G. PORTS DE COMMUNICATION ET SÉCURITÉ RÉSEAU
G. PORTS DE COMMUNICATION ET SÉCURITÉ RÉSEAU
Les ports de communication sont des identifiants numériques (0 à 65 535) utilisés par les protocoles TCP et UDP pour distinguer les différents services sur un même hôte.
Les ports sont divisés en trois catégories par l'IANA :
n Ports bien connus (Well-Known Ports) : 0–1 023, réservés aux services standards (HTTP, FTP, SSH…).
n Ports enregistrés (Registered Ports) : 1 024–49 151, utilisés par des applications spécifiques.
n Ports dynamiques/privés (Ephemeral Ports) : 49 152–65 535, utilisés pour les connexions sortantes.
1. Ports TCP principaux (entrée WAN → LAN)
|
Port TCP |
Service |
Description |
|
20 / 21 |
FTP (File Transfer Protocol) |
Transfert de fichiers (données / contrôle) |
|
22 |
SSH (Secure Shell) |
Accès distant sécurisé, tunneling, SFTP |
|
23 |
Telnet |
Accès distant non chiffré — ⚠ obsolète, remplacé par SSH |
|
25 |
SMTP |
Envoi de courrier électronique (serveur sortant) |
|
53 |
DNS |
Résolution de noms de domaine (aussi UDP 53) |
|
67 / 68 |
DHCP |
Attribution automatique d'adresses IP |
|
80 |
HTTP |
Navigation Web non chiffrée |
|
110 |
POP3 |
Réception de courrier électronique (téléchargement) |
|
119 |
NNTP |
Groupes de news (obsolète pour la plupart des usages) |
|
143 / 220 |
IMAP 3 / IMAP 4 |
Accès courrier avec synchronisation serveur |
|
443 |
HTTPS |
Navigation Web chiffrée (TLS) |
|
445 |
SMB/CIFS |
Partage de fichiers Windows (NetBIOS over IP) |
|
465 / 587 |
SMTPS / SMTP Submission |
Envoi de courrier chiffré (SSL/STARTTLS) |
|
993 / 995 |
IMAPS / POP3S |
Courrier entrant chiffré |
|
3389 |
RDP |
Bureau à distance Windows |
|
8080 |
HTTP alternatif / Proxy |
Port alternatif HTTP, proxy web |
2. Ports UDP principaux
|
Port UDP |
Service |
Description |
|
53 |
DNS |
Requêtes DNS (résolution de noms — aussi TCP pour les transferts de zone) |
|
67 / 68 |
DHCP |
Attribution automatique d'adresses IP |
|
69 |
TFTP |
Transfert de fichiers simplifié (firmware, configuration) |
|
123 |
NTP |
Synchronisation de l'heure réseau |
|
161 / 162 |
SNMP |
Supervision réseau (requêtes / traps) |
|
500 / 4500 |
IKE / IKEv2 |
Échange de clés pour IPsec/VPN |
|
1194 |
OpenVPN |
VPN open source (aussi TCP) |
ℹ NetBIOS — ports à sécuriser
Les ports UDP/TCP 137 (NetBIOS Name Service), 138 (NetBIOS Datagram) et 139 (NetBIOS Session) sont utilisés pour le partage de ressources Windows. Ces ports ne doivent jamais être exposés sur Internet : ils permettraient à des attaquants d'énumérer les ressources partagées, les utilisateurs et d'établir des sessions non autorisées. En interne, SMB 445 a remplacé NetBIOS 139 depuis Windows 2000.
Un VPN (Virtual Private Network — Réseau Privé Virtuel ou RPV) permet d'établir un tunnel de communication sécurisé et chiffré entre deux points géographiquement éloignés en passant par un réseau public (Internet). Le tunnel VPN garantit la confidentialité (chiffrement), l'intégrité (HMAC) et l'authentification des données.
Le VPN va fournir une adresse du réseau local à un PC connecté depuis Internet. Celui-ci s'intègre alors automatiquement dans le réseau comme s'il était physiquement présent. Le chiffrement empêche toute forme d'interception des données en transit.
a) Protocoles VPN
n IPsec (IP Security) : suite de protocoles cryptographiques opérant au niveau 3. Deux modes : transport (chiffre uniquement la charge utile) et tunnel (chiffre l'intégralité du paquet IP original, encapsulé dans un nouveau paquet). Utilisé pour les VPN site-à-site et les accès distants. Protocoles associés : IKE/IKEv2 pour l'échange de clés.
n SSL/TLS VPN (HTTPS VPN) : utilise le protocole TLS opérant au niveau 7. Ne nécessite qu'un navigateur ou un client léger. Plus facile à déployer que IPsec (passe les pare-feux NAT). Exemples : Cisco AnyConnect, OpenVPN, WireGuard (protocole moderne utilisant ChaCha20/Poly1305).
n L2TP/IPsec : L2TP (Layer 2 Tunneling Protocol) encapsule les connexions PPP dans un tunnel IP, combiné avec IPsec pour le chiffrement. Standard natif dans Windows, macOS, iOS, Android.
n PPTP : protocole propriétaire Microsoft, chiffrement RC4 considéré comme faible. Obsolète et déconseillé.
n WireGuard : protocole VPN moderne (2019), très simple (< 4 000 lignes de code), utilise des algorithmes cryptographiques modernes (ChaCha20, Poly1305, Curve25519, BLAKE2). Performances supérieures à IPsec et OpenVPN. Intégré au noyau Linux depuis 5.6.
b) Types de VPN
n VPN site-à-site (LAN-to-LAN) : relie deux réseaux fixes de manière permanente. Remplace les lignes louées coûteuses. Déployé sur des routeurs ou pare-feux aux deux extrémités.
n VPN accès distant (Remote Access VPN) : permet à un utilisateur mobile de se connecter au réseau de l'entreprise depuis Internet. Client VPN logiciel installé sur le PC/smartphone.
n VPN MPLS (opérateur) : le service VPN est fourni par l'opérateur au niveau du réseau MPLS. Le client ne gère pas le chiffrement (confiance dans l'opérateur). Équivalent des anciennes lignes louées mais partageant l'infrastructure MPLS.
n SSL VPN (clientless) : accessible via un simple navigateur web, sans client installé. Limité aux applications web et applications publiées.
c) Composants d'une connexion VPN distante
· Un logiciel client VPN sur la machine distante (client natif OS ou logiciel dédié).
· Un équipement VPN (concentrateur, pare-feu avec fonction VPN) côté réseau d'entreprise.
· Une adresse IP publique fixe (ou un service DDNS) pour joindre le VPN depuis Internet.
⚡ VPN et architecture Zero Trust
L'architecture Zero Trust (ZTNA — Zero Trust Network Access) évolue au-delà du VPN traditionnel : au lieu d'accorder un accès complet au réseau une fois connecté, ZTNA applique une politique d'accès granulaire à chaque application ou ressource, avec vérification continue de l'identité et de la posture de sécurité du terminal. Les solutions SASE (Secure Access Service Edge) combinent SD-WAN et ZTNA dans un service cloud unifié (Zscaler, Cloudflare Access, Palo Alto Prisma).