Chapitre 3 — OSI, Protocoles & Infrastructure Réseau
Comprendre le modèle OSI et les protocoles clés est fondamental pour situer les contrôles de sécurité. Ce module couvre le modèle OSI, les protocoles critiques, la segmentation et les équipements réseau.
Mémorisez ! Mnémotechnique OSI (de bas en haut) : "Physique, Données, Réseau, Transport, Session, Présentation, Application" = "Please Do Not Throw Sausage Pizza Away". Les contrôles de sécurité sont souvent définis par la couche OSI où ils opèrent.
| Couche | Nom | Protocoles/Équipements | Attaques / Contrôles |
|---|---|---|---|
| 7 | Application | HTTP, HTTPS, DNS, FTP, SMTP, SSH | XSS, SQLi, phishing → WAF, filtrage URL |
| 6 | Présentation | TLS/SSL, chiffrement, encodage | Downgrade SSL → forcer TLS 1.3 |
| 5 | Session | NetBIOS, RPC, sockets | Hijacking de session → tokens sécurisés |
| 4 | Transport | TCP, UDP, ports | SYN flood → SYN cookies, rate limiting |
| 3 | Réseau | IP, ICMP, IPsec, routeurs | IP spoofing, routage malveillant → ACL, RPF |
| 2 | Liaison | Ethernet, ARP, MAC, switches | ARP spoofing, MAC flooding → Dynamic ARP Inspection |
| 1 | Physique | Câbles, hubs, signaux | Écoute passive, coupure → sécurité physique |
| Port | Protocole | Sécurisé ? | Alternative sécurisée |
|---|---|---|---|
| 21 | FTP | Non (clair) | SFTP (22) ou FTPS (990) |
| 22 | SSH | Oui | — |
| 23 | Telnet | Non (clair) | SSH (22) |
| 25 | SMTP | Non seul | SMTPS (587/465 + TLS) |
| 53 | DNS | Partiellement | DNS over TLS (853), DNS over HTTPS (443) |
| 80 | HTTP | Non | HTTPS (443) |
| 110/143 | POP3/IMAP | Non | POP3S (995), IMAPS (993) |
| 443 | HTTPS/TLS | Oui | — |
| 445 | SMB | Vulnérable (v1) | SMBv3 avec chiffrement |
| 3389 | RDP | Risqué si exposé | RDP via VPN + MFA |
Astuce Examen
Mémorisez les ports dangereux : 21 (FTP), 23 (Telnet), 80 (HTTP), 445 (SMB v1), 3389 (RDP exposé). Ces protocoles transmettent en clair ou ont des vulnérabilités connues. Leur remplacement par des alternatives chiffrées est une priorité.
La segmentation divise le réseau en zones plus petites pour limiter la propagation des attaques (mouvement latéral).
- VLAN (Virtual LAN) : segmentation logique au niveau couche 2. Isole des groupes d'appareils même sur le même switch physique.
- Sous-réseaux (Subnets) : segmentation couche 3. Les routeurs contrôlent le trafic entre sous-réseaux via ACL.
- DMZ (Demilitarized Zone) : zone entre le réseau interne et internet, hébergeant les serveurs accessibles publiquement (web, email, DNS). Protégée par deux pare-feux.
- Micro-segmentation : segmentation très granulaire jusqu'au niveau des workloads individuels. Clé du Zero Trust et de la virtualisation/cloud.
- Air Gap : isolement physique total d'un réseau — aucune connexion à internet ou réseaux externes. Utilisé pour les systèmes critiques (nucléaire, SCADA classifiés).
- Routeur : couche 3, route les paquets entre réseaux. Peut implémenter des ACL pour filtrer le trafic entre réseaux.
- Switch : couche 2, connecte les appareils dans un même réseau. Sécurisation : désactiver les ports inutilisés, 802.1X, VLAN, STP BPDUguard.
- Hub : couche 1, diffuse à tous les ports (obsolète, écoute passive triviale). Remplacé par les switches.
- Pont (Bridge) : couche 2, connecte deux segments réseau. Surtout en Wi-Fi.
- Passerelle (Gateway) : traducteur de protocoles entre réseaux différents. Aussi le terme pour le routeur par défaut.
Mémorisez ! Les hubs ne doivent jamais être utilisés — tout le trafic est visible par tous les appareils connectés. Un attaquant peut écouter passivement toutes les communications. Les switches modernes limitent cela (chaque port = domaine de collision séparé).