SIO/SISR Mission 8 PPE

Documents pareils
PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

Mission 2 : Prise de contrôle à distance sur les éléments d'infrastructures, les serveurs (Contrôleur de domaine et DHCP) et les clients

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

SUJET DES FINALES NATIONALES Sujet jour 1 version 1

Nouvellement recruté au sein de l entreprise STEpuzzle, Vous êtes stagiaire administrateur réseau et système.

E4R : ÉTUDE DE CAS. Durée : 5 heures Coefficient : 5 CAS TRACE ÉLÉMENTS DE CORRECTION

Exercice Packet Tracer : configuration de réseaux locaux virtuels et d agrégations

TP : STATION BLANI 2000 SIMULATION DU RESEAU INFORMATIQUE

TP réseau Les réseaux virtuels (VLAN) Le but de se TP est de segmenter le réseau d'une petite entreprise dont le câblage est figé à l'aide de VLAN.

PROJET D INTERCONNEXION

Les Virtual LAN. F. Nolot. Master 1 STIC-Informatique 1

Procédure d utilisation et de paramétrage (filtrage) avec IPFIRE

Installation d un serveur AmonEcole

Mise en œuvre d une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ

Exercice Packet Tracer : Configuration de base des réseaux locaux virtuels

TCP/IP, NAT/PAT et Firewall

Mettre en place un accès sécurisé à travers Internet

Projet PacketTracer en Labo, et Authentification Wi-Fi Serveur RADUIS (NPS)

La qualité de service (QoS)

Configuration du matériel Cisco. Florian Duraffourg

Date : 08/02/12 SISR1 tp.topologie.reseau.wan Durée : 2 h

Les possibilités de paramétrage réseau des logiciels de virtualisation sont les suivantes quant à la connexion réseau :

Les réseaux /24 et x0.0/29 sont considérés comme publics

Travaux pratiques Configuration d une carte réseau pour qu elle utilise DHCP dans Windows Vista

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Manuel d'installation du logiciel

CASE-LINUX CRÉATION DMZ

BC9000-BK9000. Paramétrage et configuration de l adresse IP

Mise en réseau d'une classe mobile

Connexion à distance. Pour configurer les automates Beckhoff via un PC de programmation VERSION : 1.0 / PH

But de cette présentation

Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage:

Fonctionnement du protocole DHCP. Protocole DHCP (S4/C7)

Administration de Réseaux d Entreprises

L exemple d un serveur Proxy sous Windows NT 4 SERVER MICROSOFT PROXY SERVER 2 Installation et configuration Auteur : Eliane Bouillaux SERIA5

Documentation : Réseau

25/08/2013. Vue Nagios. Vue Nagios. Le réseau du lycée

Application Note. WeOS Création de réseaux et de réseaux virtuels VLAN

DSCG : UE5 - Management des Systèmes d'information CARTE HEURISTIQUE...1 ARCHITECTURE PHYSIQUE...2

IUT d Angers License Sari Module FTA3. Compte Rendu. «Firewall et sécurité d un réseau d entreprise» Par. Sylvain Lecomte

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

TP 6 : Wifi Sécurité

Proxy Proxy = passerelle applicative Exemple: proxy/cache FTP, proxy/cache HTTP. Conclusion. Plan. Couche réseau Filtres de paquets (routeur)

Réseaux Locaux Virtuels

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

Master d'informatique 1ère année. Réseaux et protocoles. Architecture : les bases

Pare-feu VPN sans fil N Cisco RV110W

Figure 1a. Réseau intranet avec pare feu et NAT.

Raccordement desmachines Windows 7 à SCRIBE

DIFF AVANCÉE. Samy.

Configuration des VLAN

Crédits... xi. Préface...xv. Chapitre 1. Démarrer et arrêter...1. Chapitre 2. L interface utilisateur...25

Configurer le Serveur avec une adresse IP Statique (INTERFACE :FastEthernet) : et un masque

Mise en place d un cluster NLB (v1.12)

Préparer, installer puis effectuer la mise en service d'un système. SUJET

CCNA Discovery Travailler dans une PME ou chez un fournisseur de services Internet

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

Installation DNS, AD, DHCP

Présentation et portée du cours : CCNA Exploration v4.0

Le WiFi sécurisé. 16 Octobre 2008 PRATIC RIOM

TP Réseau 1A DHCP Réseau routé simple

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

Dispositif sur budget fédéral

Pare-feu VPN sans fil N Cisco RV120W

VLAN Trunking Protocol. F. Nolot

Le routeur de la Freebox explications et configuration

Licence professionnelle Réseaux et Sécurité Projets tutorés

Mise en place des TPs Réseau en machines virtuelles. Utilisation de VmPlayer

Routeur VPN Wireless-N Cisco RV215W

Table des matières. PPPoE (DSL) PPTP Big Pond Paramètres réseau... 24

Compte-rendu du TP n o 2

WGW PBX. Guide de démarrage rapide

Réseau : Interconnexion de réseaux, routage et application de règles de filtrage.

Présentation et portée du cours : CCNA Exploration v4.0

FICHE DE COURS RESEAU POSTE A POSTE BAC PRO SYSTEMES ELECTRONIQUES NUMERIQUES Champ Professionnel : Télécommunications et Réseaux

Installation d un serveur virtuel : DSL_G624M

Configurez votre Neufbox Evolution

Les réseaux de campus. F. Nolot

Routeurs de Services Unifiés DSR-1000N DSR-500N DSR-250N

Serveur de Téléphonie Asterisk implanté sur Trixbox

RX3041. Guide d'installation rapide

GNS 3 Travaux pratiques

2. DIFFÉRENTS TYPES DE RÉSEAUX

VPN TLS avec OpenVPN. Matthieu Herrb. 14 Mars 2005

Transmission de données

UCOPIA EXPRESS SOLUTION

Les Virtual LAN. F. Nolot 2008

Programme formation pfsense Mars 2011 Cript Bretagne

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

DESCRIPTION DU CONCOURS QUÉBÉCOIS INFORMATIQUE (GESTION DE RÉSEAUX)

Installation d'un serveur DHCP sous Windows 2000 Serveur

Installer et configurer un réseau local Ethernet commuté. Généralités 1 Utilisation d un Switch administrable D-Link DES-3226

Table des matières Nouveau Plan d adressage... 3

TER Réseau : Routeur Linux 2 Responsable : Anthony Busson

Le rôle Serveur NPS et Protection d accès réseau

Windows Serveur 2012 : DHCP. Installation et mise en place

Fiche d identité produit

SYSTEME DE GESTION DES ENERGIES EWTS EMBEDDED WIRELESS TELEMETRY SYSTEM

P R O J E T P E R S O N N A L I S E E N C A D R E

Transcription:

CONTEXTE GSB - MISSION NUMERO HUIT CONFIGURER UN ACCES DISTANT SECURISE A UNE RESSOURCE LOCALE DE GSB Préambule GSB veut donner un accès distant sécurisé aux ordinateurs locaux de leurs collaborateurs nomades. Ainsi ceux-ci pourront facilement, quel que soit l'endroit où ils se trouvent accéder à toutes leurs ressources locales. Vous êtes chargés d'élaborer le prototype de la solution. Le prototype sera considéré comme valide si un poste distant peut ouvrir un bureau distant sur le poste local et que vous démontrez que cet échange est sécurisé dans un tunnel VPN. Objectifs de la 8 ème mission Il y a 3 grandes étapes dans la mission : mise en place de l'infrastructure actifs et adressage du prototype mise en place des services (serveur VPN, client VPN, bureau à distance) validation (tests de fonctionnement, compréhension des mécanismes mis en œuvre, analyse de trames montrant le tunnel) Le prototype est simplifié par rapport à la réalité et au plan d adressage de GSB. Ainsi par exemple le serveur VPN fait aussi office de serveur AD et restera dans le VLAN Serveurs, alors qu un serveur VPN se trouve généralement dans une DMZ ; un serveur AD ne devrait pas s y trouver. Compte rendu : Un compte rendu sous Word montrant les différentes étapes commentées (imprime-écran), les tests de validation, et répondant de façon argumentée aux dernières questions doit être rédigées il doit intégrer les analyses de trames commentées. LMD 1

Schéma du prototype Matériel nécessaire : 2 switchs 3750 préconfigurés (voir script en annexe). 2 routeurs (1841 et 2911) 1 câble croisé ou un hub entre les 2 routeurs 6 PC sous Windows seven 1 Serveur 2008 R2 (serveur VPN et AD) dans la ferme. VLAN et connexions : Salle A o Un commutateur d accès préconfiguré connecté au port serveur o les postes ne sont pas placés dans les VLAN o le routeur InterVlan est connecté au port trunk de l équipe (voir script) o la liaison inter-routeur doit être gérée. o Le poste analyseur est connecté au port monitoré de l équipe (voir script) Salle B o Un commutateur d accès préconfiguré connecté au port serveur o les postes Admin et Tests sont placés dans le VLAN Admin o Le poste analyseur est connecté au port monitoré de l équipe (voir script) Ferme de serveurs o Un serveur 2008 R2 (serveur VPN et AD) Adressage : Respecter le plan d adressage des VLAN pour les postes et les routeurs La connexion inter-routeur se fera sur le réseau 88.88.88.0/30 Routeur internet 88.88.88.2 Routeur inter vlan 88.88.88.1 Poste d accès distant 200.100.40.10/24 Routeur Internet 200.100.40.254/24 Serveur AD/VPN : 172.16.X.53 /16 (x= n de groupe) LMD 2

Travail à faire 1. Mise en place de l'infrastructure actifs et adressage salle A Le commutateur d accès est configuré par l équipe technique profs. Sur le routeur inter-vlan, il faut déclarer les interfaces mais aussi le NAT/PAT et la redirection vers le serveur VPN (port 1723). Sur le routeur Internet, il faut déclarer les règles de filtrage qui empêchent le routage des adresses privées. Il faut configurer le client VPN. Voir les différentes annexes. 2. Mise en place des services (serveur VPN, client VPN, bureau à distance) salle B Il y a 2 choses à faire : configurer le serveur VPN configurer le poste offrant le bureau à distance Voir les différentes annexes. 3. Validations (tests de fonctionnement, compréhension des mécanismes mis en œuvre, analyse de trames montrant le tunnel) Pour capturer les différents échanges dans le réseau local, il faut placer des analyseurs de trames sur les ports monitorés correspondant aux équipes (voir script). Les éléments suivants permettent de valider la solution Vérification dhcp VPN l adresse du poste distant doit être donnée par le serveur VPN dans le plan d'adressage de ce serveur. Vérification accès poste local (Vlan 1x et 3x) à partir du poste distant On «ping» sur les 2 postes du réseau local (PC admin et PC test VPN) et aussi sur le serveur. On observe dans l'échange que le «ping» vers le poste dans l'intranet est bien relayé par le serveur VPN Ouverture bureau distant On lance un «ping» à partir du bureau distant du poste test VPN ouvert sur le poste distant vers le serveur ou vers le poste admin. Réfléchissez à ce qu implique cet échange. Que capture-t-on? LMD 3

Mais il faut aussi comprendre ce qui se passe, en répondant aux questions suivantes : Pourquoi le poste distant doit-il obtenir une adresse dans le réseau du serveur VPN et non dans le réseau du poste bureau Distant? Sur quelle liaison l'échange est-t-il "tunnelisé"? Quels sont les 2 extrémités du tunnel? Quels sont les protocoles au dessus D'IP utilisés pour la connexion VPN puis pour le tunnel VPN? Quel est le poste qui communique directement avec le poste Bureau Distant? Dans l'échange Client distant/bureau distant quelle est la partie tunnelisée et la partie non tunnelisée? Quel sont les 2 fonctions principales du serveur VPN? LMD 4

ANNEXES Configuration du serveur VPN Il s'agit d'un serveur 2008R2. Pour pouvoir installer les stratégies d'accès réseau, il faut qu'il soit contrôleur de domaine. Utilisez le serveur AD 2008R2 dont vous disposez. Attention dans les écrans suivants, le serveur s'appelle W8SISR5LAB il fait partie du domaine SISR5.org. Son adresse IP est pour vous 172.16.X.53 ici, mais dans les copies d écran l adresse est 172.16.100.10. Modifier systématiquement 100 par X et.10 par.53. Travail à faire : Il faut installer le rôle prenant en charge le service de connexion VPN (rappel : Il faut que l'ad soit installée pour accéder à ce rôle) c est un problème de sécurité puisque on doit choisir entre mettre l AD dans la DMZ ou mettre le serveur VPN dans le Vlan serveurs ce que nous avons fait ici. Une fois le rôle installé, il faut le configurer et le démarrer LMD 5

On choisit bien entendu VPN Attention à ce que le service démarre bien. Il faut maintenant accéder aux propriétés du service LMD 6

Sur l'onglet IPV4 on va définir une plage d'adresses pour donner des adresses aux clients VPN autorisés à se connecter. Les autres propriétés sont intéressantes à observer. Notamment on voit que les accès distants sont gérés par des ports virtuels auxquels sont associés des protocoles. LMD 7

2 types de port nous intéressent SSTP et PPTP (Secure Socket Tunneling Protocol et Point To Point Tunneling Protocol). Il faut maintenant créer dans l'ad un utilisateur qui se connectera à distance (utivpn/utivpn) Et l'autoriser à se connecter à distance LMD 8

Configuration du client VPN Choisir "configurer une nouvelle connexion ou un nouveau réseau puis "connexion à votre espace de travail" Choisir "Utiliser ma connexion Internet (VPN)" Choisir "Je configurerai une connexion Internet ultérieurement". LMD 9

On donne l'adresse publique du routeur et un nom à la connexion 88.88.88.1 On donne l'identifiant de l'utilisateur qui a les droits de connexion distante. On constate maintenant la présence d'une nouvelle connexion (géré encore une fois par un port virtuel). On peut observer les propriétés de cette connexion. On voit d'ailleurs que le protocole sera choisi automatiquement entre les bouts du VPN. LMD 10

On se connecte On constate avec ipconfig que la connexion a reçu une adresse IP dans la plage prévue (attention la capture suivante a été fait après différents tests c'est pourquoi on a 202). Et que cette adresse lui permet de communiquer avec le réseau 172.16.100.0/24 Coté serveur VPN on doit voir l'utilisateur connecté LMD 11

Configuration du bureau distant sur le poste dans l'intranet On paramètre maintenant le poste qui offre son bureau distant. Il faut sélectionner "N'autoriser ". Attention se poste doit être intégré à l'ad. On sélectionne l'utilisateur "utivpn" ce qui nécessite une authentification administrateur On doit obtenir le résultat suivant : Tes de connexion : On peut maintenant ouvrir un bureau distant à partir du client VPN. LMD 12

Observations Sur le serveur VPN Quand un poste est connecté au VPN on va trouver cela (attention ici changement d'adresse car capture fait à un autre moment) après un ipconfig Et si on affiche la table de routage, on note le routage vers un poste précis (masque 255.255.255.255) Notons au passage l'adresse MAC de la carte du serveur car elle sera importante dans nos analyses de trames. LMD 13

SCRIPT commutateur d accès #profs vlan 309 name GSB15-9-Serveurs vlan 409 name GSB15-9-DMZ vlan 19 name GSB15-9-ResauxSystemes end int range fa1/0/37-38 switchport access vlan 309 int range fa1/0/38-40 switchport access vlan 409 int range fa1/0/41-42 switchport access vlan 19 end #trunk acccès Ferme int fa 1/0/48 switchport trunk encapsulation dot1q switchport mode trunk end #trunk routeur par équipe int fa 1/0/31-36 switchport trunk encapsulation dot1q switchport mode trunk end #monitor session par equipe conf monitor session 1 source interface fa 1/0/31 monitor session 1 destination interface fa 1/0/41 encapsulation replicate monitor session 2 source interface fa 1/0/32 monitor session 2 destination interface fa 1/0/42 encapsulation replicate monitor session 3 source interface fa 1/0/33 monitor session 3 destination interface fa 1/0/43 encapsulation replicate monitor session 4 source interface fa 1/0/34 monitor session 4 destination interface fa 1/0/44 encapsulation replicate monitor session 5 source interface fa 1/0/35 monitor session 5 destination interface fa 1/0/45 encapsulation replicate monitor session 6 source interface fa 1/0/36 monitor session 6 destination interface fa 1/0/46 encapsulation replicate end #equipe 1 vlan 11 name GSB1_RESEAUX_SYSTEMES vlan 301 name GSB1_SERVEURS vlan 401 name GSB1_DMZ int range fa1/0/1-2 switchport access vlan 301 int range fa1/0/3-4 switchport access vlan 401 int range fa1/0/5-6 switchport access vlan 11 #equipe 2 vlan 302 name GSB2_SERVEURS vlan 402 name GSB2_DMZ vlan 12 name GSB2_RESEAUX_SYSTEMES int range fa 1/0/7-12 int range fa 1/0/7-8 switchport access vlan 302 int range fa 1/0/9-10 switchport access vlan 402 int range fa 1/0/11-12 switchport access vlan 12 #equipe 3 vlan 303 name GSB3_SERVEURS vlan 403 name GSB3_DMZ vlan 13 name GSB3_RESEAUX_SYSTEMES int range fa 1/0/13-18 int range fa 1/0/13-14 switchport access vlan 303 int range fa 1/0/15-16 switchport access vlan 403 int range fa 1/0/17-18 switchport access vlan 13 #equipe 4 vlan 404 name GSB4-DMZ vlan 304 name GSB4-SERVEURS vlan 14 name GSB4-RESEAU-SYSTEME in range fa1/0/19-20 sw mode access sw access vlan 404 in range fa1/0/21-22 sw mode access sw access vlan 304 in range fa1/0/23-24 sw mode access sw access vlan 14 #equipe 5 vlan 305 name GSB5_SERVEURS int range fa1/0/25-26 switchport access vlan 305 ex vlan 405 name GSB5_DMZ int range fa1/0/27-28 switchport access vlan 405 ex vlan 15 name GSB5_RESEAUX_SYSTEMES int range fa1/0/29-30 switchport access vlan 15 end #equipe6 vlan 306 name GB6-SERVEURS vlan 406 name GB6-DMZ vlan 16 name GB6-RESEAUX_SYSTEMES int range fa1/0/33-34 switchport access vlan 406 int range fa1/0/31-32 switchport access vlan 306 int range fa1/0/35-36 switchport access vlan 16 LMD 14

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back