Protection de l infrastructure réseau IP en environnement Cisco (routeurs et commutateurs)

Dimension: px
Commencer à balayer dès la page:

Download "Protection de l infrastructure réseau IP en environnement Cisco (routeurs et commutateurs)"

Transcription

1 Protection de l infrastructure réseau IP en environnement Cisco (routeurs et commutateurs) > Nicolas FISCHBACH IP Engineering Manager - COLT Telecom - > Sébastien LACOSTE-SERIS IP R&D Manager, Security Officer - COLT Telecom - version 1.01

2 Programme» Sécurité réseau > Les attaques à l encontre - des protocoles des couches liaison et réseau - des protocoles de routage > Détection et prévention des dénis de services et des vers > Analyse de trafic > MPLS et IPv6» Sécurité des équipements (routeurs et commutateurs) > SNMP et administration distante > Authentification, Autorisation et Audit (AAA) > Listes de contrôle d accès (ACLs) > Vérification d intégrité 2

3 Les protocoles de la couche liaison» Les protocoles de la couche liaison de données > ARP - Address Resolution Protocol > CDP - Cisco Discovery Protocol > VLAN - Virtual LAN > STP - Spanning Tree Protocol > {D/V}TP- Dynamic, VLAN Trunking Protocol > Trafic et adressage unicast, broadcast et multicast 3

4 Attaques contre les protocoles» Les attaques connues (et anciennes) > Pollution de cache ARP, annonces ARP gratuites, messages ARP/DHCP falsifiés > Outils : dsniff, hunt, etc.» Les attaques plus récentes > Paquets HSRP/VRRP falsifiés > Attaques contre STP/VTP > Saut de VLAN» Les attaques à venir > Attaques avancées contre les protocoles de routage > Rootkits et modules noyau dynamiques (LKM) 4

5 Filtrage STP et par adresse MAC» Fixez les adresses MAC par port (et si possible la relation adresse IP/adresse MAC) set port security <mod/port> enable shutdown» Activez BPDU-Guard (Bridge PDU) pour filtrer STP! MLS (Multi Layer Switch) in hybrid mode (Sup w/ CatOS, MSFC w/ IOS) set spantree disable set spantree portfast bpdu-guard-enable! MLS in native mode (CatIOS on the Sup and MSFC) spanning-tree portfast bpduguard» Limitez le trafic de type broadcast set port broadcast <mod/port> 0.01% 5

6 VLANs : partionnement de réseau (1)» Le problème des VLANs > Les VLANs n ont pas été conçus pour fournir un mécanisme de sécurité, mais sont utilisés couramment pour le partitionnement réseau > Les commutateurs multiniveau (commutateur avec un module de routage) constituent un point faible dans la sécurité du réseau > N utilisez pas le VLAN natif 1» Le problème de VPMS > VLAN Policy Management Server permet l affectation d un équipement à un VLAN par rapport à son adresse MAC 6

7 VLANs : partionnement de réseau (2)» Saut de VLAN > Est possible si - vous utilisez DTP - un port est dans le même VLAN que le VLAN natif du trunk (injection de trames 802.1q) set vlan 2 <mod/port> clear trunk <mod/port> 1 > Les ponts entre VLANs (VLAN bridge) permettent de faire passer des protocoles non routables entre les VLANs» Private VLAN (4k, 6k) et Edge Ports (29xx, 35xx) > Isolation du port, n est pas basé sur les adresses IP/MAC ou le VLAN > Des équipements dans le même VLAN ne peuvent pas communiquer directement entre eux 7

8 Protocoles : VTP» VLAN Trunking Protocol > Permet une gestion centralisée des VLANs (architecture maître/esclave) > Format du message : identique à CDP (SNAP HDLC 0x2003) > Communique via les ports en mode trunk» Mesures de sécurité > Placez les commutateurs en mode VTP transparent et affectez un mot de passe au domaine VTP set vtp domain <domaine.vtp> password <mot de passe> set vtp mode transparent 8

9 Protocoles : DTP» Dynamic Trunking Protocol > Permet la configuration automatique de ports en mode trunk > Format du message : identique à CDP (SNAP HDLC 0x2004) > Tous les ports d un commutateur sont en mode automatique par défaut» Mesures de sécurité > Désactivez DTP sur tous les ports set trunk off all 9

10 Protocoles : CDP (1)» Cisco Discovery Protocol > Protocole développé par Cisco > Communique sur tout lien supportant HDLC > Trafic multicast > Informations échangées : nom/identifiant de l équipement, adresse réseau, identifiant du port, fonctionnalités, plateforme, version logicielle, préfixe réseau IP» Format du message 10

11 Protocoles : CDP (2)» Déni de service > Possibilité d utiliser toute la mémoire (avis de sécurité)» Mesures de sécurité > Routeurs - Désactivation globale no cdp run - Désactivation par interface interface xy no cdp enable > Commutateurs (globalement ou par port) set cdp disable <mod/port> 11

12 Les protocoles de la couche réseau» La couche réseau et les protocoles de routage > IP : n intègre pas de mécanisme de sécurité > ICMP : fuite/divulgation d informations et risques associés > HSRP/VRRP : redondance du prochain saut > RIP/RIPv2 : pas d authentification (v1) et inondation > OSPF : trafic multicast et risques liés aux DR/BDR > BGP : coeur de l Internet (risques liés aux RR et aux peerings)» Les protocoles méconnus ou peu utilisés > IS-IS > (E)IGRP 12

13 Protocoles : BGP (1)» Border Gateway Protocol > Version 4 > Ecoute sur le port 179/tcp > Authentication : MD5 (trop rarement utilisée) > Liaison point-à-point pour les interfaces directement connectées ou multi-hop pour les routeurs non-adjacents > Des outils d injection de routes BGP existent (dans des cercles privés)» Format du message BGP UPDATE 13

14 Protocoles : BGP (2)» Où se trouvent les risques? > Points d échanges (GIX) : les FAI sont souvent connectés sur la même infrastructure partagée (un commutateur par exemple) : filtrez les AS_path et les préfixes > Vos clients/fournisseurs directs : filtrez par adresses IP sur les interfaces > Configuration multi-hop (attaque par interception)» Que faut-il surveiller? > Les AS_path annoncés par les fournisseurs > Les AS_path reçus par d autres FAI qui contiennent votre ASN (via des serveurs de routes) > Si les routes/chemins changent (surtout la/le meilleur(e)) > Les changements ARP (commutateurs publiques dans les IX) 14

15 Protocoles : BGP (3)» Mesures de sécurité additionnelles > N utilisez pas le même mot de passe avec tous vos partenaires > Journalisez les changements et utilisez IPsec router bgp bgp log-neighbor-changes network x.x.x.x neighbor y.y.y.y remote-as neighbor y.y.y.y password <MD5password> neighbor y.y.y.y version 4 neighbor y.y.y.y prefix-list theirnetworks in neighbor y.y.y.y prefix-list ournetworks out neighbor y.y.y.y maximum-prefix neighbor y.y.y.y route-map ouraspath out ip prefix-list ournetworks seq 5 permit z.z.z.z/17 ip prefix-list ournetworks seq 10 deny /0 le 32 ip prefix-list theirnetworks seq 5 permit k.k.k.k/19 ip as-path access-list permit ^<AS>( <AS>)*$ route-map ouraspath permit 10 match as-path 99 15

16 Protocoles : BGP (4)» Outils d injection de routes, quel est le challenge? > Trouver les partenaires ebgp - par interception - grâce à SNMP - grâce aux route-servers et aux «looking glasses» publiques - adresses IP proches,.1,.254, etc. > Injectez la mise à jour - par interception (messages ARP falsifiés sur les commutateurs publiques) - par synchronisation avec la session TCP existante» Mesures de sécurité / futur? > S-BGP (Secure BGP) 16

17 Prédiction de numéro de séquence TCP» Le problème des numéros de séquence initiaux > IOS vulnérable > IOS «moins» vulnérable > «Corrigé» à partir des versions 12.0(15) et 12.1(7) > Les NSI sont (encore) liés au temps/à l horloge Source : 17

18 Protocoles : OSPF (1)» Open Shortest Path First > Protocole numéro 89 > Trafic multicast : «facile» d injecter des LSAs» Mesures de sécurité > Authentifiez les échanges OSPF interface xy!ip ospf authentication-key <key> ip ospf message-digest-key 1 md5 <key> router ospf 1 area 0 authentication [message-digest] > Placez le réseau en mode NBMA interface xy ip ospf network non-broadcast router ospf 1 neighbor x.x.x.x 18

19 Protocoles : OSPF (2)» Mesures de sécurité (suite) > Ne mettez pas les interfaces qui ne doivent pas échanger des LSAs OSPF dans la configuration «réseau» d OSPF ou enlevez les par exclusion via des interfaces passives > Journalisez les changements router ospf 1 log-adjacency-changes network x.x.x.x passive-interface default no passive-interface xy > Il n est pas possible de filtrer ce qui est annoncé par OSPF (uniquement entre des AS OSPF), le mot clé network est un «faux ami» > Il est possible de filtrer ce que l on reçoit router ospf 1 distribute-list <ACL> in distribute-list <ACL> out 19

20 Protocoles : HSRP/VRRP (1)» Hot Standby Routing Protocol > Redondance du prochain saut (RFC 2281) > Fuite d information: adresse MAC virtuelle c-07-ac-<groupe HSRP> - l interface virtuelle HSRP n envoie pas d ICMP redirect > Un groupe HSRP peut contenir plus de deux routeurs, il n est pas nécessaire de rendre un routeur inactif, il suffit de devenir le maître» Virtual Router Redundancy Protocol (RFC 2338) > Supporte l authentification MD5 (IP Authentication Header) 20

21 Protocoles : HSRP/VRRP (2)» Mesures de sécurité > Activez l authentification par mot de passe interface xy standby 10 priority 200 preempt standby 10 authentication p4ssw0rd standby 10 ip x.x.x.x > Changez l adresse MAC virtuelle interface xy standby 10 mac-address <mac-address> > Utilisez IPsec (recommandation Cisco), mais n est pas trivial (trafic multicast, ordre des processus, limité à un groupe avec deux routeurs) 21

22 Dénis de services : détection (1)» La technique «ancienne» > ACLs, charge CPU, charge de la ligne, xids» Netflow > Journalisation des données réseaux (AS, flux IP, protocoles, etc) > Données envoyées en clair sur le réseau à un point central > Avec CEF activé Netflow effectue uniquement la journalisation et les statistiques > Sans CEF le routeur passe en mode commutation Netflow > Seul le trafic sortant sur une interface est comptabilisé > Visualisation des données : sh ip cache flow > Export des données : ip flow-export version 5 origin-as ip flow-export destination x.x.x.x interface xy ip route-cache flow 22

23 Dénis de services : détection (2)» Distribution (in)habituelle du trafic par protocole > TCP : ~90% (HTTP, FTP, SMTP, outils peer-to-peer) > UDP : ~10% (DNS, SNMP, outils de streaming) > ICMP : < 1% > IGMP : < 1% > Surtout des paquets de 64 octets > RRDtool et Netflow permettent de grapher les tendances et de détecter des changements ou des anomalies Source : Flowscan from UW-Madison (http://wwwstats.net.wisc.edu/) 23

24 Dénis de services : détection (3)» Netflow sur les commutateurs-routeurs > Le mode de flux Netflow par défaut ne tient compte que de la destination (l adresse source n est pas enregistrée) > Activez le mode «full-flow» (impact sur les performances sur les modules de supervision SE1)! MLS in hybrid mode set mls flow full! MLS in native mode mls flow ip full > Visualisation des données! MLS in hybrid mode set mls ent! MLS in native mode show mls ip > Le Netflow «du pauvre» : ntop? 24

25 Dénis de services : prévention (1)» Unicast RPF (Reverse-Path Forwarding) > Nécessite CEF (Cisco Express Forwarding) ou dcef > Nécessite IOS 12.x et consomme ~30Mo de mémoire > Mode strict : les datagrammes IP sont vérifiés, la route vers l adresse IP source doit pointer vers l interface d entrée > Seulement la meilleure route est dans la FIB (si multi-path ou des routes de même poids ne sont pas utilisés) > Les routes asymétriques sont supportées > Vérifiez les poids et les métriques utilisés dans BGP si vous utilisez le mode strict ou dans une configuration à liens multiples 25

26 Dénis de services : prévention (2)» Unicast RPF (Reverse-Path Forwarding) > Mode strict (des ACLs peuvent être utilisées pour la journalisation et les exceptions) ip cef [distributed] interface xy ip verify unicast reverse-path [allow-self-ping] [acl] > Mode non-strict (loose), les datagrammes passent le test si le préfixe réseau est dans la FIB ip verify unicast source reachable-via any 26

27 Dénis de services : prévention (3)» Limitation du trafic ICMP, UDP et TCP SYN interface xy rate-limit input access-group \ conform-action transmit exceed-action drop rate-limit output access-group \ conform-action transmit exceed-action drop < > access-list 100 deny tcp any host x.x.x.x established access-list 100 permit tcp any host x.x.x.x access-list 101 permit icmp any any echo access-list 101 permit icmp any any echo-reply > La limitation du trafic UDP peut devenir un problème si votre client est une société de streaming 27

28 Dénis de services : prévention (4)» TCP Intercept > Autant d aspects positifs, que d aspects négatifs > Si TCP Intercept est activé le routeur passe en mode commutation de processus (process switching) et ne reste pas en mode CEF > L hôte destination doit renvoyer un RST (un rejet silencieux engendre un déni de service local) > Problème identique si vous utilisez des routes vers Null0 (route vers un trou noir) ip tcp intercept list 100 ip tcp intercept connection-timeout 60 ip tcp intercept watch-timeout 10 ip tcp intercept one-minute low 1500 ip tcp intercept one-minute high 6000 access-list 100 permit tcp any x.x.x

29 Dénis de services : prévention (5)» Filtrage ICMP avancé > Ne laissez passer que les messages ICMP «critiques» interface xy ip access-group 100 in access-list 100 deny icmp any any fragments access-list 100 permit icmp any any echo access-list 100 permit icmp any any echo-reply access-list 100 permit icmp any any packet-too-big access-list 100 permit icmp any any source-quench access-list 100 permit icmp any any time-exceeded access-list 100 deny icmp any any access-list 100 permit ip any any > Le filtrage ICMP est une source de dispute, à chacun de se faire sa propre idée (unreachables, parameter-problem, etc) 29

30 Dénis de services : prévention (6a)» Techniques avancées : BGP/Null0 1/2 > Choisissez une adresse du bloc TEST-NET et configurez une route vers Null0 sur tous les routeurs pour cette adresse > Sur un routeur BGP maître, changez le prochain saut pour le réseau source à filtrer par cette adresse IP > Redistribuez ces adresses via BGP dans votre AS et urpf va supprimer le datagramme (au niveau de la LC, pas du RP) router bgp <AS> network <sourceofddos> mask <netmask> route-map ddos-nh route-map ddos-nh set ip next-hop <TEST-NETIPaddr> ip route <TEST-NET> Null0 > Ne redistribuez pas ces informations à vos partenaires : utilisez un AS privé ou une communauté en «no-export» 30

31 Dénis de services : prévention (6b)» Techniques avancées : BGP/Null0 2/2 ibgp sessions NOC Master BGP router (set the next-hop for the DDoS sources to ) Route reflectors Propagate the new next-hop Core/Access Routers (route to Null0) Internet or Customers 31

32 Dénis de services : prévention (7)» Techniques avancées : BGP/CAR/FIB 1/2 > Marquez le réseau dont vous voulez limiter la bande passante avec une communauté spécifique et redistribuez ces informations depuis le routeur BGP maître à tous ses clients router bgp <AS> network <destofddos> mask <netmask> neighbor x.x.x.x route-map ddos-rl out neighbor x.x.x.x send community access-list 10 permit <destofddos> route-map ddos-rl match ip address 10 set community <AS>:66 no-export ip route <destofddos> Null0 32

33 Dénis de services : prévention (8)» Techniques avancées : BGP/CAR/FIB 2/2 > Sur les routeurs changez le QosID dans la FIB par rapport à cette communauté et limitez la bande passante par rapport à ce QosID router bgp <AS> table-map ddos-rl ip community list 1 permit <AS>:66 route-map ddos-rl match community 1 set ip qos-group 66 interface xy bgp-policy source ip-qos-map rate-limit input qos-group

34 Filtrage entrant et sortant (1)» Ce qu il ne faudrait jamais voir/laisser passer/router > RFC 1918 ( /8, /12, /16) > /x, /8 > /16 (auto-configuration quand DHCP est indisponible) > /24 (Netname: TEST-NET, comme example.com) > Les adresses multicast (classe D) et les réseaux E.T. (E+) > Les plages d adresses utilisées par certains vendeurs ( pour certaines imprimantes) > Les blocs réservés (ARIN - bogon networks) > Les datagrammes destinés à l adresse de broadcast ou avec source == destination 34

35 Filtrage entrant et sortant (2)» Ce qu il faudrait voir/laisser passer/router > Vos plages d adresses uniquement» Exemple de filtrage par ACL (IX, uplinks, CPE) interface xy access-group in 100 access-group out 100 access-list 100 deny ip host any access-list 100 deny ip access-list 100 deny ip access-list 100 deny ip access-list 100 deny ip access-list 100 deny ip access-list 100 deny ip access-list 100 deny ip any access-list 100 permit ip any any! Or permit ip <your network prefixes only>» Exemple de filtrage avec routage/forwarding dans Null0 ip route null0 ip route null0 ip route null0 35

36 Détection des vers et protection (1)» Comment détecter un nouveau vers > Nombre (inhabituel) de nouveaux flux HTTP/SMTP et journalisation sur les serveurs» Comment vous protéger avec NBAR (Network-Based Application Recognition)? > Nécessite CEF > Disponible à partir de 12.1(5)T > Comme TCP Intercept - en a t on vraiment besoin? > Effet de bord: la session TCP est déjà établie mais le serveur ne reçoit pas la requête HTTP GET > Impact sur les performances: ~20% CPU 36

37 Détection des vers et protection (2)» Classification des flux entrants avec NBAR et filtrage des flux sortants avec des ACLs! Class-based inbound marking class-map match-any http-hacks match protocol http url *cmd.exe*! Policy map to mark inbound policy-map mark-inbound-http-hacks class http-hacks set ip dscp 1! Apply the service policy to the «attacking» interface int xy service-policy input mark-inbound-http-hacks! Block with an ACL access-list 100 deny ip any any dscp 1 log access-list 100 permit ip any any! Apply the ACL to the «protected» interface int xy ip access-group 100 out 37

38 Détection des vers et protection (3)» Classification des flux entrants et politique basée sur une classe! Class-based inbound marking class-map match-any http-hacks match protocol http url *cmd.exe*! Policy map to mark inbound policy-map drop-inbound-http-hacks class http-hacks policy conform-action drop exceed-action \ drop violate-action drop! Apply the service policy to the «attacking» interface int xy service-policy input police-inbound-http-hacks 38

39 Détection des vers et protection (4)» Classification des flux entrants et routage en fonction d une politique! Class-based inbound marking class-map match-any http-hacks match protocol http url *cmd.exe*! Policy map to mark inbound policy-map mark-inbound-http-hacks class http-hacks set ip dscp 1! Apply the service policy to the «attacking» interface int xy service-policy input mark-inbound-http-hacks! Create a route-map access-list 100 permit ip any any dscp 1 route-map route2null 10 match ip address 100 set interface Null0! Apply the routing policy to the «attacking» interface int xy ip policy route-map route2null 39

40 Détection des vers et protection (5)» Restrictions et limitations de NBAR > Supporte jusqu à 24 comparaisons concurrentes (URL, machines ou type MIME) > Ne compare que les 400 premiers octets d une URL > Ne gère pas les paquets fragmentés > Trafic HTTPS (c est normal ;-) > Paquet provenant ou destiné au routeur (impossible de protéger le serveur HTTP local) > Ne supporte pas l Unicode (UTF-8/%u)» Optimisez le scheduler et les expirations ip nbar resources scheduler allocate

41 DDoS/vers recherche/futur» Le pire est à venir > Recherche très active, mais très peu de publications: les risques sont trop élevés > La plupart des vers existants étaient plutôt faibles/gentils > Les prochains vers vont-ils encore s attaquer à IIS/Outlook? > Quels sont les effets sur la stabilité d Internet?» Quelles sont les tendances? > Routeurs utilisés comme source (CERT) > De plus en plus complexe et agents plus en plus intelligents > Utilisation temporaire de blocs non alloués (Arbor Networks) 41

42 Capture de trafic réseau (routeurs)» Possibilité d affichage local > Capture avec des ACLs access-list 100 debug ip packet detail 100 > Utilisez toujours le tampon et n affichez pas sur la console logging buffered debugging > Impact sur les performances : Vérifiez la charge processeur avec la commande sh proc cpu» Envoi des informations sur un équipement distant > Tunnel GRE vers un serveur et réinjection du trafic dans le tunnel (tunnelx) 42

43 Capture de trafic réseau (commutateurs)» Pas d affichage local» Envoi des informations sur un équipement distant > Copie du trafic d un port ou VLAN vers un autre port! MLS in hybrid mode set span <source (mod/port or VLAN)> <destination port>! MLS in native mode monitor session <session id>... > Possibilité de ne copier que le trafic désiré (VACL utilisant le mot clé capture ) : set security acl capture-ports <mod/port> > RSPAN copie le trafic vers un VLAN (nécessite des Catalyst 6000 de bout en bout) > 1 or 2 port(s) SPAN en fonction du modèle de commutateur > Impact sur les performances très faible : vérifiez la charge à l aide de la commande ps -c (commande cachée) 43

44 Principes de configuration (1)» Désactivez tous les services non utilisés no ip bootp server no tcp-small-servers no udp-small-servers» Activez syslog no ip identd no ip finger service nagle no cdp run no boot network no service config no ip subnet-zero service time log datetime localtime show-timezone msec service time debug datetime localtime show-timezone msec logging x.x.x.x logging trap debugging logging source loopback0 logging buffered debugging» Synchronisez les horloges avec NTP (authentifié si possible) ntp authentication-key 10 md5 <key> ntp authenticate ntp trusted-key 10 ntp server x.x.x.x [key 10] ntp access-group peer 20 access-list 20 permit host x.x.x.x access-list 20 deny any no service finger no service pad no ip http server no ip source-route 44

45 Principes de configuration (2)» Au niveau de l interface interface xy no ip source-route no ip directed-broadcast no ip proxy-arp no ip redirects no ip unreachables! IP accounting for the traffic that fails the IP ACLs ip accounting access-violations no ip mask-reply no cdp enable > En cas d utilisation de trafic multicast interface xy! To prevent Auto-RP messages from entering the PIM domain ip multicast boundary 10 access-list 10 deny access-list 10 deny » Si possible, utilisez les addresses de loopback interface loopback0 ip address x.x.x.x

46 Admin : SNMP (1)» Simple Network Management Protocol > v1 : RFC1157, nom de communauté pour l authentification > v2 : RFC1441/1446, sécurité améliorée (party) et get-bulk > v3 : RFC2274, apporte la vérification d intégrité, le chiffrement et l authentification par utilisateur» Attaques et problèmes connus > Les administrateurs réseaux utilisent des communautés RW > Nom de communauté facile à deviner/trouver > Attaques par rejeux et déni de service > Fuite d information > La fonction de découverte automatique des outils de gestion de réseaux peut transmettre la communauté hors de votre réseau/domaine 46

47 Admin : SNMP (2)» Filtrage au niveau IP > Définissez une ACL et activez la sur chaque interface interface Ethernet0/0 access-group in 100 access-list 100 permit udp host host eq snmp access-list 100 permit udp host eq snmp host access-list 100 deny udp any any eq snmp log-input > Possibilité d appliquer des ACLs sur le RP (S-train)» Filtrage au niveau applicatif > Définissez une ACL et utilisez la pour le contrôle d accès à l application > Utilisez des vues pour limiter la portée snmp-server community r3ad view cutdown RO 10 snmp-server community wr1te RW 10 snmp-server view cutdown ip.21 excluded snmp-server enable traps < > snmp-server host x.x.x.x snmp-server source loopback0 access-list 10 permit x.x.x.x 47

48 Admin : SNMP (3)» SNMP v3 > Définissez des utilisateurs/groupes et leurs droits snmp-server group engineering v3 priv read cutdown 10 snmp-server user nico engineering v3 auth md5 myp4ss priv des56 mydes56 snmp-server view cutdown ip.21 excluded access-list 10 permit x.x.x.x access-list 10 deny any log» Trois avis de sécurité récents > Communauté ILMI cachée (la commande show snmp community montre toute les communautés) > Communauté lecture/écriture visible depuis une communauté d accès en lecture seule > Déni de service (débordement de tampon) 48

49 Admin : Secure Shell (1)» Support SSHv1 (client et serveur) > Routeurs : depuis 12.1(1)T/12.0(10)S (utilisez une image 3DES), scp depuis 12.2T > Commutateurs : CatOS 6.x» Quels sont les risques et limitations? > L implémentation CISCO est basée sur SSHv1 et souffre des même bogues : possibilité de retrouver la clé de session, CRC32, analyse de trafic (SSHow), attaques par analyse temporelle > Impossible de forcer l utilisation de 3DES ou d utiliser des clés pour l authentification des utilisateurs > Corrigé dans 12.0(20)S, 12.1(8a)E, 12.2(3),... 49

50 Admin : Secure Shell (2)» Configuration SSH hostname <hostname> ip domain-name <domainname> crypto key generate rsa ip ssh timeout 60 ip ssh authentication-retries 3» Configuration scp ip scp server enable 50

51 Admin : IPsec (1)» Configuration IPsec > Interdit tout trafic sauf IPsec et le trafic autorisé interface xy ip address y.y.y.y ip access-group 100 in access-list 100 permit udp host x.x.x.x host y.y.y.y eq 500 access-list 100 permit esp host x.x.x.x host y.y.y.y access-list 100 permit ahp host x.x.x.x host y.y.y.y access-list 100 permit ip <remotelan> <locallan> > Définissez une SA (association de sécurité): trafic à chiffrer access-list 110 permit ip x.x.x.x <wildcard> y.y.y.y <wildcard> > Définissez une politique IKE crypto isakmp policy 1 hash md5 encryption 3des authentication pre-share! DH group (1024 bits) group 2 crypto isakmp key <key> address y.y.y.y 51

52 Admin : IPsec (2)» Configuration IPsec > Définissez le transform-set (mode tunnel recommandé, plus facile d utiliser le mode transport pour Win2k) crypto ipsec transform-set 3desmd5 esp-3des esp-md5-hmac > Mettez le tout dans une crypto-map crypto map mycryptomap 10 ipsec-isakmp set peer y.y.y.y set transform-set 3desmd5 match address 110 > Et assignez la à une interface interface xy crypto-map mycryptomap 52

53 Admin : comptes utilisateurs locaux (1)» Utilisateurs locaux > Le chiffrement de type 7 est réversible > MD5 disponible depuis 12.1(8a)E» Mot de passe enable > utilisez MD5 (type 5) service password-encryption enable secret 5 < >» Méthode d accès > Supprimez telnet et activez SSH service tcp-keepalives-in line vty 0 4 exec-timeout 0 60 access-class 10 in transport input ssh transport output none \ transport preferred none access-list 10 permit x.x.x.x > Sécurisez l accès à la console et au port AUX 53

54 Admin : comptes utilisateurs locaux (2)» Commutateurs set password <password> set enablepass <password>! For access via sc0 set ip permit enable set ip permit x.x.x.x y.y.y.y telnet set ip permit x.x.x.x y.y.y.y ssh set ip permit z.z.z.z y.y.y.y snmp 54

55 AAA : Authentification / Journalisation» Authentification/Audit : RADIUS/TACACS+ aaa new-model aaa authentication login default tacacs+ enable aaa authentication enable default tacacs+ enable aaa accounting exec default start-stop group tacacs+ ip tacacs source-interface loopback0 tacacs-server host x.x.x.x tacacs-server key K3y» Enregistrement des commandes tapées > TACACS+ uniquement aaa accounting commands 15 default start-stop group tacacs+» Autorisation par commande > TACACS+ uniquement 55

56 AAA : Autorisation» Niveaux de privilèges > 1 : mode utilisateur lecture uniquement > 15 : mode privilégié enable > Changez le niveau de privilège de certaines commandes (limite la fuite d information et les rebonds) > Un utilisateur peut seulement visualiser la configuration qu il est autorisé à modifier > Un utilisateur peut avoir uniquement la permission de voir la configuration et puis être déconnecté privilege exec level 15 connect privilege exec level 15 telnet privilege exec level 15 ssh privilege exec level 15 rlogin privilege exec level 15 show logging privilege exec level 15 show [ip] access-lists username seeandgo privilege autocommand show running 56

57 AAA : Kerberos (1)» Routeurs Cisco > Telnet cerbèrisé et authentification utilisant Kerberos (telnet, SSH et console) > Association d une instance à un niveau de privilège (définition locale) > Fonctionnalité Kerberos V client support (Enterprise) > Non supporté sur certains modèles (16xx, GSR, etc)» Commutateurs Cisco > Telnet uniquement (SSH disponible à partir des versions 6.1 mais sans support Kerberos) > Version 5.x pour la SE au minimum > Uniquement sur Catalyst 4K, 5K et 6K/6500 (avec SE I, non supporté par les SE II) 57

58 AAA : Kerberos (2)» Kerberos sur un routeur aaa authentication login default krb5-telnet local aaa authorization exec default krb5-instance kerberos local-realm COLT.CH kerberos srvtab entry host/... kerberos server COLT.CH kerberos instance map engineering 15 kerberos instance map support 3 kerberos credentials forward line vty 0 4 ntp server » Kerberos sur un commutateur set kerberos local-realm COLT.CH set kerberos clients mandatory set kerberos credentials forward set kerberos server COLT.CH set kerberos srvtab entry host/... set authentication login kerberos enable telnet primary set authentication enable kerberos enable telnet primary set ntp client enable set ntp server

59 Listes de contrôle d accès (1)» Filtrage IP avec les ACLs > Pas de table d état, pas de réassemblage des paquets > log-input enregistre aussi l interface et l adresse MAC source > Seul le premier fragment est contrôlé (sauf si utilisation du mot clé fragment)» Types d ACLs connues > Standard : basées sur l adresse IP source uniquement (1-99, ) > Etendue : contrôle sur les adresses IP, ports, protocoles, bit ACK/RST positionné (connexion établie), etc. ( , , ACLs nommées) 59

Les réseaux 10.0.0.0/24 et 172.16.x0.0/29 sont considérés comme publics

Les réseaux 10.0.0.0/24 et 172.16.x0.0/29 sont considérés comme publics Objectif Mise en route d un Firewall dans une configuration standard, c est à dire : o à l interface entre les domaines privé et public, o avec des clients internes qui veulent utiliser l Internet, o avec

Plus en détail

Kerberos en environnement ISP UNIX/Win2K/Cisco

Kerberos en environnement ISP UNIX/Win2K/Cisco Kerberos en environnement ISP UNIX/Win2K/Cisco > Nicolas FISCHBACH nico@securite.org - http://www.securite.org/nico/ > Sébastien LACOSTE-SERIS kaneda@securite.org - http://www.securite.org/kaneda/ version

Plus en détail

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs. PRODUCTION ASSOCIEE Contexte : Le contexte de la Maison des Ligues de Lorraine (La M2L) a été retenu au sein de notre centre de formation dans le cadre des PPE. La M2L, établissement du Conseil Régional

Plus en détail

Travaux pratiques IPv6

Travaux pratiques IPv6 Travaux pratiques IPv6 1 Agenda Lab 1 : Addressage IPv6 Lab 2 : Routage IPv6 Lab 3 : Déployment IPv6 Lab 4 : SécuritéIPv6 2 Diagramme réseau Topologie des groupes Réseau A Réseau B H1 em0 fa0/0 fa0/0 fa1/0

Plus en détail

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs. PRODUCTION ASSOCIEE Contexte : Le contexte de la Maison des Ligues de Lorraine (La M2L) a été retenu au sein de notre centre de formation dans le cadre des PPE. La M2L, établissement du Conseil Régional

Plus en détail

Configuration du matériel Cisco. Florian Duraffourg

Configuration du matériel Cisco. Florian Duraffourg Configuration du matériel Cisco Florian Duraffourg Généralités CLI - Utile Autocomplétion avec tab Comandes partielles valides si non ambigues ex: wr me write memory conf t configure terminal Aide

Plus en détail

comment paramétrer une connexion ADSL sur un modemrouteur

comment paramétrer une connexion ADSL sur un modemrouteur comment paramétrer une connexion ADSL sur un modemrouteur CISCO 837 Sommaire Introduction 1 Connexion au routeur Cisco 1.1 Attribution d'un mot de passe par CRWS 1.2 Connexion avec Teraterm pro web 1.3

Plus en détail

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux Réseaux Evolutions topologiques des réseaux locaux Plan Infrastructures d entreprises Routeurs et Firewall Topologie et DMZ Proxy VPN PPTP IPSEC VPN SSL Du concentrateur à la commutation Hubs et switchs

Plus en détail

Relier deux sites distants par un tunnel sécurisé. Nous utiliserons les technologies de cryptage :

Relier deux sites distants par un tunnel sécurisé. Nous utiliserons les technologies de cryptage : TUNNEL IPSEC OBJECTIF Relier deux sites distants par un tunnel sécurisé. Nous utiliserons les technologies de cryptage : AH : Authentification Header, protocole sans chiffrement de données ESP : Encapsulation

Plus en détail

Travaux pratiques : dépannage de la configuration et du placement des listes de contrôle d'accès Topologie

Travaux pratiques : dépannage de la configuration et du placement des listes de contrôle d'accès Topologie Travaux pratiques : dépannage de la configuration et du placement des listes de contrôle d'accès Topologie 2014 Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco. Page

Plus en détail

Gestion et supervision des réseaux Éléments de base de la configuration des équipements Cisco

Gestion et supervision des réseaux Éléments de base de la configuration des équipements Cisco Gestion et supervision des réseaux Éléments de base de la configuration des équipements Cisco These materials are licensed under the Creative Commons Attribution-Noncommercial 3.0 Unported license (http://creativecommons.org/licenses/by-nc/3.0/)

Plus en détail

EXAMEN BLANC CCNA CORRECTION

EXAMEN BLANC CCNA CORRECTION EXAMEN BLANC CCNA CORRECTION BLOG : WWW.REUSSIRSONCCNA.FR CONTACT : REUSSIRSONCCNA@GMAIL.COM CLIQUEZ ICI POUR TELECHARGEZ LE TEST BLANC QUESTION 1 C est le protocole TCP Transport Control Protocol qui

Plus en détail

www.supinfo-projects.com Les logos et marques cités dans ce document sont la propriété de leurs auteurs respectifs

www.supinfo-projects.com Les logos et marques cités dans ce document sont la propriété de leurs auteurs respectifs Les logos et marques cités dans ce document sont la propriété de leurs auteurs respectifs Copyright: Ce tutorial est mis à disposition gratuitement au format HTML lisible en ligne par son auteur sur le

Plus en détail

Introduction. Adresses

Introduction. Adresses Architecture TCP/IP Introduction ITC7-2: Cours IP ESIREM Infotronique Olivier Togni, LE2I (038039)3887 olivier.togni@u-bourgogne.fr 27 février 2008 L Internet est basé sur l architecture TCP/IP du nom

Plus en détail

MPLS. AFNOG 2011 Brice Dogbeh-Agbo

MPLS. AFNOG 2011 Brice Dogbeh-Agbo MPLS AFNOG 2011 Brice Dogbeh-Agbo Mécanismes de base du routage IP Se repose sur les information fournies par les protocoles de routage de la couche réseau dynamique ou statique. Décision de transmission

Plus en détail

OneAccess 16xx EAD Ethernet Access Device. 28-02-2011 / 1.0 / AH / Public

OneAccess 16xx EAD Ethernet Access Device. 28-02-2011 / 1.0 / AH / Public OneAccess 16xx EAD Ethernet Access Device 28-02-2011 / 1.0 / AH / Public Gamme 16xx 1611 - Une NNI 1000 Mbps - Une UNI 1000 Mbps - Ethernet OAM - Classification Multi EVC / couche 2/3 - QOS - Equipement

Plus en détail

Les ACL Cisco. F. Nolot Master 2 Professionnel STIC-Informatique 1

Les ACL Cisco. F. Nolot Master 2 Professionnel STIC-Informatique 1 Les ACL Cisco Master 2 Professionnel STIC-Informatique 1 Les ACL Cisco Présentation Master 2 Professionnel STIC-Informatique 2 Les ACL Cisco? Les ACL (Access Control Lists) permettent de filtrer des packets

Plus en détail

CISCO - Routage et Commutation 2ième module de préparation à la certification CCNA 200-120 (Nouvelle édition)

CISCO - Routage et Commutation 2ième module de préparation à la certification CCNA 200-120 (Nouvelle édition) Introduction A. Objectifs de l'ouvrage 14 B. Les certifications Cisco 14 C. La formation CCNA R&S NetAcad 16 D. La certification 17 E. Les outils importants 18 F. Organisation de l'ouvrage 18 1. Guide

Plus en détail

TD : Négociation de service avec MPLS. 1. Principes de fonctionnement de l architecture

TD : Négociation de service avec MPLS. 1. Principes de fonctionnement de l architecture TD : Négociation de service avec MPLS 1. Principes de fonctionnement de l architecture Dans les réseaux IP classiques, le routage n utilise que le préfixe de destination pour trouver le prochain saut.

Plus en détail

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014 École Supérieure d Économie Électronique Chap 9: Composants et systèmes de sécurité 1 Rhouma Rhouma 21 Juillet 2014 2 tagging et port trunk Création des via les commandes sur switch cisco 1 / 48 2 / 48

Plus en détail

Configuration d un PIX

Configuration d un PIX Configuration d un PIX Le PIX de Cisco est équipement de niveau IP qui peut faire à la fois du NAT, NATP et du routage (RIP, OSPF,..). Notre PIX possède deux interfaces réseaux : une connectée sur le réseau

Plus en détail

Filtrer les accès. Pare-feu personnel. Pare-feu professionnel

Filtrer les accès. Pare-feu personnel. Pare-feu professionnel 2. Pare-feu 21Pare 2.1 Pare-feu feu:sonrôle Filtrer les accès Entrant et sortant Pare-feu personnel Sur les postes Contrôle couches 1 à 7 Pare-feu professionnel Equipement réseau Couches 1 à 3 2 2.2 Filtrage

Plus en détail

Travaux pratiques - Configuration d une adresse de gestion de commutateur

Travaux pratiques - Configuration d une adresse de gestion de commutateur Travaux pratiques - Configuration d une adresse de gestion de commutateur Topologie Table d adressage Périphérique Interface Adresse IP Masque de sous-réseau Passerelle par défaut Objectifs S1 VLAN 1 192.168.1.2

Plus en détail

Devoir Surveillé de Sécurité des Réseaux

Devoir Surveillé de Sécurité des Réseaux Année scolaire 2009-2010 IG2I L5GRM Devoir Surveillé de Sécurité des Réseaux Enseignant : Armand Toguyéni Durée : 2h Documents : Polycopiés de cours autorisés Note : Ce sujet comporte deux parties. La

Plus en détail

Sensibilisation à la sécurité informatique

Sensibilisation à la sécurité informatique Sensibilisation à la sécurité informatique Michel Salomon IUT de Belfort-Montbéliard Département d informatique Michel Salomon Sécurité 1 / 25 Sensibilisation à la sécurité informatique Généralités et

Plus en détail

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free. 2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement

Plus en détail

Installation de technologies Sur switch cisco 2950

Installation de technologies Sur switch cisco 2950 Installation de technologies Sur switch cisco 2950 Tanji slimane le 02/12/2005 Page 1 sur 26 Sommaire INTRODUCTION... 3 OBJECTIFS... 3 MATERIEL... 4 IOS... 4 CONFIGURATION DE LA CONNEXION HYPER TERMINAL...

Plus en détail

Service de VPN de niveau 3 sur RENATER (L3VPN MPLS)

Service de VPN de niveau 3 sur RENATER (L3VPN MPLS) Service de VPN de niveau 3 sur (L3VPN MPLS) Documentation 1 / 14 Table des matières Suivi des Services aux Usagers 1 Introduction... 3 2 A qui s adresse ce document... 3 3 Vue d ensemble... 3 4 Descriptions

Plus en détail

Présentation et portée du cours : CCNA Exploration v4.0

Présentation et portée du cours : CCNA Exploration v4.0 Présentation et portée du cours : CCNA Exploration v4.0 Dernière mise à jour le 3 décembre 2007 Profil des participants Le cours CCNA Exploration s adresse aux participants du programme Cisco Networking

Plus en détail

Packet Tracer : configuration des listes de contrôle d'accès étendues, scénario 1

Packet Tracer : configuration des listes de contrôle d'accès étendues, scénario 1 Packet Tracer : configuration des listes de contrôle d'accès étendues, scénario 1 Topologie Table d'adressage Périphérique Interface Adresse IP Masque de sous-réseau Passerelle par défaut R1 Objectifs

Plus en détail

Mise en service d un routeur cisco

Mise en service d un routeur cisco Mise en service d un routeur cisco Table des matières Mise en service d un routeur cisco...1 I. Connexion du PC au routeur pour en faire la configuration...2 II. Configuration du routeur...2 III. Voir

Plus en détail

1. Introduction... 3 1.1. Les objectifs... 3 1.2. Matériels requis... 3

1. Introduction... 3 1.1. Les objectifs... 3 1.2. Matériels requis... 3 Licence Professionnelle Systèmes Automatisés et Réseaux Industriels. MPLS VPN TP pour la spécialité Administration de Réseaux Guillaume BRETON, Sylvain LECOMTE & Jonathan GAUDIN Le 4 février 2008 TP N

Plus en détail

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction Plan Introduction Chapitre II Les pare-feux (Firewalls) Licence Appliquée en STIC L2 - option Sécurité des Réseaux Yacine DJEMAIEL ISET Com Notions de base relatives au réseau Définition d un pare-feu

Plus en détail

Présentation et portée du cours : CCNA Exploration v4.0

Présentation et portée du cours : CCNA Exploration v4.0 Présentation et portée du cours : CCNA Exploration v4.0 Profil des participants Le cours CCNA Exploration s adresse aux participants du programme Cisco Networking Academy diplômés en ingénierie, mathématiques

Plus en détail

ASA/PIX : Exemple de configuration d'adressage IP statique pour client VPN IPSec avec CLI et ASDM

ASA/PIX : Exemple de configuration d'adressage IP statique pour client VPN IPSec avec CLI et ASDM ASA/PIX : Exemple de configuration d'adressage IP statique pour client VPN IPSec avec CLI et ASDM Contenu Introduction Conditions préalables Conditions requises Composants utilisés Produits connexes Conventions

Plus en détail

SR04 - Introduction à Cisco IOS

SR04 - Introduction à Cisco IOS SR04 - Introduction à Cisco IOS Christophe Fillot 24 Octobre 2011 1/51 Christophe Fillot SR04 - Introduction à Cisco IOS Plan de l exposé 1 Introduction 2 3 4 5 6 7 8 2/51 Christophe Fillot SR04 - Introduction

Plus en détail

Travaux Pratiques R&T 2 ème année Durée : 3 heures TP R2b SECURITE RESEAUX Firewall matériel Cisco Pix

Travaux Pratiques R&T 2 ème année Durée : 3 heures TP R2b SECURITE RESEAUX Firewall matériel Cisco Pix Travaux Pratiques R&T 2 ème année Durée : 3 heures TP R2b SECURITE RESEAUX Firewall matériel Cisco Pix Noms : Rabenjamina Solohaja et Tharic Faris Groupe : TP4 Groupe 5 Date : 16/10/2014 Objectifs du TP

Plus en détail

SOMMAIRE Thématique : Réseaux et télécommunications

SOMMAIRE Thématique : Réseaux et télécommunications SOMMAIRE Thématique : Réseaux et télécommunications Rubrique : Réseaux - Télécommunications... 2 1 SOMMAIRE Rubrique : Réseaux - Télécommunications Evolution et perspective des réseaux et télécommunications...

Plus en détail

DIFF AVANCÉE. Samy. samy@via.ecp.fr

DIFF AVANCÉE. Samy. samy@via.ecp.fr DIFF AVANCÉE Samy samy@via.ecp.fr I. RETOUR SUR QUELQUES PROTOCOLES COUCHE FONCTIONS Protocoles 7 Application 6 Présentation 5 Session 4 Transport 3 Réseau 2 Liaison 1 Physique Interface entre l utilisateur

Plus en détail

Fonctionnement du protocole DHCP. Protocole DHCP (S4/C7)

Fonctionnement du protocole DHCP. Protocole DHCP (S4/C7) Protocole DHCP (S4/C7) Le protocole DHCP (Dynamic Host Configuration Protocol) Le service DHCP permet à un hôte d obtenir automatiquement une adresse IP lorsqu il se connecte au réseau. Le serveur DHCP

Plus en détail

Table des matières Nouveau Plan d adressage... 3

Table des matières Nouveau Plan d adressage... 3 Table des matières Nouveau Plan d adressage... 3 Phase 1 : CONFIGURATION DES MATERIELS ACTIFS D INTERCONNEXION... 5 ROUTAGE INTER-VLAN... 5 MISE EN PLACE DU VTP... 6 CONFIGURATION DES PROTOCOLES SSH/TELNET...

Plus en détail

Travaux Pratiques R&T 2 ème année Durée : 3 heures TP R2b SECURITE RESEAUX Firewall matériel Cisco Pix

Travaux Pratiques R&T 2 ème année Durée : 3 heures TP R2b SECURITE RESEAUX Firewall matériel Cisco Pix Noms : BAUD CARRETTE Groupe : TP3 Date : 13/12/11 Travaux Pratiques R&T 2 ème année Durée : 3 heures TP R2b SECURITE RESEAUX Firewall matériel Cisco Pix Objectifs du TP - Installation et configuration

Plus en détail

Cisco IDS Network Module pour les routeurs des gammes Cisco 2600, 3600 et 3700

Cisco IDS Network Module pour les routeurs des gammes Cisco 2600, 3600 et 3700 Fiche Technique Cisco IDS Network Module pour les routeurs des gammes Cisco 2600, 3600 et 3700 Cisco IDS Network Module fait partie des solutions intégrées de sécurité de réseau Cisco IDS (système de détection

Plus en détail

«enable» ou «ena» ou «en» pour passer en mode administrateur sur l'équipement réseau.

«enable» ou «ena» ou «en» pour passer en mode administrateur sur l'équipement réseau. Les commandes CISCO «enable» ou «ena» ou «en» pour passer en mode administrateur sur l'équipement réseau. Toutes les commandes indiquées ci-dessous sont à effectuer en mode administrateur. Pour obtenir

Plus en détail

Réseaux - Cours 4. IP : introduction et adressage. Cyril Pain-Barre. version du 18/2/2013. IUT Informatique Aix-en-Provence

Réseaux - Cours 4. IP : introduction et adressage. Cyril Pain-Barre. version du 18/2/2013. IUT Informatique Aix-en-Provence Réseaux - Cours 4 : introduction et adressage Cyril Pain-Barre IUT Informatique Aix-en-Provence version du 18/2/2013 1/34 Cyril Pain-Barre : introduction et adressage 1/26 TCP/ l architecture d Internet

Plus en détail

Filtrage IP MacOS X, Windows NT/2000/XP et Unix

Filtrage IP MacOS X, Windows NT/2000/XP et Unix Filtrage IP MacOS X, Windows NT/2000/XP et Unix Cette présentation, élaborée dans le cadre de la formation SIARS, ne peut être utilisée ou modifiée qu avec le consentement de ses auteur(s). MacOS/NT/Unix

Plus en détail

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT Administration Réseau Niveau routage Intérêt du NAT (Network Address Translation) Possibilité d utilisation d adresses privées dans l 4 2 1 Transport Réseau Liaison Physique Protocole de Transport Frontière

Plus en détail

SUJET DES FINALES NATIONALES Sujet jour 1 version 1

SUJET DES FINALES NATIONALES Sujet jour 1 version 1 METIER 39 Administrateur Systèmes et Réseaux Informatiques SUJET DES FINALES NATIONALES Sujet jour 1 version 1 Planning de la journée : 8h00 8h15 : Lecture du sujet 8h15 8h30 : Questions / Réponses 8h30

Plus en détail

Gestion et Surveillance de Réseau

Gestion et Surveillance de Réseau Gestion et Surveillance de Réseau NetFlow These materials are licensed under the Creative Commons Attribution-Noncommercial 3.0 Unported license (http://creativecommons.org/licenses/by-nc/3.0/) Sommaire

Plus en détail

MPLS. Multiprotocol Label Switching

MPLS. Multiprotocol Label Switching MPLS Multiprotocol Label Switching Préparé par: Ayoub SECK Ingénieur-Chercheur en Télécommunications Spécialiste en Réseaux IP et Télécoms mobiles Certifié: JNCIA, CCNP,CCDP Suggestions: seckayoub@gmail.com

Plus en détail

Travaux pratiques : collecte et analyse de données NetFlow

Travaux pratiques : collecte et analyse de données NetFlow Topologie Table d adressage Objectifs Périphérique Interface Adresse IP Passerelle par défaut R1 G0/0 192.168.1.1/24 N/A S0/0/0 (DCE) 192.168.12.1/30 N/A R2 G0/0 192.168.2.1/24 N/A S0/0/0 192.168.12.2/30

Plus en détail

Introduction à MPLS F. Nolot 2009 1

Introduction à MPLS F. Nolot 2009 1 Introduction à MPLS 1 Introduction à MPLS Introduction 2 Introduction Les fournisseurs d'accès veulent Conserver leur infrastructure existante ET Ajouter de nouveaux services non supportés par la technologie

Plus en détail

Module M3102 TP5. MPLS : LDP et L3-VPN

Module M3102 TP5. MPLS : LDP et L3-VPN Module M3102 TP5 MPLS : LDP et L3-VPN Ce qu'on veut faire dans ce TP : Permettre à l'isp d'établir un VPN de couche 3 entre les sites distants de chaque client (3 clients ici, donc 3 VPNs). Pourquoi :

Plus en détail

Introduction aux Technologies de l Internet

Introduction aux Technologies de l Internet Introduction aux Technologies de l Internet Antoine Vernois Université Blaise Pascal Cours 2006/2007 Introduction aux Technologies de l Internet 1 Au programme... Généralités & Histoire Derrière Internet

Plus en détail

Diff Avancée. Retour sur la couche 2: -Les boucles et le STP. Retour sur la couche 3: -Quelques infos sur l adressage -Protocoles de Routage

Diff Avancée. Retour sur la couche 2: -Les boucles et le STP. Retour sur la couche 3: -Quelques infos sur l adressage -Protocoles de Routage Diff Avancée Retour sur la couche 2: -Les boucles et le STP Retour sur la couche 3: -Quelques infos sur l adressage -Protocoles de Routage Sous réseaux virtuels Commandes utiles L architecture à VIA Retour

Plus en détail

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1 Sécurité Firewall IDS Architecture sécurisée d un réseau Assurer le contrôle des connexions au réseau nicolas.hernandez@univ-nantes.fr Sécurité 1 Sommaire général Mise en oeuvre d une politique de sécurité

Plus en détail

Activité professionnelle N

Activité professionnelle N BTS SIO Services Informatiques aux Organisations Option SISR Session 2015 Loïc BONNIN Activité professionnelle N NATURE DE L'ACTIVITE Contexte Objectifs Lieu de réalisation Création Spanning- Tree réseau

Plus en détail

Programme formation pfsense Mars 2011 Cript Bretagne

Programme formation pfsense Mars 2011 Cript Bretagne Programme formation pfsense Mars 2011 Cript Bretagne I.Introduction : les réseaux IP...2 1.A.Contenu pédagogique...2 1.B....2 1.C...2 1.D....2 II.Premiers pas avec pfsense...2 2.A.Contenu pédagogique...2

Plus en détail

Vue d'ensemble de NetFlow. Gestion et Supervision de Réseau

Vue d'ensemble de NetFlow. Gestion et Supervision de Réseau Vue d'ensemble de NetFlow Gestion et Supervision de Réseau Sommaire Netflow Qu est-ce que Netflow et comment fonctionne-t-il? Utilisations et applications Configurations et mise en œuvre fournisseur Cisco

Plus en détail

Architecture pour la prise en compte des raccordements multiples

Architecture pour la prise en compte des raccordements multiples Architecture pour la prise en compte des raccordements multiples Description : Ce document présente l architecture, principalement basée sur le protocole de routage BGP, pour les raccordements multiples

Plus en détail

Chapitre I. La couche réseau. 1. Couche réseau 1. Historique de l Internet

Chapitre I. La couche réseau. 1. Couche réseau 1. Historique de l Internet Chapitre I La couche réseau 1. Couche réseau 1 Historique de l Internet Né 1969 comme projet (D)ARPA (Defense) Advanced Research Projects Agency; US Commutation de paquets Interconnexion des universités

Plus en détail

Figure 1a. Réseau intranet avec pare feu et NAT.

Figure 1a. Réseau intranet avec pare feu et NAT. TD : Sécurité réseau avec Pare Feu, NAT et DMZ 1. Principes de fonctionnement de la sécurité réseau Historiquement, ni le réseau Internet, ni aucun des protocoles de la suite TCP/IP n était sécurisé. L

Plus en détail

Filtrage IP Statique

Filtrage IP Statique Filtrage IP Statique Filtrage statique: Pourquoi? C'est un des moyens de limiter les flux entre différents réseaux Les concepts du filtrage de paquets(1) Analyse des entêtes d'un paquet : Protocole Adresse

Plus en détail

Travaux pratiques 8.5.2 : configuration des listes de contrôle d accès et enregistrement de l activité dans un serveur Syslog

Travaux pratiques 8.5.2 : configuration des listes de contrôle d accès et enregistrement de l activité dans un serveur Syslog Travaux pratiques 8.5.2 : configuration des listes de contrôle d accès et enregistrement de l activité dans un serveur Syslog Nom de l hôte Adresse IP Fast Ethernet 0/0 Adresse IP Serial 0/0/0 Routeur

Plus en détail

Exercice Packet Tracer 3.5.1 : Configuration de base des réseaux locaux virtuels

Exercice Packet Tracer 3.5.1 : Configuration de base des réseaux locaux virtuels Exercice Packet Tracer 3.5.1 : Configuration de base des réseaux locaux virtuels Schéma de topologie Table d adressage Périphérique Interface Adresse IP Masque de sousréseau Passerelle par défaut S1 VLAN

Plus en détail

Rappels réseaux TCP/IP

Rappels réseaux TCP/IP Rappels réseaux TCP/IP Premier Maître Jean Baptiste FAVRE DCSIM / SDE / SIC / Audit SSI jean-baptiste.favre@marine.defense.gouv.fr CFI Juin 2005: Firewall (1) 15 mai 2005 Diapositive N 1 /27 Au menu Modèle

Plus en détail

MISE EN SERVICE D UN SWITCH CISCO

MISE EN SERVICE D UN SWITCH CISCO MISE EN SERVICE D UN SWITCH CISCO Table des matières MISE EN SERVICE D UN SWITCH CISCO...1 I. Réinitialisation du commutateur :...2 II. Principales opérations :...2 A. Ouverture/fermeture de session :...2

Plus en détail

LAB : Schéma. Compagnie C 192.168.10.30 /24 192.168.10.10 /24 NETASQ

LAB : Schéma. Compagnie C 192.168.10.30 /24 192.168.10.10 /24 NETASQ LAB : Schéma Avertissement : l exemple de configuration ne constitue pas un cas réel et ne représente pas une architecture la plus sécurisée. Certains choix ne sont pas à prescrire dans un cas réel mais

Plus en détail

TP réseaux Translation d adresse, firewalls, zonage

TP réseaux Translation d adresse, firewalls, zonage TP réseaux Translation d adresse, firewalls, zonage Martin Heusse, Pascal Sicard 1 Avant-propos Les questions auxquelles il vous est demandé de répondre sont indiquées de cette manière. Il sera tenu compte

Plus en détail

Plan. Rappels sur Netflow v1 v8. Netflow v9. Collecteur UTC «IPFlow» Cisco IOS : Implémentation de Netflow IPv6

Plan. Rappels sur Netflow v1 v8. Netflow v9. Collecteur UTC «IPFlow» Cisco IOS : Implémentation de Netflow IPv6 Netflow-IPv6 Plan Qu est-ce qu un flux principes de Netflow Rappels sur Netflow v1 v8 Netflow v9 Collecteur UTC «IPFlow» Cisco IOS : Implémentation de Netflow IPv6 2 Qu est-ce qu un flux principes de Netflow

Plus en détail

Contenu. Cocher : Network Policy and Access Services > Next > Next. Cocher : Network Policy Server > Next > Install

Contenu. Cocher : Network Policy and Access Services > Next > Next. Cocher : Network Policy Server > Next > Install Albéric ALEXANDRE 1 Contenu 1. Introduction... 2 2. Prérequis... 2 3. Configuration du serveur... 2 a. Installation de Network Policy Server... 2 b. Configuration de Network Policy Server... 2 4. Configuration

Plus en détail

Travaux pratiques - Utilisation de la CLI pour recueillir des informations sur les périphériques réseau

Travaux pratiques - Utilisation de la CLI pour recueillir des informations sur les périphériques réseau Travaux pratiques - Utilisation de la CLI pour recueillir des informations sur les périphériques réseau Topologie Table d'adressage Périphérique Interface Adresse IP Masque de sousréseau Passerelle par

Plus en détail

Les Virtual LAN. F. Nolot 2008

Les Virtual LAN. F. Nolot 2008 Les Virtual LAN 1 Les Virtual LAN Introduction 2 Architecture d'un réseau Pour séparer, sur un réseau global, les rôles de chacun Solution classique : utilisation de sous-réseaux différents 3 Problème!

Plus en détail

Examen blanc CCENT Correction

Examen blanc CCENT Correction Examen blanc CCENT Correction Quiz Settings Value Type Graded Total Questions 53 Total Points 510 Passing Score 80% Questions to display Shuffle questions from the selected groups Question 1. Message de

Plus en détail

Travaux pratiques 8.3.3b Configuration d un routeur distant avec SSH

Travaux pratiques 8.3.3b Configuration d un routeur distant avec SSH Travaux pratiques 8.3.3b Configuration d un routeur distant avec SSH Objectifs Utiliser SDM pour configurer un routeur à accepter les connexions SSH Configurer le logiciel client SSH sur un PC Établir

Plus en détail

Les Routeurs CISCO V2

Les Routeurs CISCO V2 Les Routeurs CISCO V2 1. Introduction Schématiquement, les composants internes qui nous intéressent principalement sont les différentes mémoires utilisées : RAM : C est la mémoire principale de travail

Plus en détail

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant RÉSEAUX INFORMATIQUES

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant RÉSEAUX INFORMATIQUES RÉSEAUX INFORMATIQUES Page:1/13 Objectifs de l activité pratique : Réseau Ethernet : - câblage point à point, test d écho ; commandes «mii-tool» et «linkloop» Commutation Ethernet : - câblage d un commutateur

Plus en détail

Travaux pratiques : configuration et vérification des listes de contrôle d'accès IPv6 Topologie

Travaux pratiques : configuration et vérification des listes de contrôle d'accès IPv6 Topologie Travaux pratiques : configuration et vérification des listes de contrôle d'accès IPv6 Topologie 2014 Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco. Page 1 / 10 Table

Plus en détail

Au cours de cette étude de cas, l étudiant doit accomplir les étapes suivantes :

Au cours de cette étude de cas, l étudiant doit accomplir les étapes suivantes : IV. Étude de cas Vue d ensemble et objectifs Cette étude cas permet aux étudiants de réaliser un projet de conception, de mise en oeuvre et de dépannage de projets en utilisant les compétences acquises

Plus en détail

TP 1 - Prise de contact avec Snort, scapy

TP 1 - Prise de contact avec Snort, scapy TP 1 - Prise de contact avec Snort, scapy 0. Initialisation du TP Installer les paquets python-scapy, snort, nmap. 1. Présentation de SNORT v2.8.5 La détection d intrusion consiste en un ensemble de techniques

Plus en détail

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ TR2 : Technologies de l'internet Chapitre VI NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ 1 NAT : Network Address Translation Le NAT a été proposé en 1994

Plus en détail

Dénis de service et vers Attaques, détection et protection

Dénis de service et vers Attaques, détection et protection Dénis de service et vers Attaques, détection et protection Les services en ligne sont comparables à un château de cartes exposé à tous vents et de surcroît construit sur du sable mouvant > Nicolas FISCHBACH

Plus en détail

MPLS. Plan. Introduction Architecture MPLS Protocoles de signalisation. Nguyen Thi Mai Trang LIP6/PHARE Thi-Mai-Trang.Nguyen@lip6.

MPLS. Plan. Introduction Architecture MPLS Protocoles de signalisation. Nguyen Thi Mai Trang LIP6/PHARE Thi-Mai-Trang.Nguyen@lip6. MPLS Nguyen Thi Mai Trang LIP6/PHARE Thi-Mai-Trang.Nguyen@lip6.fr 01/10/2009 Master 2 - UPMC - UE RCG 1 Plan Introduction Architecture MPLS Protocoles de signalisation 01/10/2009 Master 2 - UPMC - UE RCG

Plus en détail

Fonctions Réseau et Télécom. Haute Disponibilité

Fonctions Réseau et Télécom. Haute Disponibilité Appliance FAST360 Technical Overview Fonctions Réseau et Télécom Haute Disponibilité Copyright 2008 ARKOON Network Security 2/17 Sommaire I. Performance et disponibilité...3 1. Gestion de la bande passante

Plus en détail

Mission 2 : Prise de contrôle à distance sur les éléments d'infrastructures, les serveurs (Contrôleur de domaine et DHCP) et les clients

Mission 2 : Prise de contrôle à distance sur les éléments d'infrastructures, les serveurs (Contrôleur de domaine et DHCP) et les clients Mission 2 : Prise de contrôle à distance sur les éléments d'infrastructures, les serveurs (Contrôleur de domaine et DHCP) et les clients Infrastructure final : Infrastructure salle 4009 Deux salles appartiennent

Plus en détail

Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage:

Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage: Administration d un Intranet Rappel: Le routage dans Internet La décision dans IP du routage: - Table de routage: Adresse destination (partie réseau), netmask, adresse routeur voisin Déterminer un plan

Plus en détail

Le service IPv4 multicast pour les sites RAP

Le service IPv4 multicast pour les sites RAP Le service IPv4 multicast pour les sites RAP Description : Ce document présente le service IPv4 multicast pour les sites sur RAP Version actuelle : 1.2 Date : 08/02/05 Auteurs : NM Version Dates Remarques

Plus en détail

TP Sécurité réseau :

TP Sécurité réseau : TP Sécurité réseau : Firewalls et outils d audit réseau CE TP ILLUSTRERA 1 Configuration réseau d un routeur filtrant 2 Utilisation des règles de filtrage ACL avec un routeur CISCO 1605 3 Utilisation de

Plus en détail

Note d Application. Bascule d ALOHA via injection de route en BGP

Note d Application. Bascule d ALOHA via injection de route en BGP Note d Application Bascule d ALOHA via injection de route en BGP Version du document : v1.2 Dernière mise à jour : 8 novembre 2013 Objectif Cette note décrit comment créer une platforme hautement disponible

Plus en détail

Proxy : PfSense. Installation Configuration de PfSense. Version : 2.0.3. 26/05/2014 M2L AUDOUY Gauthier

Proxy : PfSense. Installation Configuration de PfSense. Version : 2.0.3. 26/05/2014 M2L AUDOUY Gauthier Proxy : PfSense Installation Configuration de PfSense Version : 2.0.3 26/05/2014 M2L AUDOUY Gauthier SOMMAIRE 1. Installation 2. Configuration des cartes réseau 3. Interface WEB 1 6 7 I. Connexion 7 II.

Plus en détail

Packet Tracer : configuration de VPN (facultatif)

Packet Tracer : configuration de VPN (facultatif) Topologie Table d'adressage Périphérique Interface Adresse IP Masque de sousréseau Passerelle par défaut R1 G0/0 192.168.1.1 255.255.255.0 N/A S0/0/0 10.1.1.2 255.255.255.252 N/A G0/0 192.168.2.1 255.255.255.0

Plus en détail

Réseaux de communication Perspectives

Réseaux de communication Perspectives Réseaux de communication Perspectives Martin Heusse FoilTEX 1 Perspectives & technologies récentes Utilisation directe du médium 1 Perspectives & technologies récentes Utilisation directe du médium Niveau

Plus en détail

VOIP. QoS SIP TOPOLOGIE DU RÉSEAU

VOIP. QoS SIP TOPOLOGIE DU RÉSEAU VOIP QoS SIP TOPOLOGIE DU RÉSEAU La voix sur réseau IP, parfois appelée téléphonie IP ou téléphonie sur Internet, et souvent abrégée en ''VoIP'' (abrégé de l'anglais Voice over IP), est une technique qui

Plus en détail

MAUREY Simon PICARD Fabien LP SARI. TP 5 : Routage IP Statique et Dynamique

MAUREY Simon PICARD Fabien LP SARI. TP 5 : Routage IP Statique et Dynamique MAUREY Simon PICARD Fabien LP SARI TP 5 : Routage IP Statique et Dynamique SOMMAIRE Matériels requis... 3 1. Routage statique Objectifs... 3 Architecture physique du réseau à mettre en oeuvre... 3 Configuration

Plus en détail

Conférence IPv6. Laboratoire Cisco 2010. www.supinfo.com. Copyright SUPINFO. All rights reserved

Conférence IPv6. Laboratoire Cisco 2010. www.supinfo.com. Copyright SUPINFO. All rights reserved Conférence IPv6 Laboratoire Cisco 2010 www.supinfo.com Copyright SUPINFO. All rights reserved Présentateurs Jean-Michel DILLY B2 SUPINFO Caen CLM Cisco Caen STA Cisco Certifications : CCNA CCNA Voice CCNA

Plus en détail

Travaux pratiques : configuration des protocoles HSRP et GLBP Topologie

Travaux pratiques : configuration des protocoles HSRP et GLBP Topologie Topologie 2014 Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco. Page 1 / 9 Table d adressage Périphérique Interface Adresse IP Masque de sous-réseau Passerelle par

Plus en détail

Table des matières AVANT-PROPOS... MODULE 1 : ENVIRONNEMENT... 1-1 MODULE 2 : ATTAQUES COURANTES... 2-1

Table des matières AVANT-PROPOS... MODULE 1 : ENVIRONNEMENT... 1-1 MODULE 2 : ATTAQUES COURANTES... 2-1 Table des matières AVANT-PROPOS... MODULE 1 : ENVIRONNEMENT... 1-1 Problématiques de la sécurité... 1-2 Domaines de la sécurité... 1-4 Buts de la sécurité informatique... 1-6 Niveaux de sécurité... 1-7

Plus en détail

Les réseaux de campus. F. Nolot 2008 1

Les réseaux de campus. F. Nolot 2008 1 Les réseaux de campus F. Nolot 2008 1 Les réseaux de campus Les architectures F. Nolot 2008 2 Les types d'architectures L'architecture physique d'un réseau de campus doit maintenant répondre à certains

Plus en détail

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN Les Réseaux Privés Virtuels (VPN) 1 Définition d'un VPN Un VPN est un réseau privé qui utilise un réseau publique comme backbone Seuls les utilisateurs ou les groupes qui sont enregistrés dans ce vpn peuvent

Plus en détail

La qualité de service (QoS)

La qualité de service (QoS) La qualité de service (QoS) Le domaine de prédilection de la QoS est la voix sur IP (VoIP). Afin de nous familiariser avec les principales commandes, nous allons monter l architecture de test suivante

Plus en détail