retrouvent un fonctionnement normal (mode commutateur, pas hub)
• Doc A1 : "Un redémarrage de ces derniers permet de vider ces tables et de retrouver provisoirement un fonctionnement normal."
• C'est une solution provisoire : il faudra ensuite identifier et neutraliser la source de l'attaque.
Mission A2 — Recherche des causes de l'incident
Question A2.1
ARP Spoofing ou MAC Flooding ? Quelle hypothèse est la plus plausible ? Justifier.
▶💡 Réponse A2.1
✅ MAC Flooding — RETENU
Table MAC saturée à 8 000/8 000 avec des milliers d'adresses aléatoires similaires (0030c1-7f49xx) → commutateur passé en mode fail-open.Doc A1 : "Surcharge le commutateur avec des milliers d'adresses MAC pour qu'il tombe dans un mode fail-open."
❌ ARP Spoofing — ÉCARTÉ
Vise à empoisonner le cache ARP d'une cible en usurpant une MAC existante. Ne provoquerait pas une saturation de 8 000 entrées dans la table MAC. N'entraîne pas le mode fail-open.
Question A2.2
Identifier l'appareil à l'origine de la défaillance à partir des tables MAC (Doc A6 & A7).
▶💡 Réponse A2.2
L'appareil responsable est connecté au port 13 du commutateur D2.
Raisonnement :
Raisonnement :
| Commutateur | Port | Adresses MAC | Analyse |
|---|---|---|---|
| D2 | 13 | 527 * | ⚠️ Source directe de l'inondation → appareil connecté ici |
| D2 | 2 | 1 | ✅ Normal (bureaux administratifs) |
| D1 | 24 | 603 * | Propagation via lien inter-commutateurs depuis D2 |
| C1 | 11 | 601 * | Propagation vers le cœur de réseau |
| C2 | 24 | 601 * | Propagation vers le cœur de réseau |
Le port avec le plus grand nombre d'adresses MAC anormales qui n'est pas un lien inter-commutateur est D2 port 13 → c'est là que l'appareil malveillant est directement connecté.
Question A2.3
Dans l'hypothèse d'un acte de cybermalveillance, caractériser le(s) type(s) d'attaque.
▶💡 Réponse A2.3
💥 Déni de service (DoS)
La saturation du réseau provoque une interruption complète des services → blocage total de l'activité de BLANCA.Critère visé : disponibilité du réseau.
👁️ Écoute passive (Sniffing)
Une fois le commutateur en fail-open, l'attaquant peut intercepter tout le trafic du VLAN 10, notamment les échanges SMBv2 non chiffrés avec le NAS (données personnelles).Critère visé : confidentialité.
Mission A3 — Mise en œuvre d'une remédiation
Question A3.1
Expliquer en quoi le mécanisme de sécurité des ports répond partiellement à la demande.
Préciser quel type de réaction est le plus adapté. Justifier.
▶💡 Réponse A3.1
a) Réponse partielle du port security :
✅ Limite le nombre d'adresses MAC autorisées par port → détecte et bloque une tentative de MAC flooding
✅ Peut isoler le port incriminé
❌ Ne génère pas d'alerte automatique vers le responsable → nécessite d'être complété par SNMP
b) Type de réaction le plus adapté :
✅ Limite le nombre d'adresses MAC autorisées par port → détecte et bloque une tentative de MAC flooding
✅ Peut isoler le port incriminé
❌ Ne génère pas d'alerte automatique vers le responsable → nécessite d'être complété par SNMP
b) Type de réaction le plus adapté :
shutdown| Type | Rejet trafic | Extinction port | Compteur violation | Journalisation |
|---|---|---|---|---|
| ✅ shutdown | Oui | Oui | Oui | Oui |
| protect | Oui | Non | Non | Non |
La demande est de "détecter, tracer, isoler et neutraliser". Seul shutdown répond complètement : il coupe le port (isolation), incrémente le compteur ET journalise (trace).
protect ne journalise pas → impossible de tracer l'incident.Question A3.2
Pourquoi un trap SNMP est plus pertinent qu'une supervision active (requête SNMP classique) ?
Expliquer les deux paramètres de sécurité de SNMPv3.
▶💡 Réponse A3.2
a) Trap SNMP vs requête SNMP classique (polling) :
• Polling = le serveur interroge périodiquement l'équipement → si l'incident survient entre deux interrogations, il peut ne pas être détecté à temps
• Trap SNMP = notification non sollicitée envoyée immédiatement par le commutateur au serveur de supervision dès que l'événement se produit (violation port-security)
→ Dans ce contexte (P1, réactivité critique), le trap permet une alerte en temps réel sans délai
→ Configuration :
b) Deux paramètres de sécurité SNMPv3 :
• Polling = le serveur interroge périodiquement l'équipement → si l'incident survient entre deux interrogations, il peut ne pas être détecté à temps
• Trap SNMP = notification non sollicitée envoyée immédiatement par le commutateur au serveur de supervision dès que l'événement se produit (violation port-security)
→ Dans ce contexte (P1, réactivité critique), le trap permet une alerte en temps réel sans délai
→ Configuration :
snmp-server trap port-security → alerte dès qu'une violation est détectéeb) Deux paramètres de sécurité SNMPv3 :
🔑 auth sha <password>
Authentification via l'algorithme SHA (Secure Hash Algorithm).Garantit que le message provient bien d'un agent légitime → intégrité et authenticité du message.
Empêche l'usurpation d'identité ou la modification des messages SNMP.
SNMPv1/v2c : pas d'authentification → vulnérable
🔒 priv aes <priv_password>
Chiffrement via l'algorithme AES (Advanced Encryption Standard).Garantit la confidentialité du contenu des messages SNMP (données de supervision non lisibles en clair sur le réseau).
SNMPv1/v2c : transmission en clair → interception possible
Question A3.3
Choisir la commande Kali Linux la plus pertinente pour tester le commutateur en défaut.
▶💡 Réponse A3.3
La commande la plus pertinente est
Justification : macof "envoie des trames Ethernet avec des adresses MAC sources aléatoires" (Doc A10) → c'est exactement ce que fait une attaque MAC flooding.
En exécutant
macof.Justification : macof "envoie des trames Ethernet avec des adresses MAC sources aléatoires" (Doc A10) → c'est exactement ce que fait une attaque MAC flooding.
En exécutant
macof depuis Kali Linux sur le réseau, on simule l'attaque → si le trap SNMP est bien configuré, le commutateur envoie une alerte au serveur de supervision dès que le port-security déclenche une violation → valide que la remédiation est opérationnelle.
| Commande | Rôle | Pertinent ? |
|---|---|---|
| macof | Envoie des trames avec MAC sources aléatoires | ✅ OUI |
| arpspoof | Envoie des réponses ARP falsifiées → test ARP spoofing | ❌ |
| nmap | Scan réseau et ports → pas de simulation d'attaque MAC | ❌ |
| tcpdump | Capture passive du trafic → pas de simulation d'attaque | ❌ |
| macchanger | Modifie la MAC d'une interface → pas d'inondation | ❌ |
🔵 DOSSIER B — Sécurisation de l'infrastructure Wi-Fi
Problème : toute personne connaissant le SSID et le mot de passe Wi-Fi peut se connecter sans autre contrôle.
Solution préconisée :
1. Wi-Fi interne → 802.1x (RADIUS + LDAPS) pour employés permanents et apprenants longue durée
2. Wi-Fi Invité (192.168.30.0/24) → portail captif sur le pare-feu interne pour apprenants ponctuels → accès internet uniquement
Solution préconisée :
1. Wi-Fi interne → 802.1x (RADIUS + LDAPS) pour employés permanents et apprenants longue durée
2. Wi-Fi Invité (192.168.30.0/24) → portail captif sur le pare-feu interne pour apprenants ponctuels → accès internet uniquement
Mission B1 — Justification de la solution
Question B1.1
Quels problèmes de sécurité pose l'architecture actuelle ? Quels critères DIC ne sont pas respectés ?
▶💡 Réponse B1.1
| Critère DIC | Problème | Exemple concret |
|---|---|---|
| 🔴 Confidentialité ❌ | Toute personne connaissant le SSID/mdp peut accéder au Wi-Fi interne et aux ressources internes (serveurs, NAS) | Un apprenant ponctuel pourrait intercepter les échanges SMBv2 du NAS contenant des données RH et clients |
| 🟠 Intégrité ❌ | Un intrus connecté au Wi-Fi pourrait modifier des données sur les serveurs accessibles | Falsification de notes sur Moodle interne, modification de dossiers de formation |
| 🔵 Disponibilité ❌ | Un utilisateur malveillant connecté en Wi-Fi pourrait lancer une attaque (MAC flooding, DoS) et bloquer tout le réseau | Même scénario que l'incident du Dossier A → paralysie complète |
Question B1.2
Proposer deux arguments justifiant l'installation du portail captif pour les apprenants ponctuels.
▶💡 Réponse B1.2
📋 Argument 1 — Traçabilité
Le portail captif oblige chaque utilisateur à s'inscrire et s'authentifier avant d'accéder à internet. BLANCA dispose d'un journal des connexions (qui, quand, durée) → respect des obligations légales de journalisation et identification en cas d'incident.
🔒 Argument 2 — Isolation réseau
Les apprenants ponctuels n'accèdent qu'à internet via le Wi-Fi Invité, sans accès aux serveurs internes de BLANCA (NAS, serveurs admin, Moodle interne). Protection de la confidentialité des données internes.
Question B1.3
Justifier le choix de connexion directe du Wi-Fi Invité au pare-feu interne.
▶💡 Réponse B1.3
• Isolation physique totale du réseau Wi-Fi Invité (192.168.30.0/24) vis-à-vis du VLAN 10 → impossibilité physique d'accéder aux ressources internes
• Le pare-feu intercepte et filtre tout le trafic Wi-Fi Invité avant qu'il atteigne internet (politique tout interdit par défaut)
• Le portail captif est hébergé sur le pare-feu (IP 192.168.30.1) → même équipement gère l'authentification ET le filtrage
• Si le Wi-Fi était connecté au cœur de réseau (C1/C2), un bug de configuration pourrait permettre aux apprenants d'accéder au VLAN 10 → risque éliminé par la connexion directe au pare-feu
• Le pare-feu intercepte et filtre tout le trafic Wi-Fi Invité avant qu'il atteigne internet (politique tout interdit par défaut)
• Le portail captif est hébergé sur le pare-feu (IP 192.168.30.1) → même équipement gère l'authentification ET le filtrage
• Si le Wi-Fi était connecté au cœur de réseau (C1/C2), un bug de configuration pourrait permettre aux apprenants d'accéder au VLAN 10 → risque éliminé par la connexion directe au pare-feu
Mission B2 — Mise en place du portail captif
Question B2.1
Justifier la pertinence des données personnelles du formulaire (tableau : donnée / justification / traitement).
▶💡 Réponse B2.1
| Donnée | Justification pertinence | Traitement |
|---|---|---|
| Téléphone professionnel | Non pertinent pour créer un accès internet invité. Utile uniquement dans une démarche commerciale. | Traitement B |
| Téléphone portable personnel | Non pertinent pour l'accès internet. Utilisé dans une démarche commerciale. | Traitement B |
| Poste de travail | Non pertinent pour l'accès internet. Peut servir pour des statistiques sur les profils. | Traitement C |
| Service dans l'entreprise | Non pertinent pour l'accès internet. Utile pour les statistiques et la démarche commerciale. | Traitement B Traitement C |
| Type d'emploi | Non pertinent pour l'accès internet. Permet des statistiques sur les profils des apprenants. | Traitement C |
| Formation suivie | Pertinent : permet de corréler l'accès internet avec la formation en cours et d'établir des statistiques d'évaluation. | Traitement C |
⚠️ RGPD : les données collectées doivent être strictement nécessaires à la finalité principale (Traitement A : créer le compte d'accès). Les données servant au Traitement B (commercial) nécessitent un consentement explicite séparé.
Question B2.2
Écrire les règles de redirection vers la page d'authentification du portail captif.
▶💡 Réponse B2.2
| # | IP source | Port src | IP dest. | Port dest. | IP translatée | Port translaté | Protocole |
|---|---|---|---|---|---|---|---|
| 1 | 192.168.30.0/24 | * | * | 80 | 192.168.30.1 | 80 | TCP |
| 2 | 192.168.30.0/24 | * | * | 443 | 192.168.30.1 | 443 | TCP |
Tout utilisateur du Wi-Fi Invité tentant d'accéder à un site web (HTTP/HTTPS) est redirigé vers le portail captif (192.168.30.1). S'applique aux utilisateurs non authentifiés. Doc B3 : "le flux HTTP ou HTTPS est ensuite redirigé vers le portail captif."
Question B2.3
Écrire les règles de filtrage (flux entrant interface Wi-Fi du pare-feu interne).
▶💡 Réponse B2.3
| # | Auth. | IP source | IP dest. | Port dest. | Protocole | Action |
|---|---|---|---|---|---|---|
| 1 | NON | 192.168.30.0/24 | 192.168.30.1 | 53 | UDP | Autorisé |
| 2 | NON | 192.168.30.0/24 | 192.168.30.1 | 80 | TCP | Autorisé |
| 3 | NON | 192.168.30.0/24 | 192.168.30.1 | 443 | TCP | Autorisé |
| 4 | OUI | 192.168.30.0/24 | * | 53 | UDP | Autorisé |
| 5 | OUI | 192.168.30.0/24 | * | 80 | TCP | Autorisé |
| 6 | OUI | 192.168.30.0/24 | * | 443 | TCP | Autorisé |
| 7 | * | * | * | * | * | Bloqué |
Non authentifiés (règles 1-3) : seul l'accès au pare-feu lui-même (192.168.30.1) est autorisé sur DNS (53 UDP), HTTP (80) et HTTPS (443) → permet d'obtenir une IP DHCP, de résoudre les noms DNS et d'afficher le portail captif.
Authentifiés (règles 4-6) : accès internet HTTP + HTTPS + DNS autorisé (sous contrôle du proxy).
Règle 7 : tout autre trafic est bloqué → politique "tout interdit par défaut".
Authentifiés (règles 4-6) : accès internet HTTP + HTTPS + DNS autorisé (sous contrôle du proxy).
Règle 7 : tout autre trafic est bloqué → politique "tout interdit par défaut".
✅ Synthèse — Vocabulaire clef
| Notion | Définition |
|---|---|
| MAC Flooding | Saturation de la table MAC d'un commutateur avec des milliers d'adresses aléatoires → mode fail-open (hub) → sniffing possible |
| Mode fail-open | Comportement d'un commutateur dont la table MAC est pleine : diffuse toutes les trames sur tous les ports (comme un hub) |
| ARP Spoofing | Empoisonnement du cache ARP d'une cible en usurpant une adresse MAC existante → attaque MITM |
| Port security | Mécanisme limitant le nombre d'adresses MAC autorisées par port. Réactions : shutdown (coupe + journalise) ou protect (filtre silencieusement) |
| SNMP Trap | Notification non sollicitée envoyée immédiatement par un équipement au serveur de supervision lors d'un événement (≠ polling) |
| SNMPv3 | Ajoute l'authentification (SHA) et le chiffrement (AES) aux échanges SNMP. v1/v2c transmettent en clair. |
| Priorité ITIL P1 | Interruption complète d'un service critique. Impact élevé + Urgence urgente. Résolution cible : 2 heures. |
| Portail captif | Redirige tout accès web vers une page d'authentification avant d'autoriser l'accès internet. Permet traçabilité et isolation. |
| 802.1x | Protocole d'authentification réseau centralisé (RADIUS) pour accès filaire et Wi-Fi. Contrôle l'accès avant connexion au réseau. |
| macof | Outil Kali Linux envoyant des trames avec des adresses MAC aléatoires → simulation d'attaque MAC flooding |
| SMBv2 | Protocole de partage de fichiers réseau. Version 2 non chiffrée → interception possible en clair sur le réseau |
| DMZ | Zone démilitarisée : réseau intermédiaire entre internet et le réseau interne, hébergeant les serveurs publics |
Points clés à retenir pour l'examen :
1. MAC Flooding → table MAC pleine → fail-open (hub) → sniffing + DoS
2. Identifier la source : chercher le port avec le plus grand nombre de MAC anormales sur un lien terminal (pas inter-commutateurs)
3. Remédiation : port-security shutdown + SNMP Trap v3 (SHA + AES)
4. Test Kali :
5. Portail captif : connexion directe au pare-feu → isolation physique + filtrage centralisé
1. MAC Flooding → table MAC pleine → fail-open (hub) → sniffing + DoS
2. Identifier la source : chercher le port avec le plus grand nombre de MAC anormales sur un lien terminal (pas inter-commutateurs)
3. Remédiation : port-security shutdown + SNMP Trap v3 (SHA + AES)
4. Test Kali :
macof pour simuler le MAC flooding5. Portail captif : connexion directe au pare-feu → isolation physique + filtrage centralisé