Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014



Documents pareils
TP réseau Les réseaux virtuels (VLAN) Le but de se TP est de segmenter le réseau d'une petite entreprise dont le câblage est figé à l'aide de VLAN.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Les ACL Cisco. F. Nolot Master 2 Professionnel STIC-Informatique 1

Packet Tracer : configuration des listes de contrôle d'accès étendues, scénario 1

Les Virtual LAN. F. Nolot. Master 1 STIC-Informatique 1

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

La qualité de service (QoS)

Les réseaux /24 et x0.0/29 sont considérés comme publics

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

Travaux pratiques : dépannage de la configuration et du placement des listes de contrôle d'accès Topologie

Configuration du matériel Cisco. Florian Duraffourg

Les Virtual LAN. F. Nolot 2008

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

LES RESEAUX VIRTUELS VLAN

Sécurité et Firewall

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

Exercice Packet Tracer : Configuration de base des réseaux locaux virtuels

Plan. Programmation Internet Cours 3. Organismes de standardisation

Filtrage IP MacOS X, Windows NT/2000/XP et Unix

GENERALITES. COURS TCP/IP Niveau 1

mbssid sur AP Wifi Cisco

Sécurité des réseaux Firewalls

TCP/IP, NAT/PAT et Firewall

Introduction. Adresses

Administration des ressources informatiques

Mise en service d un routeur cisco

Réseaux Locaux Virtuels

Administration réseau Firewall

Programme formation pfsense Mars 2011 Cript Bretagne

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

DIFF AVANCÉE. Samy.

Proxy Proxy = passerelle applicative Exemple: proxy/cache FTP, proxy/cache HTTP. Conclusion. Plan. Couche réseau Filtres de paquets (routeur)

VLAN Trunking Protocol. F. Nolot

Cisco Certified Network Associate

Documentation : Réseau

Configuration des VLAN

comment paramétrer une connexion ADSL sur un modemrouteur

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

Le protocole VTP. F. Nolot 2007

Fonctionnement du protocole DHCP. Protocole DHCP (S4/C7)

Rappels réseaux TCP/IP

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

Réseaux Locaux. Objectif du module. Plan du Cours #3. Réseaux Informatiques. Acquérir un... Réseaux Informatiques. Savoir.

Configurer le Serveur avec une adresse IP Statique (INTERFACE :FastEthernet) : et un masque

Travaux pratiques : configuration et vérification des listes de contrôle d'accès IPv6 Topologie

TR2 : Technologies de l'internet. Chapitre VII. Serveur DHCP Bootp Protocole, Bail Relais DHCP

Chapitre I. La couche réseau. 1. Couche réseau 1. Historique de l Internet

Présentation et portée du cours : CCNA Exploration v4.0

Figure 1a. Réseau intranet avec pare feu et NAT.

Présentation du modèle OSI(Open Systems Interconnection)

RESEAUX TCP/IP: NOTIONS AVANCEES. Preparé par Alberto EscuderoPascual

SYSTEME DE GESTION DES ENERGIES EWTS EMBEDDED WIRELESS TELEMETRY SYSTEM

Capture, Filtrage et Analyse de trames ETHERNET avec le logiciel Wireshark. Etape 1 : Lancement des machines virtuelles VMWARE et de Wireshark

DHCP et NAT. Cyril Rabat Master 2 ASR - Info Architecture des réseaux d entreprise

L3 informatique Réseaux : Configuration d une interface réseau

UFR de Mathématiques et Informatique Année 2009/2010. Réseaux Locaux TP 04 : ICMP, ARP, IP

Devoir Surveillé de Sécurité des Réseaux

Mise en place des réseaux LAN interconnectés en

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage:

SECURITE. Figure 1. Incident réseau, source CERT. Nombre. Sécurité

VLAN Virtual LAN. Introduction. II) Le VLAN. 2.1) Les VLAN de niveau 1 (Port-based VLAN)

TP : STATION BLANI 2000 SIMULATION DU RESEAU INFORMATIQUE

TP réseaux Translation d adresse, firewalls, zonage

DSCG : UE5 - Management des Systèmes d'information CARTE HEURISTIQUE...1 ARCHITECTURE PHYSIQUE...2

Les logos et marques cités dans ce document sont la propriété de leurs auteurs respectifs

acpro SEN TR firewall IPTABLES

Le filtrage de niveau IP

Réseaux TP4 Voix sur IP et Qualité de service. Partie 1. Mise en place du réseau et vérification de la connectivité

FILTRAGE de PAQUETS NetFilter

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

Le Multicast. A Guyancourt le

VOIP. QoS SIP TOPOLOGIE DU RÉSEAU

DHCP. Dynamic Host Configuration Protocol

Mise en place d un cluster NLB (v1.12)

Culture informatique. Cours n 9 : Les réseaux informatiques (suite)

Table des matières Nouveau Plan d adressage... 3

Exercice Packet Tracer : configuration de réseaux locaux virtuels et d agrégations

Algorithmique et langages du Web

TP4 : Firewall IPTABLES

SUJET DES FINALES NATIONALES Sujet jour 1 version 1

Les firewalls libres : netfilter, IP Filter et Packet Filter

Ces deux machines virtuelles seront installées sous VMWARE WORKSTATION.

INTRUSION SUR INTERNET

Réseau : Interconnexion de réseaux, routage et application de règles de filtrage.

Présentation et portée du cours : CCNA Exploration v4.0

Chap.9: SNMP: Simple Network Management Protocol

Mission 2 : Prise de contrôle à distance sur les éléments d'infrastructures, les serveurs (Contrôleur de domaine et DHCP) et les clients

Ch2 La modélisation théorique du réseau : OSI Dernière maj : jeudi 12 juillet 2007

Protocoles IP (2/2) M. Berthet. Les illustrations sont tirées de l ouvrage de Guy Pujolle, Cours réseaux et Télécom Contributions : S Lohier

MISE EN PLACE DU FIREWALL SHOREWALL

Travaux pratiques Configuration d une carte réseau pour qu elle utilise DHCP dans Windows Vista

DIGITAL NETWORK. Le Idle Host Scan

Cisco Certified Network Associate

Réseaux M2 CCI SIRR. Introduction / Généralités

Chapitre 6 -TP : Support Réseau des Accès Utilisateurs

Tout sur les Réseaux et Internet

Transcription:

École Supérieure d Économie Électronique Chap 9: Composants et systèmes de sécurité 1 Rhouma Rhouma 21 Juillet 2014 2 tagging et port trunk Création des via les commandes sur switch cisco 1 / 48 2 / 48 1 1 2 tagging et port trunk Création des via les commandes sur switch cisco 2 tagging et port trunk Création des via les commandes sur switch cisco 3 / 48 4 / 48

Principe du filtrage des paquets Le filtrage se fait en analysant les entetes IP, TCP et UDP on définit une règle de filtrage en considérant : @IP source @TP destination Port source Port destination Protocole encapsulé (ICMP, UDP, TCP,...) Flag ACK (de TCP) Type de message ICMP à chaque règle est associé une action : laisser passer le packet OU bloquer (détruire) le paquet 5 / 48 6 / 48 Exemple de règle de filtrage Types de filtrage Autoriser l extérieur à accéder au service Web sur le réseau périphérique Filtrage sans état : Stateless filtrage de chaque packet et le comparer avec une lite de règles préconfigurés (ACL) implémnté sur les routeurs et les systèmes d exploitation Filtrage à état : Statefull tracer les connexions et les sessions ds des tables d états internes au firewall décider en fonction des ététs des connexions l application des règles est possible sans lecture de ACL à chaque fois (les paquets d une connexion actives seront acceptés) Filtrage applicatif (firewall Proxy) réalisé au niveau de la couche application permet d extraire les données du protocole applicatif chaque protocole est filtré par un processus dédié 7 / 48 8 / 48

Processus de développement des filtres Processus de développement des filtres définitions des régles de filtrage utiliser le max des critères (@IP, port, ACK, etc) Pour chaque service interne et externe définir les règles pour autoriser les utilisateurs internes à accéder à des services externes définir les règles pour autoriser les utilisateurs externes à accéder à des serveurs ds le réseau interne Pour un service à autoriser accepter le flux dans les deux sens (client -> serveur et serveur -> client) Pour un service à bloquer il suffit de bloquer le flux du client->serveur Soit la politique de sécurité : Accepter HTTP en entrée et en sortie et rien d autre 9 / 48 10 / 48 Processus de développement des filtres Access Control List ACL une ACL doit etre associée à une interface du filtre routeur interface in : paquets entrants ds le routeur interface out : paquets sortant du routeur 11 / 48 12 / 48

ACL : Processus de controle des paquets ACL numbers un paquet est comparé aux regles de l ACL d une manière séquentielle Top-Down La comparaison s arrete dès qu un paquet vérifie l une des règles de l ACL l action (permit/deny) de la règle trouvée est appliquée au paquet les ACL se terminent par une regle "deny all" implicite pour rejeter tous les paquets qui ne vérifient aucune règle 13 / 48 14 / 48 Standard IP Access Lists (1-99) 1 2 tagging et port trunk Création des via les commandes sur switch cisco Filtrage en se basant sur l @ IP source uniquement se placent près de la destination syntaxe création de l ACL : Router(config)# access-list num-list {deny permit} source [wilcard mask][log] Associer l ACL à une interface du routeur : Router(config)# interface [port-du-routeur] Router(config-if)# ip access-group num-list {in/out} 15 / 48 16 / 48

Standard IP Access Lists (1-99) Standard IP Access Lists (1-99) Le champ source : A.B.C.D : @IP any : n importe quel hôte hôte particulier : hostname Le champ Wilcard mask : 32 bits Les bits 0 signifient que les ces positions de bits doivent etre vérifiés (match) Les bits 1 signifient que les ces positions de bits sont ignorés exemples : Router(config)# access-list 14 deny 192.168.16.0 0.0.0.255 (tous les hôtes) Router(config)# access-list 14 deny 192.168.16.0 0.0.0.127 (la 1ere moitié des hôtes) Router(config)# access-list 14 deny 192.168.16.128 0.0.0.127 (la 2eme moitié des hôtes) Exemple : Permettre l acheminement du trafic du réseau 192.168.1.0 vers Internet et vers le réseau 172.16.0.0. Router(config)# access-list 11 permit 192.168.1.0 0.0.0.255 Router(config)# int S0 Router(config-if)# ip access-group 11 out Router(config)# int E1 Router(config-if)# ip access-group 11 out 17 / 48 18 / 48 1 2 tagging et port trunk Création des via les commandes sur switch cisco Filtrage en se basant sur : @IP source et @IP destination Port source et port destination (filtrage par service) Type de protocole de transport Se placent près de la source Syntaxe : création de la liste d accès : Router(config)# access-list num-list-access {deny permit} protocol source [source-mask] destination [destination-mask] [operator operand] Associer la liste d accès à une interface du routeur filtre : Router(config)# interface [port-du-routeur] Router(config-if)# ip access-group num-list {in/out} 19 / 48 20 / 48

Le champ "protocol" Les champs "source" et "destination" Le champ "protocol" peut avoir plusieurs valeurs : Source : A.B.C.D : @IP source any : n importe quel station host : nom d une station particulière exemple : Router(config)# access-list 112 permit tcp 192.168.2.1... Destination : A.B.C.D : @IP destination any : n importe quel station host : nom d une station particulière exemple : Router(config)# access-list 112 permit tcp 192.168.2.1 any... Exemple : Router(config)# access-list 112 permit tcp... 21 / 48 22 / 48 Le champ "operator" Le champ "operand" Le champ "operand" peut prendre plusieurs valeurs : Le champ "operator" peut prendre plusieurs valeurs : Exemple : Router(config)# access-list 112 permit tcp 192.168.2.1 any eq... Exemple : Router(config)# access-list 112 permit tcp 192.168.2.1 any eq 25 23 / 48 24 / 48

Exemple Refuser l accès du réseau 221.23.123.0 au serveur FTP (TCP/21) 198.150.13.34 et permettre les autres services Extended ACL : placer la règle près de la source Écrire l ACL dans le routeur C et l appliquer à l interface E0 Router(config)# access-list 113 deny tcp 221.23.123.0 0.0.0.255 host 198.150.13.34 eq 21 Router(config)# access-list 113 permit ip 221.23.123.0 0.0.0.255 0.0.0.0 255.255.255.255 Router(config)# int E0 Router(config-if)# ip access-group 113 in 1 2 tagging et port trunk Création des via les commandes sur switch cisco 25 / 48 26 / 48 Définitions 1 2 tagging et port trunk Création des via les commandes sur switch cisco La technique des s (Virtual Local Area Network) permet de donner au réseau l architecture logique souhaitée par l administrateur, en le libérant de certaines contraintes physiques C est une technique de segmentation, qui participe donc à la sécurité Cependant, les protocoles utilisés ne sont pas spécialement conçus pour être «sécurisés» Il faut donc utiliser cette technique quand elle est vraiment utile, et maîtriser les conséquences sur la sécurité du réseau 27 / 48 28 / 48

exemple Les s doivent être utilisés pour : regrouper des postes selon un critère logique et non plus géographique gérer correctement la mobilité des postes contrôler la taille des domaines de broadcast Leur utilisation n est pas motivée par des raisons liées à la sécurité, mais à l architecture La conception d une architecture bien pensée, avec si besoin l utilisation des est le prérequis à une bonne gestion de la sécurité Trois domaines de broadcast dans les deux cas : à gauche : Sans : 1 routeur et 3 switchs à droite : avec : 1 routeur et 1 switch 29 / 48 30 / 48 Role du switch Le switch doit maintenir une table pour chaque (besoin de mémoire) L apprentissage des adresses MAC des machines se fait par Le routeur a une interface (ou sous-interface) dans chaque (passerelle pour ce ) Le routeur verra : les trames qui lui sont adressées (en tant que passerelle) les trames de broadcast Les s sont crées au niveau des ports des switchs pour qu une machine soit assigné à un, elle doit etre assignée une @IP qui appartienne au sous-réseau approprié du. =sous-réseau faire assigner une machine à un sur deux étapes : connecter la machine au port approprié du switch donner une @IP à la machine dépendant du sous-réseau du concerné 31 / 48 32 / 48

1 Deux s sur un switch interet : mettre deux réseaux IP différents sur le même switch 2 tagging et port trunk Création des via les commandes sur switch cisco 33 / 48 34 / 48 Deux s propagés sur deux switchs Interconnexion pas très pratique... A éviter absolument! Deux s propagés sur deux switchs avec lien en mode trunk (étiquetage des trames, 802.1q ou ISL) 35 / 48 36 / 48

Types de s tagging et port trunk 1 2 tagging et port trunk Création des via les commandes sur switch cisco 37 / 48 38 / 48 tagging (étiquetage) tagging et port trunk C est une modification de l en-tête de niveau 2, pour qu elle puisse porter la mention de l appartenance à un le tagging est utilisé lorsqu un lien est partagé par plusieurs s trunk link (liaison trunk) : lien entre deux switchs pour relier les stations des s le tagging ajoute une entête (ID ) au packet pour designer son appartenance à un le packet sera transféré en fonction du tag (ID ) une fois le packet est transféré au switch approprié, le tag sera enlevé du packet tagging et port trunk il y a deux méthodes pour le tagging : Inter-Switch Link (ISL) de Cisco et IEEE 802.1Q. ISL était le plus utilisé mais mnt remplacé par 802.1Q 39 / 48 40 / 48

Port trunk tagging et port trunk Trame ethernet 802.1Q tagging et port trunk On appelle «port en mode trunk» un port pour lequel l étiquetage des trames a été activé Ils sont utilisés entre deux switchs ou entre un routeur et un switch Ils peuvent être configurés pour transporter tous les s, ou une partie d entre eux seulement Ils n appartiennent à aucun, sauf dans le cas où un particulier a été prévu pour assurer une connectivité minimum au cas où l étiquetage serait défectueux Switch(config-if)#switchport mode trunk Switch(config-if)#switchport trunk encapsulation? dot1q : interface uses only 802.1q trunking encapsulation when trunking isl - interface uses only ISL trunking encapsulation when trunking TPID : type du tag, 0x8100 pour 802.1Q Priorité : niveaux de priorité définis par l IEEE 802.1P CFI : Ethernet ou token-ring VID : identifier, jusqu à 4096 vlans 41 / 48 42 / 48 Création des via les commandes sur switch cisco créer un Création des via les commandes sur switch cisco 1 2 tagging et port trunk Création des via les commandes sur switch cisco Assigner le port 9 au numero 10 : Switch(config)#interface fastethernet 0/9 Switch(config-if)#switchport access vlan 10 access : veut dire que ce port est un port d accès et non un port trunk 43 / 48 44 / 48

Création des via les commandes sur switch cisco Création des via les commandes sur switch cisco Switch(config)#interface fastethernet 0/5 Switch(config-if)#switchport access vlan 2 Switch(config-if)#exit Switch(config)#interface fastethernet 0/6 Switch(config-if)#switchport access vlan 2 Switch(config-if)#exit Switch(config)#interface fastethernet 0/7 Switch(config-if)#switchport access vlan 2 45 / 48 46 / 48 autrement Création des via les commandes sur switch cisco Montrer les s Création des via les commandes sur switch cisco Switch(config)#interface range fastethernet 0/8, fastethernet 0/12 Switch(config-if)#switchport access vlan 3 Switch(config-if)#exit 47 / 48 48 / 48

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back