SISR5 RIP NAT- DMZ - ACL

SISR5 RIP NAT- DMZ - ACL ENZO RIDEAU BTS SIO

Projet à réaliser : Configuration du cloud et liaison aux routeurs Connexion des équipements actifs du réseau Application du routage RIP Mise en place du serveur WEB du siège (en DMZ) Mise en place du DHCP siège Vérifications avant étape suivante Mise en place de pointeurs DNS pour atteindre www.mageek.com Mise en place du NAT au siège Modification du DNS agence Vérifications des deux règles de NAT Sécuriser le réseau de l entreprise par ACL Protection de la DMZ Vérifications ultimes Nous verrons à travers ce projet, différentes notions : DMZ : Comparable au SAS d entrée d une banque : si un individu armé réussi à entrer par la première porte du SAS d entrée de la banque, tant que le personnel n appuie pas sur la commande permettant d ouvrir la seconde porte du SAS (permettant d entrer dans la banque) l individu armé ne pourra pas entrer «tout de suite dans la banque», il est isolé dans un SAS de sécurité, des alertes vont être immédiatement émises aux forces de sécurité qui devront agir au plus vite (car l individu va essayer de casser la seconde porte, tout n est qu une histoire de délais variables en fonction de la situation). Pare-Feu : Très proche du principe des ACL mis en place en TP précédemment, lorsqu il y a des incendies en forêt, les pompiers réalisent une ligne pare-feu : ils abattent et retirent tout le bois possible dans une certaine bande suffisamment large pour que le feu ne puisse ni trouver de combustible pour avancer, ni pour «sauter» par-dessus la bande défrichée. Ce système permet de filtrer le trafic sur des IP source/destination. NAT/PAT : Network Address Translation et Port Address Translation. Principe : Si vous êtes 10 amis connectés sur votre box à la maison, tous vos amis «surfent» sur le «net» avec la même IP publique : celle de la box. La box utilise un mécanisme (complexe) qui a plusieurs fois évolué pour permettre cette petite révolution qui a elle seule a donnée au moins 10 ans de vie supplémentaire à IPv4 menacée de pénurie dès les années 90. 1

Routage : On «route» des paquets IP (pas des trames Ethernet). Lorsque l on communique via internet, les entêtes IP sont plusieurs fois retraités, passent par des réseaux fédérateurs aux technologies d interconnexion n appartenant qu au monde des opérateurs télécoms : ils utilisent leurs propres solutions techniques pour acheminer les paquets IP que vous émettez qu elle qu en soit sa destination géographique (et bien sur beaucoup de protocoles standardisés). Cet acheminement est appelé le routage. RIP : RIP=Routing Information Protocol, version actuelle V2 (prend en compte en autre le découpage en sous réseaux). Protocole de routage intérieur (IGP : Interior Gateway Protocols). Chaque routeur RIP annonce à ses routeurs voisins (via l adresse de multicast 224.0.0.9) les réseaux qu il adresse directement et les réseaux voisins qu il connait (via l adresse multicast). Protocole à vecteur de distance : Au fil du temps, des routeurs voisins vont annoncer à un même routeur une route à métrique variable pour une mêle destination. Chaque routeur RIP ne conserve dans sa table de routage que les routes les plus courtes vers un même réseau distant S il a deux routeurs RIP à même métrique (2 sauts) lui annonçant pour l un une route vers un réseau nécessitant 10 sauts, et la même destination à seulement 5 sauts via l autre routeur, le routeur recevant ces deux informations ne conservera que la route proposée par le second routeur (la route la plus courte) Voici le projet à réaliser 2

1) Configuration du cloud et liaison aux routeurs : Pour cette configuration, suivre les instructions suivantes Utilisez un cloud générique (cloud-pt). Dans config/dsl, ajoutez port modem4 vers port Ethernet 6 (choix par défaut). Puis vérifiez qu Ethernet 6 est bien positionné sur DSL. Cette configuration est à but expérimentale : nous simulons en quelque sorte une liaison louée entre le siège et l agence (nous ne mettons pas en place un tunnel VPN par exemple). Configuration du routeur de l agence : Routeur-PT (générique), reliez fa0/0 à Ethernet 6 côté cloud. Ajoutez un module FastEthernet à ce routeur (NM-1CFE). 3

Configuration du modem ADSL côté siège social : Choisissez un Modem DSL PT. C est un modem ADSL. Il utilise donc un câble téléphonique. Reliez le port Modem 4 créé dans le cloud, au port téléphonique du modem ADSL via un câble adapté 2) Connexion des équipements actifs du réseau Les deux firewalls/routeurs de la DMZ seront des routeurs de type 2620XM. Ajouter une carte NM-1FE-TX (carte ethernet) à ces deux firewall/routeurs Reliez fa0/0 du premier firewall (premier sas de la DMZ) au modem ADSL (port 1). Reliez fa1/2 du premier firewall à fa0/1 du commutateur 2960 en DMZ. Reliez fa0/2 du commutateur en DMZ eu serveur http Reliez fa0/3 du commutateur en DMZ à l interface Fa0/0 du second firewall (dernière porte du sas de la DMZ) Reliez fa 1/0 du second firewall à fa0/3 sur le premier commutateur dans le LAN su siège social Reliez le serveur DHCP et les deux PCs du siège au commutateur. Reliez le serveur DNS à l interface fa6/0 du routeur en agence. 4

3) Application du routage RIP [SISR5 RIP NAT- DMZ - ACL] 08 décembre 2014 Configurez les interfaces de tous les routeurs selon les données techniques du schéma. Routeur Agence : Ajout des adresses IP sur les différentes interfaces utilisées Nous ajoutons des descriptions à nos interfaces pour indiquer où elles mènent et à quoi elles peuvent servir. Mais surtout, nous donnons un nom clair et précis à l équipement. 1_Routeur_DMZ : Nous allons effectuer la même procédure sur tous les routeurs du réseau. Configuration des interfaces. 5

Puis ajout des descriptions sur les interfaces. Commutateur_DMZ : Sur le seul switch de notre DMZ, nous n avons pas de manipulation technique a effectué. En revanche, nous allons quand même donner des descriptions à nos interfaces utilisées pour y voir plus clair. 2_Routeur_DMZ : Idem que les autres routeurs configurés précédemment. Résultat NB : Vous pouvez afficher ces informations grâce à la commande «show run». Commutateur_Siege_Social : 6

Appliquez à tous les routeurs, y compris ceux faisant office de firewall le protocole RIP. Routeur_Agence : 1_Routeur_Agence : 2_Routeur_Agence : Analyser après quelques secondes (diffusion toutes les 30 secondes des routes par RIP) les tables de routage des routeurs. Consignez pour chacun d entre eux les routes statiques (s l y en a), les routes connectées (il y en aura) et les routes apprises dynamiquement. Ceci sera une confirmation que RIP fonctionne correctement. Table de routage «Routeur_Agence» : (Pour voir ces informations Show ip route) 7

Table de routage «1_Routeur_DMZ» : Table de routage «2_Routeur_DMZ» : On constate que plusieurs informations apparaissent à la suite de cette commande. - Les adresses IP précédé de la lettre «C» correspondent aux réseaux directement connectés au routeur. - Les adresses IP précédé de la lettre «R» correspondent aux réseaux qui sont remontés grâce à la commande «router rip» - Nous n avons pas de lettre «S» car nous n avons pas indiqué de route statique sur les routeurs. 8

4) Mise en place du serveur WEB du siège (en DMZ) Paramétrez l @IP, masque et passerelle selon les données du schéma Saisissez le code suivant dans le serveur http, et activez le protocole sur le serveur <html> <center><font size='+2' color='blue'>--mageek--</font></center> <hr>ici on fait du routage du NAT et autres! </html> 9

5) Mise en place du DHCP siège [SISR5 RIP NAT- DMZ - ACL] 08 décembre 2014 Mettez en place le serveur DHCP siège selon le plan d adressage fourni par le schéma. Configuration de l adresse IP sur serveur DHCP Configuration du POOL DHCP Nos ordinateurs présent dans le réseau «Siège Social» récupèrent bien des adresses IP grâce à notre DHCP. PC 2 PC 1 10

Veiller aussi, à bien configurer en statique, le PC de l agence, avec la configuration suivante : Mais aussi, le serveur de l agence en statique : Après avoir configuré les adresses IP de nos serveurs et nos STA, nous allons donc pouvoir passer à la phase de test de la communication entre tous les équipements. A travers ce dernier, nous pourrons déterminer si oui ou non, nous avons correctement configuré notre «RIP». 11

6) Vérifications avant étape suivante [SISR5 RIP NAT- DMZ - ACL] 08 décembre 2014 Vérifiez que les équipements du réseau peuvent dialoguer avec ping (si rip est correctement en place, vous pouvez pinguer n importe quel élément depuis l agence vers le siège vice/versa) Ping de l agence vers le siège social : Ping du siège social vers l agence : Ping du siège social vers DMZ : Ping DMZ vers siège social : Ping agence vers DMZ : 12

Tous les équipements peuvent communiquer avec TOUS les équipements du réseau. Notre configuration «RIP» a donc bien été prise en compte. 7) Mise en place de pointeurs DNS pour atteindre www.mageek.com Si l on connait l @IP du serveur WEB, il est donc possible de taper son adresse IP dans le navigateur web pour consulter la page Web, mais ce n est pas très pratique. Dans la vraie vie on tape une adresse de domaine dans le navigateur. Pour ce faire, depuis le siège réglez le serveur DHCP pour qu il fasse également DNS. Rajoutez un pointeur A contenant www.mageek.com et son adresse IP sur le DNS siège. Maintenant 13

Rappel sur les pointeurs proposés par packet tracer: Pointeur A (Adresse d hôte) relient un nom d hôte à une ipv4. CNAME (Canonical Name) mapent un nom d hote avec un autre nom d hote. (alias). Sert à donner plusieurs noms d hôtes à la même machine. SOA (Start of Authority) contient nom d hôte et IP du serveur DNS principal. (il n existe qu un SOA par zone DNS). NS (Name Server) indique les serveurs DNS d une zone DNS (délégation de DNS par exemple). Après avoir appliqué ces modifications, le PC du siège doit pouvoir atteindre avec son navigateur web le site www.mageek.com Attention : Il faut, pour que les STA accèdent au site via www.mageek.com leur indiquer un DNS dans leur configuration IP. Nous allons donc distribuer via le DHCP, notre DNS. Côté agence, il faudra aussi régler le DNS en conséquence pour que le PC de l agence puisse joindre résoudre le nom mageek.com en @IP. 14

Résultat : Lorsque nous tapons l adresse www.mageek.com sur notre PC_AGENCE, grâce au DNS, celui-ci retombe bien sur notre serveur WEB présent dans la DMZ. 8) Mise en place du NAT au siège Afin de sécuriser le réseau du siège, nous allons mettre en place le protocole NAT. Vu depuis le monde extérieur, le réseau du siège de notre entreprise a pour @IP 210.1.1.254 Nous souhaitons que le serveur WEB soit connu publiquement par l @IP 210.1.1.253 (et donc pas l adresse du routeur) Pour réaliser le premier besoin, il faudra aller sur le premier routeur/firewall (celui en bordure du réseau du siège), et créer une règle de translation adéquate : (config)# IP nat inside source static 10.0.0.3 210.1.1.253 Inside : concerne une IP du réseau local source : mot clé obligatoire static : concerne un mappage statique (on réalise un NAT systématique entre 210.1.1.253 et 10.0.0.3). Pour réaliser cette opération, nous devons effectuer les modifications suivantes : Ce qui indique au routeur, que l @ IP static 10.0.0.3, doit être connu sous l @ IP 210.1.1.253 15

Puis nous devons rentrer sur les ports du routeur, qui doivent être configuré de la manière suivante : Fa0/0 : Fa1/0 Maintenant nous allons faire un «tracert» sur l @ IP 10.0.0.3 pour voir quelle adresse apparait : On constate que la dernière adresse qui devrait être 10.0.0.3, est bien translatée en 210.1.1.253. Notre NAT a bien été pris en compte. Les hôtes du réseau local sont en 172.16.0.0/16, nous souhaitons qu ils aient, lors du «surf» sur le web, l @IP du routeur de l entreprise. Pour le second besoin, la commande est toujours ip nat inside. Cependant, il faudra maper «toute IP en 172.17.0.0/16» vers une IP unique (celle du routeur).c est du Nat dynamique. Pour ce faire, il faut préalablement créer une ACL (access-list 1 permit x.x.x.x y.y.y.y Voir TP précédent). Dans un second temps il faudra mettre en place le NAT via cette ACL, la syntaxe est la suivante : Ip nat inside source list <numéro d acl> interface <interface de sortie du réseau local> overload Le mot clé overload (obligatoire ici), permet de mettre en place le PAT (Port Address Translation) dont le principe est similaire à NAT, mais au niveau des ports TCP et UDP. Nat et PAT vont de pair dans le mécanisme de conversion des IP privées en publiques. 16

NB : il ne faut pas appliquer cette ACL à une interface du routeur, cette ACL venant d être appliquée au mécanisme NAT! Maintenant que nous avons effectué nos modifications, nous allons vérifier par une petite phase de test (à l aide d un ping) si la translation fonctionne correctement. Lorsque l on ping l adresse 172.16.0.11 (PC du siège social) depuis PC_AGENCE on constate que l adresse qui apparait dans le «reply» est 210.1.1.254. Notre NAT fonctionne correctement. De plus, lorsque nous effectuons un TRACERT, l adresse de notre PC n apparait jamais. Seule l adresse du routeur est présente. On peut 17

9) Modification du DNS agence Désormais, nous avons mis en place un mécanisme NAT pour joindre le serveur WEB de l entreprise avec l IP routable 210.1.1.253, il faut mettre à jour le DNS de l agence pour pointer vers cette IP (l idée est de joindre le domaine mageek.com avec une IP routable). Mais est-ce que ça fonctionne? Non 10) Vérifications des deux règles de NAT Saisissez depuis le PC agence la commande ping www.mageek.com? Ca ne fonctionne pas? Comme indiqué plus haut, nous avons créé une ACL appliquée à une règle NAT overload (NAT+PAT cad translation de l adresse Ip et du port TCP/UDP). Cependant, nous n avons pas encore indiqué au routeur qu il doit faire du NAT sur son interface reliée au modem ADSL, car oui, il faut bien indiquer, interface par interface, si l on souhaite faire du routage. Dans notre cas, il faut donc configurer la bonne interface avec la commande ip nat. Est-ce ip nat inside ou ouside? Dans quels sens souhaitons-nous réaliser l opération? Mettez en place cette modification du le routeur/firewall en bordure du LAN du siège. Réessayez le ping. Le premier sera surement raté, mais le second ping passera, sinon reprenez votre configuration! Nous avons désormais validé le NAT pour le serveur WEB. 18

Mais qu en est-il du NAT de nos adresses en 172.16.0.0/16? Passez en mode simulation dans packet tracer (en bas à droite) Cliquez sur le bouton «edit filters», et ne cochez que le protocole ICMP (ping). Sélectionnez un simple PDU, et envoyez- le depuis un des PCs du siège vers le PC de l agence (clic sur l un puis sur l autre). Cliquez sur «auto capture/play» (vous pouvez faire glisser la glissière juste en dessous sur la droite, ce qui accélèrera la simulation). L enveloppe va naviguer tranquillement jusqu au PC en agence. Cliquez à nouveau sur auto capture/play lorsque l enveloppe est arrivée à destination. Pour analyser la trame reçue par PC0 (le PC en agence), cliquez sur le carré de couleur (ci-dessus). Analysez l@ip source.c est une IP en 172.16. Or, nous avons mis en place du NAT, mais ce NAT ne semble pas avoir remplacé l IP du LAN du siège par l IP du routeur.. Revenons en arrière et reprenons le détail concernant le NAT statique. Nous avons eu à spécifier une commande sur une des interfaces du routeur pour que le NAT se fasse «depuis le LAN vers le WAN». Et bien ici, il faut faire la même chose. Pour les IP internes qui souhaitent sortir du LAN, il faut appliquer le NAT à la bonne interface. 19

Appliquez la bonne modification. Puis refaites la simulation. Vous devez obtenir une IP source pour ce ping qui est celle du routeur.comme ceci : Bravo, nos deux règles de NAT sont désormais fonctionnelles, nous pouvons passer à l étape suivante. 11) Sécuriser le réseau de l entreprise par ACL Nous allons mettre des ACL en place pour sécuriser l accès au LAN du siège. Autoriser tous les protocoles IP venant du sous réseau 172.16.0.0 en direction de n importe quels hôtes (y compris internet) Autoriser le protocole TCP en provenance du port 80 (peu importe la source IP) et à destination du réseau 172.16.0.0 s il s agit d une réponse à une requête. Autoriser le ping en provenance de la DMZ vers n importe quelle destination Autoriser le ping en provenance de tous les hôtes et à destination du réseau de l entreprise, lorsqu il s agit d une réponse à une requête ping Ces contraintes doivent être rassemblées sous deux ACL étendues : L une en entrée, l autre en sortie. Vous les numéroterez 101 et 102 Sur quel firewall/routeur devons-nous appliquer ces ACL? En entrée ou en sortie (inbound outbound?). (Conseil : Faites des schémas du le papier plutôt que d essayer par essai/erreur qui sera bien plus long) AIDE : Pour laisser passer le trafic sur le port 80 s il s agit d une réponse à une requête, vous devrez utiliser une option des access-list non encore explorée : l option established : Cette option utilise les drapeaux ACK et SYN de TCP pour définir si une communication TCP est une réponse. 20

Si c est une réponse, on considère qu il s agit d une connexion établie, d où l option established. Access-list <numéro> permit deny tcp source eq 80 (suite à deviner à l aide de «?»). Pour autoriser le echo-reply (autoriser le ping en provenance de tous les hôtes et à destination du réseau de l entreprise, SI il s agit d une réponse à une requête), il faudra utiliser une access list sur le protocole icmp, avec comme mot clé echo-reply (la réponse à le requete d echo) Résultat : ACL 101 +-ACL 102 Remarques : Il est important d indiquer des «remark» sur vos ACL. En effet, grâce à cette commande vous pouvez écrire du texte et donc indiquer le BUT de votre ACL. Dans notre cas, pour l acl 101, nous indiquons que cette Acl correspond à une Acl d entrée et qu elle est appliquée au port fa0/0. Puis, pour l acl 102, que celle-ci est une acl de sortie et qu elle est appliquée au port fa1/0. 21

12) Protection de la DMZ [SISR5 RIP NAT- DMZ - ACL] 08 décembre 2014 Maintenant que le réseau interne du siège est sécurisé, nous allons sécuriser la DMZ. Le seul protocole qui devrait être accepté (en termes de sécurité) dans cette DMZ est http (utilise donc TCP sur le port 80 au niveau 4 de OSI). Mais il ne faut pas non plus bloquer les PCs des employés du siège social, leur accès à internet doit être préservé! De plus le protocole RIP annonce ses routes aux routeurs voisins en utilisant une adresse de multicast, si nous ne mettons pas une règle d ACL spécifique pour ce point technique, les routeurs ne pourront pas se communiquer leurs routes normalement.annonce de route bloquée par la règle acl finale et implicite su les ACL (deny any any). Nous souhaitons par ailleurs que le monde extérieur ne puisse rien pinguer sur le réseau 10.0.0.0, par contre, les PCs du réseau du siège doivent pouvoir (pour des raisons de monitoring) pinguer ce réseau-là. La sécurisation de la DMZ se réalisera sur le routeur à la frontière lan/wan sur le siège. Toute la sécurisation pourra tenir dans une seule ACL (ACL numéro 110) Il est demandé de commenter ligne par ligne vos règles d ACL en utilisant le mot clé remark pour cette partie a) Pour permettre à RIP de fonctionner, vous devez autoriser le trafic IP depuis le routeur agence vers «tout le reste» b) Vous devez autoriser l accès en TCP au serveur WEB de l entreprise depuis n importe quel hôte (ceci concerne donc TCP et son port 80) c) Les connections TCP doivent pouvoir transiter de l intérieur du réseau de l entreprise vers l extérieur (established?) d) Par ailleurs, vous devrez autoriser le ping depuis l extérieur (et l intérieur) vers l adresse IP publique du serveur WEB. e) Autoriser les echo-reply (retours de ping) depuis n importe où vers n importe où f) Refuser que l on ping quoi que ce soit dans le réseau 10.0.0.0 Nous allons créer cette ACL sur le 1_ROUTEUR_DMZ et appliquer l ACL sur son interface fa0/0 en entrée. Création des règles ACL : 22

13) Vérifications ultimes Vérifiez qu il est désormais impossible de pinguer le routeur d entrée du siège depuis l agence, que le pc de l agence ne puisse rien pinguer en 10.0.0.0, mais qu il puisse toutefois pinguer le serveur web. 23

Notre PC ne pas ping le réseau 10.0.0.0. Notre ACL fonctionne correctement. ACL : access-list 110 deny icmp any 10.0.0.0 0.0.0.7 Le PC ne peut pas pinger le 2_Routeur_DMZ (avant le siège Social). Notre ACL 24

Notre PC peut ping notre Ip publique du serveur WEB (mais aussi son nom). ACL : access-list 110 permit icmp any host 210.1.1.253 Et nous avons toujours bien accès au serveur Web. Vérifier que le pc agence ne puisse rien pinguer en 172.16.0.0 25

Vérifier côté siège social que le serveur puisse être pingué, de même que le routeur lan/wan, et le réseau en 10.0.0.0 (et les voisins en 172.16.x.x) Le PC1 du siège social arrive bien pinger tous les équipements de la DMZ en 10.0.0.0/29. Le PC1 arrive bien à communiquer avec les équipements de son propre réseau. 26