Fondamentaux

Bases du réseau

Le réseau est la colonne vertébrale de la cybersécurité. Savoir lire une adresse, un port, une résolution DNS, une route ou une connexion TCP permet de comprendre ce qui se passe vraiment avant de lancer des outils plus avancés.

Carte mentale

Un échange réseau simple ressemble souvent à ceci :

Poste utilisateur

Réseau local

Passerelle / routeur

Internet ou réseau distant

Serveur exposé

Pour analyser un problème ou un incident, il faut savoir répondre à quelques questions :

  • quelle machine communique
  • vers quelle destination
  • avec quel protocole
  • sur quel port
  • via quelle passerelle
  • avec quel nom DNS
  • à quel moment
  • avec quel volume

Adressage

Adresse IP

Une adresse IP identifie une interface sur un réseau. En IPv4, elle est souvent accompagnée d'un masque comme /24, qui indique la taille du sous-réseau.

192.168.1.42/24
│       │   │
│       │   └── Masque de sous-réseau
│       └────── Adresse de l'hôte
└────────────── Plage privée courante

Une machine peut avoir plusieurs adresses si elle possède plusieurs interfaces réseau, par exemple Ethernet, Wi-Fi, VPN ou interface virtuelle.

Sous-réseau et passerelle

Le sous-réseau définit les machines joignables directement. La passerelle est utilisée pour joindre les réseaux extérieurs.

ip addr
ip route

Une mauvaise passerelle ou un masque incorrect peut donner l'impression qu'un service est inaccessible alors que le problème vient seulement de la configuration locale.

Ports

Un port identifie un service sur une machine. Par exemple, 80 pour HTTP, 443 pour HTTPS, 22 pour SSH, 53 pour DNS. Un port ouvert n'est pas automatiquement une faille, mais il augmente la surface d'attaque.

192.168.1.10:443
│          │
│          └── Service HTTPS
└───────────── Machine cible

Protocoles

TCP fournit une connexion fiable avec établissement de session. UDP est plus simple, sans garantie de livraison, et se retrouve notamment dans DNS, DHCP, VoIP ou certains flux temps réel.

ICMP sert surtout au diagnostic et aux messages réseau, par exemple avec ping ou certaines erreurs de routage.

Services de base

DNS

DNS transforme un nom comme example.com en adresse IP. Une analyse DNS peut révéler des sous-domaines, des fournisseurs, des erreurs de configuration et parfois des services oubliés.

dig example.com
dig MX example.com

DHCP

DHCP attribue automatiquement une adresse IP, un masque, une passerelle et des serveurs DNS. Sur un réseau local, un faux serveur DHCP peut rediriger une partie du trafic vers une mauvaise passerelle ou un mauvais DNS.

NAT

Le NAT permet à plusieurs machines privées de sortir vers Internet avec une adresse publique partagée. C'est très courant sur les box, les routeurs d'entreprise et les environnements cloud.

À retenir

NAT ne remplace pas un pare-feu. Il modifie l'adressage visible, mais ne doit pas être considéré comme une politique de sécurité suffisante.

Lire une exposition réseau

Lorsqu'un service est exposé, les informations importantes sont :

  • l'adresse IP ou le nom DNS
  • le port
  • le protocole
  • la version du service
  • le contexte d'exposition
  • le besoin métier
  • les journaux disponibles

Un serveur SSH ouvert sur Internet n'a pas le même niveau de risque selon qu'il est protégé par clé, filtré par IP, journalisé, mis à jour et surveillé.

Commandes de base

ip addr
ip route
ss -tuln
dig example.com
ping 1.1.1.1
traceroute example.com

Ces commandes permettent de vérifier l'adresse locale, les routes, les services en écoute, la résolution DNS et le chemin réseau.

Lecture défensive

Quand un incident survient, pose toujours les mêmes questions : qui parle à qui, sur quel port, avec quel protocole, à quel moment, avec quel volume et avec quel résultat. Cette discipline évite de se perdre dans les outils.

Réflexe utile

Avant d'accuser une application, vérifie la couche réseau : adresse, route, DNS, port, pare-feu et journaux. Beaucoup de pannes et d'indices d'attaque se voient déjà à ce niveau.

Suivant
Modèles TCP/IP et OSI