Travaux pratiques 4.6.

2 : configuration avance de la scurit

Diagramme de topologie

Table dadressage
Priphrique R1 Interface Fa0/1 S0/0/1 Fa0/1 S0/0/1 Lo0 Fa0/1 S0/0/1 S0/0/0 VLAN10 VLAN30 Carte rseau Carte rseau Carte rseau Adresse IP 192.168.10.1 10.1.1.1 192.168.20.1 10.2.2.1 209.165.200.225 192.168.30.1 10.2.2.2 10.1.1.2 192.168.10.2 192.168.30.2 192.168.10.10 192.168.30.10 192.168.20.254 Masque de sous-rseau 255.255.255.0 255.255.255.252 255.255.255.0 255.255.255.252 255.255.255.224 255.255.255.0 255.255.255.252 255.255.255.252 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 Passerelle par dfaut N/D N/D N/D N/D N/D N/D N/D N/D N/D N/D 192.168.10.1 192.168.30.1 192.168.20.1

R2

R3 Comm1 Comm3 PC1 PC3 Serveur TFTP

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 1 sur 4

CCNA Exploration Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.2 : configuration avance de la scurit

Objectifs pdagogiques
lissue de ces travaux pratiques, vous serez en mesure deffectuer les tches suivantes : Cbler un rseau conformment au diagramme de topologie Supprimer la configuration de dmarrage et recharger un routeur pour revenir aux paramtres par dfaut Excuter les tches de configuration de base dun routeur Configurer et activer des interfaces Configurer la scurit de base des ports Dsactiver les services et interfaces Cisco inutiliss Protger les rseaux d'entreprise contre des principales attaques externes et internes Comprendre et grer les fichiers de configuration Cisco IOS ainsi que le systme de fichiers Cisco Configurer et utiliser Cisco SDM (Security Device Manager) pour dfinir la scurit de base dun routeur

Scnario
Au cours de ces travaux pratiques, vous apprendrez configurer la scurit au moyen du rseau indiqu dans le diagramme de topologie. Si vous rencontrez des difficults, reportez-vous aux travaux pratiques sur la scurit de base. Essayez cependant de travailler en parfaite autonomie. Dans le cadre de cet exercice, nactivez pas la protection par mot de passe et vitez de vous connecter aux lignes de console, afin dviter toute dconnexion accidentelle. Vous devez toutefois scuriser la ligne de console par dautres moyens. Dans ces travaux pratiques, le mot de passe utiliser est ciscoccna.

Tche 1 : prparation du rseau

tape 1 : cblage dun rseau similaire celui du diagramme de topologie tape 2 : suppression des configurations existantes sur les routeurs

Tche 2 : excution des configurations de routeur de base

tape 1 : configuration des routeurs Configurez les routeurs R1, R2 et R3 conformment aux instructions suivantes : Configurez le nom d'hte du routeur conformment au diagramme de topologie. Dsactivez la recherche DNS. Configurez une bannire de message du jour. Configurez les adresses IP sur les interfaces des routeurs R1, R2 et R3. Activez le protocole RIPv2 sur tous les routeurs de tous les rseaux. Crez une interface de bouclage sur R2 afin de simuler une connexion Internet. Crez des rseaux locaux virtuels sur les commutateurs Comm1 et Comm3, puis configurez les interfaces intgrer aux rseaux locaux virtuels. Configurez le routeur R3 afin dassurer une connectivit scurise SDM. Installez SDM sur PC3 ou R3, si ce nest dj fait.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 2 sur 4

CCNA Exploration Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.2 : configuration avance de la scurit

tape 2 : configuration des interfaces Ethernet Configurez les interfaces Ethernet de PC1, PC3 et du serveur TFTP laide des adresses IP et des passerelles par dfaut figurant dans la table dadressage fournie au dbut de ces travaux pratiques. tape 3 : test de la configuration du PC via lenvoi dune requte ping la passerelle par dfaut de chaque PC et du serveur TFPT

Tche 3 : scurisation de laccs aux routeurs

tape 1 : configuration dune authentification AAA et de mots de passe scuriss l'aide d'une base de donnes locale Crez un mot de passe scuris pour laccs au routeur. Crez le nom dutilisateur ccna, stocker localement sur le routeur. Configurez le routeur de manire utiliser la base de donnes dauthentification locale. Dans ces travaux pratiques, pensez utiliser le mot de passe ciscoccna. tape 2 : scurisation de la console et des lignes vty Configurez la console, ainsi que les lignes vty, de manire refuser laccs aux utilisateurs saisissant un mot de passe et un nom dutilisateur incorrects, et ce deux reprises en lespace de 2 minutes. Bloquez toute tentative de connexion supplmentaire pendant 5 minutes. tape 3 : vrification du refus des tentatives de connexion, une fois le nombre maximal de tentatives autoris atteint

Tche 4 : scurisation de laccs au rseau

tape 1 : scurisation du protocole de routage RIP Nenvoyez pas de mises jour RIP aux routeurs non tributaires du rseau (tous les routeurs non mentionns dans ce scnario). Authentifiez les mises jour RIP et cryptez-les. tape 2 : vrification du fonctionnement du routage RIP

Tche 5 : consignation des activits via le protocole SNMP (Simple Network Management Protocol)
tape 1 : configuration de la connexion SNMP au serveur syslog via l'adresse 192.168.10.250 sur tous les priphriques tape 2 : consignation de tous les messages avec un niveau de gravit 4 sur le serveur syslog

Tche 6 : dsactivation des services rseau Cisco inutiliss

tape 1 : dsactivation des interfaces inutilises de tous les priphriques tape 2 : dsactivation des services globaux inutiliss sur R1 tape 3 : dsactivation des services dinterface inutiliss sur R1 tape 4 : utilisation de la fonction AutoSecure pour scuriser R2 Dans ces travaux pratiques, pensez utiliser le mot de passe ciscoccna.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 3 sur 4

CCNA Exploration Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.2 : configuration avance de la scurit

Tche 7 : gestion de Cisco IOS et des fichiers de configuration

tape 1 : identification de lemplacement du fichier running-config dans la mmoire du routeur tape 2 : transfert du fichier running-config de R1 vers R2 via le serveur TFTP tape 3 : interruption et restauration de R1 via ROMmon Copiez, puis collez, les commandes suivantes sur R1. Restaurez R1 ensuite, via ROMmon. line vty 0 4 exec-timeout 0 20 line console 0 exec-timeout 0 20 end copy run start exit

tape 4 : depuis R2, restauration de la configuration enregistre dans R1, via le serveur TFTP tape 5 : suppression de la configuration enregistre depuis R2

Tche 8 : scurisation de R2 via SDM

tape 1 : connexion R2 via PC1 tape 2 : accs la fonction d'audit de scurit tape 3 : excution dun audit de scurit tape 4 : dfinition des paramtres appliquer au routeur tape 5 : validation de la configuration du routeur

Tche 9 : documentation des configurations des routeurs

Excutez la commande show run sur chaque routeur et capturez les configurations.

Tche 10 : remise en tat

Supprimez les configurations et rechargez les routeurs. Dconnectez le cblage et stockez-le dans un endroit scuris. Reconnectez le cblage souhait et restaurez les paramtres TCP/IP pour les PC htes habituellement connects aux autres rseaux (rseaux locaux de votre site ou Internet).

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 4 sur 4