📘 Module Académique : Principes et Pratiques de la Sécurité des Réseaux Locaux (LAN)

Imaginez votre réseau local (LAN) comme un château fort médiéval entourant une cité précieuse (vos données et services). Cette analogie n'est pas décorative ; elle structure toute votre compréhension de la sécurité réseau.

Mapping Explicite

• Muraille & Portes → Commutateur & Ports. Définir le domaine de collision/broadcast, transférer les trames. Défaillance : Port ouvert à tous = porte du château entrebâillée.
• Table des Habitants → Table d'adresses MAC (CAM). Connaître quel habitant (MAC) loge à quelle porte (port). Défaillance : Table saturée de faux noms = garde confus qui crie à tous.
• Héraut qui annonce → Protocole ARP. Crier "Qui a l'IP X ?" pour trouver son adresse MAC. Défaillance : Un imposteur crie "C'est moi !" = usurpation ARP.
• Architecte du Pont → Protocole STP (Spanning Tree). Éviter les boucles de ponts (boucles réseau). Défaillance : Un imposteur se déclare "Architecte en Chef" = attaque STP.
• Livre des Invités → Serveur AAA (RADIUS/TACACS+). Centraliser les identités et permissions. Défaillance : Livre perdu = retour à des listes locales désorganisées.

Cette analogie systémique permet de raisonner : si le pont-levis (802.1X) est levé, même un ennemi ayant une tenue d'habitant (usurpation MAC) ne pourra pas entrer. Si les gardes mobiles (IPS) sont désactivés, une ruse sophistiquée (exploit) pourrait passer inaperçue. La sécurité est un système de couches défensives interdépendantes.

La sécurité LAN n'est pas une collection d'outils distincts, mais un système vivant d'équilibre entre accessibilité et protection. Son état résulte de l'interaction dynamique entre ses composants.

Composants Principaux et leurs Interactions :

1. L'Infrastructure de Base (Couche 2) : Les commutateurs forment l'épine dorsale. Leur comportement normal (transfert basé sur la table MAC) est la base de tout. Toute perturbation ici (A) impacte directement la confidentialité et l'intégrité de tout le trafic (B).
2. Le Contrôle d'Accès (Plans AAA & 802.1X) : C'est le système nerveux décisionnel. Il interroge le cerveau (serveur AAA) pour chaque tentative d'accès. S'il tombe, le réseau peut soit tout bloquer, soit tout ouvrir (mécanisme de secours), impactant l'accessibilité (C).
3. Les Systèmes de Détection & Prévention (Appliance & Protocoles de Sécurité) : Ce sont les systèmes immunitaires spécialisés. Leur activation/modification (D) affecte la résilience face à des menaces spécifiques (E), mais peut impacter les performances (F).

Le domaine de la sécurité LAN est le fondement de la sécurité réseau globale. Il opère principalement au niveau de la couche 2 (Liaison de données) du modèle OSI et de la couche Accès réseau du modèle TCP/IP. C'est ici que se définit le premier périmètre logique de confiance, bien avant que le trafic n'atteigne les routeurs (couche 3).

• Rôle Central : Garantir la confidentialité, l'intégrité et la disponibilité du trafic au sein d'un même domaine de broadcast (VLAN). Contrairement aux idées reçues, la sécurité ne commence pas au pare-feu ; elle commence au commutateur.
• Positionnement dans OSI/TCP-IP : Son cœur bat à la couche 2. Les mécanismes comme la sécurité des ports, l'inspection ARP (DAI), ou le contrôle d'accès 802.1X agissent sur des trames Ethernet, des adresses MAC et des protocoles comme ARP ou STP.
• Frontières et Relations :
  • Frontière interne : Séparation entre les hôtes et le premier point d'accès réseau (port du commutateur). C'est la zone du demandeur (supplicant) 802.1X et du NAC (Network Access Control).
  • Relation avec la sécurité périmétrique : La sécurité LAN est complémentaire. Un pare-feu (NGFW) protège des menaces extérieures et inter-VLAN, mais fait confiance au trafic intra-VLAN. Si la sécurité LAN est défaillante, l'attaquant est déjà derrière le pare-feu.
• Le Paradigme du "Maillon le Plus Faible" : Historiquement, les protocoles de couche 2 (ARP, STP, CDP) ont été conçus pour la fonctionnalité et l'efficacité dans un environnement de confiance, non pour la sécurité. Ils manquent cruellement de mécanismes d'authentification intégrés. C'est pourquoi cette couche est si fréquemment ciblée.

A. Mécanisme : L'Apprentissage et le Transfert par un Commutateur

Fonctionnement Normal : Un commutateur apprend les adresses MAC sources des trames entrantes sur un port et les associe à ce port dans sa table CAM. Pour une trame destinée à une MAC connue, il la transfère uniquement vers le port correspondant.

Condition de Validité : La table CAM a une taille finie. Tant qu'elle n'est pas saturée, le processus est efficace.

Limite et Cas Frontière : Lorsque la table est pleine, le commutateur peut entrer dans un état de défaillance contrôlé où il commence à agir comme un hub, inondant toutes les trames entrantes. C'est ce comportement "de secours" non sécurisé qui est exploité par les attaques par inondation MAC.

B. Mécanisme : La Résolution d'Adresse avec ARP

Séquence Logique : 1) Un hôte A veut communiquer avec l'IP X. 2) Si X n'est pas dans son cache ARP, A diffuse une requête ARP "Qui a X ?". 3) L'hôte possédant X répond. 4) A met à jour son cache.

Faiblesse Fondamentale : Le protocole ARP est stateless et naïf. Il accepte les réponses ARP non sollicitées et n'a aucun moyen de vérifier l'authenticité d'une réponse. C'est le cœur de l'usurpation ARP.

C. Mécanisme : Le Contrôle d'Accès avec 802.1X

Séquence des Événements (EAP over LAN - EAPoL) : 1) Initialisation : Port en état "non autorisé". 2) Solicitation/Identité. 3) Relais de l'identité au serveur d'authentification. 4) Négociation via une méthode EAP. 5) Décision du serveur. 6) Autorisation du port.

Condition de Validité : Nécessite un demandeur 802.1X-compatible, un authentificateur configuré et un serveur AAA opérationnel. Un mécanisme de secours (fallback) est crucial pour éviter un déni de service administratif.

📦 AAA (Authentication, Authorization, Accounting)

• Objectif : Fournir un cadre modulaire et scalable pour le contrôle d'accès aux ressources réseau.
• Couche(s) OSI : Principalement couche 7 (Application).
• Composants :
  • Authentification (who are you?) : Vérification de l'identité.
  • Autorisation (what can you do?) : Définition des droits d'accès après authentification réussie. Confusion fréquente : Croire que l'autorisation contrôle "qui peut accéder". Non, c'est l'authentification.
  • Traçabilité/Comptabilité (what did you do?) : Enregistrement des sessions pour l'audit, la facturation.
• Protocoles de Transport :
  • RADIUS : Standard ouvert, utilise UDP. Chiffre uniquement le mot de passe.
  • TACACS+ : Protocole Cisco, utilise TCP. Sépare clairement les trois phases AAA et chiffre l'intégralité du corps des paquets.

🛡️ 802.1X (Port-Based Network Access Control)

• Objectif : Empêcher l'accès physique au réseau avant qu'une authentification réussie n'ait lieu.
• Couche OSI : Couche 2 (Liaison de données). Fonctionne avec des trames EAPoL.
• Rôles :
  • Demandeur (Supplicant) : Le logiciel sur le client.
  • Authentificateur : Le commutateur ou point d'accès. C'est un relais passif.
  • Serveur d'Authentification : Le serveur RADIUS/TACACS+.

🔒 Sécurité des Ports (Port Security)

• Objectif : Contrôler quelles adresses MAC peuvent parler sur un port physique et en quelle quantité.
• Couche OSI : Couche 2.
• Mécanismes : Limite le nombre d'adresses MAC apprises sur un port. Actions de violation : shutdown, restrict, protect.
• Erreur Conceptuelle : Croire qu'il empêche l'usurpation d'adresse IP. Un attaquant peut usurper la MAC d'un périphérique autorisé et passer au travers. C'est un contrôle de quantité et d'identité MAC, pas d'intégrité.

🕵️ IP Source Guard (IPSG)

• Objectif : Empêcher l'usurpation d'adresse IP et d'adresse MAC en validant la légitimité de la paire IP-MAC-source sur un port.
• Fonctionnement : S'appuie sur la table de liaison DHCP Snooping. Pour chaque trame, vérifie que l'IP/MAC source correspond à une entrée valide pour ce port.
• Interaction : Dépend entièrement de DHCP Snooping pour sa table de confiance dynamique.

🧪 DHCP Snooping

• Objectif : Sécuriser l'infrastructure DHCP et créer une base de données de confiance des baux IP.
• Comportement : Distingue ports de confiance (serveurs) et non fiables (clients). Filtre les messages des serveurs pirates et construit la table de liaison.
• Service Fondateur : C'est le prérequis pour DAI et IPSG.

⚖️ Dynamic ARP Inspection (DAI)

• Objectif : Empêcher les attaques par usurpation et empoisonnement ARP.
• Fonctionnement : S'appuie sur la table de liaison DHCP Snooping. Intercepte et valide les messages ARP sur les ports non fiables.
• Interaction Clé : Protège spécifiquement contre la manipulation du protocole ARP. Ne protège pas contre l'usurpation IP pure. Pour cela, il faut IPSG.

🏰 Spanning Tree Protocol (STP) & Sa Sécurité

• Objectif Principal : Éviter les boucles de couche 2.
• Vulnérabilité : Un attaquant peut envoyer des BPDU avec une priorité de pont de 0 pour se faire élire pont racine, perturbant la topologie.
• Mécanismes de Sécurité :
  • Root Guard : Empêche un port de devenir port racine.
  • BPDU Guard : Désactive un port d'accès si un BPDU est reçu.

📡 Protocoles de Découverte (CDP, LLDP)

• Objectif : Découvrir automatiquement les voisins et échanger des informations.
• Menace : Reconnaissance. Fournissent gratuitement à un attaquant une cartographie précise de l'infrastructure (version IOS, adresse IP, etc.).
• Bonne Pratique : Désactiver sur les ports face à des segments non fiables.

🛡️ Appliances de Sécurité Spécialisées

• Pare-feu de Nouvelle Génération (NGFW) : Inspecte le trafic jusqu'à la couche 7 (Application), intègre souvent IPS.
• Appliance de Sécurité Web (WSA) : Proxy dédié. Filtre le trafic HTTP/HTTPS, bloque les sites malveillants, prévient la fuite de données (DLP).
• Appliance de Sécurité des Emails (ESA) : Gateway dédiée. Filtre le trafic SMTP. Bloque le spam, le phishing, chiffre les emails.
• Contrôle d'Admission Réseau (NAC) : Cadre global qui évalue la "santé" d'un périphérique (antivirus, correctifs) avant de lui donner accès.

Penser comme un expert, c'est adopter une vision systémique, proactive et en couches.

1. Le Principe de Défense en Profondeur (Layered Defense) : Ne jamais compter sur une seule technologie. Si Port Security échoue, DAI ou IPSG doivent prendre le relais. Si la couche 2 est compromise, le NGFW en couche 3 doit détecter les comportements anormaux. Concevez vos défenses comme des cercles concentriques.
2. Raisonnement par Menace et Contre-Mesure : Pour chaque composant, demandez-vous : "Qu'est-ce qui pourrait mal se passer ?" (Menace) puis "Que puis-je faire pour l'empêcher ou en limiter l'impact ?" (Contre-mesure).
   • Menace sur un port d'accès : Connexion d'un périphérique non autorisé.
   • Contre-mesures en cascade : 802.1X pour l'authentification, Port Security pour limiter les MAC, DHCP Snooping pour bloquer les serveurs pirates.
   • Impact résiduel : Si l'attaquant usurpe l'identité d'un périphérique légitime, IPSG et DAI (basés sur la table de liaison fiable) le bloqueront.
3. Anticiper les Effets de Bords et les Dépendances : Activer DAI sans avoir préalablement activé et configuré DHCP Snooping est inutile, car DAI n'aura pas de table de liaison fiable pour valider les messages ARP. La sécurité est une chaîne ; chaque maillon dépend du précédent.
4. Penser en Termes de "Confiance Zéro" au Niveau du Port : Partez du principe qu'un port d'accès est hostile par défaut. Tout périphérique qui s'y connecte doit prouver son identité (802.1X) et sa légitimité (association IP-MAC valide via DHCP Snooping+IPSG). Le trafic provenant de ce port ne doit être autorisé qu'après ces vérifications.
5. Auditer et Comprendre les Logs : Les logs de violation de sécurité des ports, les échecs d'authentification AAA ou les alertes de l'IPS ne sont pas du bruit. Ce sont des signaux précieux sur les tentatives d'intrusion, les configurations erronées ou les comportements anormaux. Savoir les corréler est essentiel.

Lois Mentales :

Équations Conceptuelles :

Rappel de l'Analogie :

• Micro-segmentation et Zéro Trust Réseau : L'évolution va au-delà des VLAN. La micro-segmentation utilise des politiques de sécurité hyper-granulaires (basées sur l'identité, l'application) appliquées directement entre les charges de travail, même au sein du même segment IP. Des technologies comme les groupes de sécurité (Security Groups) ou les overlays logiciels (VXLAN avec sécurité intégrée) rendent cela possible, réduisant la surface d'attaque latérale.
• Network Detection and Response (NDR) et Behavioral Analytics : Au-delà des signatures d'IPS, les solutions NDR utilisent l'apprentissage machine pour établir une ligne de base du comportement "normal" du réseau (patterns de communication, volumes de trafic). Elles détectent ensuite les anomalies subtiles qui pourraient indiquer une menace persistante avancée (APT) ou un mouvement latéral, même si le trafic est chiffré.
• Automation et Security as Code (SaC) : La sécurité réseau ne se configure plus uniquement via CLI. Elle est définie, versionnée et déployée sous forme de code (avec des outils comme Ansible, Terraform). Cela permet une conformité constante, des déploiements reproductibles et une capacité à "rollback" rapidement en cas de problème, intégrant la sécurité dès la conception (DevSecOps pour le réseau).