Cursus Administrateur Réseaux

Réseaux, concepts et mise en œuvre - Jours 1 à 4

Introduction

Un réseau pour quoi faire?
Les différents éléments et leurs rôles
Les utilisateurs et leurs besoins (communiquer sur site, entre sites distants, avec l'extérieur)
Les aspects architecture : communication, interconnexion des éléments, administration sécurité

Les différents réseaux et principes généraux

Classification des différents types de réseaux
Avantages et inconvénients des différentes technologies
Quelles technologies pour quels besoins?
Communication PC Poste de travail /Serveurs
Partager les ressources.
Nature et objet d'un protocole
Le Modèle ISO/OSI quel intérêt ?
Les 7 couches

Différentes alternatives de raccordement

La paire torsadée, coaxial et fibre optique
Principe et règle de câblage
Les sans fil
Les modems et les différents standards

Les différents équipements, leurs rôles et leurs avantages respectifs

Les répéteurs et hubs
Les ponts et commutateurs (Switch)
Les routeurs : rôles et intérêt
Passerelle
À quoi sert un firewall
Présentation de quelques types d'architecture Ethernet partagé, Ethernet commuté
Le Spanning Tree (principe et mode de fonctionnement)

Travaux Pratiques :

Création d'un réseau local salle de cours raccordement des switchs et des stations de travail

Les réseaux locaux (LAN)

Pourquoi et quand utiliser un réseau local?
Choix politiques des constructeurs
Adressage Ethernet
Contrainte et avantage et mode de fonctionnement de Ethernet (CSMA/CD et BEB)
Plusieurs débits de 10 Mo à plusieurs Go (10/100 base T/ Gigabit Ethernet/...)
Réseaux locaux sans fil (802.11x)

Interconnexion par réseau grande distance (WAN)

Pourquoi et quand utiliser un WAN?
Objectifs et services des WAN
Notion de circuit virtuel
Panorama des WAN et des protocoles utilisés (RNIS, ATM, Frame Relay...)
ADSL et ses dérivés (principe, architecture, encapsulation)

Réseaux sans fil - WiFi

Réseaux sans-fil
WLAN
Topologies
SSID
Extensions des WLAN
Méthodes de communication 802.11, 802.11a;b;g;n
Sécurité : WEP, WPA, WPA2, EAP, 802.1x, RADIUS

Notions de base des réseaux TCP/IP

Les contraintes d'adressage des réseaux
Le protocole IP
Adressages
Configuration
Broadcast et Multicast
Principes des protocoles TCP et UDP
Notion de numéro de port
Le modèle client/serveur
Exemples de configurations IP standards sous Unix/Linux et Windows

Travaux Pratiques :

Installation d'un outil de trace (Ethereal)
Programmation des adresses IP de stations de travail Windows
Présentation des adresses MAC, requêtes ARP, table ARP
Tests de connexion (ping vers les voisins)

Routeurs : interconnecter les réseaux

Pourquoi et quand utiliser un routeur ?
Présentation des mécanismes de routage et d'une table de routage
Programmation d'une table de routage (statique ou protocole de routage dynamique)
Quel protocole pour quel type de routage ?
Les principaux protocoles (RIP2, OSPF, BGP...)
Routeurs multi-protocoles 
Commutation IP

Travaux Pratiques :

Raccordement des routeurs
Programmation des adresses IP sur les routeurs
Présentation des adresses MAC, requêtes ARP, table ARP des routeurs
Présentation et analyse de la table de routage de la station de travail et du routeur
Tests de connexion (ping vers les voisins locaux et distants)

Les services et protocoles de haut niveau DNS et DHCP

Le serveur de nom DNS :
-   Rôle et intérêt du DNS
-   Notion de domaine
-   Rôles des serveurs
-   Enregistrements DNS
-   Résolution de noms
Le serveur de configuration DHCP :
-   DHCP : le serveur de configuration IPRelais DHCP
-   Les autres services rendus par DHCP
Partage de ressources :
-   Partage d'une connexion Internet : routeur, proxy, serveur

VoIP

Principe de Numérisation de la voix
Des Codecs rôle et intérêt
Les contraintes propres à la VoIP
Gigue
Panorama des différents protocoles propres à la VoIP (RTP, RTCP, H323, SIP, MGCP)
Exemples simples de mise en oeuvre en entreprise

Sécurité réseau

Comprendre les différences entre la sécurité système, réseau et applicative 
Les bases de la sécurité réseau
Éléments de la sécurité réseau : pare-feux, proxies, sondes, outils de corrélation...
Principes d'un firewall applicatif ou "intelligent"
Philosophie d'un VPN (Virtual Private Network)
Traduction d'adresses : PAT, NAT, SATVPN, VPDN
Principaux protocoles : GRE, L2TP, PPTP et IPSec

Introduction à l'administration des réseaux

Outils et techniques :
-   Pourquoi l'administration est indispensable ?
-   Analyseurs de matériel, Analyseurs de trafic réseaux
-   Les outils de supervision propriétaires
Encore des protocoles :
-   SNMP MIB RMON et RMON2

TCP/IP : Installer, Configurer et Comprendre TCP/IP - Jours 5 à 8

Les bases de l'adressage TCP/IP

L'adressage IPV4 :
-   Les réseaux ; adresses privées, adresses publiques
-   Adresses de multicast
-   Les masques variables
-   Summarization et supernetting
-   Cas pratique de définition d'un plan d'adressage
L'adressage IPV6
-   Motivation pour l'évolution
-   Les différentes méthodes d'attribution des adresses IPV6
-   Le concept d'adresse anycast
-   Les mécanismes de migration IPV4 vers IPV6

Travaux Pratiques :

Connectivité IPV4 et IPV6 (stations Windows et routeur)

Routage unicast

Routage IPV4 :
-   Routage statique et routage par défaut
-   Routage RIPV1 et V2
-   Routage OSPF (mono-aire et multi-aire)
-   Optimisation : Summarization interne et externe
-   Optimisation : utilisation des aires Stub et NSSA
-   Le cas d'un protocole externe : BGP4
Routage IPV6 :
-   La mise en oeuvre de RIPng
-   OSPF
-   Démonstration : Routage IPV6

Travaux Pratiques :

Mise en œuvre RI V1 et V2
Mise en œuvre OSPF multi-aire

Routage multicast

Fonctionnement général :
-   Routage PIM DM
-   Routage PIM SM
-   Routage PIM SSM
-   IGMP V2, V3
-   Démonstration de diffusion d'un flux vidéo

Transport et applications

Le transport :
-   Mode connecté (TCP)
-   Mode non connecté (UDP)
Les applications :
-   Fonctionnement détaillé de DNS et DHCP
L'application http
Les transferts de fichiers en mode connecté FTP
Les transferts de fichiers en mode non connecté TFTP
Les applications « mails », SMTP, POP
Les bases de la gestion de réseau : SNMP

Travaux Pratiques :

Mise en place de serveurs DHCP (sur serveur Windows, sur routeur), relais DHCP
Mise en place d'une architecture DNS
Observation du fonctionnement des différentes applications

Sécurisation et accès internet

Le fonctionnement du NAT :
-   Le NAT statique statique
-   Le NAT dynamique
-   Le mécanisme d' « overload »
Les Proxy :
-   Les mécanismes
-   La configuration
-   Les VPN
-   Description de l'utilisation des mécanismes IP lors de la montée de VPN
-   Démonstration de la mise en place d'un VPN avec détail des mécanismes IP

Travaux Pratiques :

Connexion internet avec adresse publique fournie en DHCP et NAT en overload

Une application spécifique : la Voix sur IP

Les mécanismes de paquetisation
La signalisation H323
Le protocole MGCP
L'application SIP
Le transport de la voix
Les flux RTP, RTCP

Conclusion

Rappels des principes fondamentaux permettant de préserver la pérennité des investissements réalisés et de permettre l'intégration de nouvelles applications

Réseaux perfectionnement (Mise en pratique) - Jours 9 à 12

Maîtriser les fondations du réseau (switch, VLAN, multicast)

Fonctionnement détaillé d'un switch (table ARP)
Rôle du protocole STP dans les cascades de switchs (Spanning Tree Protocol)
Qu'est-ce qu'une tempête de broadcast ?
Comprendre la différence entre un switch niveau 2 ou 3
Commutateur sans/avec contrôle du multicast (IGMP snooping)
Problèmes de saturation liés au multicast
Outils (iperf, mcast, beacon... ) et applications multicast (déploiement, visio, vidéo...)
Intérêts et limites des VLAN
Quel câblage pour quel besoin (FTP 5/6, monobrin/multibrins, fibre optique, WiFi...) ?

Travaux Pratiques :

Génération de flux multicast et observation du trafic avec des outils libres. Dialogue entre les switchs et avec les stations, écroulement des performances. Mise en place de solutions matérielles et logicielles indépendantes des applications. Analyse de débits en fonction du média utilisé.

Maîtriser les services réseaux fondamentaux (DHCP, DNS, FTP)

Maîtriser la configuration IP d'un équipement (@IP et masque de sous réseau)
Synthèse des informations fournies par un serveur DHCP
Comprendre le protocole DHCP (Dynamic Host Configuration Protocol)
Comment utiliser un seul serveur DHCP pour plusieurs réseaux (segments) ?
Problèmes liés à la traversée des routeurs (relay DHCP)
Les erreurs classiques liées à DHCP
Rappels sur le fonctionnement global des serveurs DNS
Visibilité d'un serveur DNS sur le web
Les différentes formes de serveur DNS (cache only, master, slave...)
Principes des zones de recherches directes/indirectes
Liens avec d'autres applications (DHCP, DynDNS...)
Comprendre les problèmes d'encodage liés au transfert de fichiers (accents, symboles « bizarres »...)
En quoi le mode de connexion actif/passif peut-il être bloquant ?

Travaux Pratiques :

Installation et paramétrage d'un serveur DHCP sous Windows 2008/2012 Server afin de permettre le paramétrage IP des imprimantes (réservations), des postes clients en général (@IP, masque, passerelle, DNS) sur différents segments de réseau (adresses réseaux différentes) ainsi que la mise en place de solution de déploiement ou de boot réseau (type Ghost).
Mise en oeuvre d'un serveur DNS sous Windows 2008/2012 Server.

Sécuriser le réseau (certificats, WiFi, VPN, HTTPS, firewall)

Notions sur le chiffrement des données (clefs secrètes/publiques, taille des clefs...)
Le principe des certificats
Comment les obtenir et les utiliser depuis plusieurs machines ?
Quelques éléments sur le protocole https
Maîtriser le paramétrage de IE et Firefox par rapport aux sites sécurisés ou non
Comprendre les différences entre les standards de cryptage pour le WIFI (WPA, TKIP, AES....)
Pourquoi ne pas toujours utiliser la sécurité maximale ?
Centraliser les données d'authentification avec un serveur RADIUS
Étendre RADIUS avec le protocole EAP (Extensible Authentication Protocol)
Comprendre les liens entre tous ces sigles (WPA, WPA2, EAP-TLS, EAP-PEAP...)
Savoir les utiliser concrètement
Accès distant au réseau de l'entreprise avec VPN (Virtual Private Network)
Architecture et technologies utilisées par un VPN
Sécuriser le VPN avec IPSec (Internet Protocol Security)
Comparaison avec l'alternative SSL (Secure Sockets Layer)
Précisions sur la philosophie d'un firewall d'entreprise
Exemples de règles standards classiques (NAT, PAT, redirection de port/@IP, blocage, log...)

Travaux Pratiques :

Installation d'un serveur RADIUS, génération et diffusion de certificats auprès des clients. Mise en valeur de l'intérêt de cette solution par rapport à une architecture sans certificat.
Mise en place d'une liaison VPN entre deux sites avec la solution open source Open VPN.
Mise en place d'un point d'accès WIFI avec variantes autour du chiffrement (AES, WPA, TKIP...) et observation de l'impact au niveau des équipements wifi (iphone, iPad, imprimante, PC...)

Administrer et surveiller le réseau (SNMP, Nagios, Cacti)

Disposer d'informations sur les équipements avec SNMP (Simple Network Management Protocol)
Agent SNMP et OID (Object Identifiers)
Gérer les informations sur les équipements avec les MIB (Management Information Base)
Techniques de supervision avec SNMP (polling, traps)
Surveiller l'état des services et des équipements avec Nagios
Disposer de graphes grâce à Cacti

Travaux Pratiques :

Installation d'un manager SNMP et des agents SNMP sur différents équipements. Observation de pannes matérielles (carte réseau débranchée, switch HS...) et de services indisponibles (serveur web non démarré...). Affichage des résultats sous forme de graphes avec Cacti.

Introduction complète à la sécurité des réseaux - Jours 13 à 17

Le cadre technique

Configuration IP d’un équipement (@IP, passerelle, DNS)
Synthèse technique sur les échanges standards dans un réseau local entre les machines
Spécificités liées à Internet : passerelle, routeur, ports externes…
Le principe du NAT (Network Address Translation)
Adresse MAC des équipements réseaux
Fonctionnement détaillé d’un switch
Qui est le maillon faible parmi les composants (PC, switch, firewall, passerelle, applications, etc.) ?

Travaux Pratiques :

Configuration des PC de la salle pour accéder au réseau local puis à Internet
Analyse du trafic réseau en « rythme de croisière »
Mise en évidence des risques

Les attaques

Exemples de préjudices subis par des entreprises
Les informations recherchées par un pirate
Pour quoi faire ?
Les applications exposées
Saturer des applications (Deny Of Service)
Les virus et malware
Le cheval de troie
Démonstration de mise sur écoute
Les attaques "involontaires" (boucle dans les switchs, tempête de broadcast, ...)

Travaux Pratiques :

Démonstrations d’attaques : récupération de mots de passe sur le réseau, récupération de l’activité clavier d’un utilisateur, « affaissement » d’un serveur non protégé, etc.
Exemples de dégâts selon la force d'un virus

Sécurité et navigation web

Mot de passe de compte utilisateur sur les sites web
Exécution de script, contrôle activeX, applet java nuisibles
Le hameçonnage
L'usurpation de session web
Les bons réflexes en cas d'attaque

Travaux Pratiques :

Visites de sites web malveillants depuis des machines virtuelles

L’intégrité des données

Est-on en train d’utiliser les « vraies » données ?
Principes d’une fonction de hachage
Les empreintes de fichiers, mots de passe, etc.
Les évolutions MD5, SHA, etc.
Création de signatures numériques

Travaux Pratiques :

Exemple de génération d’empreinte d’un fichier et d’un mot de passe
Modification d’une lettre, régénération des empreintes, conclusions ?

Authentification des utilisateurs (mots de passe)

Principes des annuaires (Active Directory, LDAP, etc. )
Ne pas confondre la base de compte locale et celle du serveur
Comment le système identifie un utilisateur (carte, empreinte biométrique, login/password, etc.)
Exemples sous Windows et Linux
Les « portes » qui s’ouvrent une fois connecté (fichiers, répertoires, imprimantes, etc.)
Exemple d’attaque par dictionnaire
Ce que l’administrateur peut/doit imposer aux utilisateurs
Exemples de stratégies de mot de passe
Règles comportementales à adopter par les utilisateurs (à l’intérieur/extérieur de l'entreprise)

Travaux Pratiques :

Exemple de prise de contrôle du compte « super-utilisateur » sous Linux
Exemple de mise en place d’une stratégie de mot de passe « dure » sous Windows
Exemples de partage de répertoire sur le réseau
Tentative d’accès en local et à distance
Conclusions ?

Authentification des machines

L’identifiant hardware et local de la carte réseau (filaire ou WiFi) : adresse MAC
Adresse MAC et sécurité (DHCP, firewall, etc.)
Le DNS ne résoud pas que les noms en adresse IP
Enregistrement auprès des DNS (Domain Name System)
Impacts du piratage des DNS 

Travaux Pratiques :

Visite guidée des règles d’un firewall effectuant des filtrages sur les adresses MAC, IP et noms de machines
Observation des informations d’un serveur DNS
Injection de fausses informations dans le DNS
Conclusions ?

Différentes architectures de sécurité des réseaux (VLAN, DMZ, VPN)

En quoi les VLAN sécurisent-ils l’entreprise ?
Le routage inter vlan (exemple sur un switch Cisco de niveau 3)
Les connexion sécurisée en réseau local, Web, ou Cloud (ssh, sftp, etc.)
Philosophie d’une DMZ (Demilitary Zone)
Intérêts de "sortir" via un Proxy ?
Cas de l’extranet d’entreprise
Relier deux sites par VPN (Virtual Private Network)
Sécuriser le bureau à distance avec un VPN
Rôle de IPSec dans la sécurisation d’un VPN

Travaux Pratiques :

Exemples de “découpage” en VLAN dans les entreprises (isolation de la téléphonie du réseau de données, isolation des services)
Exemples de règles de routage sécurisé inter-zones (VLAN, DMZ, etc.)
Mise en place d’un serveur VPN
Exemple d’architecture mise en place dans le travail à distance (bureau à distance, logmein, liaison VPN)

Le firewall (pare-feu)

Philosophie générale commune à tous les firewalls
Analogie avec les procédures de sécurité « humaines » (badge, carte d’identité, personne visitée, provenance, etc.)
L’importance de l’ordre des règles
Principes des règles en cascade

Travaux Pratiques :

Exemples de filtrage depuis un firewall sous Linux et sous Windows : restriction des accès à certains services (Web,FTp, etc.) à certaines heures ou de façon permanente pour certaines machines identifiées par leur adresse IP.
Autorisation des connexions distantes sur leurs PC pour certaines personnes seulement et uniquement si elles se connectent depuis une machine précise.
Héberger et protéger son propre serveur web en redirigeant les requêtes web venues de l’extérieur vers un serveur situé dans une zone sécurisée (DMZ).
Exemple d’attaque de firewall (journaux montrant la présence d’une même source cherchant à s’introduire dans le réseau toutes les secondes) et solutions

Wifi et sécurité

Vocabulaire et concepts (SSIS, canal, Point d’accès, etc. )
Les différents types de clef : WEP, WPA, WPA2, EAP, etc.
L’authentification auprès d’un serveur Radius
L’intérêt d’isoler le Wifi dans un VLAN

Travaux Pratiques :

Variantes autour des différents types de clefs afin de comprendre pourquoi la sécurité maximale n’est pas toujours possible
Mise en place d’un serveur Radius

Maquette complète de synthèse

Mise en place d'un système d'authentification centralisé Radius (certificats)
Mise en place d'une DMZ pour accueillir un serveur web sous Linux
Accès à ce serveur distant via ssh
Mise en place d'un serveur web sécurisé (https) sur ce serveur
Mise en place d'un serveur Proxy
Mise en place d'un serveur DHCP sécurisé
Paramétrage du firewall
Création de VLAN pour simuler la sécurisation de la salle de formation (coupée en deux par exemple)
Mise en place d’une borne Wifi avec des droits restreints
Tests depuis des PC sous Windows en domaine (AD) et équipements mobiles pour accéder aux réseaux et sites web des autres participants

Travaux Pratiques :

Le formateur réalise progressivement cette maquette durant la formation avec les participants. Il ne s'agit pas de rentrer dans le détail du paramétrage de chaque composant mais de comprendre son rôle en étant le plus concret possible sans rester à un niveau trop abstrait et théorique. Les machines virtuelles utilisées durant la formation offrent une grande souplesse pour les manipulations et les échanges avec les participants.