Network Devices

Type : Distance Vector | AD : 120 | Metrique : Hop count (nombre de sauts)

• Chaque routeur traverse = 1 hop. La route avec le moins de hops est preferee.
• Maximum 15 hops — 16 = destination inatteignable (infinity). Limite la taille du reseau.
• RIPv1 : classful (pas de masque dans les mises a jour), broadcast
• RIPv2 : classless (VLSM/CIDR), multicast (224.0.0.9), authentification MD5
• Mise a jour toutes les 30 secondes (envoie toute la table de routage)
• Convergence lente — sujet aux routing loops (protections : split horizon, route poisoning, hold-down timers)
• Ne prend pas en compte la bande passante — un lien 100 Mbps a 1 hop est prefere a un lien 10 Gbps a 2 hops

Type : Link State | AD : 110 | Metrique : Cost (reference bandwidth / interface bandwidth)

• Chaque routeur connait la topologie complete du reseau via la LSDB (Link-State Database)
• Utilise l'algorithme de Dijkstra (SPF) pour calculer le chemin le plus court
• Areas : OSPF divise le reseau en zones (areas) pour limiter la taille de la LSDB. Area 0 (backbone) est obligatoire et toutes les autres areas doivent y etre connectees.
• Cost : par defaut = Reference BW (100 Mbps) / Interface BW. Ex: FastEthernet (100 Mbps) = cost 1, Gigabit = cost 1 (ajuster la reference BW !)
• Mises a jour incrementales (LSA) uniquement quand la topologie change — pas de mises a jour periodiques completes
• Convergence rapide grace aux LSAs et au calcul SPF
• Election du DR/BDR (Designated Router / Backup DR) sur les reseaux multi-access pour reduire les adjacences
• Standard ouvert — fonctionne avec tous les constructeurs

Type : Advanced Distance Vector (hybride) | AD : 90 (interne) / 170 (externe) | Metrique : composite

• Protocole Cisco proprietaire (partiellement ouvert via RFC 7868)
• Algorithme DUAL (Diffusing Update Algorithm) — maintient un successor (meilleure route) et un feasible successor (route de secours)
• Metrique composite basee sur : bande passante (K1), delai (K3), charge (K2), fiabilite (K4/K5) — par defaut seuls BW et delay sont utilises
• Convergence tres rapide grace au feasible successor (basculement instantane)
• Mises a jour partielles et incrementales (triggered updates) — n'envoie que les changements
• Supporte VLSM, CIDR, et le load balancing sur des chemins inegaux (unequal-cost load balancing)

Type : Path Vector | AD : 20 (eBGP) / 200 (iBGP) | Metrique : attributs de chemin multiples

• LE protocole qui fait fonctionner Internet. Connecte les systemes autonomes (AS — Autonomous Systems) entre eux.
• eBGP (External) : entre AS differents (ex: entre FAIs). iBGP (Internal) : au sein d'un meme AS.
• Utilise TCP port 179 pour les sessions entre pairs (peers/neighbors)
• Selection du meilleur chemin basee sur de multiples attributs : Weight (Cisco), Local Preference, AS-Path (le plus court prefere), Origin, MED, etc.
• AS-Path : liste des AS traverses. Previent les boucles (un AS rejette une route contenant son propre numero).
• BGP hijacking : un attaquant annonce des prefixes IP qui ne lui appartiennent pas, redirigeant le trafic. Protection : RPKI (Resource Public Key Infrastructure).
• BGP leak : un AS propage accidentellement des routes apprises, causant des detournements massifs de trafic

Année : 1999 | Chiffrement : RC4 (40 ou 104 bits)

Statut : CASSÉ et obsolète. Des outils comme aircrack-ng peuvent casser une clé WEP en quelques minutes.

• IV (Initialization Vector) trop court (24 bits) → réutilisation rapide
• Pas de vérification d'intégrité fiable
• Clé statique partagée par tous les utilisateurs

Année : 2003 | Chiffrement : TKIP (Temporal Key Integrity Protocol)

Amélioration temporaire de WEP en attendant WPA2 :

• Clés dynamiques (changées à chaque paquet) grâce à TKIP
• Vérification d'intégrité MIC (Message Integrity Check)
• Encore vulnérable à certaines attaques (Beck-Tews, Ohigashi-Morii)

Année : 2004 | Chiffrement : AES-CCMP

Le standard de sécurité Wi-Fi le plus répandu aujourd'hui :

• WPA2-Personal (PSK) : clé pré-partagée (mot de passe Wi-Fi), adapté pour les particuliers
• WPA2-Enterprise : authentification via serveur RADIUS (802.1X), adapté pour les entreprises
• Chiffrement AES robuste
• Vulnérable à l'attaque KRACK (Key Reinstallation Attack) de 2017, corrigée par patches

Annee : 2018 | Chiffrement : AES-GCMP-256

La derniere generation de securite Wi-Fi, avec des ameliorations majeures :

SAE (Simultaneous Authentication of Equals) :

• Remplace le 4-way handshake PSK de WPA2 par un echange base sur le protocole Dragonfly (variante de Diffie-Hellman)
• Les deux parties prouvent qu'elles connaissent le mot de passe sans le transmettre
• Resistant aux attaques par dictionnaire offline : un attaquant qui capture le handshake ne peut PAS tester des mots de passe hors ligne (contrairement a WPA2 ou le 4-way handshake capture peut etre cracke avec hashcat/aircrack)
• Chaque tentative de mot de passe necessite une interaction directe avec l'AP, rendant le brute-force en ligne facilement detectable et bloquable

Forward Secrecy (Perfect Forward Secrecy) :

• Chaque session genere des cles de chiffrement uniques et ephemeres
• Meme si le mot de passe Wi-Fi est compromis ulterieurement, le trafic capture precedemment ne peut pas etre dechiffre
• WPA2 n'offrait pas cette propriete : si le PSK etait compromis, tout le trafic capture pouvait etre dechiffre retroactivement

WPA3-Enterprise (192-bit Security) :

• Suite cryptographique CNSA (Commercial National Security Algorithm) pour les environnements hautement sensibles
• AES-GCMP-256 (chiffrement), SHA-384 (hachage), ECDSA-384 / RSA-3072 (signatures), ECDHE-384 (echange de cles)
• Equivalent a une securite de 192 bits minimum a tous les niveaux de la chaine

OWE (Opportunistic Wireless Encryption) — Wi-Fi Enhanced Open :

• Chiffrement automatique des reseaux ouverts (sans mot de passe)
• Utilise un echange Diffie-Hellman pour etablir une cle de session unique entre chaque client et l'AP
• Protege contre le sniffing passif (un attaquant ne peut plus capturer le trafic des autres utilisateurs sur un reseau ouvert)
• Ne protege pas contre les rogue APs (pas d'authentification de l'AP)
• Ideal pour les hotspots publics (cafes, aeroports, hotels)

PMF (Protected Management Frames) — obligatoire :

• Les trames de gestion (deauthentication, disassociation) sont chiffrees et authentifiees
• Empeche les attaques de deauthentication qui forcent les clients a se deconnecter (utilisees dans les attaques evil twin et pour capturer les handshakes WPA2)

Distribuent le trafic réseau entre plusieurs serveurs pour garantir la disponibilité et les performances.

• Layer 4 (transport) : répartition basée sur IP et port (TCP/UDP)
• Layer 7 (application) : répartition basée sur le contenu HTTP (URL, headers, cookies)
• Algorithmes : Round Robin, Least Connections, IP Hash, Weighted
• Vérifient la santé des serveurs (health checks) et retirent les serveurs défaillants

Exemples : F5 BIG-IP, HAProxy, Nginx, AWS ELB, Azure Load Balancer.

Le modem (modulateur-démodulateur) convertit les signaux entre le réseau local et la ligne de l'opérateur (FAI).

• DSL modem : utilise la ligne téléphonique (cuivre)
• Cable modem : utilise le câble coaxial (TV)
• Fiber ONT : convertit le signal optique (fibre) en signal électrique
• Modem 4G/5G : connecte au réseau mobile

Souvent intégré dans une "box" avec le routeur et le point d'accès Wi-Fi.

Convertissent un type de signal/média en un autre pour interconnecter des technologies différentes :

• Fibre → Cuivre : le plus courant, connecte un lien fibre à un switch Ethernet
• Single-mode → Multi-mode : conversion entre types de fibre
• Coaxial → Ethernet : utilisé dans les anciens réseaux

Opèrent au Layer 1 (physique) — ils ne modifient pas les données, seulement le signal.