BEN SAID Loan DA COSTA Alexandre MAKAMBO Andy-Joyce LP MRIT RTHD. Compte-rendu du TP d'architecture Réseau et Sécurité

Documents pareils
Configuration du matériel Cisco. Florian Duraffourg

IUT d Angers License Sari Module FTA3. Compte Rendu. «Firewall et sécurité d un réseau d entreprise» Par. Sylvain Lecomte

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

Exercice Packet Tracer : Configuration de base des réseaux locaux virtuels

La qualité de service (QoS)

TP Réseau 1A DHCP Réseau routé simple

Configuration des VLAN

Les Virtual LAN. F. Nolot. Master 1 STIC-Informatique 1

TCP/IP, NAT/PAT et Firewall

! "# Exposé de «Nouvelles Technologies Réseaux»

Exercice Packet Tracer : configuration de réseaux locaux virtuels et d agrégations

Les réseaux /24 et x0.0/29 sont considérés comme publics

Routage Statique. Protocoles de Routage et Concepts. Version Cisco Systems, Inc. All rights reserved. Cisco Public 1

mbssid sur AP Wifi Cisco

DIFF AVANCÉE. Samy.

VLAN Trunking Protocol. F. Nolot

TP réseau Les réseaux virtuels (VLAN) Le but de se TP est de segmenter le réseau d'une petite entreprise dont le câblage est figé à l'aide de VLAN.

Mission 2 : Prise de contrôle à distance sur les éléments d'infrastructures, les serveurs (Contrôleur de domaine et DHCP) et les clients

Procédure Configuration Borne Wifi. Attribution d'une adresse IP

Réseau : Interconnexion de réseaux, routage et application de règles de filtrage.

Configuration des routes statiques, routes flottantes et leur distribution.

UFR de Mathématiques et Informatique Année 2009/2010. Réseaux Locaux TP 04 : ICMP, ARP, IP

Téléphonie Cisco. - CME Manager Express = Logiciel dans un routeur, version simplifiée du call manager.

Programme formation pfsense Mars 2011 Cript Bretagne

Réseaux Locaux Virtuels

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

Date : 08/02/12 SISR1 tp.topologie.reseau.wan Durée : 2 h

Cisco Certified Network Associate Version 4

TD 2 Chapitre 4 : Support des Services et Serveurs. Objectifs : Maîtriser l'exploitation des tables de routage dynamique.

LES RESEAUX VIRTUELS VLAN

WGW PBX. Guide de démarrage rapide

Introduction. Adresses

Contenu. Cocher : Network Policy and Access Services > Next > Next. Cocher : Network Policy Server > Next > Install

Les Virtual LAN. F. Nolot 2008

DSCG : UE5 - Management des Systèmes d'information CARTE HEURISTIQUE...1 ARCHITECTURE PHYSIQUE...2

SYSTEME DE GESTION DES ENERGIES EWTS EMBEDDED WIRELESS TELEMETRY SYSTEM

I. Adresse IP et nom DNS

RESEAUX MISE EN ŒUVRE

Le Multicast. A Guyancourt le

Master d'informatique 1ère année. Réseaux et protocoles. Architecture : les bases

Travaux pratiques : configuration des routes statiques et par défaut IPv6

Travaux Pratiques Introduction aux réseaux IP

Mise en service d un routeur cisco

Les réseaux de campus. F. Nolot

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

Les ACL Cisco. F. Nolot Master 2 Professionnel STIC-Informatique 1

Date : NOM Prénom : TP n /5 DISTANT : CONCEPTS ET DIFFÉRENCES

Configurer le Serveur avec une adresse IP Statique (INTERFACE :FastEthernet) : et un masque

Modélisation Hiérarchique du Réseau. F. Nolot

2. DIFFÉRENTS TYPES DE RÉSEAUX

SUJET DES FINALES NATIONALES Sujet jour 1 version 1

Le protocole VTP. F. Nolot 2007

Mise en place d'un Réseau Privé Virtuel

TP réseaux Translation d adresse, firewalls, zonage

Dispositif sur budget fédéral

Capture, Filtrage et Analyse de trames ETHERNET avec le logiciel Wireshark. Etape 1 : Lancement des machines virtuelles VMWARE et de Wireshark

Travaux pratiques : configuration et vérification des listes de contrôle d'accès IPv6 Topologie

acpro SEN TR firewall IPTABLES

Dossier de réalisation d'un serveur DHCP et d'un Agent-Relais SOMMAIRE. I. Principe de fonctionnement du DHCP et d'un Agent-Relais

Documentation : Réseau

Travaux pratiques : dépannage de la configuration et du placement des listes de contrôle d'accès Topologie

LAB : Schéma. Compagnie C / /24 NETASQ

TP Déploiement de réseaux IP sous Linux et MS Windows sur une infrastructure virtualisée

Compte-rendu du TP n o 2

TP2 - Conguration réseau et commandes utiles. 1 Généralités. 2 Conguration de la machine. 2.1 Commande hostname

Présentation et portée du cours : CCNA Exploration v4.0

ASR4 Réseaux Département Informatique, IUT Bordeaux 1. DHCP Prénom : Nom : Groupe :

MAUREY SIMON PICARD FABIEN LP SARI

TP c Fonctions des listes de contrôle d'accès multiples (TP avancé)

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Segmentation des flux d un réseau local (VLAN) avec mise en place de liens d agrégations et implémentation du spanning tree

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

Packet Tracer : configuration des listes de contrôle d'accès étendues, scénario 1

Rapport projet SIR 28/06/2003

Installer une caméra de surveillance

INTRUSION SUR INTERNET

Réseau - VirtualBox. Sommaire

TP : STATION BLANI 2000 SIMULATION DU RESEAU INFORMATIQUE

1. Warm up Activity: Single Node

Windows sur Kimsufi avec ESXi

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Présentation et portée du cours : CCNA Exploration v4.0

Administration de Réseaux d Entreprises

Travaux pratiques Configuration d une carte réseau pour qu elle utilise DHCP dans Windows Vista

Administration Switch (HP et autres)

Application Note. WeOS Création de réseaux et de réseaux virtuels VLAN

Direct IP- Guide Utilisateur LAN ou WebCon. Espace Configuration Réseau Local (LAN) Ou «WebConf» Guide Utilisateur Final

Projet PacketTracer en Labo, et Authentification Wi-Fi Serveur RADUIS (NPS)

Charte d installation des réseaux sans-fils à l INSA de Lyon

L annuaire et le Service DNS

TP Configuration de l'authentification OSPF

AGREGATION DE LIENS ENTRE UNE APPLIANCE FAST360 ET UN COMMUTATEUR. Table des matières PRINCIPES DE L'AGREGATION DE LIENS... 2

Le routeur de la Freebox explications et configuration

Chapitre I. La couche réseau. 1. Couche réseau 1. Historique de l Internet

KASPERSKY DDOS PROTECTION. Découvrez comment Kaspersky Lab défend les entreprises contre les attaques DDoS

Cisco Network Admission Control

ProCurve Manager Plus 2.2

Procédure pas à pas de découverte de l offre. Service Cloud Cloudwatt

Transcription:

BEN SAID Loan DA COSTA Alexandre MAKAMBO Andy-Joyce LP MRIT RTHD Compte-rendu du TP d'architecture Réseau et Sécurité Année universitaire : 2016-2017

Module LAN I. Architecture réseau du LAN de la société WGtélécoms sur Vélizy Nous allons travailler sur une architecture similaire à celle du schéma présent ci-dessous : BEN SAID, DA COSTA et MAKAMBO 2 TP d'architecture Réseau et Sécurité

II. VLAN et STP 2. Configuration de S1 : Déclaration des VLANs, VLAN par port, mode STP et fonction portfast On cherche ici à configurer le commutateur Cisco 2960. Il faut configurer les différents VLANs et VLANs par port ainsi qu'activer le protocole STP pour supprimer les boucles. On crée l'ensemble des VLANs grâce aux commandes ci-dessous : vlan 10 name data vlan 20 name voix vlan 30 name SSIDinvite vlan 40 name SSIDprive vlan 50 name management Il faut ensuite attribuer à chaque port du switch un numéro de VLAN. Cela se fait par l'intermédiaire des commandes suivantes : interface fa0/1 switchport mode access switchport access vlan 10 no shutdown Pour les interfaces du switch où sont branchés à la fois un téléphone IP et un PC, il faut bien préciser que le lien est un lien d'accès mais qu'il doit aussi laisser passer les trames Ethernet tagguées avec le vlan voix (20) : interface range fa0/11-15 switchport mode access switchport access vlan 10 switchport voice vlan 20 no shutdown On effectue un show vlan brief sur S1 pour vérifier que les VLANs ont été créés et nommés BEN SAID, DA COSTA et MAKAMBO 3 TP d'architecture Réseau et Sécurité

correctement et que chaque port physique a été attribué au bon VLAN : Suite à cette vérification, il faut activer le mode STP sur S1 à l'aide de la commande : Pour activer la fonction portfast sur les interfaces où sont branchés les hôtes (PC ou téléphone), il suffit de taper pour l'interface fa0/1 par exemple : interface fa0/1 spanning-tree porfast On configure ensuite le lien entre S1 et SR1 comme un lien trunk en tapant sur S1 les commandes suivantes : interface G0/1 switchport mode trunk switchport trunk allowed vlan 10,20,30,40,50 no shutdown Il faut taper les mêmes commandes pour l'interface G0/2 qui va vers SR2. 3. Configuration de SR1 et SR2 : Déclaration des VLANs, VLAN par port, mode STP et priorité du BID STP et adressage IP des interfaces VLANs La création des VLANs se réalise via les mêmes commandes que nous avons utilisées auparavant pour S1. On active le protocole 802.1q sur les interfaces fa0/1 et fa0/7 de SR1 et SR2 : switchport trunk encapsulation dot1q On configure les 2 interfaces comme des liens trunk en autorisant l'accès des trames taguées 10, 20, 30, 40 et 50 : BEN SAID, DA COSTA et MAKAMBO 4 TP d'architecture Réseau et Sécurité

switchport mode trunk switchport trunk allowed vlan 10,20,30,40,50 Pour activer le mode STP sur SR1 et SR2, on tape la même commande que celle utilisée sur le commutateur d'accès Cisco. On considère pour : SR1 comme pont racine (root primary) et SR2 comme pont racine secondaire (root secondary) pour le VLAN 10 SR2 comme pont racine et SR1 comme pont racine secondaire pour le VLAN 20 Pour mettre en œuvre ce qui est dit ci-haut, il faut tape les commandes suivantes sur SR1 : spanning-tree vlan 10 root primary spanning-tree vlan 20 root secondary Et sur SR2 : spanning-tree vlan 20 root primary spanning-tree vlan 10 root secondary Ensuite, il faut activer la fonction de routage sur SR1 et SR2 car ceux sont des commutateurs L3. La commande suivante est à taper sur ces derniers : ip routing Suite à cela, il faut attribuer à chaque VLAN une adresse IP. Pour le moment, on n'utilise pas les VLANs 30,40 et 50 donc on ne leur donne pas d'adresses IP. On configure les adresses IP des VLANs 10 et 20 avec les commandes suivantes : Pour SR1 : int Vlan10 ip address 192.168.10.253 255.255.255.0 no shutdown int Vlan20 ip address 192.168.20.253 255.255.255.0 no shutdown Pour SR2 : int Vlan10 ip address 192.168.10.252 255.255.255.0 no shutdown int Vlan20 BEN SAID, DA COSTA et MAKAMBO 5 TP d'architecture Réseau et Sécurité

ip address 192.168.20.252 255.255.255.0 no shutdown 4. Schéma simple de l'infrastructure On a décidé de donner au : PC 1 l'adresse IP 192.168.10.10 et la passerelle par défaut 192.168.10.253 PC 2 l'adresse IP 192.168.10.20 et la passerelle par défaut 192.168.10.253 Téléphone IP l'adresse IP 192.168.20.30 et la passerelle par défaut 192.168.20.252 Selon les tests, on configure le téléphone pour qu'il puisse tagguer les trames VLAN 20 sur les liens hybrides et pas tagguer les trames sur les liens d'accès. 5. Proposition d'une série de test pour vérifier le bon fonctionnement des VLANs Les différents tests que nous proposons sont les suivants : 1) ping du PC1 branché sur fa0/1 de S1 (VLAN 10) vers le PC2 branché sur fa0/2 de S1 (VLAN 10) 2) ping du PC1 branché sur fa0/1 de S1 (VLAN 10) vers sa passerelle SR1 (VLAN 10) 3) ping du PC1 branché sur fa0/1 de S1 (VLAN 10) vers SR2 (VLAN 10) 4) ping du PC1 branché sur fa0/1 de S1 (VLAN 10) vers SR1 (VLAN 20) 5) ping du PC1 branché sur fa0/1 de S1 (VLAN 10) vers SR2 (VLAN 20) 6) ping du PC1 branché sur fa0/1 de S1 (VLAN 10) vers le téléphone IP branché sur fa0/6 de S1 (VLAN 20) 7) ping du PC1 branché sur fa0/1 de S1 (VLAN 10) vers le téléphone IP branché sur fa0/11 de S1 (VLAN 20) 8) ping du PC1 branché sur fa0/1 de S1 (VLAN 10) vers PC2 (VLAN 10) branché sur le téléphone IP (VLAN 20) lui même branché sur fa0/11 de S1 Les 8 tests sont sensés fonctionner si la configuration est bonne. 6. Analyse du ping de PC1 vers PC2 Nous cherchons ici à vérifier le fonctionnement de la communication entre PC1 et PC2, les 2 machines étant branchés respectivement sur les ports fa0/1 et fa0/2 de S1 et font donc parti du même VLAN (VLAN 10) : BEN SAID, DA COSTA et MAKAMBO 6 TP d'architecture Réseau et Sécurité

Le ping a abouti. C'était le résultat logique et attendu. Dans ce scénario, le paquet ICMP ECHO envoyé par PC1 à destination de PC2 est reçu par S1 sur son port fa0/1 et le renvoie sur le port fa0/2 sur lequel est branché PC2. La trame n'est pas tagguée (dans la mesure où les 2 Pcs font partie du même vlan. De plus, les PC par défaut ne tagguent pas les trames). La trame est donc NT. 7. et 8. Analyse du ping de PC1 vers le téléphone IP On ajoute ensuite à l'architecture un téléphone IP sur le port fa0/6 de S1. Le téléphone appartient donc au VLAN 20. Comme nous pouvons le constater ci-dessous, le ping de PC1 vers le téléphone IP a abouti. Ce résultat était attendu. 9. Analyse du paquet ICMP ECHO On veut ici connaitre quelle est l'adresse MAC destination du paquet ICMP ECHO transmis et à quelle interface celle-ci correspond. On lance donc une capture Wireshark directement sur la BEN SAID, DA COSTA et MAKAMBO 7 TP d'architecture Réseau et Sécurité

machine concernée (ici PC1) et on regarde dans la couche 2 (Ethernet II) du paquet ICMP l'adresse MAC destination renseignée : Pour savoir à quelle interface correspond cette adresse MAC, on lance un arp -a dans le CMD de PC1 pour afficher la table ARP des adresses connues de PC1. On rappelle que la table ARP permet d'associer à une adresse IP son adresse MAC correspondante (et vice-versa). L'adresse MAC destination recherchée est associée à l'adresse IP 192.168.10.253. On peut donc conclure que l'adresse MAC destination du paquet ICMP ECHO est celle de la gateway de PC1 (G0/1 de SR1 qui est l'adresse du vlan 10). 10. Trajet du paquet ICMP ECHO BEN SAID, DA COSTA et MAKAMBO 8 TP d'architecture Réseau et Sécurité

Le paquet ICMP ECHO est transmis par PC1 vers S1 qui transmet ce paquet vers la passerelle de PC1 (interface VLAN 10 de SR1) qui se charge de router ce dernier à destination du téléphone IP. Le paquet transmis de PC1 à S1 n'est pas taggué car il s'agit ici d'un lien d'accès. En revanche, le paquet transitant dans le lien trunk entre S1 et SR1 est taggué. SR1 renvoie le paquet taggué à S1 qui se charge d'enlever le tag avant de rediriger la trame vers le téléphone. 11. Analyse du paquet ICMP REPLY Le paquet ICMP Reply est transmis par le téléphone IP vers S1 qui transmet ce paquet vers la gateway ( interface vlan 20 de SR2) qui se charge de router ce dernier à destination de PC1. Le paquet transmis du téléphone IP à S1 n'est pas taggué (lien d'accès). En revanche, le paquet transmis par S1 vers SR2 est taggué (lien trunk) ainsi que le paquet transitant de SR2 vers S1. S1 va détagguer la trame pour la transmettre au destinataire final (PC1). BEN SAID, DA COSTA et MAKAMBO 9 TP d'architecture Réseau et Sécurité

12. Analyse du paquet ICMP ECHO Cette fois-ci, le téléphone IP est branché sur le port fa0/11 qui est dans le VLAN 10. Un ping entre PC1 et le téléphone IP correspond donc à un ping entre 2 équipements appartenent au même vlan. Le paquet ICMP ECHO va donc être transmis à S1 qui va directement le transmettre au téléphone IP. 13. et 14. Ping continu du PC1 vers le téléphone IP sur le lien hybride Le schéma de l'architecture du réseau a été pensé de sorte à utiliser des commutateurs ne contenant que des interfaces Fast Ethernet. Ayant utilisé des interfaces Gigabit Ethernet, STP n'a pas désactivé les liens souhaités à cause du faible coût des interfaces Giga, nous avons donc dû changer le coût de l'interface Giga0/2 de SR2. La commande pour modifier le côut de l'interface G0/2 est la suivante (exemple) : BEN SAID, DA COSTA et MAKAMBO 10 TP d'architecture Réseau et Sécurité

int G0/2 spanning-tree cost 50 Après cela, nous avons effectué une suite continue de pings entre PC1 et SR2 et nous avons désactivé le lien trunk entre S1 et SR1. Nous avons constaté que les pings étaient "bloqués" et que cela a pris approximativement 40 secondes afin que ces derniers aboutissent. 15. Ponts racines (VLAN 10 et VLAN 20) Les ponts de Backup prennent alors le relai. Le pont racine pour le VLAN 10 est maintenant SR2 et celui pour le VLAN 20 est donc SR1. 16. Analyse du ping continu en mode RPVST+ Lorsque l'on passe en mode RPVST+ et que l'on effectue le même test, on ne doit attendre que 5 secondes environ. Ce mode est beaucoup plus rapide. III. Ajout du commutateur HP procurve 1. Configuration S2 : Création des VLANs et attribution des ports aux VLANs Ce second commutateur d'accès est de la marque HP. Pour configurer ce dernier, il faut exécuter les commandes suivantes : Suite à cela, il ne faut pas oublier d'activer les interfaces que l'on va utiliser. Voici la commande pour effectuer cette activation pour l'interface 1 par exemple : int 1 enable BEN SAID, DA COSTA et MAKAMBO 11 TP d'architecture Réseau et Sécurité

3. Vérification de la connectivité Les 8 tests que nous avons cités à la question II.5. doivent fonctionner. Mais dans notre cas, le commutateur est trop ancien. Il possède une instance STP pour tous les VLANs. Le ping entre 2 PCs du même VLAN fonctionne logiquement. Le ping entre le PC1 et le téléphone IP ne fonctionne pas sur fa0/6 comme sur fa0/11. IV. Sécurisation de l'accès à distance aux commutateurs L'objectif ici est de configurer un tunnel SSH sur le commutateur S1. Pour ce faire, il faut : 1. Configurer un nom de domaine 2. Créer un utilisateur ayant les privilèges pour utiliser SSH 3. Ne permettre seulement qu'aux utilisateurs ayant un level 15 de pouvoir se connecter en SSH BEN SAID, DA COSTA et MAKAMBO 12 TP d'architecture Réseau et Sécurité

4. Effacer la paire de clé sur le commutateur: 5. Générer la paire de clé RSA de taille 1024 bits 6. Acronyme RSA L'acronyme RSA vient des initiales de chacun des 3 inventeurs de cette méthode de chiffrement ( R pour Rivest, S pour Shamir et A pour Aldeman). RSA est un algorithme de chiffrement asymétrique. Le chiffrement de la communication est réalisé avec un algorithme de chiffrement symétrique. 8. Vérification du protocole SSH En tapant la commande show ip ssh, on peut savoir que : La version SSH active est la 1.99 Le délai d'utilisation de la connexion après authentification est de 2 minutes (120s) Le nombre maximal de tentatives de connexion est de 3 9. Modification du délai d'utilisation de la connexion SSH et limitation à 2 tentatives On veut changer le délai d'utilisation de la connexion après authentification en le passant à 90 secondes et limiter à 2 le nombre maximal de tentatives de connexions : 10. Sauvegarde de la configuration courante Pour la sauvegarde, il suffit de taper la commande suivante : copy running-config startup-config BEN SAID, DA COSTA et MAKAMBO 13 TP d'architecture Réseau et Sécurité

On doit affecter une adresse IP à l'interface vlan50. On lui attribue l'adresse 192.168.50.10 On doit aussi brancher son PC sur une interface appartenant au VLAN50 (interface fa0/16 par exemple) en veillant à changer son adresse IP afin d'être sur le même réseau que l'interface VLAN50 (192.168.50.11 dans notre cas). On doit activer l'interface fa0/16 en l'attribuant au VLAN 50 : On se connecte ensuite en SSH à S1 via le terminal KiTTY Comme prévu, le terminal nous demande de nous authentifier avec le login et mot de passe configurés plus tôt sur S1. L'accès à S1 en SSH est donc vérifié. V. Sécurité des ports d'accès Le fait de limiter le nombre d'accès d'adresses MAC apprises sur un port permet d'ajouter un degré de sécurité au réseau. En effet, si un "pirate" souhaite accéder au réseau en se branchant sur un port du switch, ce dernier ne reconnaitra pas l'adresse MAC du pirate et va donc bloquer l'accès au réseau au pirate. BEN SAID, DA COSTA et MAKAMBO 14 TP d'architecture Réseau et Sécurité

1. Limitation du nombre d'adresse MAC sur un port Pour éviter que n'importe qui puisse se brancher sur un switch, il est possible de limiter le nombre d'adresse MAC qui seront apprises dynamiquement par le commutateur. On limitera donc comme il nous est demandé, qu'un lien d'accès doit pouvoir apprendre 1 seule adresse MAC tandis qu'un lien trunk doit pouvoir en apprendre 2. Voici la commande à réaliser dans une interface : switchport port-security maximum 1 (pour un lien d'accès) switchport port-security maximum 2 (pour un lien trunk) 2. Attaque sur le protocole STP Nous allons utiliser une VM Kali Linux pour effectuer cette attaque. Le logiciel Yesrinia va nous permettre de créer une attaque DOS nommée "Sending Conf BPDU" et la commande show proc cpu permet de vérifier la charge CPU d'un commutateur. BEN SAID, DA COSTA et MAKAMBO 15 TP d'architecture Réseau et Sécurité

Avant le lancement de l'attaque avec Kali Linux, nous avons pu voir que la charge CPU était de 4% Pendant l'attaque DOS, nous avons vérifier la charge CPU, comme le montre la capture ci-dessous : Les commutateurs sont tellement performant que l'on ne remarque même pas qu'il y a une attaque. Cette attaque peut ralentir un réseau si les commutateurs sont moins puissants. BEN SAID, DA COSTA et MAKAMBO 16 TP d'architecture Réseau et Sécurité

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back