Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356 RTN / EC2LT Réseaux et Techniques Numériques Ecole Centrale des Logiciels Libres et de Télécommunications
Cours de réseaux local
[Master 2 Télécoms réseaux et services]
SOMMAIRE
I- Architecture et configuration d’un routeur Cisco
1- Composant d’un routeur Cisco 2- Processus de d’amorçage 3- Fonction principal du routeur 4- Principaux modes du routeur 5- Méthodes d’accès a l’environnement ILC 6- Configuration de base configuration de mot de passe à l'accès Privilégié Configuration du mot de passe de la console Configuration de l'accès Telnet au routeur Configuration de l'accès ssh au routeur Sauvegarde des configurations sur un serveur tftp
Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356 II- Liste de contrôle d’accès sur un routeur 1- Liste de contrôle d’accès (ACL) standard numérotée 2- Liste de contrôle d’accès (ACL) standard norme 3- Liste de contrôle d’accès (ACL) étendue numérotée 4- Liste de contrôle d’accès (ACL) étendue normée
III- NAT et du PAT (surcharge NAT)
1- Configuration du NAT NAT statique NAT dynamique 2- Configuration PAT
IV- Filtrage sur les Switchs manageables
1- Configuration de la sécurité d’un port d’accès 2- Modification des paramètres de sécurité d’un port
Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356 I- Architecture et configuration d’un routeur cisco
1- Composant d’un routeur Cisco
UC Mémoire vive Mémoire morte S.E Mémoire flash Mémoire vive non volatile
2- Processus de d’amorçages Exécution su post Chargement du programme d’amorçages Localisation et chargement du logiciel ios Localisation et chargement du fichier de configuration initiale ou passage en mode configuration
3- Fonction principal du routeur
Détermination du meilleur chemin pour l’envoie des parquets Transfert des paquets vers leurs destinations
4- Principaux modes du routeur
Mode d’exécution d’utilisateur Mode d’exécution privilégié Mode d’exécution global Autre modes de configurations spécifiques
5- Méthodes d’accès a l’environnement ILC
- Console : permet la connexion hors réseau à un routeur - ssh ou Telnet - Port aux : permet d’accéder aux périphériques via une connexion téléphonique commuté.
Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356 6- Configuration de base Configuration mot de passe à l'accès Privilégié
Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356 Sauvegarde des configurations sur un serveur tftp
//sauvegarde sur un serveur
R1#copy startup-config tftp //restaurer la configuration #copy tftp startup-config
II- Liste de contrôle d’acces sur un routeur
Une liste de contrôle d’accès est un ensemble séquentiel d’instruction, d’autorisation ou de refus qui s’applique aux adresses ou aux protocoles de couches supérieures.
1- Liste de contrôle d’accès (ACL) standard numérotée
Par la règle suivante, nous autorisons uniquement le réseau 192.168.10.0 à accéder au réseau 192.168.20.0 :
#access-list 10 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
Appliquons ensuite la règle à une interface :
#interface fa0/0 #ip access-group 10 in On remarque ici la présence d’un « in »cela signifie en « entrée ».
2- Liste de contrôle d’accès (ACL) standard norme
#conf t #ip access-list standartnom_list #deny host 192.168.1.10 #permit 192.168.1.0 0.0.0.255 #intfa 0/11 Ip access group nom_list out
Cet exemple autorise les hôtes du réseau 192.168.1.0 à l’exception du 192.168.1.10 à sortir.
Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356 3- Liste de contrôle d’accès (ACL) étendue numérotée #access-lit 114 permit tcp 192.168.20.0 0.0.0.255 any eq 80 #access-lit 116 permit tcp 192.168.20.0 0.0.0.255 established #Int serial 0/0/0 #Ip access-group 103 out #ip access-group 104 in //autorise les reponses On autorise le réseau 192.168.20.0 à faire des requêtes « http »
4- Liste de contrôle d’accès (ACL) étendue normée
#access-list extended nom_list1 #permit tcp 192.168.1.20.0 0.0.0.255 any eq 80 #access-list extended nom_list2 #permit tcp 192.168.1.20.0 0.0.0.255 established #Int serial 0/0/0 #Ip access-group nom_list1 out #ip access-group nom_list2 in On autorise le réseau 192.168.20.0 à faire des requêtes « http »
III- NAT et du PAT(surcharge NAT)
1- Configuration du NAT Il existe 2 types de NAT : le NAT dynamique et le NAT statique
NAT statique
Il consiste à associer une adresse IP publique à une adresse IP privée interne au réseau. Le routeur (ou plus exactement la passerelle) permet donc d'associer à une adresse IP privée (par exemple 176.16.1.1) une adresse IP publique routable sur internet et de faire la traduction, dans un sens comme dans l'autre, en modifiant l'adresse dans le paquet IP.
Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356 #ip nat inside source static 176.16.1.1 193.49.15.50 #interface FastEthernet 0 #ip nat inside #interface FastEthernet 1 #ip nat outside
NAT dynamique
IL permet de partager une adresse IP routable (ou un nombre réduit d'adresses IP routables) entre plusieurs machines en adressage privé. Ainsi, toutes les machines du réseau interne possèdent virtuellement, vu de l'extérieur, la même adresse IP.
Configurons le port du commutateur FastEthernet 0/18 de sorte qu’il accepte deux
périphériques uniquement, qu’il acquière les adresses MAC de ces périphériques de façon dynamique et bloque le trafic issu d’hôtes non valides en cas de violation.
Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356 2- modification des paramètres de sécurité d’un port
Sur l’interface FastEthernet 0/18, faisons passer le nombre maximum d’adresses MAC pour la sécurité des ports à 1 et paramétrons la désactivation en cas de violation.
Comm1(config)#interface fastethernet 0/18
Comm1(configif)# switchportportsecurity maximum 1 Comm1(configif)# switchportportsecurity violation shutdown
V- configuration du DHCP et du DHCP Relay
NB : Les différentes configurations effectuées prendront en compte le schéma suivant
Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356 VI- Couplage Radius –switch A ce niveau, l’authentification des utilisateurs se feront au niveau du serveur Radius.
- Paquet utilisé : freeradius
- Port : 1812 - Répertoire des fichiers de configuration: /etc/freeradius
1- Configuration du serveur radius
#apt-getinstall freeradius #vim /etc/freeradius/clients.conf // créer un compte pourleswitch client addresse_ip_switch { secret = clé_partagée } #vim/etc/freeradius/users //création du compte de l’utilisateurCherif Cleartext-Password := ‘‘passer’’
2- Configuration du Switch
Activation du 802.1X et déclaration du serveur radius
Configuration des ports sur lesquels se feront l’authentification
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport mode access Switch(config-if)#dot1x port-control auto
VII- Configuration Radius-Ldap-switch
1- Configuration Radius #vim /etc/freeradius/site-enable/default // activer le paramètre ldap dans //les zones : authorize, Authenticate, post-auth
#vim/etc/freeradius/modules/ldap server = "adresse_ip_ldap" //l'adresse IP du serveurLdap identity = "cn=Manager,dc=ec2lt,dc=sn" //le compte de l'admin password = passer //mdp de l'admin basedn = "dc=ec2lt,dc=sn" //le suffix filter = "(uid=%{%{Stripped-User-Name}:-%{User-Name}})" //le filtre password_attribute = userPassword //l'attribut qui correspond au mot de passe
#vim /etc/freeradius/sites-enabled/inner-tunnel //Activer le paramètre ldap de la section authorize
Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356 2- Configuration du serveur Ldap - Paquets a installe : slapd, ldap-utils, freeradius-ldap
# apt-get install slapd ldap-utils
# cd /etc/ldap #vim cn=config/olcDatabase={1}hdb.ldif
//renseigner la racine olcSuffix: dc=ec2lt,dc=sn
// définir l’administrateur du serveur
olcRootDN: cn=Manager,dc=ec2lt,dc=sn
// le mot de passe de l’administrateur du serveur
olcRootPW: passer //définir les acl olcAccess: {0}to attrs=userPassword,shadowLastChange by self write by anonymous s auth by dn="cn=Manager,dc=ec2lt,dc=sn" write by * none
olcAccess: {2}to * by self write by dn="cn=Manager,dc=ec2lt,dc=sn" write by
* read
//configuration du client # vim /etc/ldap/ldap.conf
![[Thibault MILLANT] Pentest / Tests d’Intrusion : Cas pratique sur le site e-commerce Hackazon](https://imgv2-1-f.scribdassets.com/img/document/319858310/149x198/e3bbe83ae4/1470054277?v=1)
