1
Table Des Matières Objectifs 3 I. Architecture réseau du LAN... 4 II. VLAN et STP... 5 III. Ajout du commutateur d'accès HP... 10 IV. Sécurisation de l'accès à distance commutateurs...11 V. Sécurité des ports d'accès... 12 2
Objectifs : Dans ce TP nous allons configurer l architecture ci-dessous. C est une simulation de l accès internet d une entreprise qui offre différents services. Ces services seront ajoutés au fur et à mesure. De nombreux protocole vont être mis en place afin d assurer la haute disponibilité notamament. Pour ce faire nous allons utiliser différents équipements réseaux qu ils soient dit de niveau 2 (couche liason de donnée du modèle OSI) ou de niveau 3 couche réseau : - 2 switch L3 Cisco 3560-1 switch HP 2524-1 switch Cisco Cisco 2960-2 PC Windows - 1 téléphone IP Alcatel IP100 Le but final de ces travaux pratiques sera de faire fonctionner une architecture LAN d un client entreprise avec tous les services exigés par le cahier des charges, y compris la sécurité et la redondance du réseau à chaque niveau. 3
I) Architecture Réseau LAN Nous allons travailler sur cette architecture d entreprise. Il y a Notamment deux grandes parties à distinguer : Le LAN : Local area Network qui concerne plutôt la partie client Le WAN : La partie opérateur ou fournisseur d accès. Ici nous mettrons plusieurs technologies réseaux afin d assurer le cahier des charges du client. 4
II) VLAN et STP 1) On effectue le câblage en respectant le code couleur du schéma. Toute fois, en raison de l absence de module dans les ports des routeurs GigabitEthernet des switch, nous sommes dans l obligation d utiliser les ports FastEthernet. 2) La configuration du commutateurs Cisco est assez complète, il y figure également la confiugration du SSH, du port mac security etc ceci est donc un morceau de la config : interface FastEthernet0/1 Interface avec un PC VLAN 10 switchport access vlan 10 On indique que les trames qui passent sur le port sont tagguées VLAN 10 switchport mode access On configure le port en mode en mode access spanning-tree portfast On configure le RSTP interface FastEthernet0/12 Interface avec un PC VLAN 10 et téléphone VLAN 20 switchport access vlan 10 On indique que les trames qui passent sur le port sont tagguées VLAN 10 switchport mode access On configure le port en mode en mode access switchport voice vlan 20 On configure le mode hybride pour faire passer les trames tagguées VLAN 20 spanning-tree portfast On configure le RSTP 3) Voici la configuration de SR1 et SR2 : SR1: spanning-tree mode rapid-pvst spanning-tree vlan 10 priority 24576 On force la priorité STP pour chaque VLAN spanning-tree vlan 20 priority 28672 On force la priorité STP pour chaque VLAN interface FastEthernet0/23 Interface entre les switchs switchport trunk encapsulation dot1q On configure le mode vlan représenté par l encapsulation dot1.q switchport trunk allowed vlan 10,20 On autorise le VLAN 10,20 switchport mode trunk On configure le port en mode en mode trunk interface FastEthernet0/24 Interface entre les switchs 5
switchport trunk encapsulation dot1q On configure le mode vlan représenté par l encapsulation dot1.q switchport trunk allowed vlan 10,20 On autorise le VLAN 10,20 switchport mode trunk On configure le port en mode en mode trunk interface Vlan10 On configure l interface VLAN ip address 192.168.10.253 255.255.255.0 On définit le réseau DATA! interface Vlan20 On configure l interface VLAN ip address 192.168.20.253 255.255.255.0 On définit le réseauvoix! SR2 possède une configuration similaire seul les adresses IP changent. On vérifie la configuration de STP VLAN 10 ET 20 sur SR1 et SR2. 6
On peut aussi vérifier que l interface trunk est bien configuré : Ici on voit bien que sur les deux interfaces 0/1 et 0/2 les trunks sont bien montées et autorisent les VLANS 10 et 20, ainsi que le 50 qui servira au WI FI. 4) Voici le schéma de l architecture : 7
5) Il y a plusieurs tests possibles pour s assurer du bon fonctionnement de l architetcture : Tout d abord on vérifie que la couche physique est bien assurée avec la commande sh ip int brief Ensuite on peut vérifier s il y a des machines qui sont connectés au switch S1 avec la commande sh mac address-table. On peut également lancer un ping depuis PC1 vers SR2 ou SR1. 6) Le test aboutit correctement 7) Voici le trajet du ping en bleu (echo) et rouge (reply) : NTg 802.Q NTg 802.Q Il s agit d un ping entre 2 PC du VLAN 10, la trame n est pas tagguée car les PC n envoient pas de trames taggées et ici on ne sort pas de S1. 8 8) Ensuite lorsque l on test avec le téléphone il y a 2 possibilités : Soit le téléphone est configuré pour envoyer des trames tagguées 802.1q auquel cas le ping n aboutiras pas. Soit il est configuré pour envoyer des trames NT auquel cas le ping doit aboutir. En effet, les équipements terminaux que sont le téléphone et le PC sont branchés sur des ports en mode access donc laisse passé des trames NT.
Pour notre cas, ayant rencontré de très gros problème lors de la configuration du téléphone nous n avons pas réussi à lui faire envoyer des trames NT donc le test n a évidemment pas fonctionné. Il fonctionnera si on branche le téléphone sur un port dit hybride. 9) L adresse MAC est celle du téléphone et elle est configurée sur l interface FastEthernet 0/6 car c est là que le téléphone est branché. On peut le voir grâce à la commande sh mac address-table. 10) Voici le schéma avec le chemin du ping entre PC1 et téléphone Tg 802.Q Tg 802.Q NTg 802.Q NTg 802.Q Ici on voit bien qu il s agit d un ping entre deux machines de vlan différent, il est donc nécessaire de mettre en place ce qu on appelle du routage intervlan. La passerelle par défaut du VLAN 10 est SR1 et du VLAN 20 SR2. 9
Toutes les trames sont tagguées sur les liens trunk entre les switchs mais NT entre les terminaux et S1. 11) La question 11 est la même que la question 10 12) Voici le schéma du trajet du ping entre le PC et le téléphone sur le port hybride. Tg 802.Q Tg 802.Q NTg 802.Q Tg 802.Q Ici seul le lien entre PC1 et S1 fait circuler des trames NT. 13) L utilisation de STP permet d éviter les boucles entre commutateurs. Ici le port entre S1 et SR1 est BLK pour le VLAN 10 ce qui permet de faire un chemin moins long. 14) Lorsque l on débranche le câble entre S1 et SR1, on s attend à ce que SR2 prenne le relai, le temps de rétablissement est d environ 30 secondes. 15) SR2 est le commutateur racine pour les deux VLANs 16) RPVST + permet une convergence beaucoup plus rapide entre chaque commutateur pour déterminer les chemins. De plus c est un protocole qui offre une instance STP par VLAN. 10
III) Ajout du commutateur HP vlan 1 --> déclaration du vlan1 name "DEFAULT_VLAN" --> attribution d'un nom (important pour l'administration) untagged 1-26 --> les ports 1 à 26 seront en mode accès exit vlan 10 name "VLAN10" tagged 23-24 --> les ports 23 à 24 seront en mode trunk et accepteront les trames taggées du Vlan 10 exit vlan 20 name "VLAN20" tagged 23-24 --> les ports 23 à 24 seront en mode trunk et accepteront les trames taggées du Vlan 20 exit Pour tester l accès aux VLANS il faut brancher des équipements de terminaison et faire des tests de ping par exemple. 11
IV) Sécurisation de l accès à distance aux commutateurs. La configuration nécessaire pour le SSH est la suivante : username admin privilege 15 secret 5 $1$bmJA$pUisT6mZQ..p6BwDoDBj5/ username antoine privilege 15 password 0 antoine username toto privilege 15 secret 5 $1$oJFy$wfCDXlp3NSxbk2/1iBDQ50 ip domain-name ccnasecurity.com!! crypto pki trustpoint TP-self-signed-959469696 enrollment selfsigned subject-name cn=ios-self-signed-certificate-959469696 revocation-check none rsakeypair TP-self-signed-959469696 ip ssh time-out 90 ip ssh authentication-retries 2 ip ssh version 1 Nous avons créé trois utilisateurs différents afin de bien cerner la notion de privilège, de secret et password. La connexion a bien abouti. Attention il faut configurer la session en SSH 1 avec ce type de commutateurs car il ne supporte pas la version 2. 12
Le protocole SSH facilite les connexions sécurisées entre deux systèmes à l'aide d'une architecture client/serveur et permet aux utilisateurs de se connecter à distance à des systèmes hôte de serveurs. Toutefois, contrairement à d'autres protocoles comme TELNET ou FTP, SSH crypte la session de connexion et empêche ainsi la récupération de mot de passe. Il offre différente fonctionnalité : - Cryptage avec des clés de 128 bits - Chiffrement asymétrique ou symétrique En général ce qui est retenu c est la méthode de chiffrement RSA. Le système RSA est un moyen puissant de chiffrer des données personnelles. Aujourd'hui, il nous entoure sans même que nous le sachions. Il est dans nos cartes bancaires, nos transactions, nos messageries, nos logiciels etc Les systèmes asymétriques utilisent deux clés. Une pour chiffrer et une autre pour déchiffrer. On appelle clé publique la clé servant à chiffrer et clé privée la clé servant à déchiffrer. La clé publique est visible par tout le monde alors que la clé privée n'est visible et connue que par son propriétaire. Il ne faut en aucun cas que quelqu'un d'autre que le propriétaire entre en possession de la clé. Si une personne obtenait une clé privée qui n'est pas la sienne, elle serait alors en mesure de lire les messages chiffrés qui ne lui sont pas destinés. 13
V) Sécurité des ports d accès Il y a différentes manières de configurer le contrôle d accès par adresse mac : - En statique - En dynamique En statique on entre à la main l adresse MAC que l on souhaite enregistrer sur le port, en dynamique le commutateur attache lui-même l adresse au port sur lequel l équipement est branché. interface FastEthernet0/12 switchport access vlan 10 switchport mode access switchport voice vlan 20 switchport port-security maximum 2 On precise le nombre d adresse mac maximum( 1 par défaut) switchport port-security On active le port-security switchport port-security mac-address 9890.96b9.0e85 vlan access On entre à la main les addresses MAC switchport port-security mac-address 0008.5d35.39c6 vlan voice Attention il est nécessaire de bien préciser le VLAN auquel appartient la machine sinon le port va se désactiver. Par exemple ici sur un port hybride, on a les deux addresses MAC entrées en brute sur le switch. De plus on configure un nombre maximum de 2 adresses afin de s assurer que seul celle configurer en brute seront prise en compte. En mode dynamique : interface FastEthernet0/16 switchport access vlan 50 switchport mode access switchport port-security switchport port-security mac-address sticky On force le port à retenir la première adresse MAC de la machine connectée Ici on utilise le mode sticky pour forcer le commutateur à graver les addresses mac sur le port 0/16. Par défaut, le mode port-security est dynamique et n autorise qu une seule adresse MAC. 14
On a fait le test, si on configure le port hybride avec PC + téléphones comme le port 0/16 cidessus, le port se désactive en quelques secondes. 2) On créer la VM Kaly en suivant la procédure du sujet : puis on lance l attaque : Attention, le PC possède une adresse MAC et la VM aussi donc il faut penser pendant le test à modifier la configuration du switch et à changer le port-security afin de mettre 2 adresses mac est non une seule car sinon le port se désactive. Auparavant on a lancé un ping en continue entre PC1 et PC2 afin d observer le comportement du réseau pendant une attaque. 15
Sur cette capture d écran on voit bien que la machine devient injoignable pendant l attaque BPDU GUARD. Le réseau devient saturé. 3) Il faut désactiver sur l interface la possibilité de recevoir des trames BPDU. Switch(config)#interface FastEthernet 0/1 Switch(config-if)#spanning-tree bpduguard enable 16