Vous êtes sur la page 1sur 20

PPE 3.

3 Scurisation du
systme d'information de
StadiumCompany
1 CONTEXTE
a.Prsentation du projet StadiumCompany

PRSENTATION DE LORGANISATION CLIENTS


ORGANISATION DE STADIUMCOMPAGNY :
StadiumCompany fournit linfrastructure rseau et les installations sur le stade.
StadiumCompany emploie 170 personnes temps plein :
35 dirigeants et responsables
135 employs
Environ 80 intrimaires sont embauchs en fonction des besoins, pour des
vnements spciaux dans les services installations et scurit.
Tous les dirigeants et responsables de StadiumCompany utilisent des PC et
tlphones connects un PABX vocal numrique. lexception des prposs
au terrain temps plein et des gardiens, tous les salaris utilisent galement
des PC et des tlphones.
Cinquante tlphones partags sont rpartis dans le stade pour le personnel de
scurit. On compte galement 12 tlphones analogiques, certains prenant
galement en charge les tlcopies et dautres offrant un accs direct aux
services de police et des pompiers. Le groupe scurit dispose galement de 30
camras de scurit raccordes un rseau distinct.

INSTALLATIONS EXISTANTES ET PRISE EN CHARGE :


StadiumCompany propose des installations et une prise en charge de rseau
pour deux quipes de sports (quipe A et quipe B), une quipe visiteurs , un
restaurant et un fournisseur de concessions.
Le stade mesure environ 220 mtres sur 375. Il est construit sur deux niveaux.
En raison de la taille des installations, plusieurs locaux techniques connects par
des cbles fibre optique sont rpartis sur lensemble du stade.
Les vestiaires des quipes A et B et les salons des joueurs sont situs au premier
niveau de la partie sud du stade. Les bureaux des quipes occupent une surface
denviron 15 mtres par 60 au deuxime niveau. Le bureau et le vestiaire de
lquipe visiteuse sont galement situs au premier niveau.
Les bureaux de StadiumCompany se trouvent dans la partie nord du stade,
rpartis sur les deux niveaux. Lespace des bureaux occupe environ 60 mtres
par 18 au premier niveau et 60 mtres par 15 au deuxime niveau.
Les quipes A et B sont engages dans des comptitions sportives diffrentes,
organises des dates diffrentes. Elles sont toutes les deux sous contrat avec
StadiumCompany pour leurs bureaux et services au sein du stade.

ORGANISATION DE LQUIPE A :
Lquipe A compte 90 personnes :
4 dirigeants
12 entraneurs
14 employs (y compris des mdecins, kins, secrtaires, assistants,
comptables et assistants financiers)
60 joueurs
Lquipe A dispose de 15 bureaux dans le stade pour ses employs non joueurs.
Cinq de ces bureaux sont partags. 24 PC et 28 tlphones sont installs dans
les bureaux. Le vestiaire est quip de 5 tlphones et le salon des joueurs de
15 tlphones. Des rumeurs indiquent que lquipe A aurait rcemment install
un concentrateur sans fil dans le salon des joueurs.

ORGANISATION DE LQUIPE B :
Lquipe B compte 64 personnes :
4 dirigeants
8 entraneurs
12 employs (y compris des mdecins, kins, secrtaires, assistants,
comptables et assistants financiers)
40 joueurs
Lquipe B dispose de 12 bureaux dans le stade pour ses employs autres que
les joueurs. Trois de ces bureaux sont partags. 19 PC et 22 tlphones sont

installs dans les bureaux. Les


joueurs ont accs au vestiaire et aux
quipements dentranement pendant et en dehors de la saison. Le vestiaire est
quip de 5 tlphones et le salon des joueurs de 15 tlphones.

ACCUEIL DE LQUIPE VISITEUSE


Lquipe visiteuse dispose dun vestiaire et dun salon quips de 10
tlphones. Chaque quipe visiteuse demande des services provisoires le
jour du match et quelques jours auparavant.

FOURNISSEUR DE CONCESSIONS
Un fournisseur de concessions gre les services proposs lors des matchs et
vnements. Il compte 5 employs temps plein. Ils occupent deux bureaux
privs et deux bureaux partags quips de cinq PC et sept tlphones

ORGANISATION DU RESTAURANT DE LUXE


Le stade propose un restaurant de luxe ouvert toute lanne. En plus des salles
et des cuisines, le restaurant loue des bureaux auprs de StadiumCompany. Les
quatre dirigeants ont chacun un bureau priv. Les deux employs en charge des
questions financires et comptables partagent un bureau. Six PC et tlphones
sont pris en charge. Deux tlphones supplmentaires sont utiliss en salle pour
les rservations. Prise en charge des loges de luxe Le stade compte 20 loges de
luxe. StadiumCompany quipe chaque loge dun tlphone permettant de
passer des appels locaux et dappeler le restaurant et le concessionnaire de
services.

PRISE EN CHARGE DE LA ZONE DE PRESSE


StadiumCompany propose un espace presse avec trois zones partages :
- La zone presse crite est quipe de 10 tlphones analogiques et de
deux ports de donnes partags. On sait quun journaliste stagiaire
apporte un petit point daccs sans fil lorsquil couvre un match.
- La zone de presse pour les radios peut accueillir 15 20 stations de radio.
Elle est quipe de 10 lignes tlphoniques analogiques.
- La zone de presse tlvise accueille gnralement 10 personnes. Elle est
quipe de 5 tlphones.

PRISE EN CHARGE DE SITE DISTANT


StadiumCompany compte actuellement deux sites distants : une billetterie en
centre-ville et une boutique de souvenirs dans une galerie marchande locale.
Les sites distants sont connects via un service DSL un FAI local. Le stade est
connect au FAI local laide de FAI1, un routeur de services grs qui

appartient au FAI. Les deux sites distants sont connects au mme FAI par les
roteurs FAI2 et FAI3, fournis et grs par le FAI. Cette connexion permet aux sites
distants daccder aux bases de donnes situes sur les serveurs dans les
bureaux de StadiumCompany. StadiumCompany dispose galement dun routeur
de primtre, nomm Routeur de priphrie, connect au routeur FAI1 du stade.

PROJETS DE STADIUMCOMPANY
StadiumCompany veut ajouter son rseau de nouveaux services, tels que la
vido. La socit envisage galement de remplacer le PABX vocal numrique
existant.
Elle souhaiterait un meilleur accs son rseau existant de camras de scurit.
Deux sites distants sont prvus dans le futur proche :
Une socit de production de films a t engage pour fournir des vidos
pendant et aprs les rencontres sportives et concerts. Elle doit se connecter au
rseau du stade pour changer des fichiers.
Lquipe A va ouvrir de nouveaux bureaux en dehors du stade. Ces bureaux
devront avoir accs aux mmes ressources rseau que celles utilises sur le
rseau local du stade.

b. Prsentation de prestataire informatique :


NetworkingCompany

PRSENTATION :
Nos objectifs sont de soutenir les professionnels dans le cadre de leurs choix, de
l'investissement et de l'utilisation de l'outil informatique.
Nous sommes conscients et convaincus de la place de l'informatique au sein
d'une entreprise. Ce n'est pas une fin en soi mais un outil qui reprsente un
enjeu stratgique et conomique important, entre autre en termes de temps,
d'argent et de productivit.
Aujourd'hui plus de 60% des entreprises sont sensibilises et tendent vers
l'externalisation pour pallier la concurrence et faire front au march actuel.
Nous privilgions la relation et le contact client par l'coute, la disponibilit et la
flexibilit. De ce fait nous devenons votre Dpartement Informatique en
travaillant aux cots de chaque collaborateur comme si nous tions partie
intgrante de l'entreprise. La mise en place d'un interlocuteur unique est l'une
des nombreuses dmarches pour entretenir un bon relationnel.
Nous disposons de toutes les comptences humaines et technologiques pour
grer la globalit de votre parc informatique.
Nous sommes ainsi que des rseaux. Nous sommes galement spcialistes de
solutions alternatives Linux. Cela comprend une parfaite matrise des rseaux

htrognes telles que des systmes Linux au sein d'un parc Windows, ce qui
peut reprsenter des avantages considrables.
Souhaitant rpondre toutes les attentes, nous avons su nous entourer de
collaborateurs comptents permettant de vous garantir les conseils et les
services les plus performants et adapts.

SERVICE :
-

spcialiste dans l'informatique des professionnels


partenaire privilgi des TPE, PME et professions librales
assure la prennit de votre informatique par un suivi adapt
soutien les professionnels dans leurs choix, investissements et utilisation
de l'informatique
propose un grand ventail de prestations
garanti des services sur mesure
experts en administration et scurit des systmes

c. Renseignement sur le systme dinformation


de lorganisation client

NOMBRE DE SERVEUR :
NB TOTAL SERVEUR 9 :
Il y a un Serveur web, Un Serveur DHCP, Un Serveur Commerce lectronique,
Trois Serveurs Comptabilit, Un serveur de Paie et deux Serveurs de vente.

DUTILISATEUR :
-

Administration : 250 Utilisateurs


Equipes : 170 Utilisateurs
Vip-presse : 70 Utilisateurs
Fournisseur : 44 Utilisateurs
Restaurant : 14 Utilisateurs
Wifi : 126 Utilisateurs
Scurit : 80 Utilisateurs

DIFFRENTS SERVICES, DNS, ACTIVE DIRECTORY, DHCP,


WEB :
Lentreprise possde:
- un service DHCP sur un serveur ddi
- un serveur web sur un serveur ddi
- un DNS et un Active directory

SCURIT DE L'ENTREPRISE
-

Personnel de scurit
Camras

2 CAHIER DES CHARGES


Les diffrentes solutions retenues pour ltude du projet dun point de vue
gnral de
StadiumCampagny pourront faire lobjet de documentations techniques suivant la
complexit de la mise en uvre.
Mission 1
Le rseau de StadiumCompagny doit comporter plusieurs primtres de scurit
Adressage rseau et attribution de noms faciles mettre niveau :
172.20.0.0/21
Un systme de cloisonnement du rseau devra tre test. Les commutateurs
devront tre facilement administrables afin de propager les configurations
rapidement et aisment
Solution permettant linterconnexion des diffrents sites (stade, billetterie et
magasin)
Les diffrents commutateurs ainsi que le routeur doivent disposer de rglages
de base homognes. La solution doit se faire avec les quipements rseau CISCO.
Mission 2
Solution permettant lauthentification des utilisateurs. Les diffrents serveurs
sont monts sur le VLAN administration, les serveurs seront sur Windows 2012
R2:
Authentification l'ouverture de session, chaque personne et chaque poste
utilisant le rseau est authentifi auprs d'un serveur d'authentification bas sur
un annuaire Active Directory. Pour intgrer les postes l'annuaire un code
administrateur provisoire sera fourni.
Le domaine AD est " StadiumCompany.com". Il est commun l'ensemble des
utilisateurs de stade et des sites distants. Sur le domaine les profils utilisateurs
sont itinrants. La rsolution de noms, un serveur DNS rpertoriant l'ensemble
des noms du domaine "StadiumCompany.com" est accessible sur chaque rseau
IP.
Ars, qui servira de serveur DNS principal et aura ladresse 172.20.0.13,
machine
virtuelle sur Windows Server 2012 R2 entreprise
Herms, qui servira de contrleur de domaine principal et aura ladresse
172.20.0.14, machine virtuelle sur Windows Server 2012 R2 entreprise
Aphrodite, qui servira de contrleur de domaine et DNS secondaire, il prendra le
relai en cas de disfonctionnement ou surcharge sur Ars ou Herms et aura
comme adresse 172.20.15, machine virtuelle sur Windows Server 2012 R2
entreprise.
Kratos, qui servira de serveur DHCP, il donnera un IP dynamique disponible dans
une plage dadresse configure aux utilisateurs. A court terme il lui sera rajout
un disque dur et il aura aussi le rle de serveur web pour les sites distants ainsi

que serveur ftp pour les configurations des quipements rseaux et aura comme
adresse172.20.0.20, machine virtuelle sur Server 2012 R2 entreprise.
Mission 3
Solution permettant ladministration distance scurises
La scurit du systme dinformation devra tre renforce entre les
diffrents sites
La solution retenue devra tre administrable distance via un accs
scuris par SSH
Mission 4
Solution permettant de mettre en place des services rseau plus mobiles et plus
intgrs.
Solution permettant ladministration des accs utilisateurs locales mobiles
Radius, qui servira de serveur dauthentification wifi, 172.20.0.x, machine
virtuelle sur Server 2012 R2 entreprise.
Mission 5
Solution permettant le travail collaboratif.
Hracls, qui servira de serveur Exchange, il permettra aux utilisateurs de
stadiumcompany.com de communiquer avec une adresse qui leur sera cre
partir de ce serveur et aura comme adresse 172.20.0.16, machine virtuelle sur
Windows Server 2012 R2 entreprise
Hphastos, qui servira de serveur Exchange secondaire, il prendra le relai en
cas de disfonctionnement ou surcharge sur Hracls et aura comme adresse
172.20.17, machine virtuelle sur Windows Server 2012 R2 entreprise.
Edge, serveur exchange 2013qui servira de Passerelle SMTP, il sera plac en
DMZ 172.20.0.X, machine virtuelle sur Server 2012 R2 entreprise.
Mission 6
Solution permettant le dploiement des solutions techniques daccs mobile
scuriss.
Athna, qui servira de serveur Radius, il aura pour rle dauthentifier les
machines et aura comme adresse 172.20.18, machine virtuelle sur Windows
Server 2012 R2 entreprise.
Hads, qui servira de certificat, il aura pour rle de gnrer des certificats, une
fois ceux-ci gnrs il sera teint et aura comme adresse 172.20.19, machine
virtuelle sur Windows Server 2012 R2 entreprise.
Mission 7
Solution permettant la supervision et la gestion du patrimoine informatique. Les
vnements importants doivent tre journaliss et stocks afin de faciliter le
travail de ladministrateur
Murdock1, qui servira de serveur FOG, il servira de serveur de dploiement
(stockage) des images des postes clients est serveur 172.20.0.X, machine
virtuelle sur
Debian entreprise.
Murdock2, qui servira de serveur OCS-GLPI, il servira de serveur de gestion du
pack informatique et des incidents 172.20.0.X, machine virtuelle sur Debian ou
Windows 2012 R2
Mission 8

Solution permettant la redondance des services et la tolrance de panne de


systmes serveurs et des lments dinterconnexions
La dure de linterruption de service doit tre minimale
Solution permettant damliorer la continuit de service des services existants
en cas de panne du serveur, Commutateurs et liaisons daccs (FAI)
Les diffrentes configurations doivent pouvoir tre sauvegardes/ restaures
rapidement et facilement
Des procdures permettant la sauvegarde / rcupration des configurations, la
mise jour des IOS et la rinitialisation des mots de passe de commutateur et du
routeur devront tre rdiges et mises disposition sur un serveur FTP
Qualit de service (QOS) ncessaire pour la vido en continu et ultrieurement,
limplmentation de la voix sur IP.
Mission 9
Solution permettant de prparer la migration vers ladressage IPv6.
Ltude de lvolution vers IPv6: Une maquette dissocie devra tre ralise afin
de tester les difficults ventuelles dun passage IPv6. Cette maquette devra
permettre de vrifier le fonctionnement :
- De ladressage IPv6 sur les quipements rseaux
- Du DHCP IPv6
- Du routage statique IPv6 et du routage dynamique utilisant RIPng

3 SOLUTIONS
L'objectif de StadiumCompany est d'obtenir une solution permettant ladministration

distance scurises

a.Comparaison des solutions

LES DIFFRENTS PROTOCOLES DE SCURIT


NAT : (Network Address Translation) permet la traduction entre adresses prives
et publiques, ce protocole permet de palli le manque d'adresses IPv4.
Il existe plusieurs variantes de NAT en fonction de la topologie du rseau, du
nombre de machines prives, du nombre d'adresses IP publiques et des besoins
en termes de services, d'accessibilit et de visibilit extrieur.
-

NAT statique: attribue de faon automatique une adresse IP locale une


adresse globale.

NAT dynamique: permet de partager une adresse IP routable entre


plusieurs machines d'adresses prives. Ainsi toutes les machines du
rseau interne possdent virtuellement, vu de l'extrieur, la mme
adresse IP. L'attribution d'une adresse publique se fera au niveau du
routeur, il faut donc dfinir une plage d'adresses publiques ou pool
d'adresses publiques (l'interface avec le rseau local avec son adresse IP
ainsi que l'interface au rseau public.

PAT: (Port Address Translation) la translation de port effectue une translation des
ports IP l'intrieur d'un rseau priv et une adresse IP sur internet, ce
mcanisme protge les rseaux. Plusieurs adresses IP locales correspondent

une seule adresse IP globale, avec la PAT, plusieurs adresses prives peuvent
tre mapps sur une adresse IP publique.
Nous pouvons comparer 2 solutions permettant un accs distance,
SSH et Telnet.
SSH : (Secure SHell) est un logiciel et un protocole de communication scuris
bas sur TCP. Il permet de se connecter distance sur un ordinateur de faon
scurise. Ce protocole utilise un grand nombre d'algorithme de chiffrement,
impose un change de cls de chiffrement. L'authentification peut se faire sans
l'utilisation de mot de passe, en utilisant la cryptographie asymtrique.
Telnet : Protocole de type client-serveur s'appuyant sur TCP. (Les clients se
connectent gnralement sur le port 23 du serveur.) Parmi les caractres
envoys par le serveur Telnet, il y a videmment les caractres de texte
afficher, mais il y a aussi des squences de caractres qui permettent de
contrler l'affichage, par exemple pour effacer le contenu de la ligne courante.
Par souci de portabilit, Telnet dfinit des squences d'chappement qui ne
dpendent pas du type de terminal. Le protocole de prsentation correspondant
est appel NVT (Network Virtual Terminal). Le client Telnet est cens interprter
ces squences portables de contrle du terminal.
Scurit: Le ct sommaire de Telnet fait que toute communication est transmis
en clair sur le rseau, mots de passe compris. Des sniffeurs comme tcpdump ou
Wireshark permettent d'intercepter les communications de la commande telnet.
Des protocoles chiffrs comme SSH ont t dvelopps pour fournir un accs
distant remplaant Telnet et dont l'interception ne fournit aucune donne
utilisable un ventuel espion du net.
VPN : (Virtual Private Network) est un rseau virtuel s'appuyant sur un autre
rseau comme Internet, il permet de faire transiter des informations de manire
scurise. Les VPNs fournissent 3 fonctions essentielles:
-

Confidentialit (cryptage): l'metteur peut crypter les paquets avant de


les transmettre sur le rseau
Intgrit des donnes: le rcepteur peut vrifier si les donnes n'ont
pas t altres lors de leur passage sur le rseau
Authentification: le rcepteur peut authentifier la source du paquet,
garantissant et certifiant la source de l'information

GRE : Ce protocole transporteur multi protocole encapsule IP, CLNP et tout autre
paquet de protocole dans des tunnels IP. Avec le tunneling GRE, un routeur Cisco
encapsule chaque extrmit les paquets de protocole avec un en-tte IP
crant une liaison virtuelle point point avec l'autre routeur Cisco l'autre
extrmit du rseau IP. En connectant des rseaux d'extrmit multi protocoles
avec un backbone IP, le tunneling IP permet l'expansion du rseau au travers du
backbone IP. GRE ne fournit pas de cryptage et peut tre supervis par un
analyseur de rseau.
L2TP : Dfinit par la Rfc 2661, L2TPest issu de la convergence des protocoles
PPTP et L2F. Il est actuellement dvelopp et valu conjointement par Cisco
Systems, Microsoft, Ascend, 3Com ainsi que d'autres acteurs cls du march des
rseaux. Il permet l'encapsulation des paquets Ppp au niveau des couches 2

(Frame Relay et Atm) et 3 (Ip). Lorsqu'il est configur pour transporter les
donnes sur IP, L2tp peut tre utilis pour faire du tunnelling sur Internet. L2tp
repose sur deux concepts : les concentrateurs d'accs L2tp (Lac : L2tp Access
Concentrator) et les serveurs rseau L2tp (Lns : L2tp Network Server). L2tp
n'intgre pas directement de protocole pour le chiffrement des donnes.
IPSEC : Dfinit par la Rfc 2401, IPsec est un protocole qui vise scuriser
l'change de donnes au niveau de la couche rseau. Le rseau Ipv4 tant
largement dploy et la migration vers Ipv6 tant invitable, mais nanmoins
longue, il est apparu intressant de dvelopper des techniques de protection des
donnes communes Ipv4 et Ipv6. Ces mcanismes sont couramment dsigns
par le terme Ipsec pour Ip Security Protocols. Bas sur deux mcanismes. Le
premier, AH, pour Authentification Header vise assurer l'intgrit et
l'authenticit des datagrammes IP. Il ne fournit par contre aucune
confidentialit : les donnes fournies et transmises par ce "protocole" ne sont
pas encodes. Le second, Esp, pour Encapsulating Security Payload peut aussi
permettre l'authentification des donnes mais est principalement utilis pour le
cryptage des informations. Bien qu'indpendants ces deux mcanismes sont
presque toujours utiliss conjointement.

b.Choix de solutions
La solution retenue devra tre administrable distance via un
accs scuris et la scurit du systme dinformation devra tre
renforce entre les diffrents sites
- Nous mettrons donc en place du NAT Dynamique pour n'utiliser
qu'une seule adresse extrieure permettant de dissimuler les
adresses du rseau interne.
- Nous dploierons le protocole SSH afin de scurises les accs
distants intersites.
- La socit souhaitant extrioriss ces connexions, la mise en place
d'un VPN utilisant le protocole IPSEC permettra une connexion
crypte vers le rseau local.

PROJET
a.Objectif
L'objectif de StadiumCompany est de scuris l'administration du rseau distance
et souhaite ainsi pouvoir administr en TELNET et en SSH leurs quipements.

b.Planning
Le planning se droule en 3 phases

1re phase: Configuration du NAT dynamique avec surcharge

Les interfaces Fa0/0.11,


Fa0/0.12 Fa0/0.13 est du ct priv seront
dclares comme inside Linterface Fa0/1 par contre, tant du ct
publique, sera configure comme outside.
Router(config)#interface fastEthernet 0/0.11
Router(config-if)#ip nat inside
Router(config-if)#exit
Router(config)#interface fastEthernet 0/0.12
Router(config-if)#ip nat inside
Router(config-if)#exit
Router(config)#
Router(config)#interface fastEthernet 0/0.13
Router(config-if)#ip nat inside
Router(config-if)#exit

Router(config)#interface fastEthernet 0/1


Router(config-if)#ip nat outside
Router(config-if)#exit
Router(config)#

Access-list

Identifier les adresses sources faire passer par le NAT, donc nous crons
une ACL.
Router(config)#access-list 11 permit 172.20.0.0 0.0.0.255
Router(config)#access-list 12 permit 172.20.1.0 0.0.0.255
Router(config)#access-list 13 permit 172.20.2.0 0.0.0.127
Router(config)#

2me phase: Configuration de SSH


Configuration des informations de base du routeur et de linterface :
Router#config terminal
Router(config)#hostname R-stade

CustomerRouter(config)#ip domain-name stadiumcompany.com


CustomerRouter(config)#username admin privilege 15 password cisco123
CustomerRouter(config)#interface FastEthernet 0/0.11
CustomerRouter(config-if)#ip address 172.20.0.1 255.255.255.0
CustomerRouter(config-if)#no shutdown
CustomerRouter(config-if)#exit

Configuration des lignes de terminal vty entrantes afin d'accepter Telnet et


SSH :
CustomerRouter(config)#line vty 0 4
CustomerRouter(config-line)#privilege level 15
CustomerRouter(config-line)#login local
CustomerRouter(config-line)#transport input telnet ssh
CustomerRouter(config-line)#exit

Gnrez la paire de cls de chiffrement RSA dont se servira le routeur pour


lauthentification et le chiffrement des donnes SSH qui sont transmises.
Entrez 768 pour le nombre de bits du modulus. La valeur par dfaut est de
512.
CustomerRouter(config)#crypto key generate rsa
How many bits in the modulus [512]: 768
CustomerRouter(config)#exit

Vrifiez que SSH a bien t activ ainsi que la version qui est utilise.
CustomerRouter#show ip ssh
SSH Enabled - version 1.99
Authentication timeout: 120 secs; Authentication retries: 3

3me phase: Configuration du VPN IPsec

VPN Site to Site

Configuration du Routeur Stade


Configuration des interfaces:
R1(config)#interface FastEthernet 0/0
R1(config-if)#ip address 172.20.0.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#interface FastEthernet 0/1
R1(config-if)#ip address 200.200.200.1 255.255.255.252
R1(config-if)#no shutdown
R1(config-if)#exit

Configuration du routage:

R1(config)#router eigrp 1
R1(config-router)#network 172.20.0.0 0.0.0.255
R1(config-router)#network 200.200.200.0 0.0.0.3
R1(config-router)#exit

Configuration du Routeur FAI


Configuration des interfaces:
R2(config)#interface FastEthernet 0/0
R2(config-if)#ip address 200.200.200.2 255.255.255.252
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#interface FastEthernet 0/1
R2(config-if)#ip address 200.200.200.5 255.255.255.252
R2(config-if)#no shutdown
R2(config-if)#exit

Configuration du routage:
R2(config)#router eigrp 1
R2(config-router)#network 200.200.200.0 0.0.0.3
R2(config-router)#network 200.200.200.4 0.0.0.3
R2(config-router)#exit

Configuration du routeur Billeterie


Configuration des interfaces:
R3(config)#interface FastEthernet 0/0
R3(config-if)#ip address 192.168.1.1 255.255.255.0
R3(config-if)#no shutdown
R3(config-if)#exit
R3(config)#interface FastEthernet 0/1
R3(config-if)#ip address 200.200.200.6 255.255.255.252
R3(config-if)#no shutdown
R3(config-if)#exit

Configuration du routage:
R3(config)#router eigrp 1
R3(config-router)#network 192.168.1.0 0.0.0.255
R3(config-router)#network 200.200.200.4 0.0.0.3
R3(config-router)#exit

Configuration du VPN sur le routeur Stade


R1(config)#crypto isakmp enable
R1(config)#crypto isakmp policy 10
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#encryption 3des
R1(config-isakmp)#hash md5
R1(config-isakmp)#group 5
R1(config-isakmp)#lifetime 3600
R1(config-isakmp)#exit
R1(config)#crypto isakmp key iris123 address 200.200.200.6
R1(config)#crypto ipsec transform-set 50 esp-3des esp-md5-hmac
R1(config)#crypto ipsec security-association lifetime seconds 1800
R1(config)#access-list 101 permit ip 172.20.0.0 0.0.0.255 192.168.1.0 0.0.0255
R1(config)#crypto map stade 10 ipsec-isakmp
R1(config-crypto-map)#set peer 200.200.200.6
R1(config-crypto-map)#set transform-set 50
R1(config-crypto-map)#set security-association lifetime seconds 900

R1(config-crypto-map)#match address 101


R1(config-crypto-map)#exit
R1(config)#interface fastEthernet 0/1
R1(config-if)#crypto map stade
*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
R1#show crypto ipsec transform-set
Transform set 50: { { esp-3des esp-sha-hmac }
will negotiate = { Tunnel, },

Configuration du VPN sur le routeur Billeterie


R3(config)#crypto isakmp enable
R3(config)#crypto isakmp policy 10
R3(config-isakmp)#authentication pre-share
R3(config-isakmp)#encryption 3des
R3(config-isakmp)#hash md5
R3(config-isakmp)#group 5
R3(config-isakmp)#lifetime 3600
R3(config-isakmp)#exit

R3(config)#crypto isakmp key iris123 address 200.200.200.1


R3(config)#crypto ipsec transform-set 50 esp-3des esp-md5-hmac
R3(config)#crypto ipsec security-association lifetime seconds 1800
R3(config)#access-list 101 permit ip 192.168.1.0 0.0.0255172.20.0.0 0.0.0.255
R3(config)#crypto map billeterie10 ipsec-isakmp
R3(config-crypto-map)#set peer 200.200.200.1
R3(config-crypto-map)#set transform-set 50
R3(config-crypto-map)#set security-association lifetime seconds 900
R3(config-crypto-map)#match address 101
R3(config-crypto-map)#exit
R3(config)#interface fastEthernet 0/0
R3(config-if)#crypto map billeterie
*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
R3#show crypto ipsec transform-set
Transform set 50: { { esp-3des esp-sha-hmac }
will negotiate = { Tunnel, },

Vrification des maps VPN sur les 2 routeurs


R1#show crypto map
Crypto Map stade 10 ipsec-isakmp
Peer = 200.200.200.6
Extended IP access list 101
access-list 101 permit ip 172.20.0.0 0.0.0.255 192.168.1.0 0.0.0.255
Current peer: 200.200.200.6
Security association lifetime: 4608000 kilobytes/900 seconds
PFS (Y/N): N
Transform sets={
50,
}
Interfaces using crypto map stade:
FastEthernet0/1
R3#show crypto map
Crypto Map billetterie 10 ipsec-isakmp
Peer = 200.200.200.1
Extended IP access list 101
access-list 101 permit ip 192.168.1.0 0.0.0.255 172.20.0.0 0.0.0.255
Current peer: 200.200.200.1
Security association lifetime: 4608000 kilobytes/900 seconds
PFS (Y/N): N

Transform sets={
50,
}
Interfaces using crypto map billetterie:
FastEthernet0/1
R1#show crypto ipsec sa
interface: FastEthernet0/1
Crypto map tag: stade, local addr 200.200.200.1
protected vrf: (none)
local ident (addr/mask/prot/port): (172.20.0.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
current_peer 200.200.200.6 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 13, #pkts encrypt: 13, #pkts digest: 0
#pkts decaps: 13, #pkts decrypt: 13, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 1, #recv errors 0
local crypto endpt.: 200.200.200.1, remote crypto endpt.:200.200.200.6
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/1
current outbound spi: 0x373B1937(926619959)
inbound esp sas:
spi: 0x7B507661(2068870753)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
conn id: 2009, flow_id: FPGA:1, crypto map: stade
sa timing: remaining key lifetime (k/sec): (4525504/179)
IV size: 16 bytes
replay detection support: N
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0x373B1937(926619959)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
conn id: 2010, flow_id: FPGA:1, crypto map: stade
sa timing: remaining key lifetime (k/sec): (4525504/179)
IV size: 16 bytes
replay detection support: N
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
R3#show crypto ipsec sa
interface: FastEthernet0/1
Crypto map tag: billetterie, local addr 200.200.200.6
protected vrf: (none)
local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (172.20.0.0/255.255.255.0/0/0)
current_peer 200.200.200.1 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 13, #pkts encrypt: 13, #pkts digest: 0
#pkts decaps: 13, #pkts decrypt: 13, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 200.200.200.6, remote crypto endpt.:200.200.200.1
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/1
current outbound spi: 0x7B507661(2068870753)

inbound esp sas:


spi: 0x373B1937(926619959)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
conn id: 2009, flow_id: FPGA:1, crypto map: billetterie
sa timing: remaining key lifetime (k/sec): (4525504/97)
IV size: 16 bytes
replay detection support: N
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0x7B507661(2068870753)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
conn id: 2010, flow_id: FPGA:1, crypto map: billetterie
sa timing: remaining key lifetime (k/sec): (4525504/97)
IV size: 16 bytes
replay detection support: N
Status: ACTIVE
outbound ah sas:
outbound pcp sas:

Vrification des oprations d'Isakmp :


R1#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id slot status
200.200.200.6 200.200.200.1 QM_IDLE 1084 0 ACTIVE
IPv6 Crypto ISAKMP SA
R3#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id slot status
200.200.200.1 200.200.200.6 QM_IDLE 1059 0 ACTIVE
IPv6 Crypto ISAKMP SA
R1#show run
Building configuration...
Current configuration : 1097 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname R1
!
!
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 5
lifetime 3600
!
crypto isakmp key iris123 address 200.200.200.6
!
crypto ipsec security-association lifetime seconds 1800
!
crypto ipsec transform-set 50 esp-3des esp-md5-hmac

!
crypto map stade 10 ipsec-isakmp
set peer 200.200.200.6
set security-association lifetime seconds 900
set transform-set 50
match address 101
!
!
!
!
spanning-tree mode pvst
!
!
!
!
interface FastEthernet0/0
ip address 172.20.0.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 200.200.200.1 255.255.255.252
duplex auto
speed auto
crypto map stade
!
interface Vlan1
no ip address
shutdown
!
router eigrp 1
network 172.20.0.0 0.0.0.255
network 200.200.200.0 0.0.0.3
auto-summary
!
ip classless
!
!
access-list 101 permit ip 172.20.0.0 0.0.0.255 192.168.1.0 0.0.0.255
!
!
!
!
line con 0
!
line aux 0
!
line vty 0 4
login
!
!
!
End

R2#show run
Building configuration...
Current configuration : 612 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec

no service password-encryption
!
hostname R2
!
!
!
!
spanning-tree mode pvst
!
!
!
!
interface FastEthernet0/0
ip address 200.200.200.2 255.255.255.252
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 200.200.200.5 255.255.255.252
duplex auto
speed auto
!
interface Vlan1
no ip address
shutdown
!
router eigrp 1
network 200.200.200.0 0.0.0.3
network 200.200.200.4 0.0.0.3
auto-summary
!
ip classless
!
!
!
!
line con 0
!
line aux 0
!
line vty 0 4
login
!
!
!
End
R3#show run
Building configuration...
Current configuration : 1101 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname R3
!
!
!
!
crypto isakmp policy 10

encr 3des
hash md5
authentication pre-share
group 5
lifetime 3600
!
crypto isakmp key iris123 address 200.200.200.1
!
crypto ipsec security-association lifetime seconds 1800
!
crypto ipsec transform-set 50 esp-3des esp-md5-hmac
!
crypto map billetterie 10 ipsec-isakmp
set peer 200.200.200.1
set security-association lifetime seconds 900
set transform-set 50
match address 101
!
!
!
!
spanning-tree mode pvst
!
!
!
!
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 200.200.200.6 255.255.255.252
duplex auto
speed auto
crypto map billetterie
!
interface Vlan1
no ip address
shutdown
!
router eigrp 1
network 192.168.1.0
network 200.200.200.4 0.0.0.3
auto-summary
!
ip classless
!
!
access-list 101 permit ip 192.168.1.0 0.0.0.255 172.20.0.0 0.0.0.255
!
!
!
!
line con 0
!
line aux 0
!
line vty 0 4
login
!
!
!

End

5 CONCLUSION
Pour la socit StadiumCompany, en accord avec leur cahier des
charges, pour permettre de scuris le systme d'information entre
les diffrents sites, nous dcidons de dployer le protocole NAT
dynamique, afin de scuris le rseau en utilisant une seule et mme
adresse extrieur, dissimulant les adresses du rseau interne. Afin de
scuris les accs distant, la solution retenue sera la mise en place du
protocole SSH et d'un VPN avec le protocole IPsec, qui cryptera les
connexions vers le rseau local