LES SWITCHS. 1. Introduction. 1.1.Présentation. 1.2.Historique. 1.3.Précisions sur ce document. Ce document présente les switchs. Sans objet.



Documents pareils
VLAN Trunking Protocol. F. Nolot

Installer et configurer un réseau local Ethernet commuté. Généralités 1 Utilisation d un Switch administrable D-Link DES-3226

Administration du WG302 en SSH par Magicsam

TP 1 : LES COMMANDES RESEAUX Matière: RESEAUX LOCAUX

Les Virtual LAN. F. Nolot. Master 1 STIC-Informatique 1

Configurer le Serveur avec une adresse IP Statique (INTERFACE :FastEthernet) : et un masque

Configuration du matériel Cisco. Florian Duraffourg

Travaux pratiques : dépannage de la configuration et du placement des listes de contrôle d'accès Topologie

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

Objet : Guide d'installation et de maintenance pour "My IC Phone 8082" connecté à un OmniPCX Office R810

! "# Exposé de «Nouvelles Technologies Réseaux»

COMMANDES RÉSEAUX TCP/IP WINDOWS.

TP réseau Les réseaux virtuels (VLAN) Le but de se TP est de segmenter le réseau d'une petite entreprise dont le câblage est figé à l'aide de VLAN.

WGW PBX. Guide de démarrage rapide

Le protocole VTP. F. Nolot 2007

IMS INTERNET /Paramétrage de l offre / Gateway Cisco IMS INTERNET. Paramétrage de l offre Gateway CISCO. Référence Edition Date de Diffusion Page

Les réseaux /24 et x0.0/29 sont considérés comme publics

Unité de stockage NAS

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Les ACL Cisco. F. Nolot Master 2 Professionnel STIC-Informatique 1

Direction des Systèmes d'information

RX3041. Guide d'installation rapide

Chapitre 3 Configuration et maintenance

Capture, Filtrage et Analyse de trames ETHERNET avec le logiciel Wireshark. Etape 1 : Lancement des machines virtuelles VMWARE et de Wireshark

Les Virtual LAN. F. Nolot 2008

Travaux pratiques : configuration et vérification des listes de contrôle d'accès IPv6 Topologie

Réseaux Locaux Virtuels

Introduction. Adresses

Mise en place d'un Réseau Privé Virtuel

Cisco Certified Network Associate Version 4

TP N 1 : Installer un serveur trixbox.

ROUTAGE. Répondez aux questions suivantes : (A chaque fois pour XP et pour Debian)

Dispositions relatives à l'installation :

Guide de démarrage Intellipool Network Monitor

Bravo! Vous venez d acquérir un routeur large bande à 4 ports Conceptronic C100BRS4H.

LAB : Schéma. Compagnie C / /24 NETASQ

Configuration de l'accès distant

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

Manuel d utilisation Caméra IP via Internet Explorer

L annuaire et le Service DNS

Travaux pratiques : configuration des routes statiques et par défaut IPv6

MAUREY SIMON PICARD FABIEN LP SARI

WINDOWS NT 2000: Travaux Pratiques. -Boîtier partage d'imprimante- Michel Cabaré Janvier 2002 ver 1.0

Présentation du SC101

Configuration d'un Réseau Privé Virtuel (RPV ) communément appelé VPN


Travaux pratiques : collecte et analyse de données NetFlow

TP c Fonctions des listes de contrôle d'accès multiples (TP avancé)

Pare-feu VPN sans fil N Cisco RV120W

Adaptateur de présentation sans fil Manuel de l utilisateur

Contenu. Cocher : Network Policy and Access Services > Next > Next. Cocher : Network Policy Server > Next > Install

DIFF AVANCÉE. Samy.

CONVERTISSEUR RS 232/485 NOTICE

Connexion à distance. Pour configurer les automates Beckhoff via un PC de programmation VERSION : 1.0 / PH

ALOHA Load Balancer 2.5. Guide de démarrage rapide. EXCELIANCE ALOHA 2.5 Guide de démarrage rapide 30/01/2008 1/17

pfsense Manuel d Installation et d Utilisation du Logiciel

Les clés d un réseau privé virtuel (VPN) fonctionnel

Administration Switch (HP et autres)

Installation d un serveur virtuel : DSL_G624M

TER Réseau : Routeur Linux 2 Responsable : Anthony Busson

Guide d'administration Version x Commutateurs Smart Plus Cisco série 220

RESEAUX MISE EN ŒUVRE

VTP. LAN Switching and Wireless Chapitre 4

Business Sharepoint Contenu

Guide d'installation rapide. Caméras IP

Kerberos en environnement ISP UNIX/Win2K/Cisco

CAMERA DOME AMELIORÉE DE SURVEILLANCE EN RÉSEAU GUIDE D INSTALLATION

Master d'informatique 1ère année. Réseaux et protocoles. Architecture : les bases

MISE EN PLACE DU FIREWALL SHOREWALL

IUT d Angers License Sari Module FTA3. Compte Rendu. «Firewall et sécurité d un réseau d entreprise» Par. Sylvain Lecomte

Dossier de réalisation d'un serveur DHCP et d'un Agent-Relais SOMMAIRE. I. Principe de fonctionnement du DHCP et d'un Agent-Relais

Configuration d'un annuaire LDAP

Routage Statique. Protocoles de Routage et Concepts. Version Cisco Systems, Inc. All rights reserved. Cisco Public 1

VLAN Virtual LAN. Introduction. II) Le VLAN. 2.1) Les VLAN de niveau 1 (Port-based VLAN)

Routeur client. PC accueil Postes IP

Installation du client Cisco VPN 5 (Windows)

acpro SEN TR firewall IPTABLES

Configuration des VLAN

TAGREROUT Seyf Allah TMRIM

DCS-933L. Cloud Camera 1150 Caméra réseau à vision diurne et nocturne. Guide d installation rapide

Augmenter la portée de votre WiFi avec un répéteur

Systèmes vidéo Cisco TelePresence

Tutorial Terminal Server sous

Axel Remote Management

Passerelle de Sécurité Internet Guide d installation

Routeur TP-Link Lite-N sans fil 4 Port 150Mbps WiFi (TL-WR741ND) Manuel de l utilisateur

Travaux pratiques : configuration de la traduction d adresses de port (PAT)

Manuel de l Administrateur

Assistance à distance sous Windows

2) Téléchargement de l'application pour contrôler vos caméras :

GUIDE D INSTALLATION RAPIDE DEXH264

TP Sur SSH. I. Introduction à SSH. I.1. Putty

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Les Protocoles de sécurité dans les réseaux WiFi. Ihsane MOUTAIB & Lamia ELOFIR FM05

Travaux pratiques Configuration du protocole DHCP avec SDM et l interface de ligne de commande Cisco IOS

Pour configurer le Hitachi Tecom AH4021 afin d'ouvrir les ports pour "chatserv.exe", vous devez suivre la proc

SUJET DES FINALES NATIONALES Sujet jour 1 version 1

Transcription:

LES SWITCHS 1. INTRODUCTION... 1 1.1. PRESENTATION... 1 1.2. HISTORIQUE... 1 1.3. PRECISIONS SUR CE DOCUMENT... 1 2. 3COM SUPERSTACK II 3300... 2 2.1. NOTIONS PARTICULIERES... 2 2.1.1. MODES DE TRANSMISSION... 2 2.1.2. SECURISATION D'UN PORT... 2 2.1.3. PORT TRUNC... 2 2.1.4. VIRTUAL LAN... 2 2.1.5. ROVING ANALYSIS... 2 2.1.6. UTILISATEURS... 2 2.2. ADMINISTRATION... 2 2.2.1. CONSOLE PAR PORT SERIE... 2 2.2.2. SERVEUR WEB PAR SLIP... 2 2.2.3. TELNET... 2 2.2.4. SERVEUR WEB PAR IP... 2 2.2.5. SNMP... 2 2.3. ADMINISTRATION PAR LIGNE DE COMMANDE... 3 2.3.1. MENU BRIDGE... 3 2.3.2. MENU ETHERNET... 3 2.3.3. MENU FEATURE... 3 2.3.4. MENU IP... 3 2.3.5. MENU SNMP... 3 2.3.6. MENU SYSTEM... 4 3. CISCO CATALYST 2900... 5 3.1. NOTIONS PARTICULIERES... 5 3.2. ADMINISTRATION... 5 3.2.1. CONSOLE PAR PORT SERIE... 5 3.2.2. TELNET... 5 3.2.3. SNMP... 5 3.3. COMMANDES... 5 3.3.1. COMMANDES GENERALES... 5 3.3.2. MODE NORMAL... 5 3.3.3. MODE PRIVILEGIE... 5 3.3.4. CHANGEMENT D'OS... 6 3.3.5. FICHIER DE CONFIGURATION... 6 3.3.6. EXEMPLE DE FICHIER DE CONFIGURATION... 6 4. ATTAQUE... 7 4.1. REMPLISSAGE DE LA TABLE INTERNE... 7 4.2. CONFLIT D'ADRESSE MAC... 7 4.3. USURPATION MUTUELLE... 7 5. CONCLUSION... 7 5.1. COUVERTURE DU SUJET... 7 5.2. THEMES NON ABORDES... 7 5.3. OU APPROFONDIR SES CONNAISSANCES... 7 1. Introduction 1.1.Présentation Ce document présente les switchs. 1.2.Historique 1.3.Précisions sur ce document 03/10/2005 1 / 7 Laurent CONSTANTIN

2. 3com SuperStack II 3300 2.1.Notions particulières 2.1.1.Modes de transmission fast forward les paquets sont envoyés sur le réseau au plus vite (dès que les octets contenant l'adresse mac destination sont arrivés) fragment free les paquets sont envoyés si au moins 512 bits (64 octets) sont arrivés intelligent le réseau est observé et s'il y a trop de collisions, le mode passe temporairement en "fragment free" 2.1.2.Sécurisation d'un port les entrées dans la table sont effacées l'adresse mac s'autoconfigure à partir de la première reçue le port se désactive si une adresse différente est vue sur ce port aucune autre adresse ne peut être apprise tant que l'administrateur n'enlève pas l'entrée de la table l'adresse ne peut pas être apprise sur un autre port 2.1.3.Port trunk En mettant en paralèlle plusieurs ports entre deux switchs, il est possible d'augmenter le débit et d'assurer une redondance. 2.1.4.Virtual LAN Il est possible de créer des associations virtuelles de machines. Les machines d'un même vlan peuvent communiquer entre elles, mais pour que deux machines de deux vlan différents communiquent, il faut utiliser un module spécial. 2.1.5.Roving analysis Cela permet de définir un port comme recevant tout le traffic d'un autre port à des fins d'analyse réseau. 2.1.6.Utilisateurs monitor monitor peut visualiser la configuration manager manager peut modifier la configuration sauf les éléments de sécurité security security peut modifier tous les paramètres admin pas_de_pwd peut modifier tous les paramètres 2.2.Administration 2.2.1.Console par port série Il faut utiliser un câble null modem et utiliser une console ou un émulateur de terminal. Si le prompt de login n'apparaît pas, il faut valider plusieurs fois. 2.2.2.Serveur web par SLIP Il faut utiliser un utilitaire Serial Line Internet Protocol connecté sur le port série. L'adresse IP par défaut du serveur web est 192.168.101.1. 2.2.3.Telnet Avant de pouvoir administrer par le réseau, il faut d'abord se connecter sur le port série pour configurer l'adresse IP du switch. 2.2.4.Serveur web par IP Avant de pouvoir administrer par le réseau, il faut d'abord se connecter sur le port série pour configurer l'adresse IP du switch. 2.2.5.SNMP Un dispositif de management peut permettre d'administrer le switch. 03/10/2005 2 / 7 Laurent CONSTANTIN

2.3.Administration par ligne de commande Ne sont présentées ici que les commandes principales. logout délogue l'utilisateur q quitte le menu courant Esc retourne au menu général? affiche l'aide 2.3.1.Menu bridge bridge display affiche les informations générales bridge port summary affiche le résumé d'un port bridge port detail affiche les informations détaillées d'un port bridge port address list affiche les adresses mac d'un port bridge port address add ajoute une adresse mac statique (sous la forme aa-bb-cc-dd-eeff) bridge port address remove efface une adresse mac bridge port address find trouve une adresse mac dans la table interne bridge vlan summary affiche le résumé d'un vlan bridge vlan detail affiche les informations détaillées d'un vlan bridge vlan create créé un vlan bridge vlan delete efface un vlan bridge vlan modify modifie le nom ou l'id d'un vlan bridge vlan addport ajoute un port à un vlan bridge vlan removeport efface un port du vlan 2.3.2.Menu ethernet ethernet statistics affiche les statistiques des ports ethernet summary affiche le résumé des ports 2.3.3.Menu feature feature analyzer display affiche les informations du roving feature analyzer add configure un port pour le roving feature analyzer remove enlève un port du roving feature analyzer start démarre le roving feature analyzer stop arrête le roving feature trunk detail affiche les informations du trunk feature trunk summary affiche le résumé du trunk feature trunk addport ajoute un port au trunk feature trunk removeport enlève un port du trunk 2.3.4.Menu ip ip interface define spécifie l'adresse ip du switch ip interface display affiche les informations du switch ip ping envoie un ping 2.3.5.Menu snmp snmp community spécifie le community string snmp get snmp get snmp next snmp get next snmp set snmp set snmp trap define définit la destination des snmp trap snmp trap display affiche le trap courant snmp trap modify modifie la destination des snmp trap snmp trap remove n'envoie plus les snmp trap 03/10/2005 3 / 7 Laurent CONSTANTIN

2.3.6.Menu system system remoteaccess system display system initialize system reset system password system security access display system security access modify system security user display system security user define system security user modify system security user remove system softwareupgrade system unit active ou désactive les fonctionnalités d'accès distant affiche les informations du switch initialise le switch (remet les valeurs constructeur par défaut) resette le switch (identique on-off) change le mot de passe de l'utilisateur courant affiche les droits d'accès modifie les droits d'accès (snmp, console, telnet, web) affiche les informations d'un utilisateur définit un utilisateur modifie un utilisateur efface un utilisateur fait un mise à jour du logiciel passe d'un switch à l'autre si ils sont stackés 03/10/2005 4 / 7 Laurent CONSTANTIN

3. Cisco Catalyst 2900 3.1.Notions particulières Le mot de passe par défaut est vide. Une adresse ethernet est présentée sous la forme aa-bb-cc-dd-ee-ff. 3.2.Administration 3.2.1.Console par port série Il faut utiliser un câble null modem et utiliser une console ou un émulateur de terminal. Si le prompt de login n'apparaît pas, il faut valider plusieurs fois. 3.2.2.Telnet Avant de pouvoir administrer par le réseau, il faut d'abord se connecter sur le port série pour configurer l'adresse IP du switch. 3.2.3.SNMP Un dispositif de management peut permettre d'administrer le switch. 3.3.Commandes 3.3.1.Commandes générales help? disable enable quit retourne en mode normal passe en mode privilégié se délogue 3.3.2.Mode normal history affiche l'historique des commandes entrées!! répète la dernière commande ping 1.2.3.4 pingue une machine show alias affiche les alias des commandes show arp affiche la table arp show interface affiche les interfaces réseau show ip alias affiche les alias ip show ip route affiche la table de routage show log affiche le journal show mac affiche les informations mac sur les ports show netstat affiche les ports tcp/udp ouverts ou les statistiques show port affiche les ports ou les statistiques show snmp affiche les informations snmp show system affiche les informations système show time affiche l'heure show trunk affiche les trunk show users affiche les connexions actives show vlan affiche les vlan 3.3.3.Mode privilégié clear alias toto efface un alias de commande clear arp 1.2.3.4 efface une entrée de la table arp clear counters efface les compteurs pour les statistiques clear ip alias toto efface un alias ip clear ip route 1.2.3.0 192.168.1.1 efface une route ip clear log efface les données journalisées clear trunk 1/2-4 enlève les ports 2 à 4 du premier module du trunk clear vlan 4 efface un vlan disconnect console termine la session de la console disconnect 1.2.3.4 termine la session avec le client 1.2.3.4 reset system redémarre le système set alias toto show arp créé un alias de commande set arp 1.2.3.4 aa-bb-cc-dd-ee-ff créé une entrée arp dans la table set enablepass change le mot de passe du mode privilégié 03/10/2005 5 / 7 Laurent CONSTANTIN

set interface sc0 vlan 1 1.2.3.4 set interface sl0 adslip addest set ip alias nom 1.2.3.4 set ip fragmentation enable set ip redirect enable set ip route 0.0.0.0 1.2.3.4 set ip route 1.1.1.0 1.2.3.4 set ip unreachable enable set logout 10 set password set port disable 2/10 set port enable 1/4 set port level 1/5 high set port name 1/4 toto set snmp community read-only pwd set system name nom set time jj/mm/aa hh:mm:ss set trunk 1/2 on set vlan 4 1/3,1/6,1/7 telnet machine 3.3.4.Changement d'os download 1.2.3.4 nomfichier download serial show version show flash upload 1.2.3.4 nomfichier 3.3.5.Fichier de configuration configure 1.2.3.4 nomfichier show config write terminal write 1.2.3.4 nomfichier clear config configure une interface réseau sur un port configure l'interface slip créé un alias pour une adresse ip autorise (ou interdit) le switch à la fragmenter les paquets ip autorise (ou interdit) le switch à envoyer des icmp redirect créé une route ip par défaut ajoute une route ip autorise (ou interdit) le switch à envoyer des icmp unreachable affecte le nombre de minutes avant la déconnexion automatique affecte le mot de passe du mode normal désactive un port active un port définit le niveau de priorité du port définit le nom du port affecte le community string change le nom du système change l'heure spécifie le port qui sera dans le trunk spécifie les ports qui seront dans le vlan démarre une session telnet 3.3.6.Exemple de fichier de configuration begin set password $1$FMFQ$HfZR5DUszVHIRhrz4h6V70 set logout 0 #system set system name cat9-lnf #snmp set snmp community read-only public set snmp community read-write private set snmp community read-write-all secret #ip set interface sc0 3 172.20.25.132 255.255.0.0 172.20.255.255 set interface sl0 0.0.0.0 0.0.0.0 set ip redirect enable set ip unreachable disable set ip fragmentation enable set ip route 0.0.0.0 172.20.1.201 1 set ip alias mach 171.69.193.165 end télécharge un fichier d'os et le met en mémoire télécharge un fichier d'os à partir de la liaison série affiche la version affiche l'os en mémoire sauve l'image sur un serveur télécharge un fichier de configuration et en exécute les commandes affiche la configuration courante affiche la configuration courante sauve la configuration courante sur un serveur efface la configuration en nvram 03/10/2005 6 / 7 Laurent CONSTANTIN

4. Attaque Les switchs ne sont pas des dispositifs de sécurité, cependant ils sont souvent utilisés dans ce but. Un attaquant dispose de trois techniques pour contourner un switch. 4.1.Remplissage de la table interne Lorsqu'un switch dispose d'un table interne unique (à opposer à une table par port), un attaquant peut chercher à la remplir, afin de sortir les adresses légitimes. Les entrées supplémentaires peuvent alors être forwardées vers tous les ports. Pour cela, il faut envoyer de très nombreux paquets ayant des sources aléatoires vers le switch. 4.2.Conflit d'adresse mac Lorsqu'une machine est changée de place, le switch enregistre alors que la machine se situe sur un autre port. Durant une période transitoire, le switch peut alors envoyer ses données vers le nouveau port ou vers tous les ports. Pour cela, il faut envoyer périodiquement des paquets avec comme source ethernet l'adresse mac du client ou du serveur à écouter. 4.3.Usurpation mutuelle Si le serveur croit que l'adresse mac de l'attaquant est celle du client et si le client croit que l'adresse mac de l'attaquant est celle du serveur, l'attaquant recevra tous les messages. Pour cela, il faut : que l'attaquant envoie vers le serveur des réponses arp indiquant que son adresse mac est celle du client que l'attaquant envoie vers le client des réponses arp indiquant que son adresse mac est celle du serveur que l'attaquant soit une machine relais : les paquets reçu en provenance de l'attaquant doivent être envoyés au serveur et vice-versa 5. Conclusion 5.1.Couverture du sujet A mon avis, ce résumé couvre 40% du sujet. 5.2.Thèmes non abordés 5.3.Où approfondir ses connaissances 03/10/2005 7 / 7 Laurent CONSTANTIN