Exercice Packet Tracer 2.4.7 : configuration de la sécurité des commutateurs



Documents pareils
Exercice Packet Tracer : configuration de réseaux locaux virtuels et d agrégations

Exercice Packet Tracer : Configuration de base des réseaux locaux virtuels

GNS 3 Travaux pratiques

Travaux pratiques Configuration du protocole DHCP avec SDM et l interface de ligne de commande Cisco IOS

TP Configuration de l'authentification OSPF

Mission 2 : Prise de contrôle à distance sur les éléments d'infrastructures, les serveurs (Contrôleur de domaine et DHCP) et les clients

Modélisation Hiérarchique du Réseau. F. Nolot

Travaux pratiques : Configuration de base d une route statique

Travaux pratiques : dépannage de la configuration et du placement des listes de contrôle d'accès Topologie

Projet PacketTracer en Labo, et Authentification Wi-Fi Serveur RADUIS (NPS)

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

Travaux pratiques : collecte et analyse de données NetFlow

Exercice : configuration de base de DHCP et NAT

Travaux pratiques : configuration et vérification des listes de contrôle d'accès IPv6 Topologie

Installer et configurer un réseau local Ethernet commuté. Généralités 1 Utilisation d un Switch administrable D-Link DES-3226

Routage Statique. Protocoles de Routage et Concepts. Version Cisco Systems, Inc. All rights reserved. Cisco Public 1

TP Réseau 1A DHCP Réseau routé simple

Travaux pratiques : configuration de la traduction d adresses de port (PAT)

Travaux pratiques : configuration des routes statiques et par défaut IPv6

IUT d Angers License Sari Module FTA3. Compte Rendu. «Firewall et sécurité d un réseau d entreprise» Par. Sylvain Lecomte

comment paramétrer une connexion ADSL sur un modemrouteur

CCNA Discovery Travailler dans une PME ou chez un fournisseur de services Internet

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

TP : STATION BLANI 2000 SIMULATION DU RESEAU INFORMATIQUE

Configuration des VLAN

La qualité de service (QoS)

Présentation et portée du cours : CCNA Exploration v4.0

Procédure Configuration Borne Wifi. Attribution d'une adresse IP

Cisco Certified Network Associate Version 4

Les réseaux /24 et x0.0/29 sont considérés comme publics

Au cours de cette étude de cas, l étudiant doit accomplir les étapes suivantes :

Contenu. Cocher : Network Policy and Access Services > Next > Next. Cocher : Network Policy Server > Next > Install

Configurer le Serveur avec une adresse IP Statique (INTERFACE :FastEthernet) : et un masque

Les logos et marques cités dans ce document sont la propriété de leurs auteurs respectifs

Travaux pratiques Configuration d une carte réseau pour qu elle utilise DHCP dans Windows Vista

Les clés d un réseau privé virtuel (VPN) fonctionnel

Contrôleur de communications réseau. Guide de configuration rapide DN

Packet Tracer : configuration des listes de contrôle d'accès étendues, scénario 1

Travaux pratiques Gestion des fichiers de configuration de périphérique via TFTP, Flash et USB

Direction des Systèmes d'information

IMS INTERNET /Paramétrage de l offre / Gateway Cisco IMS INTERNET. Paramétrage de l offre Gateway CISCO. Référence Edition Date de Diffusion Page

1 DHCP sur Windows 2008 Server Introduction Installation du composant DHCP Autorisation d'un serveur DHCP...

Comment utiliser HSRP pour assurer la redondance dans un réseau BGP multihébergé

Configuration du matériel Cisco. Florian Duraffourg

TP 1 et 2 de Réseaux en Master 1 Informatique : Assemblage d un réseau, configuration d adresses IP sous Linux et Windows

RESEAUX MISE EN ŒUVRE

Date : 08/02/12 SISR1 tp.topologie.reseau.wan Durée : 2 h

SUJET DES FINALES NATIONALES Sujet jour 1 version 1

Chapitre 3 Configuration et maintenance

WGW PBX. Guide de démarrage rapide

Les Virtual LAN. F. Nolot. Master 1 STIC-Informatique 1

SYSTEME DE GESTION DES ENERGIES EWTS EMBEDDED WIRELESS TELEMETRY SYSTEM

Dispositif sur budget fédéral

Configurer l adressage des serveurs et des clients

REPETEUR SANS FIL N 300MBPS

TP redondance DHCP. Gillard Frédéric Page 1/17. Vue d ensemble du basculement DHCP

TP réseau Les réseaux virtuels (VLAN) Le but de se TP est de segmenter le réseau d'une petite entreprise dont le câblage est figé à l'aide de VLAN.

TP c Fonctions des listes de contrôle d'accès multiples (TP avancé)

Etape 1 : Connexion de l antenne WiFi et mise en route

Configuration des routes statiques, routes flottantes et leur distribution.

CONVERTISSEUR RS 232/485 NOTICE

Mise en service d un routeur cisco

Bravo! Vous venez d acquérir un routeur large bande à 4 ports Conceptronic C100BRS4H.

VLAN Trunking Protocol. F. Nolot

mbssid sur AP Wifi Cisco

Les possibilités de paramétrage réseau des logiciels de virtualisation sont les suivantes quant à la connexion réseau :

Administration Switch (HP et autres)

Cours LG : Administration de réseaux et sécurité informatique. Dans les Paramètres Système onglet Processeur, le bouton "Activer PAE/NX"

Les ACL Cisco. F. Nolot Master 2 Professionnel STIC-Informatique 1

AGREGATION DE LIENS ENTRE UNE APPLIANCE FAST360 ET UN COMMUTATEUR. Table des matières PRINCIPES DE L'AGREGATION DE LIENS... 2

Répéteur WiFi Netgear WN1000RP pour appareils mobiles

Présentation et portée du cours : CCNA Exploration v4.0

Tutorial Terminal Server sous

Travaux pratiques IPv6

GUIDE D UTILISATION ADSL ASSISTANCE

(1) Network Camera

Micro-ordinateurs, informations, idées, trucs et astuces utiliser le Bureau à distance

Configuration de l adressage IP sur le réseau local LAN

Configuration d'un Réseau Privé Virtuel (RPV ) communément appelé VPN

Travaux pratiques Configuration d un pare-feu sous Windows XP

Le serveur web Windows Home Server 2011

Les Virtual LAN. F. Nolot 2008

Le 1 er opérateur belge illimité! d utilisation. Solution Billi

Fonctionnement du protocole DHCP. Protocole DHCP (S4/C7)

Guide d installation rapide Commutateurs AT-8000S. Modèles : AT-8000S/16 AT-8000S/24 OE AT-8000S/24P AT-8000S/48 AT-8000S/48POE

Travaux Pratiques Introduction aux réseaux IP

Note de première mise en service. Passerelle ipro-04n. TTPMSiPRO04N R1.0 fr

>> Lisez-moi d abord... Connecter le ZyXEL Prestige 650HW/HW-I

Direct IP- Guide Utilisateur LAN ou WebCon. Espace Configuration Réseau Local (LAN) Ou «WebConf» Guide Utilisateur Final

Installation du point d'accès Wi-Fi au réseau

ndv access point : Utilisation

Mise en place d un cluster NLB (v1.12)

Adaptateur de présentation sans fil Manuel de l utilisateur

Administration d un client Windows XP professionnel

HAUTE DISPONIBILITÉ DE MACHINE VIRTUELLE AVEC HYPER-V 2012 R2 PARTIE CONFIGURATION OPENVPN SUR PFSENSE

Guide d installation du serveur vidéo

Capture, Filtrage et Analyse de trames ETHERNET avec le logiciel Wireshark. Etape 1 : Lancement des machines virtuelles VMWARE et de Wireshark

Augmenter la portée de votre WiFi avec un répéteur

Mise à jour des logiciels de vidéo de Polycom

Transcription:

Exercice Packet Tracer 2.4.7 : configuration de la sécurité des commutateurs Diagramme de topologie Table d adressage Périphérique Interface Adresse IP Masque de sous-réseau Comm1 VLAN99 172.17.99.11 255.255.255.0 Objectifs pédagogiques PC1 Carte réseau 172.17.99.21 255.255.255.0 PC2 Carte réseau 172.17.99.32 255.255.255.0 Configurer la gestion de base du commutateur Configurer la sécurité du port dynamique Tester la sécurité du port dynamique Sécuriser les ports inutilisés Copyright sur l intégralité du contenu 1992 2007 Cisco Systems, Inc. Page 1 sur 7

Tâche 1 : configuration de la gestion de base du commutateur Étape 1 : sur PC1, accédez à la connexion de console au commutateur Comm1 Cliquez sur PC1 puis sélectionnez l onglet Desktop. Sélectionnez Terminal dans l onglet Desktop. Conservez ces paramètres par défaut pour la configuration du terminal puis cliquez sur OK : Bits par seconde = 9600 Bits de données = 8 Parité = Aucune Bits d arrêt = 1 Contrôle de flux = Aucun Vous êtes désormais connecté au commutateur Comm1. Appuyez sur Entrée pour afficher l invite du commutateur. Étape 2 : passage au mode d exécution privilégié Pour accéder au mode d exécution privilégié, tapez la commande enable. L invite passe de > à #. Comm1>enable Comm1# Vous remarquerez que vous êtes passé au mode d exécution privilégié sans préciser de mot de passe. Pourquoi l absence d un mot de passe en mode d exécution privilégié compromet-elle la sécurité? Étape 3 : passage au mode de configuration globale et configuration du mot de passe du mode privilégié Tant que vous êtes en mode d exécution privilégié, vous pouvez accéder au mode de configuration globale en utilisant la commande configure terminal. Utilisez la commande enable secret pour définir le mot de passe. Dans le cadre de cet exercice, définissez le mot de passe sur la valeur class. Comm1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. enable secret class Remarque : PT n évalue pas la commande enable secret. Étape 4 : configuration du terminal virtuel et des mots de passe de console, obligation de connexion pour les utilisateurs Un mot de passe doit être obligatoire pour accéder à la ligne de console. Un utilisateur malveillant peut obtenir des informations cruciales même en mode d exécution utilisateur de base. En outre, les lignes vty doivent être protégées par un mot de passe avant d envisager un accès à distance des utilisateurs au commutateur. Accédez à l invite de console à l aide de la commande line console 0. Utilisez la commande password pour configurer les lignes de console et vty à l aide du mot de passe cisco. Remarque : dans ce cas de figure, PT n évalue pas la commande password cisco. Copyright sur l'intégralité du contenu 1992 2007 Cisco Systems, Inc. Page 2 sur 7

Entrez la commande login, qui nécessite la saisie d un mot de passe avant d accéder au mode d exécution utilisateur. Répétez le processus avec les lignes vty. Utilisez la commande line vty 0 15 pour accéder à l invite appropriée. Tapez la commande exit pour retourner à l invite de configuration globale. line console 0 Comm1(config-line)#password cisco Comm1(config-line)#login Comm1(config-line)#line vty 0 15 Comm1(config-line)#password cisco Comm1(config-line)#login Comm1(config-line)#exit Étape 5 : configuration du chiffrement de mot de passe Le mot de passe du mode privilégié est déjà chiffré. Pour chiffrer les mots de passe de ligne que vous venez de configurer, entrez la commande service password-encryption en mode de configuration globale. service password-encryption Étape 6 : configuration et test de la bannière MOTD Configurez le message du jour (MOTD) avec Authorized Access Only comme texte. Le texte de la bannière tient compte des majuscules. Assurez-vous de ne pas ajouter d espaces avant ou après ce texte. Utilisez un séparateur avant et après le texte de la bannière pour en spécifier le début et la fin. Le séparateur & est utilisé dans l exemple suivant. Ceci dit, vous pouvez utiliser tout autre caractère à condition qu il ne figure pas dans le texte de la bannière. Après la configuration du MOTD, déconnectezvous du commutateur pour vérifier l affichage de la bannière à votre reconnexion. banner motd &Authorized Access Only& end [or exit] Comm1#exit Comm1 con0 is now available Press RETURN to get started. [Entrée] Authorized Access Only User Access Verification Password: L invite exige désormais un mot de passe pour passer en mode d exécution utilisateur. Entrez le mot de passe cisco. Passez en mode d exécution privilégié en utilisant le mot de passe class et retournez au mode de configuration globale à l aide de la commande configure terminal. Password: [cisco]!remarque : le mot de passe ne s affiche pas à la frappe. Comm1>enable Copyright sur l'intégralité du contenu 1992 2007 Cisco Systems, Inc. Page 3 sur 7

Password: [class]!remarque : le mot de passe ne s affiche pas à la frappe. Comm1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Étape 7 : vérification des résultats Votre taux de réalisation doit être de 40 %. Si tel n est pas le cas, cliquez sur Check Results pour vérifier quels composants obligatoires n ont pas encore été terminés. Tâche 2 : configuration de la sécurité du port dynamique Étape 1 : activation de VLAN99 Packet Tracer s ouvre avec l interface VLAN 99 désactivée. Cet état ne correspond pas au fonctionnement réel d un commutateur. Vous devez activer VLAN 99 avec la commande no shutdown avant que l interface ne soit activée dans Packet Tracer. interface vlan 99 Comm1(config-if)#no shutdown Étape 2 : passage au mode de configuration d interface pour FastEthernet 0/18 et activation de la sécurité du port Avant de configurer toute autre commande de sécurité du port sur l interface, vous devez activer la sécurité du port. Comm1(config-if)#interface fa0/18 Comm1(config-if)#switchport port-security Sachez que retourner au mode de configuration globale avant de passer au mode de configuration d interface pour fa0/18 n est pas une nécessité. Étape 3 : configuration du nombre maximum d adresses MAC Pour configurer le port afin d apprendre une seule adresse MAC, définissez maximum sur 1 : Comm1(config-if)#switchport port-security maximum 1 Remarque : PT n évalue pas la commande switchport port-security maximum 1. Ceci dit, cette commande est essentielle pour configurer la sécurité du port. Étape 4 : configuration du port pour ajouter l adresse MAC à la configuration en cours Vous pouvez ajouter l adresse MAC apprise sur le port à la configuration en cours de ce dernier. Comm1(config-if)#switchport port-security mac-address sticky Remarque : PT n évalue pas la commande switchport port-security mac-address sticky. Ceci dit, cette commande est essentielle pour configurer la sécurité du port. Étape 5 : configuration du port pour un arrêt automatique si sa sécurité est compromise Si vous ne configurez pas la commande suivante, le commutateur Comm1 enregistre uniquement la violation dans les statistiques de sécurité sans pour autant l arrêter. Comm1(config-if)#switchport port-security violation shutdown Remarque : PT n évalue pas la commande switchport port-security violation shutdown. Ceci dit, cette commande est essentielle pour configurer la sécurité du port. Copyright sur l'intégralité du contenu 1992 2007 Cisco Systems, Inc. Page 4 sur 7

Étape 6 : confirmation de l apprentissage par le commutateur Comm1 de l adresse MAC pour PC1 Envoyez une requête ping au commutateur Comm1 depuis PC1. Confirmez que le commutateur Comm1 a désormais une entrée d adresse MAC statique pour PC1 dans la table MAC : Comm1#show mac-address-table Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- 99 0060.5c5b.cd23 STATIC Fa0/18 L adresse MAC est désormais ajoutée à la configuration en cours. Comm1#show running-config <résultat omis> interface FastEthernet0/18 switchport access vlan 99 switchport mode access switchport port-security switchport port-security mac-address sticky switchport port-security mac-address sticky 0060.5C5B.CD23 <résultat omis> Comm1# Étape 7 : vérification des résultats Votre taux de réalisation doit être de 70 %. Si tel n est pas le cas, cliquez sur Check Results pour vérifier quels composants obligatoires n ont pas encore été terminés. Tâche 3 : test de la sécurité du port dynamique Étape 1 : déconnexion entre PC1 et le commutateur Comm1 et connexion de PC2 au commutateur Comm1 Pour tester la sécurité du port, supprimez la connexion Ethernet entre PC 1 et le commutateur Comm1. Si vous déconnectez les câbles de console par mégarde, il vous suffit de les reconnecter. Connectez PC2 à Fa0/18 sur le commutateur Comm1. Attendez que le voyant de liaison orange passe au vert, puis envoyez la requête ping au commutateur Comm1 depuis PC1. Le port doit s arrêter automatiquement. Étape 2 : vérification du rôle du problème de sécurité du port dans son arrêt Pour vérifier que le port a effectivement été arrêté pour des raisons de sécurité, entrez la commande show interface fa0/18. Comm1#show interface fa0/18 FastEthernet0/18 is down, line protocol is down (err-disabled) Hardware is Lance, address is 0090.213e.5712 (bia 0090.213e.5712) <résultat omis> Copyright sur l'intégralité du contenu 1992 2007 Cisco Systems, Inc. Page 5 sur 7

Le protocole de ligne est désactivé à cause d une erreur (err) liée à l acceptation d une trame avec une adresse MAC différente de l adresse MAC apprise. Cette erreur explique pourquoi le logiciel Cisco IOS a arrêté le port (disabled). Vous pouvez également contrôler si la sécurité a été compromise à l aide de la commande show portsecurity interface fa0/18. Comm1#show port-security interface fa0/18 Port Security : Enabled Port Status : Secure-shutdown Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1 Total MAC Addresses : 1 Configured MAC Addresses : 1 Sticky MAC Addresses : 0 Last Source Address:Vlan : 00E0.F7B0.086E:99 Security Violation Count : 1 Remarquez que l état du port est secure-shutdown et que le nombre de violations de sécurité est 1. Étape 3 : restauration de la connexion entre PC1 et le commutateur Comm1 et réinitialisation de la sécurité du port Procédez à une déconnexion entre PC2 et le commutateur Comm1. Reconnectez PC1 au port Fa0/18 sur le commutateur Comm1. Remarquez que le port est toujours désactivé bien que vous ayez reconnecté l ordinateur autorisé sur le port. Vous devez réactiver manuellement un port désactivé suite à une violation de sécurité. Arrêtez le port puis réactivez-le à l aide de la commande no shutdown. Comm1#config t Enter configuration commands, one per line. End with CNTL/Z. interface fa0/18 Comm1(config-if)#shutdown %LINK-5-CHANGED: Interface FastEthernet0/18, changed state to administratively down Comm1(config-if)#no shutdown %LINK-5-CHANGED: Interface FastEthernet0/18, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/18, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan99, changed state to up Comm1(config-if)#exit Étape 4 : test de la connectivité en envoyant une requête ping au commutateur Comm1 depuis PC1 La requête ping au commutateur Comm1 depuis PC1 doit aboutir. À la fin de cette tâche, votre taux de réalisation reste à 70 %. Tâche 4 : sécurisation des ports inutilisés La désactivation de tous les ports inutilisés sur un commutateur de réseau est une méthode simple que de nombreux administrateurs choisissent pour protéger leur réseau contre tout accès non autorisé. Copyright sur l'intégralité du contenu 1992 2007 Cisco Systems, Inc. Page 6 sur 7

Étape 1 : désactivation de l interface Fa0/17 sur le commutateur Comm1 Passez en mode de configuration d interface pour FastEthernet 0/17 et arrêtez le port. interface fa0/17 Comm1(config-if)#shutdown Étape 2 : test du port en connectant PC2 à Fa0/17 sur le commutateur Comm1 Connectez PC2 à l interface Fa0/17 sur le commutateur Comm1. Remarquez que les voyants de liaison sont rouges. PC2 ne peut pas accéder au réseau. Étape 3 : vérification des résultats Votre taux de réalisation doit être de 100 %. Si tel n est pas le cas, cliquez sur Check Results pour vérifier quels composants obligatoires n ont pas encore été terminés. Copyright sur l'intégralité du contenu 1992 2007 Cisco Systems, Inc. Page 7 sur 7

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back