TSSR — Pense-Bête By La-BaVuUr3-38

🔍

Résultats de recherche

Aucun résultat trouvé. Essayez un autre terme.

🔷

Modèle OSI — 7 Couches

Open Systems Interconnection · Standard ISO/IEC 7498

C'est quoi le modèle OSI ? Le modèle OSI est un cadre conceptuel en 7 couches qui décrit comment les données circulent dans un réseau, de l'application jusqu'au câble physique. Chaque couche a un rôle précis et communique uniquement avec les couches adjacentes. En bas = physique, en haut = logiciel.

Moyen mnémotechnique (de bas en haut 1→7) Pourquoi De Nombreux Techniciens Réseau Apprécient Apprendre — Physique, Données, Réseau, Transport, Session, Présentation, Application

7
Application

          Interface directe avec l'utilisateur
          Fournit les services réseau aux applications (navigateur, client mail…)
          HTTP · HTTPS · FTP · SFTP · SMTP · POP3 · IMAP · DNS · DHCP · SSH · Telnet · SNMP · NTP
        
6
Présentation

          Encodage, chiffrement, compression
          Traduit les données entre formats (ASCII, EBCDIC) et gère le chiffrement TLS/SSL
          SSL · TLS · JPEG · MPEG · ASCII · Unicode · Base64
        
5
Session

          Gestion des sessions de communication
          Ouvre, maintient et ferme les sessions entre applications. Gère la synchronisation et la reprise.
          NetBIOS · RPC · SQL (sessions) · NFS · PAP
        
4
Transport

          Fiabilité, segmentation, ports
          Segmente les données, gère le contrôle de flux, la détection d'erreurs et la retransmission (TCP). Identifie les applications par ports.
          TCP (fiable, connexion) · UDP (rapide, sans connexion) · SCTP
        
3
Réseau

          Adressage logique et routage
          Détermine le meilleur chemin pour acheminer les paquets entre réseaux différents via les adresses IP
          IPv4 · IPv6 · ICMP · OSPF · BGP · EIGRP · RIPv2 · ARP
        
2
Liaison

          Trames, adresses MAC, détection d'erreurs
          Gère la communication entre deux nœuds directement connectés. Adresses MAC sur 48 bits. FCS pour contrôle d'erreur.
          Ethernet · Wi-Fi (802.11) · ARP · PPP · STP · VLAN 802.1Q
        
1
Physique

          Bits, câbles, signaux
          Transmet les bits bruts sur le support physique (électrique, optique, radio). Définit les connecteurs, tensions, débits.
          RJ45 · Fibre optique · USB · 802.3 (Ethernet) · Bluetooth · Wi-Fi physique
        

📦

Encapsulation des données

Comment les données changent de forme selon la couche

Couche	Unité (PDU)	En-tête ajouté	Explication
Application (7)	Données	En-tête applicatif	Les données brutes de l'application (ex: requête HTTP)
Transport (4)	Segment (TCP) / Datagramme (UDP)	Port src, port dst, numéro séquence	Découpe en segments, ajoute les ports pour identifier l'application
Réseau (3)	Paquet	IP src, IP dst, TTL	Ajoute les adresses IP pour le routage entre réseaux
Liaison (2)	Trame	MAC src, MAC dst, FCS	Ajoute les adresses MAC pour la livraison locale
Physique (1)	Bits	Signal électrique/optique/radio	Conversion en bits sur le support physique

| By La-BaVuUr3-38 |

🌐

Modèle TCP/IP

Suite de protocoles d'Internet · 4 couches

Différence OSI vs TCP/IP OSI = modèle théorique en 7 couches (référence universelle). TCP/IP = modèle pratique en 4 couches, utilisé sur Internet. En pratique, c'est TCP/IP qui gouverne les réseaux, mais on parle en termes OSI pour l'analyse.

Couche TCP/IP	Correspondance OSI	Protocoles clés	Rôle
Application	Couches 5-6-7	HTTP, HTTPS, FTP, SMTP, DNS, DHCP, SSH, Telnet, SNMP, NTP	Interface avec les applications utilisateur
Transport	Couche 4	TCP, UDP, SCTP	Segmentation, ports, fiabilité ou rapidité
Internet (Réseau)	Couche 3	IPv4, IPv6, ICMP, ARP, OSPF, BGP, RIPv2, EIGRP	Adressage IP et routage entre réseaux
Accès réseau	Couches 1-2	Ethernet, Wi-Fi, PPP, MPLS, Frame Relay	Transmission physique sur le support local

⚔️

TCP vs UDP — En détail

Le choix entre fiabilité et performance

Quand choisir TCP ou UDP ? TCP pour tout ce qui nécessite une livraison garantie (fichiers, pages web, emails). UDP pour tout ce qui doit être rapide et peut tolérer des pertes (VoIP, streaming vidéo, jeux en ligne, DNS).

Critère	TCP	UDP
Connexion	Orienté connexion (handshake)	Sans connexion (connectionless)
Fiabilité	✅ Accusés de réception (ACK), retransmission	❌ Best-effort, pertes possibles
Ordre	✅ Réordonnancement des segments	❌ Ordre non garanti
Contrôle de flux	✅ Fenêtre glissante	❌ Aucun
Vitesse	Plus lent (overhead du handshake)	✅ Très rapide
Handshake	3-way : SYN → SYN-ACK → ACK	Aucun
Usages	HTTP/S, FTP, SSH, SMTP, Telnet, RDP	DNS, DHCP, VoIP, streaming, jeux, SNMP

Le 3-way Handshake TCP expliqué 1. Client envoie SYN (je veux me connecter) → 2. Serveur répond SYN-ACK (d'accord, je suis là) → 3. Client envoie ACK (reçu, connexion établie). La connexion est fermée avec FIN-ACK.

🔢

Numéros de ports TCP/UDP

Organisation des ports

Plage	Nom	Description
0 – 1023	Well-Known Ports	Ports réservés aux services système (HTTP 80, SSH 22, DNS 53…). Nécessitent des droits root pour écouter.
1024 – 49151	Registered Ports	Ports enregistrés par l'IANA pour des applications spécifiques (RDP 3389, MySQL 3306…)
49152 – 65535	Dynamic / Ephemeral	Ports temporaires utilisés par les clients pour initier des connexions. Choisis aléatoirement par l'OS.

| By La-BaVuUr3-38 |

📍

Adressage IP (IPv4 & IPv6)

Adresses, masques, CIDR, VLSM, NAT

Adresse IPL3

Identifiant logique unique sur 32 bits (IPv4) ou 128 bits (IPv6) permettant d'identifier un hôte ou une interface réseau sur un réseau. Contrairement à l'adresse MAC (physique, permanente), l'adresse IP est logique et peut changer.

IPv4 = 4 octets en décimal pointé (ex: 192.168.1.1). IPv6 = 8 groupes de 4 hex séparés par ':' (ex: 2001:0db8::1)

Masque de sous-réseauIPv4

Valeur 32 bits qui sépare la partie réseau (bits à 1) de la partie hôte (bits à 0). Un AND logique entre l'adresse IP et le masque donne l'adresse réseau.

Ex: IP 192.168.1.50 AND masque 255.255.255.0 → réseau 192.168.1.0

Notation CIDRIPv4

Classless Inter-Domain Routing — notation compacte indiquant le nombre de bits à 1 du masque. Remplace les notations de classe (A/B/C) obsolètes. Permet un découpage flexible des réseaux.

/24 = 256 adresses, 254 hôtes. /30 = 4 adresses, 2 hôtes (liaisons point-à-point)

VLSMDesign

Variable Length Subnet Masking — technique de découpage de sous-réseaux utilisant des masques de longueurs différentes pour optimiser l'utilisation de l'espace d'adressage. Permet d'allouer exactement le nombre d'adresses nécessaires.

Ex: /30 pour les liaisons WAN (2 hôtes), /24 pour les LANs (254 hôtes)

NAT — Network Address TranslationIPv4

Traduction d'adresses IP privées en adresses publiques et inversement. Permet à tout un réseau local de partager une ou plusieurs adresses publiques pour accéder à Internet. Fonctionne en modifiant l'en-tête IP des paquets.

NAT Statique: 1 privée ↔ 1 publique fixe. NAT Dynamique: pool public. PAT/overload: 1 publique + ports

PAT — Port Address TranslationIPv4

Variante du NAT permettant de faire correspondre plusieurs adresses privées à une seule adresse publique en différenciant les sessions par le numéro de port source. Aussi appelé NAT overload. Utilisé par quasiment tous les routeurs domestiques.

Jusqu'à ~65 000 sessions simultanées sur 1 seule IP publique

🏷️

Classes IPv4 & Plages importantes

Classe	1er octet	Masque défaut	Réseaux / Hôtes	Usage
A	1 – 126	/8 (255.0.0.0)	126 réseaux / 16 millions hôtes	Très grandes organisations
B	128 – 191	/16 (255.255.0.0)	16 384 réseaux / 65 534 hôtes	Moyennes organisations
C	192 – 223	/24 (255.255.255.0)	2 millions réseaux / 254 hôtes	Petits réseaux
D	224 – 239	—	Multicast uniquement	Streaming, routage (OSPF, RIP)
E	240 – 255	—	Réservé expérimental	Recherche (non routé)

Plage / Adresse	Type	Utilisation
10.0.0.0/8	Privée classe A	LAN grandes entreprises — 16M d'adresses
172.16.0.0/12	Privée classe B	172.16.x.x à 172.31.x.x — 1M d'adresses
192.168.0.0/16	Privée classe C	LAN domestique et PME — 65 536 adresses
127.0.0.0/8	Loopback	Tests locaux — 127.0.0.1 = localhost, reste la machine elle-même
169.254.0.0/16	APIPA	Auto-configuration si DHCP indisponible — adresse de secours Windows
0.0.0.0/0	Route défaut	Représente toutes les destinations (route de dernier recours)
255.255.255.255	Broadcast limité	Broadcast réseau local uniquement (non routé)
224.0.0.0/4	Multicast	224.0.0.5=OSPF, 224.0.0.9=RIPv2, 224.0.0.18=VRRP

🔢

Calcul rapide CIDR

CIDR	Masque	Nb adresses	Nb hôtes utiles	Usage typique
/30	255.255.255.252	4	2	Liaisons point-à-point WAN
/29	255.255.255.248	8	6	Petit segment DMZ
/28	255.255.255.240	16	14	Petite salle serveurs
/27	255.255.255.224	32	30	Petit département
/26	255.255.255.192	64	62	Moyen département
/25	255.255.255.128	128	126	Grand département
/24	255.255.255.0	256	254	LAN standard
/23	255.255.254.0	512	510	Campus moyen
/16	255.255.0.0	65 536	65 534	Grande entreprise

| By La-BaVuUr3-38 |

📡

Protocoles réseau essentiels

Ports, rôles et explications détaillées

Comment retenir les protocoles ? Associe chaque protocole à son usage concret : HTTP = naviguer, SMTP = envoyer un mail, SSH = terminal distant sécurisé, DNS = annuaire Internet. Les ports sont à mémoriser absolument pour l'examen.

Protocole	Port	Transport	Description complète
HTTP	80	TCP	HyperText Transfer Protocol — Protocole de base du web. Transfert de pages HTML, non chiffré. Toutes les données transitent en clair (à éviter pour données sensibles).
HTTPS	443	TCP	HTTP Secure — HTTP encapsulé dans TLS/SSL. Chiffrement asymétrique lors de l'échange de clé, puis symétrique (AES) pour les données. Certificat X.509 requis côté serveur.
FTP	20-21	TCP	File Transfer Protocol — Transfert de fichiers. Port 21 = contrôle des commandes, port 20 = transfert des données. Non chiffré. Modes actif et passif.
SFTP	22	TCP	SSH File Transfer Protocol — FTP sécurisé via un tunnel SSH. Entièrement chiffré. À ne pas confondre avec FTPS (FTP + SSL).
FTPS	990/21	TCP	FTP over SSL/TLS — FTP chiffré avec TLS. Port 990 = mode implicite, port 21 = STARTTLS explicite. Différent de SFTP (pas de SSH).
SSH	22	TCP	Secure Shell — Accès distant sécurisé à un terminal, transfert de fichiers (SFTP/SCP), tunneling. Remplace Telnet. Authentification par mot de passe ou clé publique/privée. Chiffrement fort.
Telnet	23	TCP	Teletype Network — Accès distant en clair, tout le trafic non chiffré (visible avec Wireshark). OBSOLÈTE, remplacé par SSH. À bloquer absolument sur les firewalls.
SMTP	25	TCP	Simple Mail Transfer Protocol — Envoi d'emails entre serveurs de messagerie. Le port 25 est souvent bloqué par les FAI pour éviter le spam.
SMTPS	465 / 587	TCP	SMTP Sécurisé — Port 465 = SSL implicite, port 587 = STARTTLS explicite. Utilisé pour l'envoi des clients de messagerie vers le serveur.
POP3	110	TCP	Post Office Protocol v3 — Réception d'emails : télécharge les messages et les supprime du serveur par défaut. Simple, adapté aux accès offline. POP3S = port 995.
IMAP	143	TCP	Internet Message Access Protocol — Lecture des emails en laissant les messages sur le serveur. Synchronisation multi-appareils. Supporte les dossiers, flags, recherche côté serveur. IMAPS = port 993.
DNS	53	UDP + TCP	Domain Name System — Traduit les noms de domaine en adresses IP (résolution directe) et inversement (reverse DNS). UDP pour les requêtes courtes, TCP pour les transferts de zone et réponses larges.
DHCP	67-68	UDP	Dynamic Host Configuration Protocol — Attribution automatique d'IP, masque, passerelle, DNS aux hôtes. Serveur écoute sur 67, client envoie depuis 68. Processus DORA.
SNMP	161-162	UDP	Simple Network Management Protocol — Supervision des équipements réseau. v1/v2c = communautés en clair, v3 = authentification + chiffrement. Port 161 = requêtes, 162 = traps (alertes).
NTP	123	UDP	Network Time Protocol — Synchronisation de l'horloge des serveurs et équipements réseau. Critique pour les logs, certificats, Kerberos (AD). Stratum 0 = source atomique, Stratum 1 = serveur principal.
TFTP	69	UDP	Trivial FTP — Transfert simple sans authentification. Utilisé pour le boot PXE, mise à jour de firmwares Cisco, configurations réseau. Pas de gestion de répertoire ni de sécurité.
LDAP	389	TCP	Lightweight Directory Access Protocol — Accès aux annuaires (Active Directory, OpenLDAP). Permet l'authentification centralisée. LDAPS = port 636 (chiffré TLS).
RDP	3389	TCP	Remote Desktop Protocol — Protocole Microsoft de bureau à distance graphique. Permet le contrôle complet d'un PC Windows. Cible fréquente d'attaques (brute-force, exploits).
RADIUS	1812-1813	UDP	Remote Authentication Dial-In User Service — Protocole AAA (Authentication, Authorization, Accounting). Utilisé pour 802.1X, VPN, Wi-Fi entreprise. Port 1812 = auth, 1813 = accounting.
TACACS+	49	TCP	Terminal Access Controller Access-Control System+ — Protocole AAA Cisco (propriétaire). Chiffre l'intégralité du paquet (vs RADIUS qui ne chiffre que le mot de passe). TCP = plus fiable.
Syslog	514	UDP	System Logging Protocol — Envoi centralisé de logs réseau vers un serveur. 8 niveaux de sévérité : 0=Emergency, 1=Alert, 2=Critical, 3=Error, 4=Warning, 5=Notice, 6=Info, 7=Debug.
BGP	179	TCP	Border Gateway Protocol — Protocole de routage de l'Internet (EGP). Route entre Autonomous Systems (AS). Basé sur des politiques (attributs). Convergence lente mais très flexible.
OSPF	—	IP proto 89	Open Shortest Path First — IGP à état de lien (link-state). Algorithme de Dijkstra (SPF). Métrique = coût (basé sur bande passante). Zones pour scalabilité, Area 0 = backbone obligatoire.
RIPv2	520	UDP	Routing Information Protocol v2 — IGP vecteur-distance. Maximum 15 sauts (16=inaccessible). Convergence lente. Supporte CIDR et authentification MD5. Quasi-obsolète, remplacé par OSPF.
EIGRP	—	IP proto 88	Enhanced Interior Gateway Routing Protocol — Protocole hybride Cisco (propriétaire). Combine vecteur-distance et link-state. Métrique composée (bande passante + délai). Convergence rapide via DUAL.
SIP	5060-5061	UDP/TCP	Session Initiation Protocol — Établissement et gestion des sessions VoIP (appels). Port 5060 = non chiffré, 5061 = TLS. Protocole de signalisation (la voix passe par RTP/UDP).
VRRP	—	IP proto 112	Virtual Router Redundancy Protocol — Haute disponibilité de passerelle. Partage une IP virtuelle entre plusieurs routeurs. Standard IEEE (contrairement à HSRP qui est Cisco).
SMB/CIFS	445	TCP	Server Message Block — Partage de fichiers, imprimantes et accès aux ressources Windows. Cible de nombreuses attaques (EternalBlue, WannaCry). Port 139 = ancienne version via NetBIOS.

| By La-BaVuUr3-38 |

🖥️

Équipements réseau

Matériels, rôles et positionnement dans l'architecture

Hub (Concentrateur)Couche 1

Équipement basique qui répète le signal électrique sur tous les ports simultanément. Tous les hôtes partagent le même domaine de collision. Une seule transmission possible à la fois (half-duplex). Aujourd'hui totalement obsolète.

Remplacé par le switch. Jamais utilisé dans un réseau moderne.

Switch (Commutateur)Couche 2

Équipement central du LAN qui commute les trames Ethernet entre ports en utilisant les adresses MAC. Maintient une table MAC (table CAM) pour apprendre les adresses. Chaque port = son propre domaine de collision. Supporte le full-duplex.

Switch manageable = configuration VLAN, QoS, STP, port security, SNMP. Switch L3 = routage entre VLANs.

RouteurCouche 3

Équipement qui route les paquets IP entre réseaux différents. Maintient une table de routage et choisit le meilleur chemin. Chaque interface est dans un réseau différent. Sépare les domaines de broadcast.

Un routeur ne fait jamais suivre les broadcasts — c'est ce qui délimite les réseaux.

Pare-feu (Firewall)L3/L4/L7

Équipement de sécurité qui filtre le trafic réseau selon des règles. Peut être stateless (filtre sur IP/port), stateful (suit l'état des connexions) ou applicatif (inspecte le contenu L7). Protège les frontières réseau.

pfSense, Fortigate, Cisco ASA, iptables (Linux), Windows Defender Firewall.

Point d'accès Wi-Fi (AP)Couche 2

Équipement permettant la connexion sans fil des clients (smartphones, laptops) au réseau filaire. Diffuse un ou plusieurs SSID. Standards Wi-Fi : 802.11a/b/g/n/ac/ax (Wi-Fi 6).

WLC (Wireless LAN Controller) = gestion centralisée de plusieurs AP. Mode léger vs autonome.

ProxyCouche 7

Intermédiaire entre clients et serveurs. Filtrage de contenu web, mise en cache (accélération), anonymisation, authentification des accès Internet. Proxy transparent = invisible au client (pas de configuration requise).

Squid = proxy Linux. Proxy inverse (reverse proxy) = protège les serveurs (ex: Nginx).

IDS / IPSSécurité

Intrusion Detection/Prevention System. IDS = analyse le trafic et génère des alertes (passif). IPS = bloque activement les attaques détectées (inline dans le flux). Détection par signatures ou comportement.

Snort, Suricata = IDS/IPS open-source. Zeek = analyse comportementale réseau.

Load BalancerCouche 4/7

Répartit les requêtes entrantes entre plusieurs serveurs pour équilibrer la charge et assurer la haute disponibilité. Algorithmes : Round Robin, Least Connections, IP Hash. Peut faire de la terminaison SSL.

HAProxy, Nginx, F5 BIG-IP, AWS ELB. Indispensable pour les architectures web scalables.

NIC — Carte réseauCouche 1-2

Network Interface Card — Interface matérielle entre l'ordinateur et le réseau. Chaque NIC possède une adresse MAC unique sur 48 bits gravée par le fabricant (OUI + numéro unique). Peut être filaire (Ethernet) ou sans fil (Wi-Fi).

L'adresse MAC peut être usurpée (MAC spoofing) logiciellement.

ModemCouche 1

MOdulateur/DEModulateur — Convertit le signal numérique en signal analogique pour la transmission sur ligne téléphonique (ADSL) ou câble, et inversement. Pour la fibre, on parle d'ONT (Optical Network Terminal).

En pratique, la box FAI intègre modem + routeur + switch + AP Wi-Fi.

| By La-BaVuUr3-38 |

🔀

VLAN & Commutation

Segmentation logique, trunk 802.1Q, STP, EtherChannel

VLAN — Virtual LAN802.1Q

Segmentation logique d'un réseau physique en plusieurs réseaux virtuels isolés. Chaque VLAN = domaine de broadcast séparé. Les hôtes de VLANs différents ne peuvent pas communiquer directement sans routeur. Un VLAN ID sur 12 bits = 4094 VLANs possibles (1 à 4094).

VLAN 1 = VLAN natif par défaut (à changer). VLAN 1002-1005 = réservés Token Ring/FDDI.

Tag 802.1QStandard

Champ de 4 octets inséré dans la trame Ethernet pour identifier le VLAN. Composé de : TPID (0x8100 = identifiant VLAN), TCI (Priority + DEI + VLAN ID 12 bits). Permet de transporter plusieurs VLANs sur un même lien physique (trunk).

La trame taguée augmente la taille maximale de 1500 à 1522 octets (baby giant frame).

Port AccessSwitch

Port switch appartenant à un seul VLAN. Les trames ne sont pas taguées (le tag est retiré à la sortie). Connecté aux équipements finaux (PC, serveur, imprimante). L'équipement final ne sait pas qu'il est dans un VLAN.

Port TrunkSwitch

Port switch transportant plusieurs VLANs simultanément grâce aux tags 802.1Q. Utilisé pour les liaisons entre switches et entre switch et routeur. Le VLAN natif circule sans tag sur le trunk.

DTP (Dynamic Trunking Protocol) = négociation automatique du mode trunk (Cisco). À désactiver pour la sécurité.

Inter-VLAN RoutingL3

Communication entre VLANs nécessite un équipement de couche 3. Deux approches : Router-on-a-Stick (routeur avec sous-interfaces taguées sur un trunk) ou Switch L3 (SVI = Switch Virtual Interface par VLAN).

Router-on-a-Stick = goulot d'étranglement. Switch L3 = plus performant mais plus coûteux.

STP — Spanning Tree Protocol802.1D

Protocole qui évite les boucles L2 dans les réseaux avec liens redondants. Élit un Root Bridge (priorité + MAC la plus basse). Chaque switch calcule le chemin le plus court vers le Root Bridge. Bloque les ports redondants.

RSTP (802.1w) = convergence rapide (secondes vs 30-50s). MSTP (802.1s) = un STP par groupe de VLANs.

États des ports STP802.1D

Chaque port passe par des états : Blocking (ne fait rien), Listening (écoute les BPDU), Learning (apprend les MAC), Forwarding (actif), Disabled (désactivé admin). RSTP simplifie : Discarding, Learning, Forwarding.

EtherChannel / LACP802.3ad

Agrégation de plusieurs liens physiques en un lien logique unique (LAG = Link Aggregation Group). Augmente la bande passante et offre la redondance. LACP (802.3ad) = standard ouvert. PAgP = propriétaire Cisco.

STP voit l'EtherChannel comme un seul lien → pas de blocage sur les liens agrégés.

Port Mirroring (SPAN)Switch

Switched Port Analyzer — Copie le trafic d'un ou plusieurs ports source vers un port destination. Permet l'analyse avec Wireshark ou un IDS sans interrompre le trafic. RSPAN = mirroring vers un switch distant.

| By La-BaVuUr3-38 |

🗺️

Routage

Statique, dynamique, OSPF, BGP, métriques, distance administrative

Routage statiqueL3

Route configurée manuellement par l'administrateur. Aucune mise à jour automatique en cas de panne. Simple, prévisible, sans overhead. Utilisé sur petits réseaux, liaisons WAN point-à-point ou route par défaut.

Distance Administrative = 1 (plus prioritaire que tout protocole dynamique). Commande: ip route [réseau] [masque] [nexthop]

Routage dynamiqueL3

Le routeur échange des informations avec ses voisins pour construire et mettre à jour automatiquement sa table de routage. S'adapte aux pannes (convergence). Plus complexe à configurer mais plus résilient.

Distance Administrative (AD)Cisco

Valeur indiquant la fiabilité relative d'une source de routage. En cas de routes identiques apprises par plusieurs protocoles, l'AD la plus basse est préférée. Configurable manuellement.

Connecté=0, Statique=1, eBGP=20, EIGRP=90, OSPF=110, IS-IS=115, RIP=120, iBGP=200

Métrique de routageAlgo

Valeur calculée pour choisir la meilleure route quand plusieurs chemins vers la même destination existent (via le même protocole). Différente selon le protocole : RIP = nombre de sauts, OSPF = coût (inversement proportionnel à la bande passante), EIGRP = bande passante + délai.

OSPF — Open Shortest Path FirstIGP

Protocole IGP à état de lien. Chaque routeur construit une carte complète du réseau (LSDB) en échangeant des LSA (Link State Advertisements). Utilise l'algorithme SPF (Dijkstra) pour calculer les meilleures routes. Très scalable grâce aux Areas.

Area 0 = backbone obligatoire. DR/BDR élus sur les réseaux broadcast. Coût = 10^8 / bande passante.

BGP — Border Gateway ProtocolEGP

Protocole de routage de l'Internet. Fonctionne entre Autonomous Systems (AS) différents. Basé sur des politiques (attributs : AS-PATH, MED, LOCAL_PREF…). Convergence lente mais extrêmement flexible. eBGP = entre AS, iBGP = au sein d'un AS.

Chaque opérateur internet est un AS. BGP gère les 900 000+ routes d'Internet (table de routage globale).

RIPv2IGP

Protocole IGP à vecteur-distance. Échange les tables de routage complètes toutes les 30 secondes. Maximum 15 sauts (16 = inaccessible). Convergence lente. Supporte CIDR et authentification MD5. Quasi-obsolète, remplacé par OSPF.

Route par défaut (default route)L3

Route 0.0.0.0/0 — correspond à toutes les destinations non connues dans la table de routage. Route de "dernier recours" dirigeant le trafic vers Internet ou vers un routeur de sortie. Le masque le plus court possible (plus long = plus spécifique = prioritaire).

Protocole	Type	Algorithme	Métrique	Convergence	Limite
RIPv2	IGP, Vecteur-distance	Bellman-Ford	Nombre de sauts	Lente (90s+)	15 sauts max
OSPF	IGP, État de lien	Dijkstra (SPF)	Coût (BW)	Rapide (secondes)	Areas pour scalabilité
EIGRP	IGP, Hybride (Cisco)	DUAL	BW + délai	Très rapide	Propriétaire Cisco
BGP	EGP, Path vector	Politiques	Attributs	Lente (minutes)	Complexité config

| By La-BaVuUr3-38 |

🔐

Sécurité réseau

ACL, VPN, IPsec, 802.1X, attaques et contre-mesures

ACL — Access Control ListFiltrage

Liste de règles permit/deny appliquée sur une interface routeur pour filtrer le trafic. Standard (filtrage sur IP source uniquement, numéros 1-99). Extended (IP src + IP dst + protocole + port, numéros 100-199).

Règle implicite "deny all" à la fin. ACL standard = proche destination. ACL étendue = proche source. Traitement séquentiel, première règle correspondante appliquée.

Firewall StatefulSécurité

Maintient une table d'états des connexions actives. Autorise automatiquement le trafic de retour d'une session établie (ACK d'un TCP initié depuis l'intérieur). Plus intelligent qu'un simple filtrage de paquets (stateless).

Un paquet SYN entrant non sollicité = bloqué. Un ACK en réponse à un SYN sortant = autorisé.

DMZ — Demilitarized ZoneArchitecture

Zone réseau intermédiaire entre Internet et le LAN interne. Héberge les serveurs accessibles publiquement (web, mail, FTP). Isolée par deux firewalls ou par une interface dédiée du firewall principal.

Règle fondamentale : DMZ vers LAN interne doit être bloqué par défaut.

VPN — Virtual Private NetworkTunnel

Tunnel chiffré sur un réseau public (Internet). Protège la confidentialité et l'intégrité des données en transit. Types : IPsec Site-to-Site, SSL/TLS (client distant), OpenVPN, WireGuard.

Split tunneling = seul le trafic entreprise passe par le VPN. Full tunnel = tout le trafic.

IPsecProtocole

Suite de protocoles sécurisant IP. AH (Authentication Header) = intégrité + authentification. ESP (Encapsulating Security Payload) = intégrité + authentification + chiffrement. Modes : Transport (hôte à hôte, protège payload) et Tunnel (réseau à réseau, protège tout le paquet).

IKE (Internet Key Exchange) = échange des clés de chiffrement en deux phases.

802.1X — Authentification port-basedStandard

Authentification réseau par port switch ou AP Wi-Fi. Trois rôles : Supplicant (client cherchant l'accès), Authenticator (switch/AP), Authentication Server (RADIUS). Protocole EAP pour l'échange d'authentification.

Avant authentification : seul le trafic EAPOL est autorisé. Après : port débloqué.

ARP SpoofingAttaque

L'attaquant envoie de fausses réponses ARP pour associer son adresse MAC à l'IP de la passerelle (ou d'un autre hôte). Résultat : le trafic est redirigé vers l'attaquant (attaque Man-in-the-Middle).

Contre-mesures : DAI (Dynamic ARP Inspection) sur le switch, DHCP Snooping, chiffrement du trafic.

DHCP SnoopingSécurité L2

Protection contre les serveurs DHCP non autorisés. Ports "trusted" (vrais serveurs DHCP) vs "untrusted" (clients). Les messages DHCP OFFER/ACK venant d'un port untrusted sont bloqués. Construit une base d'associations IP-MAC-port utilisée par DAI et IP Source Guard.

VLAN HoppingAttaque

Attaque permettant d'accéder à un VLAN non autorisé. Deux méthodes : Switch Spoofing (l'attaquant prétend être un switch et négocie un trunk) ou Double Tagging (trame avec double tag 802.1Q pour traverser les switches).

Contre-mesures : désactiver DTP (switchport nonegotiate), changer le VLAN natif (≠ VLAN 1), désactiver les ports inutilisés.

Port SecuritySwitch

Fonctionnalité Cisco limitant les adresses MAC autorisées sur un port. Protège contre le MAC flooding (saturation de la table CAM). Actions en cas de violation : restrict (log), protect (drop), shutdown (port en err-disable).

TLS — Transport Layer SecurityChiffrement

Protocole de chiffrement des communications sur Internet (remplace SSL). Utilisé par HTTPS, SMTPS, IMAPS, LDAPS. Handshake : échange de certificats, négociation d'algorithmes, établissement clé de session symétrique (AES).

TLS 1.3 = le plus récent et sécurisé. TLS 1.0/1.1 = obsolètes, à désactiver. SSL = vulnérable (POODLE, BEAST).

PKI — Public Key InfrastructureCertificats

Infrastructure de gestion des certificats numériques X.509. Composants : CA (Autorité de Certification), RA (Autorité d'Enregistrement), CRL (liste de révocation), OCSP (vérification en temps réel). La CA signe les certificats avec sa clé privée.

| By La-BaVuUr3-38 |

🌍

Technologies WAN

Liaisons longue distance, opérateurs, MPLS, SD-WAN

Technologie	Support	Débit typique	Symétrique	Caractéristiques
ADSL	Paire de cuivre	Montant ~1Mb / Descendant ~20Mb	❌	Asymétrique, distance limite ~5km du DSLAM
VDSL2	Paire de cuivre	Jusqu'à 200Mb/100Mb	Partielle	Fibre + cuivre (FTTN/FTTB), distance ~500m
FTTH (Fibre)	Fibre optique	100Mb à 10Gb	✅	GPON/XGS-PON, ONT chez l'abonné, très faible latence
MPLS	Réseau opérateur	Variable (2Mb à nGb)	✅	Labels, QoS garanti, VPN L2/L3, SLA, coûteux
SD-WAN	Tout lien IP	Dépend des liens	—	Gestion centralisée, multi-liens (MPLS+Internet+4G), moins cher que MPLS
4G LTE	Radio cellulaire	Jusqu'à 150Mb	Partielle	Nomadisme, secours WAN, latence ~30-50ms
5G	Radio cellulaire	>1Gb (théorique)	Partielle	Très faible latence (<10ms), eMBB/URLLC/mMTC
Leased Line	Fibre dédiée	Variable	✅	Dédiée, très fiable, très coûteuse, SLA strict
PPPoE	Ethernet	Dépend du lien	—	Encapsulation PPP sur Ethernet, auth CHAP/PAP, utilisé par FAI

MPLS — Multiprotocol Label SwitchingWAN

Technologie réseau opérateur utilisant des étiquettes (labels) pour acheminer les paquets sans examiner l'en-tête IP à chaque saut. LSR (Label Switch Router) commute sur le label. Permet la QoS, les VPN, et est très rapide.

Labels ajoutées entre couche 2 et couche 3 (shim header). Ingress LSR = ajoute le label, Egress LSR = retire le label.

SD-WAN — Software Defined WANWAN

Gestion logicielle du WAN permettant d'utiliser plusieurs types de liens (MPLS, Internet, 4G) de façon coordonnée. Le contrôleur centralisé distribue les politiques. Réduit les coûts MPLS en ajoutant de l'Internet. Priorité intelligente du trafic.

QoS — Quality of ServicePriorisation

Mécanisme de priorisation du trafic réseau. Assure que les applications critiques (VoIP, vidéo) obtiennent la bande passante et la latence nécessaires. Techniques : DSCP (marquage), files d'attente (FIFO, WFQ, CBWFQ), shaping, policing.

Priorité recommandée : VoIP (EF) > Vidéo (AF41) > Business critical > Best effort

| By La-BaVuUr3-38 |

📊

Supervision & Outils réseau

SNMP, Syslog, NetFlow, analyse de paquets

SNMP v1/v2c/v3Supervision

Simple Network Management Protocol — Protocole standard de supervision des équipements réseau (CPU, RAM, interfaces, bande passante, erreurs). Fonctionnement : NMS (gestionnaire) interroge les agents SNMP. Traps = alertes envoyées spontanément par l'agent.

v1/v2c = communautés en clair (insécure). v3 = auth (MD5/SHA) + chiffrement (DES/AES) obligatoire en prod. Port 161 (requêtes) / 162 (traps).

MIB & OIDSNMP

Management Information Base — Base de données hiérarchique (arbre) décrivant tous les objets supervisables d'un équipement. Chaque objet est identifié par un OID (Object Identifier) sous forme de nombres pointés (ex: 1.3.6.1.2.1.1.1 = sysDescr).

SyslogLogs

Protocole d'envoi centralisé de messages de log vers un serveur Syslog (ex: Graylog, Splunk, ELK). Utilisé par routeurs, switches, firewalls, serveurs Linux. 8 niveaux de sévérité (0=Emergency critique → 7=Debug verbeux).

Port 514/UDP (non fiable). Syslog over TLS = port 6514/TCP (sécurisé). Parseurs : rsyslog, syslog-ng.

NetFlow / IPFIX / sFlowAnalyse flux

Analyse des flux réseau (qui parle à qui, combien de données, quand). NetFlow = Cisco propriétaire (v5/v9). IPFIX = standard IETF basé sur NetFlow v9. sFlow = sampling (1 paquet sur N analysé, moins d'impact CPU).

Indispensable pour la détection d'anomalies, la facturation, la sécurité (détection DDoS, exfiltration).

ICMP — Ping & TracerouteDiagnostic

Internet Control Message Protocol — Protocole de diagnostic réseau L3. Ping = echo request/reply pour tester la connectivité et mesurer la latence (RTT). Traceroute = exploite le champ TTL pour cartographier le chemin des paquets et identifier les sauts.

TTL décrémenté à chaque saut. Quand TTL=0, le routeur renvoie ICMP "Time Exceeded" → Traceroute capture cela pour chaque saut.

WiresharkAnalyse

Analyseur de paquets (sniffer) graphique et multiplateforme. Capture et analyse le trafic réseau en temps réel ou depuis des fichiers .pcap. Filtres BPF (capture) et filtres d'affichage. Indispensable pour le dépannage et la sécurité.

Filtres utiles : tcp.port==80 (HTTP), ip.addr==192.168.1.1, http.request, dns. tcpdump = version CLI Linux.

NmapAudit

Network Mapper — Scanner réseau de référence. Découverte d'hôtes actifs, scan de ports ouverts, détection de services et versions, fingerprinting OS. Scripts NSE pour des tests avancés.

-sS = SYN scan (furtif), -sV = versions, -O = OS, -A = agressif. Toujours utiliser avec autorisation !

Centreon / Nagios / ZabbixNMS

Solutions de supervision infrastructure. Nagios = moteur open-source historique. Centreon = surcouche Nagios avec interface moderne. Zabbix = supervision complète (agents, SNMP, JMX, traces). Alertes email/SMS, graphiques de performance.

NRPE (Nagios) / Zabbix Agent = exécution de checks sur les hôtes distants. SNMP = pour les équipements réseau.

| By La-BaVuUr3-38 |

📋

DNS & DHCP en détail

Résolution de noms, enregistrements, attribution dynamique

DNS — Le "annuaire" d'Internet Le DNS (Domain Name System) traduit les noms humains (google.com) en adresses IP (142.250.74.46). Sans DNS, il faudrait connaître par cœur l'adresse IP de chaque site. La résolution est hiérarchique et mise en cache.

Enregistrement	Signification	Exemple	Usage
A	Address	monsite.com → 93.184.216.34	Résolution nom vers IPv4
AAAA	IPv6 Address	monsite.com → 2606:2800:220:1::	Résolution nom vers IPv6
CNAME	Canonical Name	www.monsite.com → monsite.com	Alias pointant vers un autre nom
MX	Mail Exchanger	monsite.com → mail.monsite.com (prio 10)	Serveur de messagerie du domaine
PTR	Pointer	34.216.184.93.in-addr.arpa → monsite.com	Reverse DNS (IP → nom)
NS	Name Server	monsite.com → ns1.hebergeur.com	Serveurs DNS autoritaires du domaine
SOA	Start of Authority	Serial, Refresh, Retry, Expire, TTL	Infos administratives de la zone DNS
TXT	Text	v=spf1 include:... → SPF record	SPF, DKIM, DMARC, vérification domaine
SRV	Service	_sip._tcp.monsite.com → sipserver:5060	Localisation de services (SIP, LDAP, XMPP)

Processus de résolution DNS 1. Cache local (fichier hosts, cache OS) → 2. Serveur DNS récursif (fourni par DHCP/FAI) → 3. Serveur Root (.) → 4. Serveur TLD (.com, .fr) → 5. Serveur autoritaire du domaine → Réponse mise en cache selon TTL.

DNS Récursif vs AutoritaireDNS

Résolveur récursif = interroge d'autres serveurs DNS pour le compte du client (ex: 8.8.8.8 Google, 1.1.1.1 Cloudflare). Serveur autoritaire = détient la réponse finale pour sa zone (ex: le serveur DNS de votre hébergeur).

TTL (DNS)Cache

Time To Live — Durée en secondes pendant laquelle un enregistrement DNS est mis en cache. TTL court (300s) = propagation rapide des changements. TTL long (86400s) = moins de requêtes mais changements lents à propager.

🔄

DHCP — Processus DORA

Dynamic Host Configuration Protocol

DORA — 4 étapes d'attribution IP D = Discover (broadcast, le client cherche un serveur DHCP) → O = Offer (le serveur propose une IP) → R = Request (le client accepte l'offre) → A = Acknowledge (le serveur confirme et attribue l'IP, masque, GW, DNS, durée du bail)

Étape DORA	Type message	Src → Dst	Description
Discover	DHCPDISCOVER	0.0.0.0 → 255.255.255.255 (broadcast)	Le client broadcast pour trouver un serveur DHCP
Offer	DHCPOFFER	Serveur → broadcast	Le serveur propose une IP disponible + paramètres
Request	DHCPREQUEST	0.0.0.0 → 255.255.255.255	Le client accepte l'offre et le fait savoir (en broadcast pour informer les autres serveurs)
Acknowledge	DHCPACK	Serveur → client	Confirmation définitive — le bail commence

Bail DHCP (Lease)DHCP

Durée de validité d'une adresse IP attribuée par DHCP. À 50% du bail, le client tente de renouveler (DHCPREQUEST unicast). À 87.5%, il re-broadcast. Si pas de renouvellement → libération de l'IP.

DHCP Relay (ip helper-address)DHCP

Permet au serveur DHCP de fonctionner sur un sous-réseau différent des clients. Le routeur intercepte les broadcasts DHCP et les relaie en unicast vers le serveur distant.

Cisco : ip helper-address [IP serveur DHCP] sur l'interface cliente du routeur.

| By La-BaVuUr3-38 |

🔌

Câblage & Normes physiques

Catégories Ethernet, fibre, connecteurs, PoE

Catégorie	Débit max	Distance max	Fréquence	Notes
Cat 5e	1 Gb/s	100 m	100 MHz	Standard LAN courant, très répandu
Cat 6	10 Gb/s	55 m (10G) / 100m (1G)	250 MHz	10G sur courte distance, blindage partiel
Cat 6A	10 Gb/s	100 m	500 MHz	10G sur 100m, blindage amélioré (STP), plus rigide
Cat 7	10 Gb/s	100 m	600 MHz	Blindage total (S/FTP), connecteur GG45 ou TERA
Cat 8	25-40 Gb/s	30 m	2000 MHz	Datacenters, liaisons serveur-switch courtes

T568A / T568B — Brochage RJ45Norme

Normes de brochage des 8 fils dans un connecteur RJ45. T568B = standard le plus utilisé en Europe et Amérique (blanc-orange, orange, blanc-vert, bleu, blanc-bleu, vert, blanc-marron, marron). Câble croisé = T568A d'un côté, T568B de l'autre (obsolète grâce à l'Auto-MDIX).

Fibre monomode (SMF)Optique

Une seule trajectoire de lumière (cœur très fin ~9µm). Longues distances (plusieurs dizaines de km). Émetteurs laser. Câble jaune généralement. Utilisé pour les liaisons inter-sites, métro, WAN.

Fibre multimode (MMF)Optique

Plusieurs trajectoires lumineuses (cœur ~50 ou 62.5µm). Courtes distances (<2km). Émetteurs LED ou VCSEL. Câble orange (OM1/OM2) ou aqua (OM3/OM4). Utilisé dans les datacenters et bâtiments.

SFP / SFP+ / QSFPModule

Small Form-factor Pluggable — Modules enfichables permettant d'adapter le type de liaison (cuivre ou fibre, différentes distances) sur un switch ou routeur. Échangeables à chaud.

SFP = 1 Gb/s. SFP+ = 10 Gb/s. SFP28 = 25 Gb/s. QSFP+ = 40 Gb/s. QSFP28 = 100 Gb/s.

PoE — Power over EthernetAlimentation

Alimentation électrique via le câble Ethernet — permet d'alimenter des équipements (AP Wi-Fi, téléphones IP, caméras IP) sans câble d'alimentation séparé. Le switch PoE fournit le courant.

PoE (802.3af) = 15.4W. PoE+ (802.3at) = 30W. PoE++ (802.3bt) = 60-100W. Budget total = somme de tous les ports PoE.

Auto-MDIXEthernet

Fonctionnalité des équipements modernes détectant automatiquement le type de câble (droit ou croisé) et s'adaptant. Élimine le besoin de câbles croisés entre équipements de même type (switch-switch, PC-PC).

| By La-BaVuUr3-38 |

🛡️

Haute Disponibilité & Redondance

VRRP, HSRP, failover, QoS, agrégation de liens

VRRP — Virtual Router Redundancy ProtocolStandard

Protocole standard (RFC 5798) de redondance de passerelle. Plusieurs routeurs partagent une adresse IP virtuelle. Un routeur est "Master" (actif), les autres sont "Backup". Si le Master tombe, un Backup prend le relais en secondes.

Priorité 100 par défaut. Priorité la plus haute = Master. IP virtuelle = adresse de passerelle des hôtes.

HSRP — Hot Standby Router ProtocolCisco

Équivalent Cisco propriétaire de VRRP. Actif/Standby. Le routeur Actif répond à l'IP virtuelle. Le Standby prend le relais si l'Actif ne répond plus aux hello. Possibilité de configurer plusieurs groupes HSRP.

GLBP (Gateway Load Balancing Protocol) = Cisco, permet la répartition de charge entre plusieurs routeurs (pas juste actif/passif).

Failover Actif/Passif vs Actif/ActifHA

Actif/Passif : un équipement traite le trafic, l'autre attend (en veille). Basculement en cas de panne. Ressources en veille = gaspillage mais simplicité.
Actif/Actif : les deux équipements traitent du trafic simultanément (load-sharing). Meilleure utilisation mais plus complexe.

SLA — Service Level AgreementContrat

Engagement contractuel sur la qualité et disponibilité du service réseau. Définit : taux de disponibilité (99.99% = "4 nines" = 52 min downtime/an), latence maximale, bande passante garantie, temps de résolution des incidents.

QoS — Quality of ServiceTrafic

Mécanismes de priorisation du trafic réseau pour garantir les performances des applications critiques. Phases : Classification (identifier le trafic), Marquage (DSCP), Mise en file d'attente (queuing), Shaping/Policing (contrôle du débit).

DSCP EF (46) = VoIP priorité max. DSCP AF41 = vidéo. DSCP BE (0) = best effort. Marquage en entrée du réseau, respecté à chaque saut.

| By La-BaVuUr3-38 |

🚪

Ports & Commandes essentielles

À connaître par cœur pour l'examen

Méthode de mémorisation des ports Associe chaque port à son service : 20/21=FTP (fich.transfer), 22=SSH (sécurisé), 23=Telnet (non sécurisé), 25=SMTP (mail sortant), 53=DNS (annuaire), 80=HTTP (web), 443=HTTPS (web sécurisé), 3389=RDP (bureau distant).

💻

Commandes de diagnostic

Linux, Windows & Cisco IOS

| By La-BaVuUr3-38 |

📖

Glossaire général — Termes fondamentaux

Tous les termes réseau à maîtriser

| By La-BaVuUr3-38 |

🔄

NAT / PAT / SNAT / DNAT — Traduction d'adresses

Network Address Translation — mécanismes, types et cas d'usage

Pourquoi le NAT existe-t-il ? L'espace d'adressage IPv4 (≈4,3 milliards d'adresses) est épuisé depuis 2011. Le NAT permet à des milliers de machines utilisant des adresses privées (RFC 1918) de partager quelques adresses publiques routables sur Internet. C'est le routeur ou firewall de bordure qui effectue la traduction.

NAT Statique (Static NAT)1:1

Correspondance fixe et permanente entre une adresse IP privée et une adresse IP publique. Chaque machine privée a sa propre IP publique dédiée. La traduction est bidirectionnelle : l'hôte interne peut être joint depuis Internet via son IP publique.

Usage : exposer un serveur interne (web, mail) sur Internet avec une IP publique fixe. Problème : 1 IP publique par machine → consomme les adresses.

ip nat inside source static 192.168.1.10 203.0.113.10

NAT Dynamique (Dynamic NAT)Pool

Correspondance dynamique entre adresses privées et un pool d'adresses publiques. Quand un hôte privé initie une connexion, une IP publique libre du pool lui est attribuée temporairement. Si le pool est épuisé, nouvelles connexions refusées.

Usage : quand on a plusieurs IP publiques à répartir. Moins courant que PAT. La table NAT est vidée après timeout.

ip nat pool MONPOOL 203.0.113.1 203.0.113.10 netmask 255.255.255.240

PAT — Port Address TranslationN:1

Aussi appelé NAT overload ou NAPT. Permet à des milliers de machines privées de partager une seule IP publique en différenciant les sessions par le numéro de port source. C'est ce que fait votre box internet.

Jusqu'à ~65 000 sessions simultanées par IP publique (ports 1-65535). C'est le NAT le plus utilisé dans le monde.

ip nat inside source list ACL_LAN interface GigabitEthernet0/1 overload

SNAT — Source NATSortant

Traduction de l'adresse IP source d'un paquet. Utilisé pour les connexions sortantes (LAN → Internet). Le routeur/firewall remplace l'IP privée source par une IP publique avant d'envoyer sur Internet. PAT est une forme de SNAT.

iptables : -t nat -A POSTROUTING -o eth0 -j MASQUERADE (SNAT dynamique) ou -j SNAT --to-source 203.0.113.1

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE

DNAT — Destination NATEntrant

Traduction de l'adresse IP destination d'un paquet. Utilisé pour les connexions entrantes (Internet → serveur interne). Le routeur/firewall redirige le trafic arrivant sur l'IP publique vers un serveur privé interne. C'est le mécanisme du port forwarding.

Exemple : trafic entrant sur IP_publique:443 → redirigé vers 192.168.1.10:443 (serveur web interne)

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j DNAT --to-destination 192.168.1.10:443

Port Forwarding (redirection de port)DNAT

Application concrète du DNAT. Redirige un port public vers un serveur interne. Exemple : port 80 de l'IP publique → serveur web 192.168.1.50:80. Indispensable pour exposer des services internes sur Internet sans IP publique dédiée.

Configurable sur pfSense : Firewall → NAT → Port Forward. Sur box FAI : onglet "NAT/PAT" ou "Règles". Attention : exposer RDP (3389) directement = risque majeur.

NAT Hairpinning (NAT Loopback)Avancé

Permet à un client interne d'atteindre un serveur interne via son adresse IP publique. Sans hairpinning, un client LAN ne peut pas joindre le serveur LAN via l'IP publique (la requête revient sur le firewall côté interne et n'est pas redirigée). Doit être explicitement activé.

pfSense : cocher "NAT Reflection" dans les règles de port forward. Utile quand le DNS interne pointe vers l'IP publique.

MASQUERADELinux/iptables

Variante du SNAT sous Linux/iptables où l'adresse source est automatiquement remplacée par l'IP de l'interface de sortie, même si cette IP change (DHCP). Pratique pour les connexions Internet dynamiques. Plus flexible que SNAT mais légèrement plus lent.

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

🗂️

Table NAT — Comment ça fonctionne

Mécanisme interne de traduction

Le NAT est stateful Le routeur/firewall maintient une table des connexions actives (5-tuple : protocole, IP src, port src, IP dst, port dst). Quand la réponse arrive de l'extérieur, il retrouve l'entrée correspondante et restitue l'adresse privée originale. Sans cette table, les réponses ne pourraient pas être retranslées.

Concept	Terminologie Cisco	Description
Inside Local	IP source originale	Adresse IP privée de l'hôte interne (ex: 192.168.1.10) — vue depuis l'intérieur
Inside Global	IP source traduite	Adresse IP publique représentant l'hôte interne côté Internet (ex: 203.0.113.1:45678)
Outside Global	IP destination réelle	Adresse IP publique du serveur distant (ex: 142.250.74.46 = Google)
Outside Local	IP destination vue interne	Adresse avec laquelle l'hôte interne pense parler (souvent = Outside Global)

⚖️

Comparatif des types NAT

Type	Ratio	Direction	Ports traduits	Usage principal	Accessible depuis Internet
NAT Statique	1:1	Bi-directionnel	Non	Serveur exposé	✅ Oui (IP fixe)
NAT Dynamique	N:Pool	Sortant	Non	Pool IPs publiques	❌ Non (temporaire)
PAT / Overload	N:1	Sortant	✅ Oui	Box internet, LAN entreprise	❌ Non (sans port forward)
DNAT / Port Forward	1:1 (port)	Entrant	✅ Oui	Exposer service interne	✅ Oui (via port spécifique)
MASQUERADE	N:1	Sortant	✅ Oui	Linux gateway dynamique	❌ Non

Limites et problèmes du NAT Le NAT brise le principe de bout en bout d'Internet. Protocoles problématiques : FTP actif (le serveur doit initier une connexion vers le client → bloqué), SIP/VoIP (l'IP privée est dans le payload, pas l'en-tête), IPsec en mode transport. Solutions : ALG (Application Layer Gateway), STUN/TURN pour VoIP, VPN. IPv6 élimine le besoin du NAT grâce à l'espace d'adressage quasi-illimité.

| By La-BaVuUr3-38 |

🛡️

Sécurité réseau avancée

Attaques, mécanismes de défense, VPN, firewall, IDS/IPS

💀

Attaques réseau courantes

À connaître : principe + contre-mesure

ARP Spoofing / ARP PoisoningMitM

L'attaquant envoie de fausses réponses ARP pour associer sa MAC à l'IP d'un hôte légitime (ex: la passerelle). Les victimes envoient leur trafic vers l'attaquant → Man-in-the-Middle. ARP n'a aucune authentification nativement.

Contre-mesures : Dynamic ARP Inspection (DAI) sur switch manageable, ARP statique, détection via Wireshark (doublons ARP), 802.1X.

arpspoof -i eth0 -t 192.168.1.1 192.168.1.100

DHCP Starvation + Rogue DHCPL2

Starvation : l'attaquant envoie des milliers de DHCPDISCOVER avec de fausses MAC pour épuiser le pool DHCP. Plus d'IP disponibles pour les vrais clients.
Rogue DHCP : l'attaquant installe un faux serveur DHCP qui distribue sa propre passerelle → tout le trafic passe par lui.

Contre-mesure : DHCP Snooping (switch ne fait confiance qu'aux ports autorisés pour répondre au DHCP). Port Security pour limiter les MAC par port.

DNS Spoofing / Cache PoisoningL7

L'attaquant injecte de faux enregistrements DNS dans le cache d'un résolveur. Les clients interrogeant ce résolveur obtiennent une fausse adresse IP et sont redirigés vers un site malveillant (phishing, vol d'identifiants).

Contre-mesure : DNSSEC (signatures cryptographiques des enregistrements), DoH/DoT (DNS over HTTPS/TLS), randomisation du port source et de l'ID de transaction.

DoS / DDoSDisponibilité

Denial of Service : saturation d'une cible (serveur, lien réseau) pour la rendre indisponible. DDoS = attaque distribuée depuis des milliers de machines (botnet). Types : volumétrique (flood UDP/ICMP), protocol (SYN flood), applicatif (HTTP flood).

SYN flood : envoyer des SYN sans jamais envoyer le ACK → tables de connexions saturées. Contre-mesure : SYN cookies, rate-limiting, scrubbing center, CDN/Anycast.

VLAN HoppingL2

Technique permettant d'accéder à un VLAN non autorisé. Deux méthodes : Switch Spoofing (l'attaquant négocie un trunk avec le switch) et Double Tagging (ajouter deux tags 802.1Q, le premier est retiré par le switch, le second subsiste et atterrit dans le VLAN cible).

Contre-mesures : désactiver DTP, changer le VLAN natif (utiliser un VLAN dédié inutilisé), désactiver les ports inutilisés, Port Security.

MAC FloodingL2

Saturation de la table CAM du switch avec des milliers de fausses adresses MAC. Le switch ne pouvant plus associer MAC → port, il passe en mode fail-open (broadcast sur tous les ports = comportement hub). L'attaquant reçoit alors tout le trafic.

Contre-mesure : Port Security (limiter le nombre de MAC apprises par port, ex: max 1 ou 2 MAC par port). En cas de violation : shutdown du port.

macof -i eth0 # outil de MAC flooding (à des fins éducatives uniquement)

Man-in-the-Middle (MitM)Interception

L'attaquant s'interpose entre deux parties communicantes. Il peut lire, modifier ou réinjecter le trafic. Vecteurs courants : ARP Spoofing, Rogue AP Wi-Fi, SSL Stripping (forcer HTTP au lieu de HTTPS), DNS Spoofing.

Contre-mesures : HTTPS partout (HSTS), certificats valides, DNSSEC, VPN, 802.1X, méfiance des réseaux Wi-Fi publics.

Attaque par Brute-Force / DictionnaireAuth

Brute-force : essai exhaustif de toutes les combinaisons de mots de passe. Dictionnaire : liste prédéfinie de mots de passe courants. Cibles : SSH, RDP (3389), HTTP admin, FTP. Tools : Hydra, Medusa, Ncrack.

Contre-mesures : fail2ban (blocage IP après N échecs), limitation des tentatives, MFA, clés SSH, désactivation des comptes par défaut, changer les ports par défaut (sécurité par l'obscurité).

hydra -l admin -P passwords.txt ssh://192.168.1.1

🔐

VPN — Virtual Private Network

IPsec, SSL/TLS, OpenVPN, WireGuard

IPsec — Site-to-Site VPNL3

Suite de protocoles cryptographiques sécurisant les communications IP. Deux composants : AH (Authentication Header, intégrité uniquement) et ESP (Encapsulating Security Payload, chiffrement + intégrité). Deux modes : Transport (hôte à hôte, en-têtes originaux conservés) et Tunnel (site à site, paquet entier encapsulé).

Phase 1 (IKE) : négociation des algorithmes, échange de clés Diffie-Hellman, authentification. Phase 2 : création du tunnel de données (SA).

OpenVPNSSL/TLS

VPN open-source basé sur SSL/TLS. Utilise le port UDP 1194 (ou TCP). Traverse facilement les firewalls et NAT (contrairement à IPsec). Authentification par certificats X.509 ou login/mdp. Très utilisé en entreprise pour les accès distants (Road Warrior).

pfSense intègre OpenVPN nativement. Client : OpenVPN Community ou Viscosity. Configuration exportable depuis pfSense directement.

WireGuardModerne

VPN moderne, léger et très rapide. Code source minimaliste (~4000 lignes vs 70 000 pour OpenVPN). Basé sur Curve25519 (échange de clés), ChaCha20 (chiffrement), Poly1305 (authentification). Port UDP configurable. Intégré au noyau Linux depuis 5.6.

Performances 3-5x supérieures à OpenVPN. Idéal pour les mobiles (reconnexion rapide). Supporte le roaming d'IP. Implémenté dans pfSense (paquet wireguard).

🔍

IDS / IPS — Détection et prévention d'intrusion

Critère	IDS (Intrusion Detection System)	IPS (Intrusion Prevention System)
Mode	Passif (copie du trafic / port miroir)	Inline (dans le flux réseau)
Action	Alerte uniquement, aucun blocage	Bloque, rejette, réinitialise la connexion
Impact si fail	Aucun (hors du flux)	Peut perturber le trafic légitime
Faux positifs	Tolérable (pas de blocage)	Critique (peut bloquer le trafic légitime)
Position réseau	Copie via SPAN/TAP	Entre firewall et LAN (inline)
Outils open-source	Snort (mode IDS), Zeek, Suricata	Snort (mode IPS), Suricata inline

Méthodes de détection IDS/IPS Basée sur signatures (règles prédéfinies, rapide mais ne détecte pas les 0-day) vs basée sur anomalies/comportement (crée un profil du trafic normal et alerte sur les déviations, plus efficace mais plus de faux positifs). Snort/Suricata utilisent des règles téléchargeables (Emerging Threats, Snort VRT).

🧱

Firewall — Types et fonctionnement

Firewall Stateless (filtrage de paquets)L3/L4

Analyse chaque paquet indépendamment selon des règles ACL (IP source, IP destination, port, protocole). Rapide mais basique : ne connaît pas le contexte de la connexion. Un paquet TCP sans SYN peut passer si la règle l'autorise.

ACL Cisco : permit tcp 192.168.1.0 0.0.0.255 any eq 80. Évaluées dans l'ordre, la première correspondance gagne. Toujours une deny any implicite en fin.

Firewall StatefulL4

Maintient une table d'état des connexions (state table). Connaît l'état de chaque session TCP (NEW, ESTABLISHED, RELATED). Autorise automatiquement le trafic de retour des connexions établies. Beaucoup plus intelligent et sécurisé.

pfSense, iptables (-m state --state ESTABLISHED,RELATED -j ACCEPT), Cisco ASA. Le trafic de retour est autorisé implicitement si la connexion initiale a été permise.

DMZ — Zone DémilitariséeArchitecture

Zone réseau intermédiaire entre Internet et le LAN interne. Héberge les serveurs accessibles depuis l'extérieur (web, mail, DNS public). Isolée par deux firewalls (ou un firewall à 3 interfaces). En cas de compromission d'un serveur DMZ, le LAN interne reste protégé.

Règles typiques : Internet → DMZ (ports 80/443). DMZ → LAN : interdit ou très restreint. LAN → DMZ : autorisé pour la gestion. LAN → Internet : autorisé via NAT.

| By La-BaVuUr3-38 |

🌐

IPv6 — Internet Protocol version 6

Adressage 128 bits, types d'adresses, SLAAC, cohabitation IPv4

Pourquoi IPv6 ? IPv4 = 4,3 milliards d'adresses, épuisées depuis 2011. IPv6 = 2¹²⁸ adresses ≈ 340 sextillions — assez pour donner une adresse à chaque grain de sable de la Terre, plusieurs fois. IPv6 élimine le besoin du NAT, simplifie le routage et intègre nativement IPsec et la mobilité.

Structure d'une adresse IPv6128 bits

128 bits écrits en 8 groupes de 4 chiffres hexadécimaux séparés par des ':'. Exemple : 2001:0db8:85a3:0000:0000:8a2e:0370:7334. Règles d'abréviation : (1) zéros de tête omissibles, (2) groupe(s) de 0000 consécutifs → '::' (une seule fois dans l'adresse).

2001:0db8:0000:0000:0000:0000:0000:0001 → 2001:db8::1. La notation :: peut remplacer une seule séquence de groupes nuls.

Adresse Link-LocalFE80::/10

Adresse automatiquement générée sur chaque interface IPv6. Préfixe FE80::/10. Non routable (reste sur le lien local). Utilisée pour les communications sur le segment local : découverte de voisins (NDP), routage OSPF/EIGRP, RA des routeurs. Obligatoire sur toute interface IPv6.

Générée à partir de l'adresse MAC via le format EUI-64 (on insère FF:FE au milieu de la MAC et on inverse le 7ème bit). Ex : MAC aa:bb:cc:dd:ee:ff → FE80::a8bb:ccff:fedd:eeff

Adresse Global Unicast (GUA)2000::/3

Équivalent des adresses publiques IPv4. Routable sur Internet. Préfixe 2000::/3 (commence par 2 ou 3). Structure : Préfixe opérateur (48 bits) + ID sous-réseau (16 bits) + ID interface (64 bits). Assignée par les FAI ou ARIN/RIPE.

2001:db8::/32 = plage réservée à la documentation et aux exemples (RFC 3849). Ne jamais router cette plage.

Adresse Unique Local (ULA)FC00::/7

Équivalent des adresses privées IPv4 (RFC 1918). Préfixe FC00::/7 (FC00:: ou FD00::). Non routable sur Internet. Utilisée pour les communications internes à une organisation. À générer aléatoirement (FD + 40 bits aléatoires) pour éviter les conflits lors de fusions de réseaux.

Contrairement aux adresses privées IPv4, les ULA ne nécessitent pas de NAT pour communiquer en interne. Chaque hôte garde son adresse unique.

Adresse Multicast IPv6FF00::/8

Préfixe FF00::/8. Remplace le broadcast IPv4 (inexistant en IPv6). Adresses importantes : FF02::1 = tous les nœuds du lien, FF02::2 = tous les routeurs, FF02::5/6 = OSPF, FF02::1:2 = serveurs DHCP. FF02::1:FFxx:xxxx = adresse de sollicitation de nœud (NDP).

Il n'y a PAS de broadcast en IPv6. Tout ce qui était broadcast en IPv4 utilise du multicast ciblé en IPv6.

SLAAC — Autoconfiguration sans étatRFC 4862

Stateless Address Autoconfiguration — Un hôte peut se configurer automatiquement en IPv6 sans serveur DHCP. Étapes : (1) Génération de l'adresse link-local, (2) DAD (Duplicate Address Detection), (3) Envoi d'un RS (Router Solicitation), (4) Le routeur répond avec un RA (Router Advertisement) contenant le préfixe, (5) L'hôte construit son GUA.

SLAAC donne l'adresse et la passerelle. Pour le DNS, il faut DHCPv6 ou les options RDNSS/DNSSL dans le RA (RFC 8106).

🔄

NDP — Neighbour Discovery Protocol

Remplace ARP en IPv6

Message NDP	Équivalent IPv4	Rôle
NS — Neighbour Solicitation	ARP Request	Demande la MAC associée à une adresse IPv6
NA — Neighbour Advertisement	ARP Reply	Répond avec sa propre adresse MAC
RS — Router Solicitation	—	Demande d'un RA au routeur (au démarrage de l'hôte)
RA — Router Advertisement	—	Annonce le préfixe, la passerelle, les flags SLAAC/DHCPv6
Redirect	ICMP Redirect	Indique un meilleur prochain saut pour une destination

🤝

Cohabitation IPv4 / IPv6

Dual-StackTransition

Un équipement dispose simultanément d'une adresse IPv4 et IPv6. Il utilise IPv6 si disponible, IPv4 sinon. C'est la méthode de transition recommandée. La majorité des OS modernes (Windows, Linux, macOS) sont dual-stack par défaut.

Tunneling 6in4 / 6to4Transition

Encapsule des paquets IPv6 dans des paquets IPv4 pour les transporter sur une infrastructure IPv4 uniquement. Protocole IP numéro 41. Techniques : 6in4 (tunnel manuel), 6to4 (automatique, adresses 2002::/16), Teredo (encapsulation UDP, traverse NAT).

| By La-BaVuUr3-38 |

📶

Wi-Fi — Réseaux sans fil 802.11

Standards, sécurité, modes de fonctionnement, dépannage

Standard	Nom commercial	Fréquence	Débit max théorique	Portée indoor
802.11b	—	2.4 GHz	11 Mb/s	~35m
802.11g	—	2.4 GHz	54 Mb/s	~38m
802.11n	Wi-Fi 4	2.4 + 5 GHz	600 Mb/s	~70m
802.11ac	Wi-Fi 5	5 GHz	6.9 Gb/s	~35m
802.11ax	Wi-Fi 6 / 6E	2.4 + 5 + 6 GHz	9.6 Gb/s	~35m
802.11be	Wi-Fi 7	2.4 + 5 + 6 GHz	46 Gb/s	~35m

🔒

Sécurité Wi-Fi

WEP — Wired Equivalent PrivacyOBSOLÈTE !

Premier protocole de sécurité Wi-Fi (RC4, clés 64 ou 128 bits). Complètement cassé depuis 2001. Un attaquant peut retrouver la clé en quelques minutes avec des outils comme aircrack-ng. À ne JAMAIS utiliser. Désactivé par défaut sur tous les équipements récents.

Si vous voyez WEP activé sur un réseau, c'est un réseau non sécurisé. Vecteur d'attaque trivial.

WPA / WPA2Courant

WPA (TKIP, RC4) = transition rapide post-WEP, vulnérable. WPA2 = AES-CCMP, robuste. Deux modes : Personal (PSK) = clé pré-partagée (mot de passe Wi-Fi), Enterprise (EAP/802.1X) = authentification individuelle via RADIUS. WPA2-PSK reste vulnérable aux attaques par dictionnaire sur le handshake 4-way.

WPA2-PMKID attack : capture de la trame PMKID (sans client connecté) puis attaque hors-ligne sur la clé PSK.

WPA3Moderne

Dernière génération (2018). Remplace PSK par SAE (Simultaneous Authentication of Equals) = protection contre les attaques par dictionnaire off-line (chaque authentification est unique, Dragonfly protocol). Forward Secrecy = capture passée du trafic inutilisable si la clé est compromise plus tard. WPA3-Enterprise : AES-256 + SHA-384.

802.1X — Wi-Fi EnterpriseAAA

Authentification port-based via RADIUS. Chaque utilisateur a ses propres identifiants (certificat ou login/mdp). Le trafic non authentifié est bloqué par l'AP. Méthodes EAP : EAP-TLS (certificats), PEAP (tunnel TLS + MSCHAPv2), EAP-TTLS. Standard pour les Wi-Fi entreprises sécurisées.

Trilogie : Supplicant (client) ↔ Authenticator (AP) ↔ Authentication Server (RADIUS). FreeRADIUS + Active Directory = implémentation libre courante.

Attaque Evil Twin / Rogue APAttaque

L'attaquant crée un faux point d'accès avec le même SSID que le réseau légitime. Les clients se connectent au faux AP (signal plus fort ou déauthentification forcée du vrai AP). L'attaquant devient MitM de toutes les connexions. Très courant dans les lieux publics.

Contre-mesures : WPA3 (validation mutuelle), WIDS (Wireless Intrusion Detection), VPN obligatoire sur tous les réseaux, HSTS.

Canaux Wi-Fi & InterférencesRF

2.4 GHz : 14 canaux de 20 MHz, seulement 3 non-chevauchants (1, 6, 11). Encombré (voisins, Bluetooth, micro-ondes). Meilleure portée.
5 GHz : plus de canaux non-chevauchants (20/40/80/160 MHz). Moins encombré, plus de débit, portée réduite.
6 GHz (Wi-Fi 6E) : très peu d'interférences, canaux larges disponibles.

Surveiller l'utilisation des canaux avec des outils comme inSSIDer, WiFi Analyzer. En entreprise, configurer les AP en mode automatique ou en planification RF soigneuse.

| By La-BaVuUr3-38 |

🏛️

Active Directory & Authentification

AD DS · Kerberos · LDAP · GPO · DNS · Sites · PowerShell

Qu'est-ce qu'Active Directory ? AD DS (Active Directory Domain Services) est l'annuaire d'entreprise Microsoft. Il centralise l'authentification, les autorisations et la configuration de tous les utilisateurs, ordinateurs et ressources d'un domaine Windows. Basé sur LDAP pour l'accès à l'annuaire et Kerberos pour l'authentification. Sans AD, chaque serveur gère ses propres comptes — avec AD, tout est centralisé.

Domain Controller (DC)Serveur

Serveur qui héberge Active Directory. Il authentifie les utilisateurs, applique les GPO et réplique les données AD avec les autres DCs. Un domaine doit avoir au minimum 2 DCs pour la redondance.

5 rôles FSMO : PDC Emulator, RID Master, Infrastructure Master (par domaine) + Schema Master, Domain Naming Master (par forêt). PDC Emulator = source de temps NTP du domaine.

Structure hiérarchique ADArchitecture

Forêt (Forest) → Arbre (Tree) → Domaine → OU (Organizational Unit) → Objets (Users, Computers, Groups, GPOs). La forêt est la limite de sécurité ultime. Les domaines d'une même forêt se font confiance mutuellement.

DN (Distinguished Name) : CN=Jean Dupont,OU=IT,DC=mondomaine,DC=local — identifie un objet de manière unique dans l'annuaire.

Kerberos — AuthentificationPort 88

Protocole d'authentification mutuelle par tickets chiffrés. Composants : KDC (Key Distribution Center = le DC), TGT (Ticket Granting Ticket), Service Ticket. Flux : AS-REQ → AS-REP (TGT) → TGS-REQ → TGS-REP (ticket service) → accès ressource.

NTP critique : si l'heure d'un poste dévie de plus de 5 min par rapport au DC, l'authentification Kerberos échoue. Le PDC Emulator est la source de temps du domaine.

LDAP dans ADPort 389/636

Protocole d'accès à l'annuaire AD. Port 389 (non chiffré), port 636 (LDAPS, chiffré TLS). Utilisé pour les requêtes, authentifications, et modifications d'objets AD. Tout client qui s'authentifie via AD utilise LDAP en arrière-plan.

ldapsearch -H ldap://dc1.mondomaine.local -b "DC=mondomaine,DC=local" "(sAMAccountName=jdupont)"

Global Catalog (GC)Port 3268

Catalogue contenant un sous-ensemble des attributs de tous les objets de la forêt. Indispensable pour : résoudre les groupes Universal, la connexion des utilisateurs dans une forêt multi-domaines, les recherches globales. Port LDAP 3268 (3269 LDAPS).

Toujours activer le GC sur tous les DCs dans un domaine unique. Si le GC est indisponible : connexions ralenties ou impossible dans une forêt multi-domaines.

RODC — Read-Only DCSécurité

DC en lecture seule, conçu pour les sites distants sans sécurité physique (agences). Ne stocke pas les mots de passe (sauf ceux explicitement autorisés via Password Replication Policy). En cas de vol : risque limité.

Le RODC transfère les authentifications qu'il ne peut pas satisfaire vers un DC complet (writable DC) sur le site hub.

👥

Groupes Active Directory

Types, portées et règle AGDLP

Règle AGDLP — à retenir par cœur Account → Global group → Domain Local group → Permission. Mettre les utilisateurs dans un groupe Global (par rôle métier), le Global dans un Domain Local (par ressource), et donner la permission au Domain Local. Scalable et maintenable.

Portée	Membres acceptés	Utilisable dans	Usage typique
Domain Local	Tout le monde (forêt)	Domaine local seulement	Assigner permissions sur ressources locales (partages, imprimantes)
Global	Même domaine uniquement	N'importe où dans la forêt	Regrouper utilisateurs par rôle métier : GRP_Comptabilité, GRP_IT
Universal	Toute la forêt	N'importe où dans la forêt	Accès multi-domaines, stocké dans le GC — utiliser avec parcimonie

Sécurité vs DistributionType

Sécurité : assigne des permissions sur des ressources NTFS, partages, GPO. Peut aussi servir de liste de diffusion mail. Distribution : uniquement pour les listes de diffusion mail (Exchange). Ne peut pas recevoir de permissions. Toujours préférer les groupes de Sécurité.

⚙️

GPO — Group Policy Object

Stratégies de groupe et ordre d'application

GPO — Ordre LSDOUStratégie

Les GPO s'appliquent dans l'ordre : Local → Site → Domain → OU (de la plus haute à la plus proche). La dernière appliquée l'emporte (sauf si "Enforced" ou "Block Inheritance"). Permet de centraliser la config : fond d'écran, politique mot de passe, pare-feu, logiciels, scripts.

gpupdate /force # Forcer application immédiate gpresult /r # GPO appliquées au compte courant gpresult /h rapport.html # Rapport HTML complet RSoP

Politique de mots de passe (PSO)Sécurité

Default Domain Policy : longueur min (≥12), complexité, durée max (90j), historique (24), seuil verrouillage (5 tentatives), durée verrouillage (30 min). Fine-Grained (PSO) : politique différente par groupe — ex: admins → 20 chars, 3 tentatives. Priorité : PSO > Default Domain Policy.

New-ADFineGrainedPasswordPolicy -Name "AdminPSO" -Precedence 10 -MinPasswordLength 20 -LockoutThreshold 3

🌐

DNS intégré à Active Directory

AD dépend entièrement du DNS

Règle d'or : AD = DNS Sans DNS fonctionnel, Active Directory ne fonctionne pas. Les clients trouvent le DC via des enregistrements SRV DNS. Diagnostic rapide : dcdiag /test:dns et nslookup -type=SRV _ldap._tcp.mondomaine.local.

Zones AD-IntegratedDNS

Zone DNS stockée directement dans la base AD (au lieu d'un fichier .dns). Avantages : réplication automatique entre DCs via AD, mises à jour dynamiques sécurisées (seuls les membres du domaine peuvent enregistrer), pas de zone primaire unique. À toujours utiliser en environnement AD.

Portée : ForestDNSZones (toute la forêt) ou DomainDNSZones (domaine uniquement).

Enregistrements SRV (AD)DNS

AD enregistre automatiquement des records SRV pour la localisation des services : _ldap._tcp.dom.local → DC, _kerberos._tcp.dom.local → KDC, _gc._tcp.dom.local → GC. Sans ces enregistrements, les clients ne trouvent pas le DC.

nslookup -type=SRV _ldap._tcp.mondomaine.local nslookup -type=SRV _kerberos._tcp.mondomaine.local

🗺️

Sites AD & Réplication

Topologie, KCC, USN, repadmin

Sites ADRéplication

Représentation d'un emplacement physique bien connecté. Les DCs d'un même site se répliquent en quelques secondes. Les DCs de sites différents via des Site Links (planifiés, compressés). Les clients s'authentifient sur le DC du site local en priorité (économise la WAN).

À créer dès que la liaison WAN est <100 Mb/s ou avec latence. Configurer dans "Sites et services Active Directory".

Réplication AD — KCC & USNTechnique

KCC (Knowledge Consistency Checker) : crée automatiquement la topologie de réplication optimale. USN (Update Sequence Number) : compteur per-DC, permet de savoir quelles modifications ont été répliquées. Tombstone : objet marqué supprimé, répliqué 180 jours avant suppression définitive.

repadmin /replsummary # État global réplication repadmin /showrepl # Détail des connexions dcdiag /test:replications # Diagnostic complet

Relations d'approbation (Trust)Multi-domaines

Permettent aux utilisateurs d'un domaine/forêt d'accéder aux ressources d'un autre. Intra-forêt : transitif automatique. External Trust : entre forêts différentes, non-transitif. Forest Trust : entre deux forêts entières, transitif.

⚠️ Piège d'examen : "A fait confiance à B" = utilisateurs de B accèdent aux ressources de A (sens inverse de l'intuition).

💻

PowerShell Active Directory

Module RSAT-AD-PowerShell — commandes essentielles pour l'examen

Commande	Action
Get-ADUser -Filter * -Properties *	Lister tous les utilisateurs avec tous leurs attributs
Get-ADUser -Identity "jdupont" -Properties MemberOf	Voir les groupes d'un utilisateur
New-ADUser -Name "Jean Dupont" -SamAccountName "jdupont" -Enabled $true	Créer un utilisateur
Set-ADUser -Identity "jdupont" -Department "IT" -Title "Admin Réseau"	Modifier les attributs d'un utilisateur
Disable-ADAccount -Identity "jdupont"	Désactiver un compte utilisateur
Add-ADGroupMember -Identity "GRP_Admins" -Members "jdupont"	Ajouter un utilisateur à un groupe
Get-ADGroupMember -Identity "GRP_Admins"	Lister les membres d'un groupe
Search-ADAccount -LockedOut \| Unlock-ADAccount	Déverrouiller tous les comptes verrouillés
Get-ADDomainController -Filter *	Lister tous les DCs du domaine
Import-Csv users.csv \| ForEach-Object { New-ADUser ... }	Création en masse depuis un CSV
Move-ADObject -Identity "CN=jdupont,OU=IT..." -TargetPath "OU=RH..."	Déplacer un objet entre OUs
Get-ADComputer -Filter {OperatingSystem -like "Server"}	Lister les serveurs Windows du domaine

🔒

Sécurité Active Directory

Attaques et contre-mesures

Pass-the-Hash / Pass-the-TicketAttaque

PtH : utiliser le hash NTLM d'un mot de passe pour s'authentifier sans connaître le mot de passe en clair. PtT : réutiliser un ticket Kerberos volé (TGT ou service ticket). Outils : Mimikatz, Impacket.

Contre-mesures : Protected Users group, Credential Guard, tiered admin model, LAPS (mots de passe locaux uniques par machine).

KerberoastingAttaque

Demander un ticket de service pour un compte avec SPN (Service Principal Name), puis craquer le hash hors-ligne. Les comptes de service avec des mots de passe faibles sont vulnérables. N'importe quel utilisateur du domaine peut effectuer cette attaque.

Contre-mesures : mots de passe longs et complexes (≥25 chars) pour les comptes de service, gMSA (Group Managed Service Accounts), surveiller les TGS-REQ anormaux.

DCSync & Golden TicketAttaque

DCSync : simuler un DC pour extraire tous les hashes AD via la réplication (nécessite privilèges Domain Admin ou Replication). Golden Ticket : forger un TGT valide en connaissant le hash du compte KRBTGT → accès illimité au domaine pour 10 ans.

Contre-mesures : réinitialiser le mot de passe KRBTGT 2x après un incident, surveiller les événements 4769 (TGS requests anormaux), ATA/Defender for Identity.

Ports réseau Active Directory à mémoriser TCP/UDP 88 = Kerberos · TCP/UDP 389 = LDAP · TCP 636 = LDAPS · TCP/UDP 53 = DNS · TCP 135 = RPC Endpoint Mapper · TCP 445 = SMB/SYSVOL · TCP 3268 = Global Catalog LDAP · TCP 3269 = GC LDAPS · TCP 49152-65535 = RPC dynamique (à autoriser entre DCs sur les firewalls)

| By La-BaVuUr3-38 |

🔧

Méthodologie de dépannage réseau

Approche OSI bottom-up, isolation des problèmes, commandes clés

La règle d'or du troubleshooting Ne jamais supposer, toujours vérifier. Commencer par le bas du modèle OSI (physique) et remonter couche par couche jusqu'à trouver la panne. Documenter chaque test effectué et son résultat.

📋

Méthode OSI Bottom-Up

Checklist de diagnostic couche par couche

Couche	Questions à se poser	Commandes / Actions
1 — Physique	Câble branché ? LED allumée ? Port switch actif ?	Vérification visuelle, test câble, swap port switch
2 — Liaison	Adresse MAC apprise ? VLAN correct ? STP en Forwarding ?	show mac address-table, show vlan brief, show spanning-tree
3 — Réseau	Adresse IP correcte ? Masque correct ? Passerelle joignable ?	ipconfig /all, ip addr, ping gateway, show ip route
4 — Transport	Port ouvert ? Service en écoute ? Firewall bloque ?	netstat -ano, ss -tulnp, telnet IP port, nmap
5-7 — Application	DNS fonctionne ? Service configuré correctement ? Logs ?	nslookup, dig, curl, journalctl, event viewer

🩺

Scénarios de panne courants

Pas d'adresse IP (169.254.x.x)DHCP

L'hôte a une adresse APIPA → le DHCP n'a pas répondu. Causes : serveur DHCP éteint, pool épuisé, VLAN incorrect sur le port switch, câble physique défaillant, service DHCP arrêté. L'hôte broadcast mais personne ne répond.

Diagnostiquer : ping 255.255.255.255 (broadcast local), ipconfig /release puis /renew, vérifier les logs du serveur DHCP, vérifier DHCP Snooping sur le switch (port trusted ?).

Ping OK mais navigation KODNS/HTTP

Connectivité IP fonctionne (couche 3 OK) mais le navigateur échoue. Causes les plus fréquentes : serveur DNS inaccessible ou mal configuré, proxy HTTP non configuré, filtrage HTTP sur le firewall, certificat TLS expiré ou bloqué.

Tester : nslookup google.com (DNS OK ?), curl http://8.8.8.8 (HTTP sans DNS), vérifier les paramètres proxy du navigateur, tester avec IP directe au lieu du nom.

Connectivité intermittenteL1/L2

La connexion coupe aléatoirement. Causes fréquentes : câble défaillant (coupure intermittente, paire cassée), duplex mismatch (un côté full, l'autre half → collisions), boucle L2 (STP qui converge), surcharge du lien, problème de driver NIC.

Diagnostiquer : show interface (compteurs d'erreurs, CRC, collisions), ping continu avec statistiques de pertes, test avec autre câble, vérifier négociation duplex/vitesse.

Pas d'accès à Internet (interne OK)NAT/Routage

Les ressources internes sont accessibles mais pas Internet. Causes : NAT mal configuré, route par défaut manquante sur le routeur, règle firewall bloquante en sortie, problème chez le FAI, DNS interne ne résout pas les noms externes.

Tester : ping 8.8.8.8 (routage), nslookup google.com 8.8.8.8 (DNS externe direct), traceroute (où ça s'arrête ?), vérifier les logs NAT/firewall.

🔍

Commandes de diagnostic avancées

ping — Options utilesICMP

Test de connectivité réseau de base via ICMP echo request/reply. Les statistiques indiquent la latence (RTT) et les pertes de paquets.

ping -t 8.8.8.8 # Windows : ping continu ping -c 100 8.8.8.8 # Linux : 100 paquets ping -s 1400 8.8.8.8 # Tester MTU (paquet de 1400 octets) ping -l 1472 8.8.8.8 # Windows : taille de payload

traceroute / tracertRoutage

Identifie chaque routeur (hop) sur le chemin vers la destination en exploitant le TTL. Si un hop affiche *** (timeout), ce routeur filtre les ICMP ou bloque (pas forcément une panne).

traceroute -n 8.8.8.8 # Linux, sans résolution DNS tracert /d 8.8.8.8 # Windows, sans résolution DNS traceroute -T -p 80 google.com # Via TCP port 80 (si ICMP filtré)

netstat / ssConnexions

Voir les ports en écoute et les connexions établies. Indispensable pour vérifier qu'un service tourne bien et sur quel port.

ss -tulnp # Linux : ports en écoute + PID netstat -ano # Windows : toutes connexions + PID netstat -ano | findstr :80 # Filtrer port 80 (Windows) ss -s # Statistiques réseau Linux

dig / nslookupDNS

Tester la résolution DNS manuellement, spécifier un autre serveur DNS, requêter des types d'enregistrements spécifiques.

dig google.com A # Enregistrement A dig google.com MX # Enregistrement MX (mail) dig @8.8.8.8 google.com # Utiliser DNS Google dig -x 8.8.8.8 # Reverse DNS nslookup google.com 1.1.1.1 # Windows avec DNS Cloudflare

| By La-BaVuUr3-38 |

🔬

Wireshark & Nmap — Analyse réseau

Filtres de capture, lecture de trames, scans de sécurité

🦈

Wireshark — Filtres essentiels

Filtres d'affichage (display filters) à connaître par cœur

Filtres de capture vs filtres d'affichage Filtres de capture (BPF) : appliqués avant la capture, syntaxe simplifiée (port 80, host 192.168.1.1). Filtres d'affichage : appliqués après, plus puissants (http, ip.addr == 192.168.1.1, tcp.flags.syn == 1). Les deux coexistent mais syntaxe différente.

Filtre Wireshark	Ce qu'il affiche
ip.addr == 192.168.1.10	Tout le trafic vers ou depuis cette IP
ip.src == 192.168.1.10	Trafic émis par cette IP uniquement
tcp.port == 80	Trafic TCP sur le port 80 (source ou destination)
http	Tout le trafic HTTP (layer 7)
dns	Toutes les requêtes et réponses DNS
tcp.flags.syn == 1 && tcp.flags.ack == 0	Paquets SYN initiaux (début de connexion TCP)
tcp.flags.rst == 1	Paquets RST (connexion refusée / réinitialisée)
arp	Tout le trafic ARP (résolution MAC)
icmp	Pings et messages ICMP
!(arp or dns or icmp)	Exclure le trafic de fond pour voir l'essentiel
frame contains "password"	Chercher le mot "password" dans toutes les trames
tcp.analysis.retransmission	Retransmissions TCP (indicateur de congestion/perte)
http.request.method == "POST"	Requêtes HTTP POST (soumissions de formulaires)
tls.handshake.type == 1	Client Hello TLS (début de session HTTPS)

📖

Lire un TCP 3-way Handshake dans Wireshark

Étapes à identifier dans la capture 1. Paquet SYN : flags=0x002, IP client → IP serveur, port dst = service (ex: 80). Seq=0 (relatif). 2. Paquet SYN-ACK : flags=0x012, IP serveur → IP client. Seq=0, Ack=1. 3. Paquet ACK : flags=0x010, client → serveur. Ack=1. La connexion est établie. Ensuite le trafic applicatif commence (HTTP GET, etc.). Fermeture normale : FIN-ACK → FIN-ACK → ACK. Fermeture brutale : RST.

🗺️

Nmap — Scans essentiels

Découverte réseau et audit de sécurité

Commande Nmap	Type de scan	Description
nmap 192.168.1.0/24	Découverte réseau	Scanner toutes les machines actives du réseau (ping scan + port scan basique)
nmap -sn 192.168.1.0/24	Ping sweep	Lister les hôtes actifs uniquement (pas de scan de ports)
nmap -sS 192.168.1.10	SYN scan (stealth)	Scan discret : envoie SYN, n'établit pas la connexion. Nécessite root/admin.
nmap -sV 192.168.1.10	Détection version	Détecte les services et leurs versions (Apache 2.4.41, OpenSSH 8.2…)
nmap -O 192.168.1.10	Détection OS	Fingerprinting du système d'exploitation via les spécificités de la pile TCP/IP
nmap -A 192.168.1.10	Scan agressif	-sV + -O + scripts NSE + traceroute. Très complet mais bruyant.
nmap -p 22,80,443 192.168.1.10	Ports spécifiques	Scanner uniquement les ports 22, 80 et 443
nmap -p- 192.168.1.10	Tous les ports	Scanner les 65 535 ports (lent)
nmap --script vuln 192.168.1.10	Scripts de vuln	Tester des vulnérabilités connues via les scripts NSE
nmap -sU -p 53,161 192.168.1.10	Scan UDP	Scanner les ports UDP (DNS, SNMP). Plus lent que TCP.

| By La-BaVuUr3-38 |

Utilisation légale de Nmap Scanner un réseau sans autorisation est illégal dans la plupart des pays. Nmap ne doit être utilisé que sur des réseaux dont vous êtes propriétaire ou pour lesquels vous avez une autorisation écrite. En milieu professionnel : toujours avoir un mandat/permission avant tout pentest ou audit.

🖥️

LAMP · WAMP · XAMPP · Stacks Web

Environnements de développement & serveurs applicatifs

Qu'est-ce qu'un stack web ? Un stack est un ensemble de logiciels qui fonctionnent ensemble pour héberger des applications web dynamiques. Chaque lettre de l'acronyme désigne une couche : OS, serveur web, base de données, langage de script.

LAMP Linux

Linux · Apache · MySQL/MariaDB · PHP
Stack classique en production sur serveurs Linux. Apache écoute sur le port 80/443, PHP traite les requêtes dynamiques, MySQL/MariaDB stocke les données. Base de la majorité des hébergements mutualisés.

sudo apt install apache2 php php-mysql mariadb-server

🔧 Config Apache : /etc/apache2/sites-available/ · PHP : /etc/php/ · MariaDB : /etc/mysql/

WAMP Windows

Windows · Apache · MySQL · PHP
Équivalent de LAMP pour Windows. WampServer est la distribution la plus connue. Idéal pour le développement local sous Windows. Inclut phpMyAdmin pour gérer les bases via interface graphique.

Dossier www : C:\wamp64\www\ Port par défaut : 80

⚠️ Non recommandé en production. Conflit possible avec IIS sur le port 80.

XAMPP Cross-platform

X (cross-platform) · Apache · MariaDB · PHP · Perl
Stack multiplateforme (Windows, Linux, macOS). Distribué par Apache Friends. Inclut Apache, MariaDB, PHP, Perl, phpMyAdmin et FileZilla FTP. Très utilisé pour les environnements de dev locaux.

sudo /opt/lampp/lampp start # Panel : http://localhost/dashboard/

Racine web Linux : /opt/lampp/htdocs/ · Windows : C:\xampp\htdocs\

MAMP macOS

MacOS · Apache · MySQL · PHP
Stack dédié macOS. MAMP Pro ajoute la gestion de virtual hosts, SSL local, et plusieurs versions PHP simultanément. Alternative moderne : Homebrew + nginx + PHP + MySQL.

brew install php mysql nginx

Port par défaut MAMP : 8888 (Apache) · 8889 (MySQL)

🌐

Apache & Nginx — Serveurs Web

Traitement des requêtes HTTP/HTTPS

Apache HTTP Server Port 80/443

Serveur web le plus répandu (40%+ des serveurs). Architecture orientée processus/thread. Très flexible via les modules (mod_rewrite, mod_ssl, mod_php). Config par fichiers .htaccess. Préféré avec PHP.

sudo systemctl start apache2 sudo a2ensite monsite.conf sudo a2enmod rewrite ssl sudo apache2ctl configtest

Logs : /var/log/apache2/access.log · error.log

Nginx Port 80/443

Serveur web + reverse proxy + load balancer. Architecture événementielle asynchrone (non-bloquant) → excellent pour les fortes charges. Moins de RAM qu'Apache. Utilisé en reverse proxy devant Apache ou Node.js. Config dans /etc/nginx/sites-available/.

sudo systemctl start nginx sudo nginx -t # Test config sudo nginx -s reload # Rechargement

Nginx gère mieux les fichiers statiques. Apache gère mieux le PHP via mod_php.

🗄️

Bases de Données Relationnelles (SGBDR)

MySQL · MariaDB · PostgreSQL · SQLite

SGBDR vs NoSQL Un SGBDR organise les données en tables avec relations (clés étrangères). Il utilise SQL pour les requêtes. NoSQL (MongoDB, Redis) est schéma-libre. Les SGBDR garantissent ACID : Atomicité · Cohérence · Isolation · Durabilité.

MySQL Port 3306

SGBDR open-source le plus utilisé au monde. Propriété d'Oracle depuis 2010. Moteur InnoDB par défaut (transactions ACID, clés étrangères). Très performant en lecture. Utilisé par WordPress, Drupal, la majorité des CMS.

sudo systemctl start mysql mysql -u root -p CREATE DATABASE mabase; GRANT ALL ON mabase.* TO 'user'@'localhost' IDENTIFIED BY 'pass';

Config : /etc/mysql/my.cnf · Data : /var/lib/mysql/ · Port : 3306

MariaDB Port 3306

Fork communautaire de MySQL créé par les développeurs originaux (Michael Widenius) en 2009, après le rachat par Oracle. Compatible drop-in avec MySQL. Moteur Aria + InnoDB. Meilleures performances sur certaines requêtes. Préféré sur les distributions Linux modernes (Ubuntu, Debian, Arch).

sudo apt install mariadb-server sudo mysql_secure_installation mariadb -u root -p SHOW DATABASES; SELECT User,Host FROM mysql.user;

Remplace MySQL sur LAMP moderne. Commandes identiques à MySQL. Socket : /run/mysqld/mysqld.sock

PostgreSQL Port 5432

SGBDR open-source avancé, le plus conforme au standard SQL. Supporte les types JSON/JSONB, les tableaux, les types géographiques (PostGIS), les index partiels, les fenêtres analytiques. Meilleur pour les données complexes et l'analytique. Utilisé par GitLab, Supabase, Django/Rails.

sudo apt install postgresql sudo -u postgres psql CREATE USER monuser WITH PASSWORD 'pass'; CREATE DATABASE mabase OWNER monuser; \c mabase # Connexion \dt # Lister tables

Config : /etc/postgresql/*/main/postgresql.conf · Auth : pg_hba.conf · Data : /var/lib/postgresql/

SQLite Fichier .db

Base de données embarquée — pas de serveur, tout dans un fichier .db. Idéale pour applications légères, mobiles, prototypes, tests automatisés. Utilisée par Android, Firefox, Python (bibliothèque standard). Limite : pas de multi-accès concurrent en écriture.

sqlite3 mabase.db .tables # Lister les tables .schema # Voir la structure SELECT * FROM users LIMIT 10; .quit

Fichier unique portable. Pas de service système. Intégré à Python : import sqlite3.

🔧

Outils d'Administration BDD

phpMyAdmin · pgAdmin · DBeaver · Adminer

phpMyAdmin Web UI

Interface web d'administration MySQL/MariaDB. Inclus dans WAMP/XAMPP. Permet de gérer bases, tables, requêtes SQL, utilisateurs, imports/exports CSV et SQL, optimisation des tables. Accessible via http://localhost/phpmyadmin.

sudo apt install phpmyadmin # URL : http://localhost/phpmyadmin # Sécuriser : restreindre l'accès par IP dans Apache

⚠️ Ne jamais exposer phpMyAdmin sur internet sans authentification forte + HTTPS.

pgAdmin Web / Desktop

Outil officiel d'administration PostgreSQL. Interface web ou application desktop. Permet la visualisation du schéma, l'exécution de requêtes, la gestion des rôles, la planification de sauvegardes et le monitoring des connexions actives.

sudo apt install pgadmin4 # URL : http://localhost/pgadmin4

Alternative légère : Adminer (1 fichier PHP, supporte MySQL, PostgreSQL, SQLite, Oracle).

DBeaver Multi-BDD

Client universel de base de données (desktop). Supporte MySQL, MariaDB, PostgreSQL, SQLite, Oracle, MSSQL, MongoDB et plus de 80 SGBD. Éditeur SQL avec complétion, visualisation des relations, import/export, comparaison de schémas.

sudo snap install dbeaver-ce # Ou via .deb depuis dbeaver.io

Gratuit (Community Edition). Alternatives : TablePlus, DataGrip (payant JetBrains).

Commandes SQL essentielles Référence

Les commandes SQL fondamentales pour administrer une base de données.

-- DDL (structure) CREATE TABLE users (id INT PRIMARY KEY AUTO_INCREMENT, nom VARCHAR(100), email VARCHAR(150) UNIQUE); ALTER TABLE users ADD COLUMN age INT; DROP TABLE users; -- DML (données) INSERT INTO users (nom, email) VALUES ('Kong', '[email protected]'); UPDATE users SET age=22 WHERE id=1; DELETE FROM users WHERE id=1; SELECT * FROM users WHERE age > 18 ORDER BY nom; -- Admin SHOW PROCESSLIST; FLUSH PRIVILEGES;

🔒

Sécurité & Ports des Serveurs Web/BDD

Hardening, sauvegardes, PHP.ini

Ports réseau à mémoriser HTTP = 80 · HTTPS = 443 · MySQL/MariaDB = 3306 · PostgreSQL = 5432 · FTP = 21 · SSH = 22 · Redis = 6379 · MongoDB = 27017

Hardening Apache/Nginx Sécurité

Mesures essentielles pour sécuriser un serveur web en production.

# Apache - masquer la version ServerTokens Prod ServerSignature Off Options -Indexes # Headers de sécurité Header always set X-Frame-Options DENY Header always set X-Content-Type-Options nosniff # HTTPS via Let's Encrypt sudo a2enmod ssl sudo certbot --apache

Toujours activer HTTPS en prod. Désactiver les modules Apache inutiles.

Hardening MySQL/MariaDB Sécurité

Sécurisation d'une installation MySQL/MariaDB après installation.

sudo mysql_secure_installation # Dans my.cnf : bind-address = 127.0.0.1 # Sauvegarde mysqldump -u root -p mabase > backup.sql # Restauration mysql -u root -p mabase < backup.sql

Ne jamais utiliser root pour les applis web. Créer un utilisateur dédié avec droits minimaux.

Sauvegarde PostgreSQL Backup

Outils natifs PostgreSQL pour la sauvegarde et restauration.

pg_dump mabase > backup.sql pg_dump -Fc mabase > backup.dump pg_dumpall > all_bases.sql psql mabase < backup.sql pg_restore -d mabase backup.dump # Cron automatique : 0 2 * * * pg_dump mabase | gzip > /backup/$(date +%F).sql.gz

Variables PHP essentielles php.ini

Paramètres critiques du fichier php.ini pour administrer un stack LAMP/WAMP/XAMPP.

upload_max_filesize = 64M post_max_size = 64M memory_limit = 256M display_errors = Off log_errors = On error_log = /var/log/php_errors.log date.timezone = Europe/Paris # Localiser php.ini : php --ini # Recharger : sudo systemctl reload apache2

Comparatif rapide MySQL vs MariaDB vs PostgreSQL MySQL : le plus connu, propriété Oracle, rapide en lecture, idéal CMS (WordPress). MariaDB : fork MySQL, open-source pur, compatible drop-in, recommandé sur Linux. PostgreSQL : le plus conforme SQL, meilleur pour données complexes, analytique, JSON natif. Pour un TSSR/admin réseau : maîtriser MariaDB et PostgreSQL est suffisant.

| By La-BaVuUr3-38 |

🎧

Support & Centre de Services

ITIL, gestion des incidents et des problèmes, SLA, escalade — CCP1

CCP1 — Assister les utilisateurs en centre de services Le TSSR est l'intermédiaire entre l'utilisateur et le fournisseur de services (DSI interne ou ESN). Il prend en charge les demandes et les alertes de supervision, assure le premier niveau d'intervention, et effectue une escalade vers le niveau supérieur si nécessaire. Il respecte les engagements de service (SLA).

ITILRéférentiel

Information Technology Infrastructure Library — Ensemble de bonnes pratiques pour la gestion des services informatiques (ITSM). Définit des processus standardisés : gestion des incidents, des problèmes, des changements, des demandes de service. Version actuelle : ITIL 4.

ITIL n'est pas une norme certifiante d'entreprise (contrairement à ISO 20000) mais un cadre de référence.

IncidentITIL

Interruption non planifiée d'un service ou réduction de sa qualité. Objectif : rétablir le service le plus vite possible, même via une solution de contournement (workaround). Ex : « je ne peux plus imprimer », « l'application est lente ».

L'incident traite le symptôme. La cause racine relève de la gestion des problèmes.

ProblèmeITIL

Cause sous-jacente d'un ou plusieurs incidents. La gestion des problèmes vise à trouver la cause racine (root cause) et une solution définitive pour éviter la récurrence. Ex : un serveur DNS sous-dimensionné cause des lenteurs répétées.

Incident = « ça ne marche pas, répare vite ». Problème = « pourquoi ça casse souvent, corrige durablement ».

Demande de serviceITIL

Requête utilisateur standard et planifiée, sans interruption de service : création de compte, demande de matériel, droits d'accès, installation logicielle. Suit un catalogue de services prédéfini.

SLA / OLA / UCEngagement

SLA (Service Level Agreement) : contrat de niveau de service avec le client (ex : résolution sous 4h). OLA (Operational Level Agreement) : accord interne entre équipes IT. UC (Underpinning Contract) : contrat avec un fournisseur tiers.

GTI = Garantie de Temps d'Intervention. GTR = Garantie de Temps de Rétablissement. À ne pas confondre.

Niveaux de supportEscalade

N1 : premier contact, incidents simples, scripts de résolution. N2 : technicien spécialisé, diagnostic approfondi. N3 : expert/éditeur, problèmes complexes. Escalade fonctionnelle = vers plus compétent. Escalade hiérarchique = vers un manager (enjeu, délai).

Priorité = Impact × UrgenceTri

La priorité d'un ticket se calcule en croisant l'impact (nombre d'utilisateurs/services touchés) et l'urgence (rapidité de dégradation). Une matrice priorité permet d'objectiver le traitement : P1 (critique) → P4 (faible).

Ex : serveur de production HS pour 200 personnes = impact fort + urgence forte = P1.

Cycle de vie d'un ticketWorkflow

Nouveau → Attribué → En cours → En attente (utilisateur/tiers) → Résolu → Clôturé. Chaque transition est tracée. La clôture n'intervient qu'après validation de l'utilisateur que le service est bien rétabli.

CMDBITIL

Configuration Management Database — Base recensant tous les composants du SI (CI = Configuration Items) et leurs relations : serveurs, postes, logiciels, contrats. Permet l'analyse d'impact d'un changement ou d'une panne.

Base de connaissances (KB)Capitalisation

Recueil documenté des solutions aux incidents connus (Known Errors). Permet au N1 de résoudre rapidement sans escalade, accélère le traitement et capitalise le savoir de l'équipe.

Posture pro attendue à l'examen — la communication utilisateur Reformuler la demande pour la qualifier, informer l'utilisateur de la prise en charge et des délais, utiliser un vocabulaire adapté (pas de jargon), tracer chaque action dans le ticket, et valider le rétablissement avant clôture. Le jury évalue autant le savoir-être que le savoir-faire technique.

| By La-BaVuUr3-38 |

🗃️

GLPI, Parc & Déploiement

Gestion de parc, ticketing GLPI, inventaire, masterisation et déploiement de postes

GLPIITSM

Gestionnaire Libre de Parc Informatique — Solution open-source de gestion de parc + helpdesk. Gère l'inventaire matériel/logiciel, les tickets (incidents/demandes), les contrats, le catalogue de services et la base de connaissances. Écrit en PHP, base MySQL/MariaDB.

Stack typique : Apache/Nginx + PHP + MariaDB. Interface web. Plugins nombreux (FusionInventory historique).

GLPI-AgentInventaire

Agent installé sur les postes/serveurs qui remonte automatiquement l'inventaire (matériel, logiciels, n° série) vers GLPI. Remplace l'ancien FusionInventory-Agent. Fonctionne en mode planifié ou à la demande.

Alternative sans agent : inventaire réseau via SNMP (équipements) ou import manuel/CSV.

Entités & Profils GLPIOrganisation

Les entités cloisonnent les données par structure (sites, clients, services). Les profils définissent les droits (technicien, admin, self-service utilisateur). Permet le multi-tenant pour une ESN.

SLA dans GLPIEngagement

GLPI gère les SLA avec calcul automatique des échéances (temps de prise en charge, temps de résolution), escalades automatiques et notifications. Les tickets en dépassement sont mis en évidence.

Masterisation (master)Déploiement

Création d'une image de référence d'un poste (OS + pilotes + logiciels + configuration) qui sera dupliquée sur d'autres machines. Gain de temps majeur pour déployer un parc homogène. À généraliser avec Sysprep sous Windows.

Sysprep réinitialise le SID et les identifiants uniques pour éviter les conflits sur le domaine.

SysprepWindows

System Preparation Tool — Prépare une installation Windows pour le clonage : supprime les données spécifiques à la machine (SID, nom, GUID). L'option /generalize rend l'image réutilisable. /oobe relance l'assistant au premier démarrage.

C:\Windows\System32\Sysprep\sysprep.exe /generalize /oobe /shutdown

WDSDéploiement réseau

Windows Deployment Services — Rôle Windows Server permettant le déploiement d'OS via le réseau par démarrage PXE. Le poste démarre sur la carte réseau, télécharge une image (boot.wim + install.wim) sans support physique.

Nécessite DHCP + DNS + AD. Le PXE utilise TFTP (port 69) pour le boot initial.

MDTAutomatisation

Microsoft Deployment Toolkit — Surcouche d'automatisation du déploiement. Crée des task sequences (séquences de tâches) : partitionnement, application de l'image, installation des pilotes et logiciels, jonction au domaine, le tout sans intervention (Zero Touch ou Lite Touch).

MDT + WDS = déploiement industrialisé. SCCM/MECM = version entreprise plus complète.

PXE BootRéseau

Preboot Execution Environment — Démarrage d'un poste via la carte réseau plutôt que le disque. Le DHCP fournit l'adresse + l'option 66/67 (serveur et fichier de boot). Utilisé par WDS, FOG, Clonezilla en réseau.

Clonezilla / FOGOpen-source

Alternatives gratuites à WDS. Clonezilla : clonage disque/partition (local ou multicast réseau). FOG : serveur de déploiement réseau complet avec interface web, gestion d'images et inventaire. Idéaux en homelab/PME.

Jonction au domaineAD

Intégration d'un poste dans Active Directory pour bénéficier de l'authentification centralisée et des GPO. Manuelle (Propriétés système) ou automatisée (MDT, PowerShell Add-Computer).

Add-Computer -DomainName "sher.loc" -Credential (Get-Credential) -Restart

WSUSMises à jour

Windows Server Update Services — Centralise le téléchargement et l'approbation des mises à jour Windows pour tout le parc. Économise la bande passante (un seul téléchargement depuis Microsoft) et permet de tester avant déploiement général.

Chaîne de déploiement type d'un parc (à savoir décrire à l'oral) 1. Créer le master (OS + logiciels + pilotes) → 2. Généraliser avec Sysprep → 3. Capturer l'image dans WDS → 4. Créer une task sequence MDT (partition, image, pilotes, domaine) → 5. Démarrer les postes en PXE → 6. Déploiement automatisé + jonction AD → 7. Application des GPO + inventaire GLPI-Agent.

| By La-BaVuUr3-38 |

🧊

Virtualisation

Hyperviseurs, Hyper-V · Proxmox VE · VMware vSphere, conteneurs — CCP2

Hyperviseur Type 1 vs Type 2Concept

Type 1 (bare-metal) : s'exécute directement sur le matériel, sans OS hôte. Performant, pour la production (ESXi, Hyper-V, Proxmox/KVM). Type 2 (hosted) : s'exécute au-dessus d'un OS (VirtualBox, VMware Workstation). Pour le poste de travail/test.

Piège d'examen : Hyper-V est de Type 1 même installé sur Windows (il bascule sous l'OS via un hyperviseur).

Machine virtuelle (VM)Base

Ordinateur logiciel complet (CPU, RAM, disque, carte réseau virtuels) isolé, exécuté par l'hyperviseur. Plusieurs VM partagent le matériel physique d'un hôte. Avantages : isolation, consolidation, snapshots, migration.

VT-x / AMD-VMatériel

Extensions de virtualisation du processeur (Intel VT-x, AMD-V) indispensables pour la virtualisation matérielle. À activer dans le BIOS/UEFI. Sans elles, pas de VM 64 bits ni d'hyperviseur Type 1 performant.

VT-d / AMD-Vi = IOMMU, pour le passthrough de périphériques (GPU, carte réseau) à une VM.

SnapshotSauvegarde état

Capture de l'état d'une VM à un instant T (disque + RAM optionnelle). Permet de revenir en arrière après une modification risquée. Ce n'est PAS une sauvegarde : dépend de la VM d'origine et dégrade les performances si conservé longtemps.

Erreur classique : laisser des snapshots actifs en production → saturation disque + lenteurs.

Provisioning Thin vs ThickDisque

Thin : le disque virtuel n'occupe que l'espace réellement utilisé, grandit à la demande (économe mais à surveiller). Thick : tout l'espace est alloué immédiatement (performant, prévisible). Choix selon le besoin perf/place.

Live MigrationHaute dispo

Déplacement d'une VM en cours d'exécution d'un hôte à un autre sans interruption de service. Nécessite un stockage partagé ou une réplication. vMotion (VMware), Live Migration (Hyper-V), Migration (Proxmox).

Cluster & HAHaute dispo

Regroupement de plusieurs hôtes. Si un hôte tombe, ses VM redémarrent automatiquement sur les autres (High Availability). Nécessite un quorum et un stockage partagé. Base de la résilience en production.

🪟

Hyper-V (Microsoft)

Hyperviseur intégré à Windows Server

Rôle Hyper-VWindows Server

Hyperviseur Type 1 ajouté comme rôle Windows Server (ou Hyper-V Server gratuit). Gestion via le Gestionnaire Hyper-V, Windows Admin Center, SCVMM ou PowerShell. Format de disque : VHDX (remplace VHD, jusqu'à 64 To).

# Installer le rôle Install-WindowsFeature -Name Hyper-V -IncludeManagementTools -Restart # Créer une VM Génération 2 New-VM -Name "SRV-WEB" -MemoryStartupBytes 4GB -Generation 2 -NewVHDPath "D:\VM\srv-web.vhdx" -NewVHDSizeBytes 80GB

VM Génération 1 vs 2Hyper-V

Gen 1 : BIOS hérité, compatible vieux OS, démarrage IDE. Gen 2 : firmware UEFI, Secure Boot, démarrage SCSI/PXE, OS récents 64 bits uniquement. Privilégier Gen 2 pour les nouveaux déploiements.

vSwitch Hyper-VRéseau

Commutateur virtuel reliant les VM au réseau. 3 types : Externe (accès réseau physique), Interne (VM + hôte uniquement), Privé (VM entre elles seulement). Gère les VLAN par carte virtuelle.

# VLAN 30 sur la carte d'une VM Set-VMNetworkAdapterVlan -VMName "SRV-WEB" -Access -VlanId 30

Mémoire dynamiqueHyper-V

Hyper-V ajuste automatiquement la RAM allouée à une VM entre un minimum et un maximum selon sa charge réelle. Optimise la densité de VM par hôte. Définie par RAM de démarrage, minimum et maximum.

CheckpointsHyper-V

Nom Hyper-V des snapshots. Standard (état complet incl. mémoire) ou Production (cohérent applicatif via VSS, recommandé en prod). Gérés via Checkpoint-VM.

🐧

Proxmox VE

Hyperviseur open-source basé sur Debian + KVM + LXC

Proxmox VEOpen-source

Proxmox Virtual Environment — Plateforme libre basée sur Debian. Combine KVM (VM complètes) et LXC (conteneurs Linux légers). Interface web complète, clustering, sauvegarde intégrée, stockage ZFS/Ceph. Gratuit (souscription optionnelle pour le dépôt entreprise).

KVM = Kernel-based Virtual Machine, l'hyperviseur natif du noyau Linux. Proxmox en est une surcouche.

VM (KVM) vs Conteneur (LXC)Proxmox

KVM : virtualisation complète, n'importe quel OS (Windows, Linux, BSD), isolation forte. LXC : conteneur partageant le noyau de l'hôte, très léger et rapide, Linux uniquement. Choix selon isolation vs densité.

Stockage ProxmoxZFS / LVM

Supporte LVM, LVM-Thin, ZFS (snapshots, compression, intégrité par checksum, RAID logiciel), Ceph (distribué), NFS/CIFS. ZFS est très apprécié en homelab pour ses snapshots et sa robustesse.

Cluster ProxmoxHA

Plusieurs nœuds gérés depuis une interface unique via Corosync (communication cluster). Permet migration à chaud, HA, et gestion centralisée. Un quorum est nécessaire (≥3 nœuds recommandé, ou QDevice).

Proxmox Backup ServerSauvegarde

Serveur de sauvegarde dédié avec déduplication, chiffrement et sauvegardes incrémentales pour VM et conteneurs. Complément de la sauvegarde intégrée (vzdump). Restauration granulaire de fichiers.

# Sauvegarde manuelle d'une VM (CLI) vzdump 100 --storage local --mode snapshot --compress zstd

☁️

VMware vSphere

Référence entreprise — ESXi + vCenter

ESXiHyperviseur

Hyperviseur Type 1 bare-metal de VMware, leader historique en entreprise. Très léger, installé directement sur le serveur. Géré individuellement via le client web (Host Client) ou centralisé via vCenter. Format disque : VMDK.

vCenter ServerGestion centralisée

Console centralisée gérant plusieurs hôtes ESXi : clusters, vMotion, DRS, HA, modèles de VM, droits. Indispensable au-delà de quelques hôtes. Livré en appliance (VCSA).

vMotionMigration

Migration à chaud d'une VM entre hôtes ESXi sans coupure. Storage vMotion = déplacement du disque entre datastores à chaud. Nécessite vCenter et un réseau dédié vMotion.

DRS & vSphere HAÉquilibrage

DRS (Distributed Resource Scheduler) : équilibre automatiquement les VM entre hôtes selon la charge. HA : redémarre les VM d'un hôte défaillant sur les hôtes survivants. Combinés pour la résilience.

VMware ToolsIntégration

Pilotes et services installés dans la VM invitée : performances réseau/disque optimisées, arrêt propre, synchronisation horaire, copier-coller. Équivalents : Integration Services (Hyper-V), QEMU Guest Agent (Proxmox).

Comparatif synthétique des 3 hyperviseurs Hyper-V : intégré Windows Server, idéal environnement 100% Microsoft, gestion PowerShell. Disque VHDX. Proxmox VE : open-source gratuit, KVM + LXC, parfait homelab/PME, ZFS intégré. Basé Debian. VMware vSphere : référence grand compte, écosystème mature (vMotion/DRS), mais licences coûteuses. Disque VMDK.

| By La-BaVuUr3-38 |

💾

Stockage & RAID

Niveaux RAID, DAS/NAS/SAN, iSCSI, systèmes de fichiers — CCP2

RAID ≠ sauvegarde Le RAID protège contre la panne d'un (ou plusieurs) disque, pas contre une suppression accidentelle, un ransomware ou un sinistre. Une vraie stratégie combine RAID (disponibilité) ET sauvegarde (récupération). C'est un piège récurrent à l'examen.

Niveau	Principe	Disques min	Tolérance panne	Capacité utile	Usage
RAID 0	Striping (répartition)	2	❌ Aucune	100%	Performance pure, données non critiques
RAID 1	Mirroring (miroir)	2	✅ 1 disque	50%	OS, données critiques, lecture rapide
RAID 5	Striping + parité répartie	3	✅ 1 disque	(n-1)/n	Bon compromis capacité/sécurité
RAID 6	Striping + double parité	4	✅ 2 disques	(n-2)/n	Gros volumes, reconstruction longue
RAID 10	Miroir + striping (1+0)	4	✅ 1 par miroir	50%	Bases de données, perf + sécurité

Parité RAID 5Concept

Information calculée (XOR) répartie sur tous les disques, permettant de reconstruire les données d'un disque défaillant. Coûte l'équivalent d'un disque. La reconstruction après panne est un moment à risque (charge + durée).

Sur de gros disques (>4 To), RAID 6 est conseillé : risque qu'un 2e disque lâche pendant la longue reconstruction RAID 5.

RAID matériel vs logicielImplémentation

Matériel : carte contrôleur dédiée (avec cache + batterie BBU), décharge le CPU, performant. Logiciel : géré par l'OS (mdadm Linux, Storage Spaces Windows, ZFS) — gratuit, flexible, mais consomme du CPU.

Hot SpareRedondance

Disque de secours en attente dans la grappe. En cas de panne d'un disque, la reconstruction démarre automatiquement sur le hot spare sans intervention humaine, réduisant la fenêtre de vulnérabilité.

DASStockage

Direct Attached Storage — Stockage directement relié à un serveur (disques internes, baie SAS/USB). Simple et performant mais non partagé et non mutualisé. Pas d'accès réseau.

NASFichier

Network Attached Storage — Stockage partagé en réseau au niveau fichier (protocoles NFS, SMB/CIFS). Simple à déployer, idéal partages bureautiques. Synology, QNAP, ou serveur Linux/Windows.

SANBloc

Storage Area Network — Réseau de stockage dédié au niveau bloc (le serveur voit un disque brut). Hautes performances, pour bases de données et virtualisation. Protocoles : iSCSI (sur IP), Fibre Channel (dédié).

NAS = niveau fichier (partage). SAN = niveau bloc (disque brut). Distinction classique d'examen.

iSCSISAN sur IP

Protocole encapsulant les commandes SCSI dans TCP/IP (port 3260). Permet un SAN sur réseau Ethernet standard, sans matériel Fibre Channel coûteux. Target = serveur de stockage, Initiator = client. Idéal stockage partagé pour clusters de virtualisation.

LUNSAN

Logical Unit Number — Volume logique présenté par le SAN à un serveur, vu comme un disque local. Le découpage en LUN permet d'allouer le stockage par serveur/usage.

Systèmes de fichiersFS

NTFS (Windows : permissions, journalisation), ReFS (Windows résilient, intégrité), ext4 (Linux standard), XFS (gros fichiers/volumes), ZFS/Btrfs (snapshots, checksums, RAID logiciel intégré).

Quotas de disqueGestion

Limitation de l'espace disque par utilisateur ou par dossier (FSRM sous Windows, quota ext4/XFS sous Linux). Évite qu'un utilisateur sature un volume partagé. Avec alertes au seuil.

| By La-BaVuUr3-38 |

🛟

Sauvegarde & PRA/PCA

Stratégie 3-2-1, RTO/RPO, types de sauvegarde, plan de reprise — CCP2

La règle 3-2-1 (à connaître par cœur) 3 copies des données — 2 supports différents (ex : disque + bande/cloud) — 1 copie hors site (externalisée). Variante moderne 3-2-1-1-0 : +1 copie hors-ligne/immuable (anti-ransomware) et 0 erreur vérifiée par test de restauration.

RPOObjectif

Recovery Point Objective — Perte de données maximale tolérée, exprimée en temps. Un RPO de 1h signifie qu'on accepte de perdre au plus 1h de données. Détermine la fréquence des sauvegardes.

RPO faible → sauvegardes très fréquentes (ou réplication continue).

RTOObjectif

Recovery Time Objective — Durée maximale d'interruption acceptable avant rétablissement du service. Un RTO de 4h = le service doit être rétabli en moins de 4h. Détermine les moyens de restauration (matériel de secours, redondance).

Mnémo : RPO = point (combien je perds), RTO = temps (combien de temps arrêté).

Sauvegarde complèteType

Copie intégrale de toutes les données à chaque exécution. Restauration la plus simple et rapide (une seule source), mais la plus longue à réaliser et la plus gourmande en espace.

Sauvegarde incrémentaleType

Ne sauvegarde que les données modifiées depuis la dernière sauvegarde (complète ou incrémentale). Très rapide et peu d'espace, mais restauration longue : il faut la complète + TOUTES les incrémentales suivantes dans l'ordre.

Sauvegarde différentielleType

Sauvegarde les données modifiées depuis la dernière sauvegarde complète. Compromis : plus grosse que l'incrémentale mais restauration plus simple (complète + 1 seule différentielle, la plus récente).

Incrémentale = depuis la dernière sauvegarde quelconque. Différentielle = depuis la dernière complète.

Rotation GFSRétention

Grand-Father / Father / Son — Schéma de rotation des supports : sauvegardes quotidiennes (Son), hebdomadaires (Father), mensuelles (Grand-Father). Équilibre historique conservé et nombre de supports.

PRAContinuité

Plan de Reprise d'Activité (DRP) — Procédures pour redémarrer le SI après un sinistre majeur, dans un délai défini (RTO). Inclut site de secours, restauration des sauvegardes, ordre de redémarrage des services.

PCAContinuité

Plan de Continuité d'Activité (BCP) — Vise à maintenir le service sans interruption (ou quasi) malgré l'incident, via la redondance et le basculement automatique. Plus exigeant et coûteux qu'un PRA.

PRA = je redémarre après la panne. PCA = ça ne s'arrête pas pendant la panne.

Sauvegarde immuableAnti-ransomware

Copie qui ne peut être ni modifiée ni supprimée pendant une période définie (WORM : Write Once Read Many). Protection clé contre les rançongiciels qui ciblent justement les sauvegardes. Souvent couplée à une copie hors-ligne (air gap).

Test de restaurationVérification

Une sauvegarde non testée n'est pas une sauvegarde. Il faut vérifier régulièrement que la restauration fonctionne réellement (intégrité, complétude, délai conforme au RTO). C'est le « 0 » de la règle 3-2-1-1-0.

Outils de sauvegardeSolutions

Windows Server Backup (natif), Veeam (référence VM), Bacula/Bareos (open-source), rsync/Borg/Restic (Linux, incrémental + dédup + chiffrement), Proxmox Backup Server.

# Sauvegarde incrémentale chiffrée avec Restic restic -r /backup init restic -r /backup backup /data restic -r /backup snapshots # lister restic -r /backup restore latest --target /restore

| By La-BaVuUr3-38 |

🖥️

Windows Server

Rôles, services, partages NTFS/SMB, stratégies — CCP2

Rôles vs FonctionnalitésConcept

Un rôle définit la fonction principale du serveur (AD DS, DNS, DHCP, IIS, Hyper-V, Fichiers). Une fonctionnalité est un composant complémentaire (.NET, BitLocker, RSAT). Installés via le Gestionnaire de serveur ou PowerShell.

Install-WindowsFeature -Name DNS,DHCP -IncludeManagementTools Get-WindowsFeature | Where Installed

Server Core vs DesktopInstallation

Server Core : sans interface graphique, géré en ligne de commande/PowerShell/distance. Surface d'attaque réduite, moins de mises à jour, recommandé en production. Desktop Experience : avec GUI, plus simple pour débuter.

Permissions NTFSSécurité fichier

Droits au niveau du système de fichiers : Lecture, Écriture, Modification, Contrôle total. S'appliquent en local et en réseau, héritées des dossiers parents. Cumulatives, mais un refus (Deny) l'emporte toujours.

Privilégier l'attribution via groupes (AGDLP) plutôt qu'utilisateur par utilisateur.

Partage SMBRéseau

Partage de dossiers via le protocole SMB (port 445). Deux couches de droits se combinent : droits de partage (accès réseau) ET droits NTFS (fichier). La permission effective = la plus restrictive des deux.

New-SmbShare -Name "Partage" -Path "D:\Data" -FullAccess "DOMAINE\GRP_Compta"

DFSFichiers

Distributed File System — Regroupe plusieurs partages réseau sous un espace de noms unique (\\domaine\partage). DFS-R réplique les données entre serveurs pour la redondance et les sites distants.

IISWeb

Internet Information Services — Serveur web de Microsoft. Héberge sites et applications (.NET, PHP). Gestion des pools d'applications, liaisons (bindings) HTTP/HTTPS, certificats. Équivalent Microsoft d'Apache/Nginx.

Observateur d'événementsLogs

Journaux Windows : Application, Sécurité (connexions, audits), Système. Source essentielle de diagnostic. Les Event ID sont normalisés (ex : 4624 = ouverture de session réussie, 4625 = échec).

Get-WinEvent -LogName Security -MaxEvents 20 Get-EventLog -LogName System -EntryType Error -Newest 10

Planificateur de tâchesAutomatisation

Exécute des scripts/programmes selon un déclencheur (heure, démarrage, événement). Équivalent Windows de cron. Gérable via schtasks ou PowerShell (Register-ScheduledTask).

Pare-feu Windows DefenderSécurité

Pare-feu intégré avec sécurité avancée, 3 profils (Domaine, Privé, Public). Règles entrantes/sortantes par port, programme, protocole. Configurable par GPO pour tout le parc.

New-NetFirewallRule -DisplayName "RDP" -Direction Inbound -Protocol TCP -LocalPort 3389 -Action Allow

Gestion des servicesExploitation

Les services Windows tournent en arrière-plan (démarrage automatique/manuel/désactivé). Gérés via services.msc, sc ou PowerShell. Contrôler l'état est un réflexe de diagnostic de base.

Get-Service -Name "DNS" Restart-Service -Name "Spooler" Set-Service -Name "Fax" -StartupType Disabled

| By La-BaVuUr3-38 |

🐧

Administration Linux

systemd, permissions, paquets, services, réseau — base CCS Linux

systemd & systemctlServices

Système d'init moderne gérant les services (units). systemctl contrôle leur état, le démarrage automatique et les dépendances. Remplace SysVinit. Les logs passent par journald.

systemctl start|stop|restart|status nginx systemctl enable nginx # démarrage au boot systemctl disable nginx journalctl -u nginx -f # logs en direct

Permissions UGOSécurité

Chaque fichier a un propriétaire (User), un Groupe, et les Others. Droits : r(4) lecture, w(2) écriture, x(1) exécution. Notation octale : 755 = rwxr-xr-x. chmod change les droits, chown le propriétaire.

chmod 640 fichier.conf # rw-r----- chown user:groupe fichier chmod -R 755 /var/www # récursif

sudo & moindre privilègeSécurité

Exécute une commande avec les privilèges d'un autre utilisateur (root par défaut), avec traçabilité. Configuré dans /etc/sudoers (à éditer via visudo). Préférable au login root direct (audit + révocation).

Bonne pratique : désactiver le login SSH root, passer par un compte + sudo.

Gestionnaires de paquetsLogiciels

apt (Debian/Ubuntu), dnf/yum (RHEL/Rocky/Fedora), pacman (Arch). Installent, mettent à jour et résolvent les dépendances depuis des dépôts signés (GPG).

# Debian/Ubuntu apt update && apt upgrade apt install nginx # RHEL/Rocky dnf install nginx dnf check-update

Arborescence FHSSystème

Filesystem Hierarchy Standard : /etc (config), /var (logs, données variables), /home (utilisateurs), /opt (logiciels tiers), /bin /sbin (binaires), /tmp (temporaire), /mnt /media (montages).

Montage & fstabStockage

mount attache un système de fichiers à un répertoire. /etc/fstab définit les montages automatiques au démarrage (disques, partages NFS/CIFS). lsblk et df -h listent les volumes.

lsblk # arborescence des disques mount /dev/sdb1 /mnt/data df -h # espace utilisé # fstab : UUID /mnt/data ext4 defaults 0 2

Réseau LinuxConfig IP

Configuration via Netplan (Ubuntu), /etc/network/interfaces (Debian) ou NetworkManager. Diagnostic avec la suite iproute2 (ip, ss) qui remplace les anciens net-tools.

ip a # adresses ip route # routage ss -tulpn # ports en écoute ping -c4 8.8.8.8

CronPlanification

Planificateur de tâches Linux. crontab -e édite les tâches de l'utilisateur. Syntaxe : minute heure jour mois jour-semaine commande. Équivalent du Planificateur de tâches Windows.

# Sauvegarde tous les jours à 2h du matin 0 2 * * * /opt/scripts/backup.sh # Toutes les 15 minutes */15 * * * * /opt/scripts/check.sh

Logs & journaldDiagnostic

Logs système dans /var/log (syslog, auth.log) et via journalctl. Indispensables au diagnostic. tail -f suit un fichier en direct, grep filtre.

journalctl -p err -b # erreurs depuis le boot tail -f /var/log/syslog grep "Failed password" /var/log/auth.log

SSH sécuriséAccès distant

Accès distant chiffré (port 22). Sécurisation : authentification par clé plutôt que mot de passe, désactivation du login root, changement de port, fail2ban contre le brute-force.

# Clé SSH ssh-keygen -t ed25519 ssh-copy-id user@serveur # /etc/ssh/sshd_config : PermitRootLogin no PasswordAuthentication no

| By La-BaVuUr3-38 |

⌨️

Scripting & Automatisation

PowerShell & Bash appliqués à l'administration

PowerShell — basesWindows

Shell objet de Microsoft. Syntaxe Verbe-Nom (Get-Service, New-ADUser). Les cmdlets renvoient des objets (pas du texte), chaînables via le pipe |. Get-Help et Get-Member sont les outils d'apprentissage clés.

Get-Help Get-Process -Examples Get-Process | Get-Member # propriétés/méthodes Get-Service | Where Status -eq "Running" | Sort Name

PowerShell — variables & bouclesWindows

Variables préfixées $. Boucles foreach, conditions if/else, filtrage Where-Object. Le pipe transmet des objets d'une cmdlet à l'autre.

$users = Get-ADUser -Filter * -SearchBase "OU=IT,DC=sher,DC=loc" foreach ($u in $users) { if ($u.Enabled) { Write-Host "$($u.Name) actif" } }

PowerShell — création en masseCas concret

Création d'utilisateurs AD depuis un fichier CSV — exercice TSSR classique. Le CSV contient les colonnes (Nom, Prenom, Login…), parcourues par Import-Csv.

Import-Csv "users.csv" | ForEach-Object { New-ADUser -Name "$($_.Prenom) $($_.Nom)" ` -SamAccountName $_.Login ` -AccountPassword (ConvertTo-SecureString $_.Pass -AsPlainText -Force) ` -Path "OU=Users,DC=sher,DC=loc" -Enabled $true }

Execution PolicySécurité

Politique d'exécution des scripts PowerShell (sécurité). Restricted (défaut, aucun script), RemoteSigned (scripts locaux OK, distants signés), AllSigned, Unrestricted. À ajuster avec prudence.

Get-ExecutionPolicy Set-ExecutionPolicy RemoteSigned -Scope CurrentUser

Bash — structure d'un scriptLinux

Shebang #!/bin/bash en première ligne. Variables sans espace autour du =. $1 $2 = arguments. Bonnes pratiques : set -euo pipefail pour stopper sur erreur.

#!/bin/bash # Sauvegarde simple | By La-BaVuUr3-38 set -euo pipefail SRC="/var/www" DST="/backup/www-$(date +%F).tar.gz" tar -czf "$DST" "$SRC" echo "Sauvegarde terminee : $DST"

Bash — conditions & bouclesLinux

Tests avec [ ] ou [[ ]], boucles for/while. Codes de retour : $? = 0 si succès. Permet d'automatiser les vérifications.

for service in nginx mariadb ssh; do if systemctl is-active --quiet "$service"; then echo "$service : OK" else echo "$service : ARRETE" >&2 fi done

Bash — filtrage texteOutils

Le trio grep (filtrer), awk (colonnes/calculs), sed (substitution) traite les logs et fichiers. Combinés via pipes pour extraire l'info pertinente.

# Top 5 des IP dans un log Apache awk '{print $1}' access.log | sort | uniq -c | sort -rn | head -5 # Remplacer une valeur dans une config sed -i 's/PermitRootLogin yes/PermitRootLogin no/' /etc/ssh/sshd_config

IdempotenceBonne pratique

Un script idempotent produit le même résultat qu'on l'exécute une ou plusieurs fois (il vérifie avant d'agir). Principe fondateur des outils comme Ansible. Évite les effets de bord en automatisation.

AnsibleOrchestration

Outil d'automatisation agentless (via SSH). Décrit l'état souhaité dans des playbooks YAML, appliqués de façon idempotente sur un parc. Inventaire des hôtes + rôles réutilisables.

# playbook.yml - hosts: webservers become: yes tasks: - name: Installer nginx apt: name=nginx state=present update_cache=yes - name: Demarrer nginx service: name=nginx state=started enabled=yes

Journalisation des scriptsSécurité

Un script d'admin doit tracer ses actions (date, action, résultat) dans un fichier de log, gérer les erreurs proprement et ne jamais stocker de mot de passe en clair. Principe de moindre privilège appliqué à l'exécution.

| By La-BaVuUr3-38 |

🎯

Méthodologie & Posture Pro

Démarche d'intervention, rédaction des réponses, sécurité — la clé de l'écrit

La structure de réponse qui plaît au jury (3 temps) Pour CHAQUE question pratique de l'écrit, réponds en 3 temps : 1) Contexte/objectif (ce que je cherche à faire et pourquoi) → 2) Démarche étape par étape (mes actions, avec justification « je fais X parce que Y ») → 3) Vérification + traçabilité (comment je valide que ça marche, ce que je documente/ticket). Le jury évalue le raisonnement, pas seulement le bon mot.

Diagnostic structuréMéthode

Face à un incident : 1) Recueillir les symptômes (qui, quoi, depuis quand, changements récents) → 2) Reproduire/isoler → 3) Formuler des hypothèses → 4) Tester de la plus probable à la moins probable → 5) Corriger → 6) Vérifier → 7) Documenter.

Ne jamais supposer, toujours vérifier. Une seule modification à la fois pour identifier la cause.

Approche OSI bottom-upDépannage réseau

Remonter le modèle OSI du bas vers le haut : câble/port (L1) → MAC/VLAN (L2) → IP/passerelle (L3) → ports/services (L4) → DNS/application (L7). On élimine les causes basses avant de soupçonner les hautes.

Moindre privilègeSécurité

Accorder à chaque utilisateur/service uniquement les droits strictement nécessaires à sa tâche. Limite l'impact d'une compromission ou d'une erreur. Principe transversal : comptes admin séparés, pas de root permanent, AGDLP.

Traçabilité / JournalisationSécurité

Conserver une trace horodatée des actions et des événements (logs serveurs, tickets GLPI, journaux d'audit). Permet le diagnostic a posteriori, l'imputabilité et la conformité. Centralisation via Syslog/SIEM.

Défense en profondeurSécurité

Multiplier les couches de protection (pare-feu périmétrique + segmentation VLAN + durcissement hôte + antivirus + droits + sauvegarde). Si une couche tombe, les autres limitent la propagation. Pas de point unique de défaillance.

Durcissement (hardening)Sécurité

Réduire la surface d'attaque d'un système : désactiver services/ports inutiles, supprimer comptes par défaut, appliquer les correctifs, chiffrer, configurer le pare-feu, désactiver les protocoles obsolètes (Telnet, SMBv1, SSLv3).

Gestion des changementsITIL

Avant toute modification en production : évaluer l'impact, planifier (fenêtre de maintenance), prévoir un plan de retour arrière (rollback), informer les utilisateurs, documenter. Évite les incidents auto-infligés.

Sauvegarde avant interventionRéflexe

Toujours sauvegarder la configuration/les données avant une opération risquée (snapshot VM, export config réseau, copie de fichier). Permet le rollback immédiat. Réflexe valorisé par le jury.

# Cisco : sauvegarder avant modif copy running-config startup-config # Linux : sauver un fichier avant edition cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak

Communication utilisateurSavoir-être

Reformuler la demande, vulgariser sans jargon, tenir informé des délais, rester courtois même sous pression, valider la résolution. La dimension relationnelle est explicitement évaluée dans le CCP1.

RGPD & cadre légalConformité

Le technicien manipule des données personnelles : il applique le RGPD (minimisation, sécurité, durée de conservation), respecte la charte informatique et informe les utilisateurs de tout dispositif de contrôle. Voir aussi NIS2, ISO 27001.

Exemples de questions d'écrit et angle de réponse « Un utilisateur ne peut plus se connecter au domaine » → démarche OSI + vérif AD/DNS/heure (Kerberos) + traçabilité ticket. « Proposez une stratégie de sauvegarde » → RPO/RTO + 3-2-1 + types (complète/incrémentale/différentielle) + test de restauration. « Segmentez le réseau » → VLAN sur switch + routage inter-VLAN sur pare-feu + DHCP relay + règles de filtrage (défense en profondeur). « Sécurisez l'accès distant à un serveur » → SSH par clé + désactivation root + pare-feu + fail2ban + journalisation.

| By La-BaVuUr3-38 |

📧

Messagerie

SMTP/IMAP/POP3, Exchange, anti-spam, SPF/DKIM/DMARC — CCP2

MTA / MDA / MUAArchitecture

MTA (Mail Transfer Agent) : achemine les mails entre serveurs (Postfix, Exchange). MDA (Mail Delivery Agent) : dépose le mail dans la boîte (Dovecot). MUA (Mail User Agent) : le client de l'utilisateur (Outlook, Thunderbird).

Chaîne : MUA → MTA expéditeur → MTA destinataire → MDA → boîte → MUA destinataire.

SMTPEnvoi

Simple Mail Transfer Protocol — Protocole d'envoi de mails entre serveurs et du client vers le serveur. Port 25 (serveur à serveur), 587 (soumission client STARTTLS), 465 (SMTPS implicite). Ne sert qu'à l'expédition.

POP3 vs IMAPRéception

POP3 (110/995) : télécharge et supprime du serveur, adapté à un seul appareil, hors-ligne. IMAP (143/993) : laisse les mails sur le serveur, synchronisation multi-appareils, dossiers côté serveur. IMAP est aujourd'hui le standard.

Microsoft ExchangeServeur

Serveur de messagerie collaboratif Microsoft (mail, agenda, contacts, tâches). S'intègre à Active Directory. Accès via Outlook (MAPI/RPC), OWA (webmail) et ActiveSync (mobile). Version cloud : Exchange Online (Microsoft 365).

Alternatives open-source : Zimbra, iRedMail, Postfix+Dovecot, Mailcow (Docker).

Enregistrement MXDNS

Enregistrement DNS désignant le(s) serveur(s) de messagerie d'un domaine, avec une priorité (valeur la plus basse = préféré). Sans MX correct, un domaine ne reçoit aucun mail. Pilier de l'acheminement.

exemple.fr. IN MX 10 mail1.exemple.fr. exemple.fr. IN MX 20 mail2.exemple.fr.

SPFAnti-spoofing

Sender Policy Framework — Enregistrement DNS TXT listant les serveurs autorisés à envoyer des mails pour le domaine. Le serveur destinataire vérifie que l'IP émettrice est autorisée. Lutte contre l'usurpation d'expéditeur.

exemple.fr. IN TXT "v=spf1 ip4:203.0.113.10 include:_spf.google.com -all"

DKIMSignature

DomainKeys Identified Mail — Signature cryptographique du mail par le serveur émetteur. La clé publique est publiée en DNS. Le destinataire vérifie que le message n'a pas été altéré et provient bien du domaine. Garantit intégrité + authenticité.

DMARCPolitique

Domain-based Message Authentication — S'appuie sur SPF + DKIM et définit la politique en cas d'échec : none (observer), quarantine (spam), reject (rejeter). Envoie des rapports. Trio SPF+DKIM+DMARC = anti-phishing de référence.

_dmarc.exemple.fr. IN TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc@exemple.fr"

Anti-spam / Anti-virusFiltrage

Filtrage du courrier indésirable : analyse de réputation (RBL/blacklists), scoring de contenu (SpamAssassin), greylisting (retarde les inconnus), antivirus (ClamAV). Souvent combinés dans une passerelle mail (gateway).

Webmail (OWA / Roundcube)Accès

Interface web d'accès aux mails sans client lourd. OWA (Outlook Web Access) pour Exchange, Roundcube pour les serveurs open-source. Pratique en mobilité et postes non maîtrisés.

File d'attente (queue)Diagnostic

Les mails non remis sont stockés dans une file et réessayés. Diagnostiquer une file qui grossit = problème de routage/DNS/réputation. Outils : mailq, postqueue -p (Postfix). Réflexe d'exploitation.

mailq # voir la file postqueue -f # forcer le renvoi postsuper -d ALL # purger (prudence !)

Trio anti-usurpation à retenir SPF = qui a le droit d'envoyer (liste d'IP). DKIM = signature qui prouve l'intégrité. DMARC = que faire si SPF/DKIM échouent + rapports. Les trois ensemble protègent le domaine contre le spoofing et le phishing. Question fréquente en sécurité de messagerie.

| By La-BaVuUr3-38 |

📈

Supervision Serveurs

Nagios, Centreon, Zabbix, métriques, seuils, alerting — CCP3

Supervision vs MétrologieConcept

Supervision : surveiller l'état (UP/DOWN) et alerter en cas de problème. Métrologie : collecter et historiser des mesures (CPU, RAM, trafic) pour analyser les tendances et anticiper. Les deux sont complémentaires.

NagiosMoteur

Moteur de supervision open-source historique. Vérifie hôtes et services via des plugins (check_ping, check_http, check_disk). États : OK / WARNING / CRITICAL / UNKNOWN. Base de nombreuses solutions dérivées.

CentreonSolution

Surcouche moderne de Nagios avec interface web complète, cartographie, reporting et gestion centralisée. Très répandue en entreprise française. Utilise des pollers pour la collecte distribuée.

ZabbixSolution

Solution de supervision complète tout-en-un : agent natif, SNMP, IPMI, découverte auto, graphiques, alerting avancé, base de données intégrée. Alternative populaire à Nagios/Centreon, plus intégrée.

Agent vs Sans agentCollecte

Avec agent (Zabbix Agent, NRPE, NSClient++) : métriques détaillées du système. Sans agent : SNMP (équipements réseau), checks réseau distants (ping, port). Choix selon l'accès et la profondeur voulue.

NRPE = Nagios Remote Plugin Executor (Linux). NSClient++ = équivalent Windows.

Seuils WARNING / CRITICALAlerting

Chaque check définit des seuils déclenchant une alerte. Ex : disque > 80% = WARNING, > 90% = CRITICAL. Bien calibrer les seuils évite la fatigue d'alerte (trop d'alertes = on les ignore).

Métriques clés à superviserKPI

Système : CPU, RAM, disque, swap, charge (load). Service : process actif, port en écoute, temps de réponse. Réseau : bande passante, erreurs, latence. Applicatif : code HTTP, certificat TLS, expiration.

Notifications & escaladeRéaction

En cas d'alerte : notification (mail, SMS, webhook, Teams/Slack) au bon contact, avec escalade si non acquittée. Périodes de maintenance planifiées pour éviter les fausses alertes pendant les interventions.

Grafana + PrometheusModerne

Stack de métrologie moderne. Prometheus collecte les métriques (modèle pull, exporters). Grafana les affiche dans des tableaux de bord visuels. Très utilisé en environnement cloud/conteneurs/DevOps.

SLA & disponibilitéMesure

La supervision mesure le taux de disponibilité réel pour le comparer au SLA. 99,9% = ~8,7h d'indispo/an ; 99,99% = ~52 min/an. Les rapports de supervision objectivent le respect des engagements.

Centralisation des logsObservabilité

Compléter la supervision par la centralisation des journaux (ELK : Elasticsearch/Logstash/Kibana, Graylog, Loki). Permet de corréler événements et alertes, et d'investiguer les incidents. Base d'un SIEM.

| By La-BaVuUr3-38 |

☎️

VoIP & Téléphonie

SIP, RTP, IPBX, QoS voix, trunk SIP — CCP2/CCP3

VoIP / ToIPConcept

Voice over IP : transport de la voix sur un réseau IP. ToIP (Telephony over IP) : la téléphonie d'entreprise complète sur IP (postes, standard, messagerie vocale). Remplace la téléphonie analogique/RNIS traditionnelle.

SIPSignalisation

Session Initiation Protocol — Protocole de signalisation : établit, modifie et termine les appels (sonnerie, décroché, raccroché). Ports 5060 (UDP/TCP, non chiffré) et 5061 (TLS). Ne transporte PAS la voix elle-même.

Méthodes SIP : INVITE (appeler), ACK, BYE (raccrocher), REGISTER (enregistrer un poste).

RTP / SRTPMédia

Real-time Transport Protocol — Transporte le flux voix/vidéo en temps réel (sur UDP, ports dynamiques). SRTP = version chiffrée. La voix passe par RTP, la signalisation par SIP : deux flux distincts.

Piège classique : SIP = signalisation, RTP = voix. Ouvrir uniquement 5060 sans la plage RTP = appels qui sonnent mais sans son.

Codecs audioCompression

Encodent/compressent la voix. G.711 (haute qualité, 64 kbps, non compressé), G.729 (compressé, 8 kbps, économe en bande passante), Opus (moderne, adaptatif). Compromis qualité/bande passante.

IPBX / PABX-IPStandard

Autocommutateur téléphonique sur IP : gère les postes, le routage des appels, la messagerie vocale, les files d'attente, les SVI. Solutions : Asterisk, FreePBX, XiVO, 3CX. Cœur de la téléphonie d'entreprise.

Trunk SIPOpérateur

Lien SIP entre l'IPBX et l'opérateur télécom, remplaçant les lignes physiques (T0/T2). Permet de passer/recevoir les appels vers le réseau public (RTC/mobile) via Internet. Facturation et numéros gérés par l'opérateur.

QoS pour la voixQualité

La voix est sensible à la latence (<150 ms), au jitter (gigue <30 ms) et à la perte de paquets (<1%). On priorise le trafic voix via DSCP EF (46) et un VLAN voix dédié. Sans QoS, la qualité d'appel se dégrade en cas de charge.

Bonne pratique : VLAN voix séparé du VLAN data, marquage DSCP EF, priorisation sur les switches et le routeur.

VLAN voixRéseau

VLAN dédié aux téléphones IP, séparé des données. Le switch peut le pousser automatiquement au téléphone (voice VLAN), le PC restant dans le VLAN data via le port du téléphone. Isole, sécurise et permet la QoS voix.

PoE pour téléphonesAlimentation

Les téléphones IP sont alimentés par le câble Ethernet (PoE 802.3af, ~15 W), évitant un bloc secteur par poste. Le switch PoE doit avoir un budget puissance suffisant pour tous les postes.

NAT & VoIPProblème courant

Le NAT pose problème en VoIP : l'IP privée est inscrite dans le payload SIP/SDP, pas seulement l'en-tête. Solutions : SIP ALG (souvent à désactiver car buggé), STUN/TURN, ou SBC (Session Border Controller).

| By La-BaVuUr3-38 |

🐳

Conteneurs & Docker

Images, conteneurs, volumes, réseaux, Compose — infra moderne

Conteneur vs VMConcept

Une VM virtualise le matériel et embarque un OS complet (lourd, isolé fort). Un conteneur partage le noyau de l'hôte et n'embarque que l'application + ses dépendances (léger, démarrage en secondes). Densité bien supérieure.

Isolation conteneur < VM. Pour une isolation forte (multi-tenant), la VM reste préférable.

ImageDocker

Modèle en lecture seule contenant l'application et son environnement, construit en couches. Stockée dans un registre (Docker Hub, registre privé). Une image lancée devient un conteneur.

docker pull nginx:latest docker images # lister les images docker build -t monapp:1.0 .

ConteneurDocker

Instance en cours d'exécution d'une image, avec sa couche d'écriture éphémère. Démarrable, arrêtable, jetable. Les données importantes doivent être externalisées (volumes), car le conteneur est par nature volatil.

docker run -d -p 8080:80 --name web nginx docker ps # conteneurs actifs docker logs web # journaux docker exec -it web bash

DockerfileConstruction

Fichier décrivant la construction d'une image étape par étape (image de base, copie de fichiers, installation, commande de lancement). Reproductible et versionnable.

FROM debian:12 RUN apt update && apt install -y nginx COPY ./site /var/www/html EXPOSE 80 CMD ["nginx","-g","daemon off;"]

VolumesPersistance

Stockage persistant indépendant du cycle de vie du conteneur. Indispensable pour les bases de données et données utilisateur. Volume nommé (géré par Docker) ou bind mount (dossier de l'hôte).

docker volume create data docker run -v data:/var/lib/mysql mariadb # bind mount : docker run -v /opt/site:/var/www/html nginx

Réseaux DockerRéseau

bridge (défaut, réseau privé NATé), host (partage la pile réseau de l'hôte), none (isolé). Les conteneurs d'un même réseau bridge personnalisé communiquent par leur nom (DNS interne).

docker network create mon-reseau docker run --network mon-reseau --name db mariadb

Docker ComposeOrchestration

Décrit une application multi-conteneurs dans un fichier YAML (services, réseaux, volumes) et la lance d'une commande. Idéal pour les stacks (web + base + reverse proxy). Reproductible et versionnable.

# docker-compose.yml services: web: image: nginx ports: ["8080:80"] db: image: mariadb environment: MYSQL_ROOT_PASSWORD: secret # Lancer : docker compose up -d

Registre d'imagesDistribution

Dépôt d'images : Docker Hub (public), ou registre privé (Harbor, GitLab Registry) pour l'entreprise. Permet de versionner, distribuer et sécuriser les images (scan de vulnérabilités).

Kubernetes (notion)Orchestrateur

Orchestrateur de conteneurs à grande échelle : déploiement, scaling automatique, auto-réparation, répartition de charge sur un cluster. Concepts : Pod, Deployment, Service. Au-delà du périmètre TSSR strict mais incontournable à connaître de nom.

Sécurité des conteneursBonnes pratiques

Ne pas tourner en root dans le conteneur, utiliser des images officielles/minimales, scanner les vulnérabilités, limiter les capacités, ne jamais utiliser --privileged sans raison, isoler les réseaux. Un conteneur mal configuré peut compromettre l'hôte.

Rappel sécurité : éviter --privileged et apparmor=unconfined qui cassent l'isolation et exposent l'hôte.

| By La-BaVuUr3-38 |

🎓

Compléments Examen

CSMA/CD, couche présentation, fermeture TCP, extension de disque/serveur

📡

CSMA/CD & CSMA/CA

Méthodes d'accès au média — couche 2 Liaison

CSMA/CDL2 — Ethernet

Carrier Sense Multiple Access / Collision Detection — Méthode d'accès historique d'Ethernet filaire. La station écoute le média (Carrier Sense), transmet si libre, et détecte les collisions pendant l'émission. En cas de collision : arrêt, signal de bourrage (jam), attente aléatoire (backoff) puis réémission.

Couche : Liaison de données (couche 2). Obsolète en pratique : le full-duplex sur les switches modernes élimine les collisions.

CSMA/CAL2 — Wi-Fi

Collision Avoidance — Variante utilisée par le Wi-Fi (802.11), où la détection de collision est impossible en radio. La station évite les collisions : écoute, attente d'un délai aléatoire, et accusé de réception (ACK) obligatoire. Mécanisme optionnel RTS/CTS pour les gros transferts.

CSMA/CD = filaire, on détecte. CSMA/CA = sans-fil, on évite. Distinction classique d'examen.

🎨

Couche Présentation (6) — détail

Formats, encodage, compression, chiffrement

Rôle de la couche Présentation (couche 6 OSI) Elle traduit, encode, compresse et chiffre les données pour qu'elles soient compréhensibles par l'application. C'est là que se classent les formats de fichiers et les protocoles de chiffrement.

Catégorie	Exemples	Rôle
Images	JPEG, PNG, GIF, BMP, TIFF	Formats de représentation d'images (compression avec/sans perte)
Vidéo / Multimédia	MPEG, QuickTime (MOV), AVI	Formats d'encodage audio/vidéo
Encodage caractères	ASCII, Unicode (UTF-8), EBCDIC	Représentation des caractères
Encodage données	Base64, MIME	Représentation binaire en texte (ex : pièces jointes mail)
Chiffrement	SSL / TLS	Chiffrement/déchiffrement des données présentées

Piège fréquent QuickTime, MPEG, GIF, JPEG, PNG sont des formats → couche Présentation (6). À ne pas confondre avec la couche Application (7) qui héberge les protocoles comme HTTP, FTP, SMTP.

🔌

Connexion & Fermeture TCP

Ouverture en 3 étapes (3-way), fermeture en 4 étapes (4-way)

Ouverture — 3-way handshake3 étapes

1. SYN : le client demande l'ouverture (numéro de séquence initial). 2. SYN-ACK : le serveur accepte et répond avec son propre numéro. 3. ACK : le client confirme. La connexion est établie, l'échange de données peut commencer.

Client --- SYN ----------> Serveur Client <-- SYN-ACK ------ Serveur Client --- ACK ----------> Serveur [Connexion établie]

Fermeture — 4-way handshake4 étapes

1. FIN : la partie A signale qu'elle a fini d'émettre. 2. ACK : B accuse réception. 3. FIN : B signale à son tour la fin. 4. ACK : A accuse réception. La connexion est fermée des deux côtés (fermeture bidirectionnelle indépendante).

A --- FIN ---------> B A <-- ACK --------- B A <-- FIN --------- B A --- ACK ---------> B [Connexion fermée]

État TIME_WAITDétail

Après la fermeture, l'initiateur reste en TIME_WAIT un court instant (2×MSL) pour garantir que les derniers segments sont bien arrivés et éviter qu'une ancienne connexion n'interfère avec une nouvelle sur le même couple de ports.

RST — réinitialisationDétail

Le drapeau RST ferme brutalement une connexion (sans 4-way), par exemple si un port n'écoute pas ou en cas d'erreur. Visible dans Wireshark avec tcp.flags.rst==1.

📦

Augmenter la taille d'un serveur / disque

Cas concret : étendre un disque de VM (ex : serveur mail saturé)

Démarche générale en 3 temps 1. Étendre le disque virtuel au niveau de l'hyperviseur → 2. Étendre la partition au niveau de l'OS invité → 3. Vérifier l'espace et la cohérence du service. Toujours sauvegarder/snapshoter avant.

1a. Hyper-V — étendre le VHDXHyperviseur

Le disque virtuel doit être étendu (VM éteinte pour un disque non dynamique, ou à chaud selon le contrôleur SCSI). Puis on étend la partition côté Windows.

# Hyper-V (PowerShell) Resize-VHD -Path "D:\VM\mail.vhdx" -SizeBytes 200GB

1b. Proxmox — étendre le disqueHyperviseur

Sur Proxmox, on agrandit le disque de la VM (à chaud possible), puis on étend la partition et le système de fichiers dans l'invité Linux.

# Proxmox (CLI) : +50 Go sur le disque scsi0 de la VM 100 qm resize 100 scsi0 +50G

2a. Windows — étendre le volumeOS invité

Une fois le disque agrandi, étendre le volume avec l'espace non alloué via le Gestionnaire de disques ou DiskPart/PowerShell, sans perte de données.

# Windows (PowerShell) $size = (Get-PartitionSupportedSize -DriveLetter C) Resize-Partition -DriveLetter C -Size $size.SizeMax

2b. Linux — étendre LVM/partitionOS invité

Sous Linux avec LVM : étendre le volume physique, le volume logique, puis le système de fichiers (ext4/XFS) à chaud, sans démontage.

# Linux LVM growpart /dev/sda 3 # étendre la partition pvresize /dev/sda3 lvextend -l +100%FREE /dev/vg/root resize2fs /dev/vg/root # ext4 (XFS : xfs_growfs)

3. Cas serveur mail saturéApplication

Un serveur mail qui sature : d'abord libérer (quotas boîtes, purge des grosses pièces jointes), puis étendre le volume des banques de boîtes. Vérifier ensuite que le service de messagerie redémarre et accepte de nouveau les mails (file d'attente qui se vide).

Réflexe : analyser AVANT d'étendre (un disque plein peut venir de logs, d'une fuite, ou de snapshots oubliés).

| By La-BaVuUr3-38 |

📝

Examen Blanc

Questions aléatoires QCM & saisie — révision active des 3 CCP

Mode entraînement Les questions et l'ordre des réponses sont tirés au hasard à chaque session. Les QCM (à cocher) alternent avec des questions à compléter (à remplir). Choisis le nombre de questions et lance l'examen.

Nombre de questions Thème

| By La-BaVuUr3-38 |

Glossaire Réseau Complet

Résultats de recherche

Modèle OSI — 7 Couches

Encapsulation des données

Modèle TCP/IP

TCP vs UDP — En détail

Numéros de ports TCP/UDP

Adressage IP (IPv4 & IPv6)

Classes IPv4 & Plages importantes

Calcul rapide CIDR

Protocoles réseau essentiels

Équipements réseau

VLAN & Commutation

Routage

Sécurité réseau

Technologies WAN

Supervision & Outils réseau

DNS & DHCP en détail

DHCP — Processus DORA

Câblage & Normes physiques

Haute Disponibilité & Redondance

Ports & Commandes essentielles

Commandes de diagnostic

Glossaire général — Termes fondamentaux

NAT / PAT / SNAT / DNAT — Traduction d'adresses

Table NAT — Comment ça fonctionne

Comparatif des types NAT

Sécurité réseau avancée

Attaques réseau courantes

VPN — Virtual Private Network

IDS / IPS — Détection et prévention d'intrusion

Firewall — Types et fonctionnement

IPv6 — Internet Protocol version 6

NDP — Neighbour Discovery Protocol

Cohabitation IPv4 / IPv6

Wi-Fi — Réseaux sans fil 802.11

Sécurité Wi-Fi

Active Directory & Authentification

Groupes Active Directory

GPO — Group Policy Object

DNS intégré à Active Directory

Sites AD & Réplication

PowerShell Active Directory

Sécurité Active Directory

Méthodologie de dépannage réseau

Méthode OSI Bottom-Up

Scénarios de panne courants

Commandes de diagnostic avancées

Wireshark & Nmap — Analyse réseau

Wireshark — Filtres essentiels

Lire un TCP 3-way Handshake dans Wireshark

Nmap — Scans essentiels

LAMP · WAMP · XAMPP · Stacks Web

Apache & Nginx — Serveurs Web

Bases de Données Relationnelles (SGBDR)

Outils d'Administration BDD

Sécurité & Ports des Serveurs Web/BDD

Support & Centre de Services

GLPI, Parc & Déploiement

Virtualisation

Hyper-V (Microsoft)

Proxmox VE

VMware vSphere

Stockage & RAID

Sauvegarde & PRA/PCA

Windows Server

Administration Linux

Scripting & Automatisation

Méthodologie & Posture Pro

Messagerie

Supervision Serveurs

VoIP & Téléphonie

Conteneurs & Docker

Compléments Examen

CSMA/CD & CSMA/CA

Couche Présentation (6) — détail

Connexion & Fermeture TCP

Augmenter la taille d'un serveur / disque

Examen Blanc