Glossaire
Symboles et chiffres
3DES
Triple DES. Algorithme de cryptage utilisant successivement trois clés DES de 56 bits (ce qui donne 168 bits). Une autre version de 3DES utilise uniquement deux clés DES de 56 bits. Toutefois, elle utilise deux fois l'une des deux clés, ce qui permet d'obtenir en réalité une clé d'une longueur de 112 bits. Elle ne peut être utilisée qu'aux États-Unis. Reportez-vous à DES.
A
AAA
Abréviation de Authentication, Authorization and Accounting. À prononcer « triple A ».
AAL5-MUX
Abréviation de ATM Adaptation Layer 5 Multiplexing. Multiplexage de couche 5 d'adaptation ATM.
AAL5-SNAP
Abréviation de ATM Adaptation Layer 5 Subnetwork Access Protocol. Protocole d'accès de sous-réseau de couche 5 d'adaptation ATM.
AC
Abréviation de Autorité de Certification. Entité tiers de confiance susceptible d'émettre et/ou de révoquer des certificats numériques. Elle est parfois appelée autorité notoire ou autorité certifiante. Dans le périmètre d'une autorité de certification donnée, un périphérique n'a besoin que de son propre certificat et de la clé publique de l'autorité de certification pour authentifier tous les autres périphériques qui s'y trouvent.
ACE
Abréviation de Access Control Entry. Entrée de contrôle d'accès.
ACL
Abréviation de Access Control List. Liste de contrôle d'accès. Sur un périphérique, mécanisme qui détermine les entités autorisées à accéder à ce périphérique ou aux réseaux qui se trouvent derrière.
ACS
Cisco Secure Access Control Server. Logiciel exécuté sur un serveur RADIUS permettant de stocker des bases de données de stratégies dans une implémentation NAC (centre d'analyse du réseau) dans le but de contrôler l'accès au réseau.
Adresse IP
Les adresses IP version 4 sont d'une longueur de 32 bits, soit 4 octets. Cet « espace » d'adressage s'utilise pour désigner le numéro de réseau, le numéro de sous-réseau (facultatif) et un numéro d'hôte. Les 32 bits sont séparés en groupes de quatre octets (8 bits binaires), représentés par 4 chiffres décimaux séparés par des points. La partie de l'adresse utilisée pour définir le numéro de réseau, le numéro de sous-réseau et le numéro de l'hôte correspond au Masque de sous-réseau.
ADSL
Abréviation de Asymmetric Digital Subscriber Line. Ligne numérique d'abonné à débit asymétrique.
Agrément de clé
Processus au cours duquel deux ou plusieurs parties s'accordent pour utiliser la même clé symétrique secrète.
AH
Abréviation de Authentication Header. En-tête d'authentification. Ancien protocole IPSec, moins répandu sur la plupart des réseaux que le protocole ESP. AH propose des services d'authentification, mais pas de cryptage. Il permet de garantir la compatibilité avec les homologues IPSec qui ne prennent pas en charge le protocole ESP (celui-ci assurant des services d'authentification et de cryptage).
AH-MD5-HMAC
En-tête d'authentification avec l'algorithme de hachage MD5 (variante de HMAC).
AHP
Abréviation de Authentication Header Protocol. Protocole d'en-tête d'authentification. Protocole garantissant l'authentification de l'hôte source et l'intégrité des données, mais pas le secret.
AH-SHA-HMAC
En-tête d'authentification avec l'algorithme de hachage SHA (variante de HMAC).
Algorithme
Séquence logique d'étapes permettant de résoudre un problème. Les algorithmes de sécurité s'appliquent au cryptage ou à l'authentification des données.
DES et 3DES sont des exemples d'algorithmes de cryptage des données.
Exemples d'algorithmes de cryptage-décryptage : chiffrement par blocs, concaténation de blocs chiffrants, chiffrement nul et chiffrement continu.
Les algorithmes de hachage tels que MD5 et SHA font partie des algorithmes d'authentification.
Algorithme de hachage
Algorithme servant à générer une valeur de hachage (condensé de message), destinée à garantir que le contenu du message n'est pas modifié en cours de transmission. Les deux types d'algorithmes les plus utilisés sont les algorithmes SHA (Secure Hash Algorithm) et MD5.
AMI
Abréviation de Alternate Mark Inversion. Codage bipolaire.
Analyse dynamique
Les protocoles de réseau conservent certaines données, les informations d'état, à chaque extrémité d'une connexion réseau entre deux hôtes. Les informations d'état servent à la mise en œuvre des fonctions d'un protocole, telles que la garantie de remise des paquets, le séquencement des données, le contrôle de flux et les ID de session ou de transaction. Certaines informations d'état sont transmises dans chaque paquet pour chaque protocole. Un navigateur Internet, par exemple, connecté à un serveur Web utilise HTTP et les protocoles TCP/IP compatibles. Chaque couche de protocole place des informations d'état dans les paquets qu'elle envoie et reçoit. Les routeurs analysent les informations de chaque paquet pour vérifier qu'elles sont à jour et valides en fonction des divers protocoles utilisés. Cette analyse dynamique sert à instaurer une barrière efficace contre certaines menaces informatiques.
ARP
Abréviation de Address Resolution Protocol. Protocole de résolution d'adresse. Il s'agit d'un protocole TCP/IP de bas niveau qui fait correspondre l'adresse matérielle d'un nœud (appelée adresse MAC) à son adresse IP.
AS
Abréviation de Association de Sécurité. Ensemble de paramètres de sécurité agréés par deux homologues pour protéger une session particulière d'un tunnel donné. Les protocoles IKE et IPSec utilisent des associations de sécurité, bien qu'elles restent indépendantes les unes des autres.
Les associations de sécurité IPSec sont unidirectionnelles et uniques dans chaque protocole de sécurité. Une association de sécurité IKE ne sert que pour IKE. Contrairement aux associations de sécurité IPSec, elles sont bidirectionnelles. IKE négocie et établit les associations de sécurité pour le compte d'IPSec. Un utilisateur peut également établir manuellement les associations de sécurité IPSec.
Un ensemble d'associations de sécurité est nécessaire pour protéger un conduit de données, une par direction et par protocole. Par exemple, si vous avez un conduit qui prend en charge le protocole ESP (Encapsulating Security Protocol) entre les homologues, une association de sécurité ESP est requise par direction. Les associations de sécurité sont uniquement identifiées par adresse de destination (extrémité IPSec), protocole de sécurité (AH ou ESP) et index SPI (Security Parameter Index).
ASA
Abréviation de Adaptive Security Algorithm. Algorithme de sécurité adaptatif. Il permet les connexions unidirectionnelles (intérieur vers extérieur) sans configuration explicite pour chaque système et application internes.
ATM
Abréviation de Asynchronous Transfer Mode. Mode de transfert asynchrone. Norme internationale de commutation de cellules selon laquelle plusieurs types de services (comme la voix, la vidéo et les données) sont transportés dans des cellules de longueur fixe (53 octets). Les cellules de longueur fixe sont traitées au niveau matériel, ce qui réduit les temps de transit.
Attaque par inondation de requêtes SYN TCP
Attaque qui se produit lorsqu'un pirate inonde un serveur de demandes de connexion. Les connexions ne peuvent pas être établies, car ces messages ne possèdent pas d'adresse de retour joignable. Le volume de connexions ouvertes non résolues qui en résulte peut submerger le serveur et l'amener à rejeter des demandes valides, ce qui peut priver des utilisateurs légitimes de connexion avec un site Web, d'accès à la messagerie, d'utilisation d'un service FTP, etc.
Authentification
Dans le domaine de la sécurité, vérification de l'identité d'une personne ou d'un processus. L'authentification évalue l'intégrité d'un flux de données, s'assure qu'il n'a pas été falsifié pendant le transport et confirme son origine.
Authentification de l'origine des données
Fonction d'un service de non-répudiation.
Authentifier
Déterminer la véracité d'une identité.
Autorité de certification racine
Autorité de certification qui signe en dernier ressort les certificats émis par les autorités de certification qui en dépendent. L'autorité de certification racine possède un certificat auto-signé contenant sa propre clé publique.
C
Canal en clair
Canal par lequel le trafic non crypté peut transiter. Aucune restriction de sécurité ne s'applique aux données transmises.
Capteur IDS
Équipement sur lequel s'exécute Cisco IDS. Il peut s'agir d'un périphérique autonome ou d'un module réseau installé sur un routeur.
Carte de routage
Les cartes de routage permettent de contrôler les informations qui sont ajoutées à la table de routage. SDM crée automatiquement des cartes de routage pour empêcher la conversion d'adresses source spécifiques (par NAT) et éviter que les paquets ne correspondent pas aux critères d'une règle IPSec.
CBAC
Abréviation de Context-based Access Control. Prise en charge du contrôle d'accès par contexte. Protocole offrant aux utilisateurs internes un contrôle d'accès sécurisé à toutes les applications et à l'intégralité du trafic qui transite sur les périmètres de réseaux. Le protocole CBAC surveille aussi bien les adresses source que les adresses de destination, ainsi que l'état de connexion de chaque application.
CDP
Abréviation de Cisco Discovery Protocol. Protocole de découverte Cisco. Protocole de découverte des périphériques, indépendant du support et du protocole, fonctionnant sur tous les équipements fabriqués par Cisco, parmi lesquels les routeurs, les serveurs d'accès, les passerelles et les commutateurs. Un périphérique peut signaler sa présence aux autres par l'intermédiaire du protocole CDP et recevoir des informations sur d'autres périphériques situés dans le même réseau local ou à distance dans le cadre d'un réseau étendu.
CEP
Abréviation de Certificate Enrollment Protocol. Protocole d'inscription des certificats. Protocole de gestion des certificats. Le protocole CEP correspond à une version préliminaire de la norme CRS (Certificate Request Syntax) proposée à l'IETF (Internet Engineering Task Force). Le protocole CEP détermine comment un périphérique communique avec une autorité de certification, récupère la clé publique de l'autorité de certification, s'inscrit auprès de cette autorité et récupère une liste de révocation des certificats (CRL). Le protocole CEP repose sur les normes PKCS (Public Key Cryptography Standards) 7 et 10. Le groupe de travail sur l'infrastructure de clé publique (PKIX) de l'IETF cherche à normaliser un protocole pour ces fonctions, dans le cadre de la norme CRS ou d'une autre équivalente. Cisco prendra en charge la norme IETF dès qu'elle sera stable. Le protocole CEP a été développé conjointement par Cisco Systems et VeriSign, Inc.
Certificat
Reportez-vous à Certificat numérique.
Certificat de l'autorité de certification
Certificat numérique accordé à une autorité de certification (AC) par une autre autorité de certification.
Certificat de signature
Utilisé pour associer votre signature numérique à vos messages ou documents, et vous assurer que ceux-ci sont transmis sans changements.
Certificat numérique
Représentation numérique, signée de manière cryptographique, des attributs d'un utilisateur ou d'un périphérique, qui associe une clé à une identité. Un certificat unique, associé à une clé publique, constitue une garantie que la sécurité de la clé n'est pas compromise. Un certificat, émis et signé par une autorité de certification de confiance, associe une clé publique à son détenteur. Les certificats contiennent généralement le nom et la clé publique du détenteur, ainsi que le numéro de série et la date d'expiration du certificat. D'autres informations peuvent également être mentionnées. Reportez-vous à X.509.
Certificat X.509
Certificat numérique dont la structure est conforme à la norme X.509.
Certificat X.509
Certificat numérique dont la structure est conforme à la norme X.509.
CET
Abréviation de Cisco Encryption Technology. Technologie de cryptage Cisco. Système de cryptage de la couche réseau propriétaire de Cisco introduit dans la version 11.2 d'IOS. Le protocole CET assure le cryptage des données sur le réseau au niveau des paquets IP, en se basant sur les normes suivantes : DH, DSS, DES 40 et 56 bits.
CHAP
Abréviation de Challenge Handshake Authentication Protocol. Protocole d'authentification par défi-réponse. Fonction de sécurité, disponible sur les lignes utilisant l'encapsulation PPP, qui empêche les accès non autorisés. Le protocole CHAP n'empêche pas l'accès non autorisé à proprement parler, mais il identifie l'extrémité distante. Le routeur ou le serveur d'accès peut alors décider si l'utilisateur est autorisé à accéder ou non. Voir également PAP.
Chargen
Acronyme de Character Generation. Génération de caractères. Avec le protocole TCP, ce service envoie un flux continu de caractères, jusqu'à ce qu'il soit stoppé par le client. Avec le protocole UDP, le serveur envoie un nombre de caractères aléatoire chaque fois que le client transmet un datagramme.
Chiffrement
Algorithme de cryptage-décryptage.
Chiffrement par blocs
Algorithme de cryptage utilisant un chiffrement symétrique sur 64 bits à appliquer aux blocs de données d'une taille fixe. Reportez-vous à Chiffrement.
Clé
Chaîne de bits utilisée pour crypter ou décrypter des données ou encore calculer des condensés de messages.
Clé de session
Clé utilisable une fois uniquement.
Clé distribuée
Clé cryptographique partagée, divisée en plusieurs pièces, dont chacune est fournie à un participant différent.
Clé partagée
Clé secrète partagée par tous les utilisateurs au cours d'une session de communication basée sur une clé symétrique.
Clé pré-partagée
Une des trois méthodes d'authentification proposées par IPSec, les deux autres étant les nonces cryptés par RSA et les signatures RSA. Les clés pré-partagées permettent à un ou plusieurs clients d'utiliser des secrets partagés individuels pour authentifier les tunnels cryptés vers une passerelle en utilisant IKE. Elles sont principalement utilisées dans les réseaux de faible envergure comptant jusqu'à 10 clients. L'utilisation de clés pré-partagées dispense de recourir à une autorité de certification pour la sécurité.
L'échange de clés Diffie-Hellman fait appel à des clés publiques et privées pour créer un secret partagé destiné à l'authentification entre homologues IPSec. Le secret peut être partagé entre deux homologues ou davantage. Au niveau de chaque homologue participant, vous devez spécifier un secret partagé dans le cadre d'une stratégie IKE. La diffusion de cette clé pré-partagée s'effectue généralement au travers d'une voie de service sécurisée. En cas d'utilisation d'une clé pré-partagée, si un des homologues participants n'est pas configuré avec la même clé, il n'est pas possible d'établir l'association de sécurité IKE. Pour établir une association de sécurité IPSec, une association de sécurité IKE doit avoir été établie au préalable. Vous devez configurer la clé pré-partagée au niveau de tous les homologues.
La certification numérique et les clés pré-partagées avec joker (qui permettent à un ou plusieurs clients d'utiliser un secret partagé pour authentifier les tunnels cryptés vers une passerelle) peuvent être utilisées en remplacement des clés pré-partagées. Dans les deux cas, elles sont plus extensibles que les clés pré-partagées.
Clé privée
Reportez-vous à Cryptage à clé publique.
Clé secrète
Reportez-vous à Clé symétrique.
Clé symétrique
Sert à décrypter les informations qui ont été préalablement cryptées.
Clés asymétriques
Paire de clés cryptographiques liées mathématiquement. La clé publique crypte les informations que seule la clé privée peut décrypter, et vice versa. En outre, la clé privée signe les données que seule la clé publique peut authentifier.
Clés RSA
Paire de clés asymétriques RSA contenant une clé publique et une clé privée qui correspondent.
CLI
Abréviation de Command-Line Interface. Interface de ligne de commande. Principale interface permettant d'envoyer des commandes de configuration et de contrôle au routeur. Reportez-vous au guide de configuration du routeur concerné pour obtenir davantage d'informations sur les commandes disponibles par l'intermédiaire de l'interface de ligne de commande.
Client Unity
Client d'un serveur Unity Easy VPN Server.
CNS
Abréviation de Cisco Networking Services. Services réseau Cisco. Ensemble de services destinés à faciliter le déploiement de réseaux aux dimensions variables, le contrôle du niveau de service et la livraison du service.
Comp-lzs
Algorithme de compression IP.
Concentrateur
Sur un réseau DMVPN, un concentrateur correspond à un routeur avec une connexion IPSec point à point vers tous les routeurs satellites du réseau. Le concentrateur correspond au centre logique d'un réseau DMVPN.
Condensé
Résultat d'une fonction de hachage.
Condensé de message
Chaîne de bits représentant un bloc de données plus important. Cette chaîne définit un bloc de données, obtenu à partir du traitement de son contenu exact par une fonction de hachage de 128 bits. Les condensés de message sont utilisés pour générer des signatures numériques. Reportez-vous à Hachage.
Confidentialité des données
Résultat du cryptage des données, empêchant la divulgation d'informations à des utilisateurs, des entités ou des processus non autorisés. Quant aux informations, il peut s'agir de données au niveau application ou de paramètres de communication. Reportez-vous à Sécurité du flux ou Analyse du trafic.
Configuration, fichier de configuration
Sur le routeur, fichier contenant les paramètres, préférences et propriétés qui peuvent être administrés par l'intermédiaire de SDM.
Connexion VPN
VPN site à site. Ensemble de connexions VPN entre des homologues, dont les attributs comprennent les informations de configuration suivantes :
- un nom de connexion ;
- une stratégie IKE et une clé pré-partagée (facultatif) ;
- un homologue IPSec ;
- une liste d'un ou plusieurs sous-réseaux ou hôtes distants protégés par la connexion ;
- une règle IPSec déterminant le trafic à crypter ;
- une liste de jeux de transformation définissant la manière dont le trafic protégé est crypté ;
- une liste des interfaces réseau de périphériques auxquelles appliquer la connexion.Contexte WebVPN
Un contexte WebVPN fournit les ressources nécessaires pour configurer l'accès sécurisé sur un intranet d'entreprise et d'autres types de réseaux privés. Un contexte WebVPN doit inclure une passerelle WebVPN associée. Un contexte WebVPN peut s'appliquer à une ou plusieurs stratégies de groupe WebVPN.
Contrôle d'accès, règle de contrôle d'accès
Informations intégrées à la configuration, qui permettent de préciser le type de trafic à autoriser ou non à transiter par une interface. Par défaut, tout trafic qui n'est pas explicitement autorisé est interdit. Les règles de contrôle d'accès sont constituées d'entrées de contrôle d'accès (ACE).
Conversion d'adresses
Conversion d'une adresse réseau et/ou d'un port en une autre adresse réseau ou un autre port. Voir également Adresse IP, NAT, PAT, PAT statique.
Cookie
Fonction de navigateur Web permettant de conserver et de retrouver des informations, telles que les préférences utilisateur, sur un support de stockage persistant. Dans Netscape et Internet Explorer, les cookies s'installent en enregistrant un petit fichier texte sur le disque dur local. Le fichier peut ainsi être chargé dès la visite suivante d'un site Web ou l'exécution d'un applet Java. Ainsi, les informations qui vous sont propres en tant qu'utilisateur peuvent être conservées entre les sessions. La taille maximum d'un cookie est d'environ 4 Ko.
CPE
Abréviation de Customer Premises Equipment. Équipement local d'abonné.
CRL
Abréviation de Certificate Revocation List. Liste de révocation de certificats. Liste tenue à jour et signée par une autorité de certification (AC) de tous les certificats numériques non périmés qui ont fait l'objet d'une révocation.
Cryptage
Application d'un algorithme particulier aux données de manière à modifier leur aspect et à les rendre incompréhensibles pour les personnes non autorisées.
Cryptage à clé publique
Dans les systèmes de cryptage à clé publique, chaque utilisateur possède à la fois une clé publique et une clé privée. Chaque clé privée appartient à un seul utilisateur ; elle n'est partagée avec personne. La clé privée sert à générer une signature numérique unique et à décrypter les informations cryptées par la clé publique. Par contre, la clé publique d'un utilisateur est accessible à tous, afin de crypter les informations destinées à cet utilisateur ou de vérifier sa signature numérique. Synonyme : cryptographie à clé publique.
Cryptage asymétrique
Cette approche, également dénommée système à clé publique, permet à quiconque d'accéder à la clé publique de quelqu'un d'autre et par conséquent de lui envoyer un message chiffré à l'aide de cette clé.
Crypter
Aboutir, à partir d'un texte en clair, à un texte chiffré.
Crypto-carte
Dans SDM, les crypto-cartes déterminent le trafic à protéger par IPSec, la destination vers laquelle ce trafic doit être dirigé, et les jeux de transformation IPSec à lui appliquer.
Cryptogramme
Données cryptées, illisibles avant d'être décryptées.
Cryptographie
Techniques mathématiques et scientifiques permettant de conserver le caractère privé et authentique des données, qui ne peuvent par ailleurs pas être modifiées ou rejetées.
Cycle de vie
Reportez-vous à Date d'expiration.
D
Date d'expiration
La date d'expiration associée à une clé ou à un certificat indique la fin de sa validité. Le certificat ou la clé n'est plus approuvé après cette date.
Décryptage
Application inverse de l'algorithme de cryptage, qui vise à rétablir la forme originale des données, à savoir non cryptée.
DES
Abréviation de Data Encryption Standard. Norme de cryptage de données. Algorithme de cryptographie standard développé et normalisé aux États-Unis par le NIST (National Institute of Standards and Technology). Il utilise une clé de cryptage secrète de 56 bits. De nombreuses normes de cryptage reposent sur l'algorithme DES.
Détection de répétition
Fonction de sécurité standard IPSec associant les numéros de séquence à l'authentification, afin que le récepteur d'une communication puisse rejeter les paquets anciens ou en double et empêcher les attaques par répétition.
DH, Diffie-Hellman
Protocole cryptographique à clé publique permettant à deux parties d'établir un secret partagé sur des voies de communication non sécurisées. Le protocole Diffie-Hellman s'utilise avec le protocole IKE (Internet Key Exchange) pour générer des clés de session. Diffie-Hellman est un composant de l'échange de clé Oakley.
DHCP
Abréviation de Dynamic Host Configuration Protocol. Protocole de configuration d'hôte dynamique. Protocole proposant un mécanisme d'affectation dynamique des adresses IP aux hôtes, afin qu'elles puissent être réutilisées lorsque les hôtes n'en ont plus besoin.
DLCI
Abréviation de Data Link Connection Identifier. Identification de connexion de liaison de données. Dans le cas de connexions de type relais de trame, il s'agit de l'identification d'une connexion de liaison de données particulière entre deux extrémités.
DMVPN
Abréviation de Dynamic Multipoint Virtual Private Network. Réseau privé virtuel multipoint dynamique. Réseau privé virtuel au sein duquel les routeurs sont organisés selon une topologie en étoile logique ; les satellites étant reliés au concentrateur par l'intermédiaire de connexions point à point GRE sur IPSec. Le réseau DMVPN utilise les protocoles GRE et NHRP pour faire circuler le flux de paquets vers les destinations correspondantes.
DMVPN simple
Un routeur doté d'une configuration DMVPN simple possède une connexion vers un concentrateur DMVPN et un tunnel GRE configuré pour la communication DMVPN. Les adresses de tunnel GRE du concentrateur et des satellites doivent se trouver dans le même sous-réseau.
DMZ
Abréviation de Demilitarized Zone. Réseau intermédiaire. Zone tampon située entre Internet et vos réseaux privés. Il peut s'agir d'un réseau public utilisé principalement pour les serveurs Web, FTP et les serveurs de messagerie, accessibles par des clients externes à partir d'Internet. Le fait de placer des serveurs à accès public sur un réseau à part apporte un niveau de sécurité supplémentaire à votre réseau interne.
DN
Abréviation de Distinguished Name. Nom distinctif permettant d'identifier de manière unique un client d'une autorité de certification. Ce nom est inclus dans tous les certificats provenant de l'autorité de certification. Le nom distinctif contient généralement le nom de famille de l'utilisateur, celui de sa société ou de l'organisation à laquelle il appartient, son code pays à deux lettres, une adresse électronique pour pouvoir le contacter, son numéro de téléphone, son numéro de département et la ville dans laquelle il habite.
DNS
Abréviation de Domain Name System (ou Service) Système de noms de domaine. Service Internet chargé de convertir les noms de domaines, composés de lettres, en adresses IP, constituées de chiffres.
DRAM
Abréviation de Dynamic Random Access Memory. Mémoire vive dynamique. Mémoire vive permettant de stocker les informations dans des condensateurs qui doivent être régulièrement actualisés.
DSLAM
Abréviation de Digital Subscriber Line Access Multiplexer. Multiplexeur d'accès DSL.
DSS
Abréviation de Digital Signature Standard. Norme de signature numérique. Synonyme : algorithme de signature numérique. L'algorithme DSS fait partie intégrante de nombreuses normes à clé publique relatives aux signatures cryptographiques.
Durée de vie de l'association de sécurité
Durée prédéfinie pendant laquelle l'association de sécurité reste en vigueur.
Durée de vie de la clé
Attribut d'une paire de clés spécifiant une durée dans le temps, pendant laquelle le certificat contenant le composant public de cette paire de clés est considéré comme valide.
E
EAPoUDP
Extensible Authentication Protocol over User Datagram Protocol. Parfois appelé protocole EOU. Ce protocole est utilisé par un client et un NAD pour procéder à la validation de posture.
Easy VPN
Une solution de gestion VPN centralisée basée sur le cadre de travail de client unifié de Cisco (Cisco Unified Client Framework). Une solution Easy VPN Cisco est constituée de deux composants : un client distant Easy VPN Cisco et un serveur Easy VPN Cisco.
Échange de clé Diffie-Hellman
Protocole cryptographique à clé publique permettant à deux parties d'établir un secret partagé sur des voies de communication non sécurisées. Le protocole Diffie-Hellman s'utilise avec le protocole IKE (Internet Key Exchange) pour générer des clés de session. Diffie-Hellman est un composant de l'échange de clé Oakley. Le logiciel Cisco IOS prend en charge les groupes Diffie-Hellman de 768 et 1 024 bits.
Échange de clés
Méthode consistant à échanger des clés de cryptage entre deux ou plusieurs parties. Le protocole IKE propose une méthode de ce type.
ECHO
EIGRP
Abréviation de Enhanced Interior Gateway Routing Protocol. Protocole de routage de passerelle intérieure amélioré. Version avancée du protocole IGRP développé par Cisco Systems, qui garantit des propriétés de convergence et une efficacité d'exploitation exceptionnelles, tout en associant les avantages des protocoles à état de liaison à ceux des protocoles de type vecteur de distance.
Empreinte
L'empreinte d'un certificat correspond à la chaîne de caractères alphanumériques résultant d'un hachage MD5 de tout le certificat AC. Les entités qui reçoivent un certificat AC peuvent contrôler son authenticité en le comparant à son empreinte connue. Cette authentification vise à garantir l'intégrité des sessions de communication en empêchant les « attaques de l'intercepteur ».
encapsulation
Intégration des données à un en-tête de protocole particulier. Les données Ethernet, par exemple, sont intégrées à un en-tête Ethernet particulier avant de transiter sur le réseau. De même, pour l'interconnexion (pontage) de réseaux hétérogènes, toute la trame d'un réseau est simplement placée dans l'en-tête utilisé par le protocole de la couche de liaison de l'autre réseau.
ESP
Abréviation de Encapsulating Security Payload. Charge utile d'encapsulation de sécurité. Protocole IPSec garantissant l'intégrité et la confidentialité des données. Le protocole ESP garantit la confidentialité des données, l'authentification de leur origine, la protection contre les répétitions, la protection en mode déconnecté, l'intégrité de séquence partielle et la confidentialité partielle du flux de trafic.
ESP_SEAL
Protocole ESP associé à l'algorithme de cryptage à clé de 160 bits SEAL (Software Encryption Algorithm). Cette fonction a été introduite dans la version 12.3(7)T. Pour pouvoir l'utiliser, il ne faut pas activer le cryptage IPSec matériel sur le routeur.
Esp-3des
Variante du protocole ESP utilisant l'algorithme de cryptage DES sur 168 bits (3DES ou triple DES).
Esp-des
Variante du protocole ESP utilisant l'algorithme de cryptage DES sur 56 bits.
ESP-MD5-HMAC
Variante du protocole ESP utilisant l'algorithme d'authentification SHA (variante de MD5).
Esp-null
Variante du protocole ESP ne garantissant aucun cryptage ni confidentialité.
ESP-SHA-HMAC
Variante du protocole ESP utilisant l'algorithme d'authentification SHA (variante de HMAC).
Ethernet
Protocole de réseau local très répandu inventé par Xerox Corporation et développé conjointement par Xerox, Intel et Digital Equipment Corporation. Les réseaux Ethernet utilisent le protocole CSMA/CD, avec divers types de câbles autorisant des débits de 10 Mbits/s à 100 Mbits/s. Le protocole Ethernet est comparable à la série de normes IEEE 802.3.
Externe globale
Adresse IP affectée à un hôte sur le réseau extérieur par le propriétaire de l'hôte. L'adresse a été allouée à partir de l'espace réseau ou de l'espace d'adressage globalement routable.
Externe locale
Adresse IP d'un hôte externe, telle qu'elle est perçue par le réseau interne. Il ne s'agit pas forcément d'une adresse valide, elle a été allouée à partir d'un espace d'adressage routable vers l'intérieur.
Extrémité
Côté réception (liaison descendante) d'un tunnel.
I
ICMP
Abréviation de Internet Control Message Protocol (protocole de contrôle des messages sur Internet). Protocole de la couche réseau chargé de signaler les erreurs et d'autres informations relatives au traitement des paquets IP.
Identité du certificat
Un certificat X.509 contient des informations relatives à l'identité du périphérique ou de l'entité qui détient ce certificat. Les informations d'identification sont ensuite examinées lors de toutes les instances suivantes de vérification et d'authentification de l'homologue. Ceci étant, les identités de certificats peuvent s'avérer vulnérables lors d'attaques par usurpation.
IDM
Abréviation de IDS Device Manager. Gestionnaire de périphériques IDS. IDM correspond au logiciel utilisé pour gérer un capteur IDS.
IDS
Abréviation de Intrusion Detection System. Système de détection des intrusions. Cisco IPS analyse en temps réel le trafic du réseau, à l'aide d'une bibliothèque de signatures, pour déceler les anomalies et les intrusions. Lorsqu'il détecte des anomalies ou une activité non autorisée, il peut terminer la condition, bloquer le trafic en provenance des hôtes agresseurs et envoyer des alertes à l'IDM.
IETF
Abréviation d'Internet Engineering Task Force. Groupe de travail IETF.
IGMP
Abréviation de Internet Group Management Protocol. Protocole de gestion de groupe Internet, utilisé par les systèmes IPv4 pour signaler les membres d'un groupe de multidiffusion IP aux routeurs multidiffusion situés à proximité.
IKE
Abréviation de Internet Key Exchange. Échange de clés Internet. Norme de gestion des clés, le protocole IKE peut être utilisé conjointement avec la norme IPSec ou d'autres. Bien qu'IPSec puisse être configuré sans IKE, ce dernier renforce l'efficacité d'IPSec en lui octroyant des fonctions supplémentaires, une plus grande souplesse et une facilité de configuration accrue. IKE assure l'authentification des homologues, la négociation des clés et celle des associations de sécurité IPSec.
La vérification de l'identité de son homologue par chaque routeur, pare-feu et hôte est une condition préalable au passage du trafic IPSec. Cette opération peut être effectuée en entrant manuellement des clés pré-partagées au niveau des deux hôtes ou par l'intermédiaire d'un service AC. IKE est un protocole hybride chargé de mettre en œuvre les systèmes d'échange de clé Oakley et Skeme à l'intérieur de l'environnement ISAKMP. (ISAKMP, Oakley et Skeme correspondent à des protocoles de sécurité mis en œuvre par IKE.)
Informatique client/serveur
Expression désignant les réseaux informatiques distribués qui répartissent les responsabilités entre deux entités : le client (ordinateur frontal) et le serveur (ordinateur principal). Synonyme : informatique distribuée. Voir également RPC.
Intégrité des données
Exactitude présumée des données transmises, impliquant l'authenticité de l'expéditeur et l'absence de falsification des données.
Interface
Connexion physique entre un réseau particulier et le routeur. L'interface LAN du routeur est connectée au réseau local qu'il dessert. Le routeur possède une ou plusieurs interfaces WAN connectées à Internet.
Interface logique
Interface créée par configuration uniquement, qui ne correspond pas à une interface physique du routeur. Les interfaces de numérotation et de tunnel constituent des exemples d'interfaces logiques.
Interface physique
Interface d'un routeur prise en charge par un module réseau installé dans le châssis du routeur ou par le matériel de base de celui-ci.
Interne globale
Adresse IP d'un hôte à l'intérieur d'un réseau, telle qu'elle est perçue par l'ensemble du réseau extérieur.
Interne locale
Adresse IP configurée et affectée à un hôte à l'intérieur du réseau.
Internet
Réseau mondial basé sur des protocoles Internet, dont IP. Il ne s'agit pas d'un réseau local. Voir également Intranet.
Intranet
Réseau interne. Réseau LAN qui utilise le protocole IP et des protocoles Internet, comme SNMP, FTP et UDP. Voir également Réseau, Internet.
IOS
Logiciel Cisco IOS. Logiciel système Cisco qui apporte fonctionnalités, extensibilité et sécurité à tous les produits dépendant de l'architecture CiscoFusion. Cisco IOS, qui est compatible avec une grande variété de protocoles, supports, services et plates-formes, permet l'installation et la gestion centralisées, intégrées et automatisées d'interréseaux.
IOS IPS
IPS
Abréviation de Cisco IOS Intrusion Prevention System. Système de prévention des intrusions Cisco IOS. IOS IPS compare le trafic à une importante base de données de signatures d'intrusion et a la possibilité d'extraire les paquets intrus et de prendre d'autres mesures en fonction de la configuration. Les signatures sont intégrées aux images IOS compatibles avec cette fonction et d'autres signatures peuvent être conservées dans des fichiers de signatures locaux ou distants.
IP
Abréviation de Internet Protocol (protocole Internet). Les protocoles Internet constituent la suite de protocoles ouverts (non propriétaires) les plus répandus, car ils peuvent servir à communiquer avec tous les réseaux interconnectés, qu'il s'agisse de réseaux locaux ou étendus.
IPSec
Un environnement de normes ouvertes qui garantissent la confidentialité, l'intégrité et l'authentification des données entre les homologues participants. Ces services de sécurité IPSec sont proposés au niveau de la couche IP. IPSec fait appel au protocole IKE pour gérer la négociation des protocoles et des algorithmes en fonction de la stratégie locale et pour générer les clés de cryptage et d'authentification qui lui sont nécessaires. IPSec peut servir à protéger un ou plusieurs flux de données entre deux hôtes, deux passerelles de sécurité ou encore entre une passerelle de sécurité et un hôte.
IRB
Integrated Routing and Bridging. IRB permet d'acheminer un protocole entre des interfaces routées et d'établir une passerelle pour des groupes dans un routeur à commutateur unique.
ISAKMP
Abréviation de Internet Security Association Key Management Protocol. Protocole de gestion des clés et des associations de sécurité Internet sur lequel repose le protocole IKE. ISAKMP assure l'authentification d'homologues qui communiquent, crée et gère des associations de sécurité et enfin définit des techniques de génération de clés.
L
L2TP
Protocole de tunnellisation de couche 2. Protocole de suivi des normes de groupe de travail IETF défini dans la RFC 2661, qui assure la tunnellisation du PPP. Reposant sur les meilleures fonctionnalités des protocoles L2F et PPTP, L2TP propose une méthode de mise en œuvre de VPDN exploitable sur tous les systèmes. L2TP constitue une alternative à IPSec, bien qu'il soit parfois utilisé conjointement pour fournir des services d'authentification.
LAC
Abréviation de L2TP Access Concentrator. Concentrateur d'accès L2TP. Périphérique chargé de mettre fin aux appels vers les systèmes distants et de mettre en tunnel les sessions PPP entre les systèmes distants et le LNS.
LAN
Abréviation de Local Area Network. Réseau local. Réseau localisé à un endroit ou appartenant à une organisation utilisant généralement (mais pas forcément) le protocole IP ou d'autres protocoles Internet. Il ne s'agit pas de l'Internet mondial. Voir également Intranet, Réseau, Internet.
LAPB
Abréviation de Link Access Procedure, Balanced. Procédure d'accès en mode équilibré.
LBO
Abréviation de Line Build Out.
liste d'exceptions
Dans une implémentation NAC (centre d'analyse du réseau), liste d'hôtes avec des adresses statiques autorisés à contourner le processus NAC. Ces hôtes peuvent être placés dans la liste d'exceptions, car aucun agent de posture n'est installé dessus, ou car il s'agit d'hôtes de types imprimantes ou téléphones IP Cisco.
Liste de révocation de certificats X.509
Liste de numéros de certificats qui ont été révoqués. Elle doit respecter l'une des deux définitions de formatage spécifiées pour les listes de révocation de certificats de la norme X.509.
LNS
Abréviation de L2TP Network Server. Serveur de réseau L2TP. Périphérique capable de terminer les tunnels L2TP à partir d'un concentrateur d'accès L2TP et des sessions PPP avec des systèmes distants par l'intermédiaire de sessions de données L2TP.
M
MAC
Abréviation de Message Authentication Code. Code d'authentification de message. Total de contrôle cryptographique du message utilisé pour vérifier son authenticité. Reportez-vous à Hachage.
Masque de joker
Masque sur plusieurs bits utilisé dans les règles d'accès, les règles IPSec et les règles NAT pour spécifier les portions de l'adresse IP du paquet qui doivent correspondre à l'adresse IP de la règle. Un masque de joker contient 32 bits, soit le même nombre de bits qu'une adresse IP. Une valeur de masque de joker de 0 spécifie que le bit qui occupe la même position dans l'adresse IP du paquet doit correspondre au bit de l'adresse IP de la règle. Une valeur de 1 indique que le bit correspondant dans l'adresse IP du paquet peut être égal à 1 ou à 0 ; autrement dit, que la valeur du bit n'a pas d'importance pour cette règle. Le masque de joker 0.0.0.0 spécifie que les 32 bits de l'adresse IP du paquet doivent correspondre l'adresse IP de la règle. Le masque de joker 0.0.255.0 spécifie que les 16 premiers bits et les 8 derniers bits doivent correspondre, mais que le troisième octet peut prendre n'importe quelle valeur. Si l'adresse IP d'une règle est 10.28.15.0, et le masque 0.0.255.0, l'adresse IP 10.28.88.0 correspond à l'adresse IP de la règle, et l'adresse IP 10.28.15.55 ne correspond pas.
Masque
Masque de sous-réseau
Masque réseau
Masque de réseau
Masque binaire de 32 bits identifiant, au sein d'une adresse Internet, le réseau, le sous-réseau et l'hôte. Dans les positions binaires de l'adresse de 32 bits, le masque de réseau contient des 1 pour le réseau et le sous-réseau et des 0 pour l'hôte. Le masque doit être constitué au minimum de la partie réseau standard (déterminée par la classe d'adresses). Quant au champ du sous-réseau, il doit suivre immédiatement la partie réseau. Le masque est configuré en fonction de l'équivalent décimal de la valeur binaire.
Exemples :
En décimal : 255.255.255.0
En binaire : 11111111 11111111 11111111 00000000
Les 24 premiers bits identifient l'adresse du réseau et du sous-réseau, les 8 derniers correspondent à l'adresse de l'hôte.En décimal : 255.255.255.248
En binaire : 11111111 11111111 11111111 11111000
Les 29 premiers bits identifient l'adresse du réseau et du sous-réseau, les 3 derniers correspondent à l'adresse de l'hôte.Voir également Adresse IP, TCP/IP, Hôte, Hôte/Réseau.
MD5
Abréviation de Message Digest 5. Condensé de message 5. Algorithme de hachage unidirectionnel permettant d'obtenir un hachage de 128 bits. Les algorithmes MD5 et SHA sont en fait des variantes du MD4 qui visent à renforcer son efficacité. Cisco recourt au hachage pour procéder à l'authentification à l'intérieur de l'environnement IPSec. Utilisé également pour authentifier les messages dans SNMP v.2, MD5 vérifie l'intégrité de la communication, authentifie son origine et contrôle sa pertinence.
MD5
Abréviation de Message Digest 5. Condensé de message 5. Fonction de hachage unidirectionnelle permettant d'obtenir un hachage de 128 bits. Les algorithmes MD5 et SHA sont en fait des variantes du MD4, qui visent à renforcer son efficacité. Cisco recourt au hachage pour procéder à l'authentification à l'intérieur de l'environnement IPSec. MD5 vérifie l'intégrité d'une communication et authentifie son origine.
Mémoire cache
Référentiel temporaire d'informations provenant des tâches précédemment exécutées et qui peuvent être réutilisées, ce qui permet de diminuer les temps d'exécution.
mGRE
multipoint GRE.
Mode agressif
Mode d'établissement des associations de sécurité ISAKMP visant à simplifier la négociation d'authentification IKE (phase 1) entre deux homologues IPSec ou plus. Le mode agressif présente l'avantage d'être plus rapide que le mode principal, mais il est moins sûr. Voir Mode principal, mode rapide.
Mode rapide
Dans Oakley, nom du mécanisme utilisé après qu'une association de sécurité a été établie pour négocier les changements de services de sécurité, comme l'ajout de clés.
Module réseau
Carte d'interface réseau installée dans le châssis du routeur pour accroître ses fonctionnalités. Exemples : modules réseau Ethernet et modules réseau IDS.
Mot de passe
Chaîne de caractères (ou autre source de données) secrète et protégée, associée à l'identité d'un utilisateur ou d'une entité spécifique.
Mot de passe de révocation
Mot de passe fourni à une autorité de certification lors d'une demande de révocation du certificat numérique d'un routeur. Synonyme : mot de passe de vérification.
MTU
Abréviation de Maximum Transmission Unit. Unité de transmission maximum. Taille de paquet maximum, en octets, qu'une interface peut transmettre ou recevoir.
N
NAC (centre d'analyse du réseau)
Network Admission Control. Méthode de contrôle d'accès à un réseau dans le but de prévenir l'intrusion de virus informatiques. À l'aide de divers protocoles et logiciels, le NAC évalue l'état des hôtes lorsque ces derniers tentent de se connecter au réseau, et gère les requêtes en fonction de cet état, appelé posture. Les hôtes infectés peuvent être placés en quarantaine, les hôtes sans logiciel antivirus à jour peuvent être invités à obtenir des mises à jour et les hôtes sains dotés d'un antivirus à jour peuvent être acceptés sur le réseau. Voir également ACL, posture et EAPoUDP.
NAD
Network Access Device. Dans une implémentation NAC, périphérique qui reçoit la requête d'un hôte pour se connecter au réseau. Un NAD (généralement un routeur) fonctionne avec un logiciel d'agent de posture exécuté sur l'hôte, un logiciel antivirus et des serveurs ACS et de posture/conversion sur le réseau pour contrôler l'accès au réseau afin de prévenir l'infection par des virus informatiques.
NAS
Network Access Server. Plate-forme servant d'interface entre Internet et le réseau téléphonique public commuté (RTPC).
Passerelle qui connecte des périphériques asynchrones à un réseau local ou étendu par l'intermédiaire d'un logiciel d'émulation de terminal et de réseau. Assure le routage synchrone et asynchrone des protocoles pris en charge.
NAT
Abréviation de Network Address Translation
Abréviation de Network Address Translation (traduction d'adresses réseau). Mécanisme qui permet de se dispenser d'adresses IP uniques globales. Grâce à ce mécanisme, les organisations qui ne disposent pas d'adresses uniques globales peuvent se connecter à Internet en traduisant ces adresses en un espace d'adressage routable global.
Négociation IKE
Méthode d'échange sécurisé de clés privées sur des réseaux non sécurisés.
NetFlow
Fonction disponible sur certains routeurs permettant de classer les paquets entrants selon les flux. Étant donné que les paquets d'un flux peuvent souvent être traités de la même manière, cette classification peut être utilisée pour accélérer une partie du travail effectué par le routeur, y compris l'opération de commutation.
NHRP
Abréviation de Next Hop Resolution Protocol. Protocole de résolution de sauts successifs. Protocole client/serveur utilisé dans les réseaux DMVPN. Le rôle de serveur est assumé par le routeur concentrateur et les clients correspondent aux satellites. Le concentrateur tient à jour une base de données NHRP des adresses d'interface publiques de chaque satellite. Chaque satellite enregistre sa véritable adresse au démarrage et interroge la base de données NHRP afin de connaître les adresses des satellites de destination et créer des tunnels directs avec ces satellites.
Nom de domaine
Nom représentatif, facile à se souvenir, d'un hôte sur Internet, correspondant à une adresse IP.
Non crypté
Sans cryptage.
NTP
Abréviation de Network Time Protocol. Protocole de synchronisation horaire par le réseau, permettant de synchroniser les horloges système des périphériques du réseau. NTP fait partie des protocoles UDP.
P
PAD
Abréviation de Packet Assembler/Disassembler. Assembleur/désassembleur de paquets. Périphérique utilisé pour connecter des équipements simples (comme des terminaux en mode caractère) qui ne sont pas totalement compatibles avec un protocole particulier utilisé sur un réseau. Les périphériques PAD stockent les données dans un tampon et assemblent/désassemblent les paquets transmis à ces terminaux.
Paire de clés
Reportez-vous à Cryptage à clé publique.
PAM
Port to Application Mapping (Port vers les cartes d'application). La fonction PAM permet de personnaliser les numéros de port TCP et UDP pour les services et les applications réseau. PAM utilise ces informations pour prendre en charge les environnements réseau exécutant des services avec des ports différents de ceux enregistrés ou connus associés à une application.
PAP
Abréviation de Password Authentication Protocol. Protocole d'authentification de mot de passe. Protocole permettant aux homologues de s'authentifier mutuellement. Le protocole PAP transmet le mot de passe et le nom d'hôte ou le nom d'utilisateur sous une forme non cryptée. Voir également CHAP.
Pare-feu
Routeur ou serveur d'accès (ou plusieurs d'entre eux), faisant office de tampon entre des réseaux publics connectés et un réseau privé. Un routeur pare-feu utilise des listes d'accès et d'autres méthodes pour garantir la sécurité du réseau privé.
Passerelle par défaut
Passerelle de dernier ressort. Passerelle vers laquelle un paquet est acheminé lorsque son adresse de destination ne correspond à aucune des entrées de la table de routage.
Passerelle WebVPN
Une passerelle WebVPN fournit une adresse IP et un certificat pour un contexte WebVPN. La
PAT statique
Conversion d'adresses de ports statiques. Une adresse statique fait correspondre une adresse IP locale à une adresse IP globale. Une PAT statique est une adresse statique qui fait également correspondre un port local à un port global. Voir également PAT.
PAT
PAT Dynamique
Abréviation de Port Address Translation. Conversion d'adresses de ports. Avec le protocole PAT dynamique, plusieurs sessions sortantes apparaissent provenir d'une seule adresse IP. Lorsque le protocole PAT est activé, le routeur sélectionne un numéro de port unique à partir de l'adresse IP PAT pour chaque connecteur de conversion en sortie (xlate). Cette fonction s'avère utile lorsqu'un fournisseur d'accès Internet n'est pas en mesure d'allouer assez d'adresses IP uniques pour vos connexions sortantes. Les adresses du pool global viennent toujours en premier, avant qu'une adresse PAT soit utilisée.
PFS
Abréviation de Perfect Forward Secrecy. Parfaite confidentialité de transmission. Propriété de certains protocoles d'agrément de clé symétrique qui permettent d'utiliser différentes clés à différents moments d'une session, afin de s'assurer que la falsification éventuelle d'une clé ne nuit pas à toute la session.
PKCS7
Abréviation de Public Key Cryptography Standard No. 7. Norme de cryptographie à clé publique n°7.
PKI
Abréviation de Public-Key Infrastructure. Infrastructure à clé publique. Système d'autorités de certification et d'autorités d'enregistrement qui prend en charge l'utilisation de la cryptographie à clé asymétrique dans les communications de données au travers de fonctions telles que la gestion des certificats, la gestion des archives, la gestion des clés et la gestion des jetons.
Tient compte également des normes d'échange des clés asymétriques.
Ce type d'échange permet au destinataire d'un message de faire confiance à la signature de ce message et à l'expéditeur d'un message de le crypter en fonction du destinataire visé. Voir Gestion de clés.
posture
Dans une implémentation NAC (centre d'analyse du réseau), état d'un hôte qui tente d'accéder au réseau. Le logiciel d'agent de posture exécuté sur l'hôte communique avec le NAD pour faire état de la compatibilité de l'hôte avec la stratégie de sécurité du réseau.
PPP
Abréviation de Point-to-Point Protocol. Protocole point à point. Protocole qui permet des connexions de routeur à routeur et d'hôte à réseau sur des circuits synchrones et asynchrones. Le protocole PPP est associé à des mécanismes de sécurité intégrés, tels que CHAP et PAP.
PPPoA
Abréviation de Point-to-Point Protocol over Asynchronous Transfer Mode (ATM). Protocole point à point sur mode de transfert asynchrone (ATM). Principalement mis en œuvre en tant que partie de ADSL, PPPoA repose sur RFC1483, en fonctionnant en mode VC-Mux ou LLC-SNAP (Logical Link Control-Subnetwork Access Protocol).
PPPoE
Abréviation de Point-to-Point Protocol over Ethernet. Protocole point à point sur Ethernet. PPP encapsulé dans des trames Ethernet. PPPoE permet aux hôtes d'un réseau Ethernet de se connecter à des hôtes distants au travers d'un modem à haut débit.
PPTP
Abréviation de Point-to-Point Tunneling Protocol. Protocole de tunnellisation point à point. Crée des tunnels à l'initiative du client en encapsulant les paquets dans des datagrammes IP afin de les transmettre sur des réseaux TCP/IP. Il peut être utilisé à la place des protocoles de tunnellisation L2F et L2TP. Protocole propriétaire de Microsoft.
Protocole L2F
Protocole de transfert de couche 2. Il assure la création de réseaux privés virtuels sécurisés à accès commuté sur Internet.
Pseudo-aléatoire
Séquence de bits ordonnée en apparence similaire à une véritable séquence aléatoire des mêmes bits. Une clé générée à partir d'un numéro pseudo-aléatoire s'appelle un nonce.
PVC
Abréviation de Permanent Virtual Circuit (ou Connection). Circuit (ou connexion) virtuel permanent. Circuit virtuel établi en permanence. Les PVC économisent la bande passante nécessaire à l'établissement et à la fermeture du circuit dans des situations où des circuits virtuels doivent exister en permanence. La terminologie ATM les appelle connexion virtuelle permanente.
Q
QoS
Abréviation de Quality of Service. Qualité de service Méthode permettant de garantir une largeur de bande à des types de trafic particuliers.
R
RA
Abréviation de Registration Authority. Autorité d'enregistrement. Entité, qui se présente sous la forme d'un composant facultatif des systèmes PKI, servant à enregistrer ou à vérifier certaines informations utilisées par les autorités de certification lors de l'émission de certificats ou de l'exécution d'autres fonctions de gestion des certificats. Bien que l'autorité de certification puisse procéder par elle-même à toutes les opérations effectuées par l'autorité d'enregistrement, elles restent généralement séparées. Les opérations qui leur incombent peuvent varier considérablement d'une autorité d'enregistrement à l'autre. Exemples : affectation de noms distinctifs, distribution de jetons, fonctions d'authentification personnelle.
RADIUS
Remote Authentication Dial-In User Service. Protocole d'authentification et de rapport d'accès serveur utilisant le protocole de transport UDP. Voir également TACACS+.
RCP
Abréviation de Remote Copy Protocol. Protocole de copie à distance, permettant aux utilisateurs de copier des fichiers dans un système de fichiers (ou à partir de celui-ci) situé sur un hôte ou un serveur distant du réseau. Le protocole RCP utilise TCP pour assurer la livraison des données en toute confiance.
Règle
Informations ajoutées à la configuration pour définir votre stratégie de sécurité sous la forme d'instructions conditionnelles destinées à ordonner au routeur comment réagir face à des situations particulières.
Règle d'inspection
Une règle d'inspection CBAC permet au routeur d'inspecter le trafic sortant désigné, afin d'autoriser le retour du trafic de même type associé à une session ouverte sur le réseau local. En présence d'un pare-feu, le trafic entrant associé à une session ouverte à l'intérieur du périmètre du pare-feu peut être perdu si aucune règle d'inspection n'a été configurée.
Règle implicite
Règle d'accès créée automatiquement par le routeur en fonction de règles par défaut ou définies par l'utilisateur.
Règle IPSec
Règle utilisée pour désigner le trafic protégé par IPSec.
Règle standard
Dans SDM, type de règle d'accès ou de règle NAT. Les règles standard comparent l'adresse IP source d'un paquet aux critères d'adresse IP en vue d'une correspondance. Ces règles utilisent un masque de joker pour déterminer les portions de l'adresse IP qui doivent correspondre.
Règles étendues
Type de règle d'accès. Les règles étendues permettent d'analyser une plus grande variété de champs associés aux paquets et de vérifier qu'ils correspondent. Elles sont capables d'examiner à la fois les adresses IP source et de destination du paquet, le type de protocole, les ports source et de destination, ainsi que d'autres champs du paquet.
Relais de trame
Protocole standard de l'industrie des télécommunications, applicable à la couche de liaison commutée, capable de gérer plusieurs circuits virtuels en utilisant l'encapsulation HDLC entre les périphériques connectés. Plus efficace que le protocole X.25, le relais de trame est souvent considéré comme son remplaçant.
Remplissage
Dans les systèmes cryptographiques, le remplissage fait référence aux caractères aléatoires, aux blancs, aux zéros et aux caractères nuls ajoutés au début et à la fin des messages, pour dissimuler leur longueur réelle ou s'adapter à la taille de bloc de données requise par certains systèmes de chiffrement. Le remplissage permet également de cacher le début du code cryptographique.
Répudiation
Dans les systèmes cryptographiques, la répudiation correspond au démenti, d'une des entités impliquées dans une communication, d'avoir pris part à tout ou partie de cette communication.
Réseau
Groupe d'équipements informatiques partageant un espace d'adressage IP et non un hôte unique. Un réseau est constitué de plusieurs nœuds ou équipements dotés d'une adresse IP qui tous peuvent être désignés comme hôtes. Voir également Internet, Intranet, IP, LAN.
Restauration de clé
Méthode sûre de décryptage d'informations cryptées en cas de perte ou de destruction de la clé réservée à cet usage.
RIP
Abréviation de Routing Information Protocol. Protocole d'information de routage, utilisant le nombre de routeurs que doit traverser un paquet avant d'atteindre sa destination comme mesure de routage.
Routage dynamique
Routage capable de s'adapter automatiquement à la topologie du réseau ou aux variations de trafic. Synonyme : routage adaptatif.
Routage RFC 1483
La norme RFC1483 décrit deux méthodes de transport du trafic en mode non connecté sur un réseau ATM : les PDU (Protocol Data Unit) routés et les PDU pontés. SDM prend en charge la configuration du routage RFC 1483 et permet de configurer deux types d'encapsulation : AAL5MUX et AAL5SNAP.
AAL5MUX : l'encapsulation AAL5MUX ne prend en charge qu'un seul protocole (IP ou IPX) par PVC.
AAL5SNAP : l'encapsulation AAL5 LLC/SNAP (Logical Link Control/Subnetwork Access Protocol) prend en charge le protocole ARP inversé et intègre le LLC/SNAP qui précède le datagramme du protocole. Ainsi, plusieurs protocoles peuvent traverser le même PVC.
Routage statique
Trajet explicitement configuré et entré dans la table de routage. Les routes statiques sont prioritaires par rapport à celles choisies par des protocoles de routage dynamique.
Route
Trajet au travers d'un réseau interconnecté.
RPC
Abréviation de Remote Procedure Call. Appel de procédure distante. Les RPC sont des appels de procédure élaborés ou spécifiés par les clients et exécutés sur des serveurs, le résultat étant retourné aux clients par le réseau. Voir également Informatique client/serveur.
RSA
Rivest, Shamir et Adelman, inventeurs de la technique d'échange de clés cryptographiques reposant sur la factorisation de grands nombres. RSA est également le nom de la technique elle-même. La technique RSA, qui est intégrée à de nombreux protocoles de sécurité, peut servir au cryptage et à l'authentification.
S
SAID
Abréviation de Security Association ID. ID d'association de sécurité. Identification numérique de l'association de sécurité d'une liaison donnée.
Salt
Chaîne de caractères pseudo-aléatoires utilisée pour renforcer la complexité de la cryptographie.
Satellite
Dans un réseau DMVPN, un routeur satellite correspond à une extrémité logique du réseau, connectée au routeur Concentrateur DMVPN par une liaison IPSec point à point.
SDEE
Abréviation de Security Device Event Exchange. Protocole de transfert de messages qui permet de reporter des événements de sécurité, tels les alarmes générées lorsqu'un paquet correspond aux caractéristiques d'une signature.
SDF
Signature Definition File. Fichier, généralement au format XML, contenant des définitions de signatures utilisables pour charger des signatures sur un périphérique de sécurité.