Compte Rendu Module LAN Licence RTHD 2016

Documents pareils
Configuration des VLAN

Configuration du matériel Cisco. Florian Duraffourg

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

Mission 2 : Prise de contrôle à distance sur les éléments d'infrastructures, les serveurs (Contrôleur de domaine et DHCP) et les clients

Les Virtual LAN. F. Nolot. Master 1 STIC-Informatique 1

La qualité de service (QoS)

Réseaux Locaux Virtuels

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

WGW PBX. Guide de démarrage rapide

Les réseaux /24 et x0.0/29 sont considérés comme publics

IUT d Angers License Sari Module FTA3. Compte Rendu. «Firewall et sécurité d un réseau d entreprise» Par. Sylvain Lecomte

Exercice Packet Tracer : configuration de réseaux locaux virtuels et d agrégations

VLAN Trunking Protocol. F. Nolot

Les Virtual LAN. F. Nolot 2008

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

TP réseau Les réseaux virtuels (VLAN) Le but de se TP est de segmenter le réseau d'une petite entreprise dont le câblage est figé à l'aide de VLAN.

Présentation et portée du cours : CCNA Exploration v4.0

Configurer le Serveur avec une adresse IP Statique (INTERFACE :FastEthernet) : et un masque

Exercice Packet Tracer : Configuration de base des réseaux locaux virtuels

Mise en place des réseaux LAN interconnectés en

SUJET DES FINALES NATIONALES Sujet jour 1 version 1

Administration de Réseaux d Entreprises

SYSTEMES ELECTRONIQUES NUMERIQUES

LES RESEAUX VIRTUELS VLAN

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

RESEAUX MISE EN ŒUVRE

Présentation et portée du cours : CCNA Exploration v4.0

Authentification sur réseau sans-fil Utilisation d un serveur radius Expérience du CENBG

Proxy Proxy = passerelle applicative Exemple: proxy/cache FTP, proxy/cache HTTP. Conclusion. Plan. Couche réseau Filtres de paquets (routeur)

INTRUSION SUR INTERNET

Routage Statique. Protocoles de Routage et Concepts. Version Cisco Systems, Inc. All rights reserved. Cisco Public 1

DIFF AVANCÉE. Samy.

Administration Switch (HP et autres)

Contenu. Cocher : Network Policy and Access Services > Next > Next. Cocher : Network Policy Server > Next > Install

Cisco Certified Network Associate Version 4

AGREGATION DE LIENS ENTRE UNE APPLIANCE FAST360 ET UN COMMUTATEUR. Table des matières PRINCIPES DE L'AGREGATION DE LIENS... 2

Administration de systèmes

Nouvellement recruté au sein de l entreprise STEpuzzle, Vous êtes stagiaire administrateur réseau et système.

INSTALLATION D UN PORTAIL CAPTIF PERSONNALISE PFSENSE

! "# Exposé de «Nouvelles Technologies Réseaux»

Dispositif sur budget fédéral

Projet PacketTracer en Labo, et Authentification Wi-Fi Serveur RADUIS (NPS)

mbssid sur AP Wifi Cisco

Modélisation Hiérarchique du Réseau. F. Nolot

Travaux pratiques : dépannage de la configuration et du placement des listes de contrôle d'accès Topologie

Notice d installation des cartes 3360 et 3365

dans un environnement hétérogène

Installer et configurer un réseau local Ethernet commuté. Généralités 1 Utilisation d un Switch administrable D-Link DES-3226

Mise en route d'un Routeur/Pare-Feu

TP : STATION BLANI 2000 SIMULATION DU RESEAU INFORMATIQUE

Votre Réseau est-il prêt?

Master d'informatique 1ère année. Réseaux et protocoles. Architecture : les bases

PROJET D INTERCONNEXION

IPBX 02 : TP MISE EN OEUVRE RTC ET TOIP. Ce sujet comporte 4 pages de texte suivi du corrigé

MAUREY SIMON PICARD FABIEN LP SARI

Sécurité des réseaux sans fil

Point de situation et plan d'action du SITEL 04/ /2001

Date : 08/02/12 SISR1 tp.topologie.reseau.wan Durée : 2 h

Jean-Louis Cech descente des Princes des Baux Orange Orange : 20 juin 2014.

TP Réseau 1A DHCP Réseau routé simple

Préparer, installer puis effectuer la mise en service d'un système. SUJET

TCP/IP, NAT/PAT et Firewall

Mise en place des TPs Réseau en machines virtuelles. Utilisation de VmPlayer

TP N 1 : Installer un serveur trixbox.

Windows sur Kimsufi avec ESXi

Plan de cours. Fabien Soucy Bureau C3513

Préparation à la certification LPIC-1 "Junior Level Linux Certification"

FACULTE DES SCIENCES ET TECHNIQUES FES SAIS MASTER SYSTEMES INTELLIGENTS ET RESEAUX MST SIR 2014 TP WIFI. Encadré par PR.

DESCRIPTION DU CONCOURS QUÉBÉCOIS INFORMATIQUE (GESTION DE RÉSEAUX)

Cisco Certified Network Associate

PROGRAMME DETAILLE. Parcours en première année en apprentissage. Travail personnel CC + ET réseaux

WINDOWS NT 2000: Travaux Pratiques. -Boîtier partage d'imprimante- Michel Cabaré Janvier 2002 ver 1.0

Administration Avancée de Réseaux d Entreprises (A2RE)

Programme formation pfsense Mars 2011 Cript Bretagne

Prenez le train de l évolution maintenant pour gérer le stress des réseaux de demain

Cisco Certified Network Associate

Cours des réseaux Informatiques ( )

Mise en place de la Téléphonie sur IP au U6

Travaux pratiques : configuration et vérification des listes de contrôle d'accès IPv6 Topologie

Travaux pratiques Configuration du protocole DHCP avec SDM et l interface de ligne de commande Cisco IOS

Rapport projet SIR 28/06/2003

Sauvegardes par Internet avec Rsync

Le protocole VTP. F. Nolot 2007

Procédure Configuration Borne Wifi. Attribution d'une adresse IP

Enregistreur Energie Electrique et Tele Surveillance GTB8 sur RESEAUX IP ETHERNET

Devoir Surveillé de Sécurité des Réseaux

Mettre en place un accès sécurisé à travers Internet

Manuel d'installation Commutateur de lames de PC HP BladeSystem

Mise en place d'un Réseau Privé Virtuel

Travaux Pratiques Introduction aux réseaux IP

Les réseaux de campus. F. Nolot

acpro SEN TR firewall IPTABLES

Documentation : Réseau

Procédure pas à pas de découverte de l offre. Service Cloud Cloudwatt

TP 6 : Wifi Sécurité

Configuration des routes statiques, routes flottantes et leur distribution.

Informatique Générale Les réseaux

Transcription:

1

Table Des Matières Objectifs 3 I. Architecture réseau du LAN... 4 II. VLAN et STP... 5 III. Ajout du commutateur d'accès HP... 10 IV. Sécurisation de l'accès à distance commutateurs...11 V. Sécurité des ports d'accès... 12 2

Objectifs : Dans ce TP nous allons configurer l architecture ci-dessous. C est une simulation de l accès internet d une entreprise qui offre différents services. Ces services seront ajoutés au fur et à mesure. De nombreux protocole vont être mis en place afin d assurer la haute disponibilité notamament. Pour ce faire nous allons utiliser différents équipements réseaux qu ils soient dit de niveau 2 (couche liason de donnée du modèle OSI) ou de niveau 3 couche réseau : - 2 switch L3 Cisco 3560-1 switch HP 2524-1 switch Cisco Cisco 2960-2 PC Windows - 1 téléphone IP Alcatel IP100 Le but final de ces travaux pratiques sera de faire fonctionner une architecture LAN d un client entreprise avec tous les services exigés par le cahier des charges, y compris la sécurité et la redondance du réseau à chaque niveau. 3

I) Architecture Réseau LAN Nous allons travailler sur cette architecture d entreprise. Il y a Notamment deux grandes parties à distinguer : Le LAN : Local area Network qui concerne plutôt la partie client Le WAN : La partie opérateur ou fournisseur d accès. Ici nous mettrons plusieurs technologies réseaux afin d assurer le cahier des charges du client. 4

II) VLAN et STP 1) On effectue le câblage en respectant le code couleur du schéma. Toute fois, en raison de l absence de module dans les ports des routeurs GigabitEthernet des switch, nous sommes dans l obligation d utiliser les ports FastEthernet. 2) La configuration du commutateurs Cisco est assez complète, il y figure également la confiugration du SSH, du port mac security etc ceci est donc un morceau de la config : interface FastEthernet0/1 Interface avec un PC VLAN 10 switchport access vlan 10 On indique que les trames qui passent sur le port sont tagguées VLAN 10 switchport mode access On configure le port en mode en mode access spanning-tree portfast On configure le RSTP interface FastEthernet0/12 Interface avec un PC VLAN 10 et téléphone VLAN 20 switchport access vlan 10 On indique que les trames qui passent sur le port sont tagguées VLAN 10 switchport mode access On configure le port en mode en mode access switchport voice vlan 20 On configure le mode hybride pour faire passer les trames tagguées VLAN 20 spanning-tree portfast On configure le RSTP 3) Voici la configuration de SR1 et SR2 : SR1: spanning-tree mode rapid-pvst spanning-tree vlan 10 priority 24576 On force la priorité STP pour chaque VLAN spanning-tree vlan 20 priority 28672 On force la priorité STP pour chaque VLAN interface FastEthernet0/23 Interface entre les switchs switchport trunk encapsulation dot1q On configure le mode vlan représenté par l encapsulation dot1.q switchport trunk allowed vlan 10,20 On autorise le VLAN 10,20 switchport mode trunk On configure le port en mode en mode trunk interface FastEthernet0/24 Interface entre les switchs 5

switchport trunk encapsulation dot1q On configure le mode vlan représenté par l encapsulation dot1.q switchport trunk allowed vlan 10,20 On autorise le VLAN 10,20 switchport mode trunk On configure le port en mode en mode trunk interface Vlan10 On configure l interface VLAN ip address 192.168.10.253 255.255.255.0 On définit le réseau DATA! interface Vlan20 On configure l interface VLAN ip address 192.168.20.253 255.255.255.0 On définit le réseauvoix! SR2 possède une configuration similaire seul les adresses IP changent. On vérifie la configuration de STP VLAN 10 ET 20 sur SR1 et SR2. 6

On peut aussi vérifier que l interface trunk est bien configuré : Ici on voit bien que sur les deux interfaces 0/1 et 0/2 les trunks sont bien montées et autorisent les VLANS 10 et 20, ainsi que le 50 qui servira au WI FI. 4) Voici le schéma de l architecture : 7

5) Il y a plusieurs tests possibles pour s assurer du bon fonctionnement de l architetcture : Tout d abord on vérifie que la couche physique est bien assurée avec la commande sh ip int brief Ensuite on peut vérifier s il y a des machines qui sont connectés au switch S1 avec la commande sh mac address-table. On peut également lancer un ping depuis PC1 vers SR2 ou SR1. 6) Le test aboutit correctement 7) Voici le trajet du ping en bleu (echo) et rouge (reply) : NTg 802.Q NTg 802.Q Il s agit d un ping entre 2 PC du VLAN 10, la trame n est pas tagguée car les PC n envoient pas de trames taggées et ici on ne sort pas de S1. 8 8) Ensuite lorsque l on test avec le téléphone il y a 2 possibilités : Soit le téléphone est configuré pour envoyer des trames tagguées 802.1q auquel cas le ping n aboutiras pas. Soit il est configuré pour envoyer des trames NT auquel cas le ping doit aboutir. En effet, les équipements terminaux que sont le téléphone et le PC sont branchés sur des ports en mode access donc laisse passé des trames NT.

Pour notre cas, ayant rencontré de très gros problème lors de la configuration du téléphone nous n avons pas réussi à lui faire envoyer des trames NT donc le test n a évidemment pas fonctionné. Il fonctionnera si on branche le téléphone sur un port dit hybride. 9) L adresse MAC est celle du téléphone et elle est configurée sur l interface FastEthernet 0/6 car c est là que le téléphone est branché. On peut le voir grâce à la commande sh mac address-table. 10) Voici le schéma avec le chemin du ping entre PC1 et téléphone Tg 802.Q Tg 802.Q NTg 802.Q NTg 802.Q Ici on voit bien qu il s agit d un ping entre deux machines de vlan différent, il est donc nécessaire de mettre en place ce qu on appelle du routage intervlan. La passerelle par défaut du VLAN 10 est SR1 et du VLAN 20 SR2. 9

Toutes les trames sont tagguées sur les liens trunk entre les switchs mais NT entre les terminaux et S1. 11) La question 11 est la même que la question 10 12) Voici le schéma du trajet du ping entre le PC et le téléphone sur le port hybride. Tg 802.Q Tg 802.Q NTg 802.Q Tg 802.Q Ici seul le lien entre PC1 et S1 fait circuler des trames NT. 13) L utilisation de STP permet d éviter les boucles entre commutateurs. Ici le port entre S1 et SR1 est BLK pour le VLAN 10 ce qui permet de faire un chemin moins long. 14) Lorsque l on débranche le câble entre S1 et SR1, on s attend à ce que SR2 prenne le relai, le temps de rétablissement est d environ 30 secondes. 15) SR2 est le commutateur racine pour les deux VLANs 16) RPVST + permet une convergence beaucoup plus rapide entre chaque commutateur pour déterminer les chemins. De plus c est un protocole qui offre une instance STP par VLAN. 10

III) Ajout du commutateur HP vlan 1 --> déclaration du vlan1 name "DEFAULT_VLAN" --> attribution d'un nom (important pour l'administration) untagged 1-26 --> les ports 1 à 26 seront en mode accès exit vlan 10 name "VLAN10" tagged 23-24 --> les ports 23 à 24 seront en mode trunk et accepteront les trames taggées du Vlan 10 exit vlan 20 name "VLAN20" tagged 23-24 --> les ports 23 à 24 seront en mode trunk et accepteront les trames taggées du Vlan 20 exit Pour tester l accès aux VLANS il faut brancher des équipements de terminaison et faire des tests de ping par exemple. 11

IV) Sécurisation de l accès à distance aux commutateurs. La configuration nécessaire pour le SSH est la suivante : username admin privilege 15 secret 5 $1$bmJA$pUisT6mZQ..p6BwDoDBj5/ username antoine privilege 15 password 0 antoine username toto privilege 15 secret 5 $1$oJFy$wfCDXlp3NSxbk2/1iBDQ50 ip domain-name ccnasecurity.com!! crypto pki trustpoint TP-self-signed-959469696 enrollment selfsigned subject-name cn=ios-self-signed-certificate-959469696 revocation-check none rsakeypair TP-self-signed-959469696 ip ssh time-out 90 ip ssh authentication-retries 2 ip ssh version 1 Nous avons créé trois utilisateurs différents afin de bien cerner la notion de privilège, de secret et password. La connexion a bien abouti. Attention il faut configurer la session en SSH 1 avec ce type de commutateurs car il ne supporte pas la version 2. 12

Le protocole SSH facilite les connexions sécurisées entre deux systèmes à l'aide d'une architecture client/serveur et permet aux utilisateurs de se connecter à distance à des systèmes hôte de serveurs. Toutefois, contrairement à d'autres protocoles comme TELNET ou FTP, SSH crypte la session de connexion et empêche ainsi la récupération de mot de passe. Il offre différente fonctionnalité : - Cryptage avec des clés de 128 bits - Chiffrement asymétrique ou symétrique En général ce qui est retenu c est la méthode de chiffrement RSA. Le système RSA est un moyen puissant de chiffrer des données personnelles. Aujourd'hui, il nous entoure sans même que nous le sachions. Il est dans nos cartes bancaires, nos transactions, nos messageries, nos logiciels etc Les systèmes asymétriques utilisent deux clés. Une pour chiffrer et une autre pour déchiffrer. On appelle clé publique la clé servant à chiffrer et clé privée la clé servant à déchiffrer. La clé publique est visible par tout le monde alors que la clé privée n'est visible et connue que par son propriétaire. Il ne faut en aucun cas que quelqu'un d'autre que le propriétaire entre en possession de la clé. Si une personne obtenait une clé privée qui n'est pas la sienne, elle serait alors en mesure de lire les messages chiffrés qui ne lui sont pas destinés. 13

V) Sécurité des ports d accès Il y a différentes manières de configurer le contrôle d accès par adresse mac : - En statique - En dynamique En statique on entre à la main l adresse MAC que l on souhaite enregistrer sur le port, en dynamique le commutateur attache lui-même l adresse au port sur lequel l équipement est branché. interface FastEthernet0/12 switchport access vlan 10 switchport mode access switchport voice vlan 20 switchport port-security maximum 2 On precise le nombre d adresse mac maximum( 1 par défaut) switchport port-security On active le port-security switchport port-security mac-address 9890.96b9.0e85 vlan access On entre à la main les addresses MAC switchport port-security mac-address 0008.5d35.39c6 vlan voice Attention il est nécessaire de bien préciser le VLAN auquel appartient la machine sinon le port va se désactiver. Par exemple ici sur un port hybride, on a les deux addresses MAC entrées en brute sur le switch. De plus on configure un nombre maximum de 2 adresses afin de s assurer que seul celle configurer en brute seront prise en compte. En mode dynamique : interface FastEthernet0/16 switchport access vlan 50 switchport mode access switchport port-security switchport port-security mac-address sticky On force le port à retenir la première adresse MAC de la machine connectée Ici on utilise le mode sticky pour forcer le commutateur à graver les addresses mac sur le port 0/16. Par défaut, le mode port-security est dynamique et n autorise qu une seule adresse MAC. 14

On a fait le test, si on configure le port hybride avec PC + téléphones comme le port 0/16 cidessus, le port se désactive en quelques secondes. 2) On créer la VM Kaly en suivant la procédure du sujet : puis on lance l attaque : Attention, le PC possède une adresse MAC et la VM aussi donc il faut penser pendant le test à modifier la configuration du switch et à changer le port-security afin de mettre 2 adresses mac est non une seule car sinon le port se désactive. Auparavant on a lancé un ping en continue entre PC1 et PC2 afin d observer le comportement du réseau pendant une attaque. 15

Sur cette capture d écran on voit bien que la machine devient injoignable pendant l attaque BPDU GUARD. Le réseau devient saturé. 3) Il faut désactiver sur l interface la possibilité de recevoir des trames BPDU. Switch(config)#interface FastEthernet 0/1 Switch(config-if)#spanning-tree bpduguard enable 16

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back