Travaux Pratiques

http://robert.cireddu.free.fr/

Extrait du référentiel : BTS Systèmes Numériques option A (Informatique et Réseaux) Niveau(x) S7. Réseaux, télécommunications et modes de

transmission

S7.2. Concepts fondamentaux des réseaux

Équipements réseau : connecteur, carte réseau, commutateur, pont,

routeur, etc.

Modèle en couches et protocoles de l’Internet : IP, ICMP, ARP, UDP,TCP, etc.

3 3

http://robert.cireddu.free.fr/

Objectifs du TP :

- Sécurisation des ports :

- désactivation des ports inutilisés - surveillance DHCP (snooping) - sécurisation port/MAC

- sécurisation de port par « sticky MAC » - Exercice :

- configuration et sécurisation d’un commutateur

Support d’activité :

- Logiciels : Cisco Packet Tracer, suite bureautique - Internet

- Ce document au format PDF

Vous rédigerez un compte-rendu numérique Résumez les questions avant de répondre

Pensez aux captures d’écran pour imager votre compte-rendu Sauvegardez votre travail régulièrement !

Des modifications peuvent exister selon la version du logiciel utilisée

SÉCURISATION DES PORTS

DÉSACTIVATION DES PORTS INUTILISÉS

Désactivez tous les ports qui ne sont pas exploités. Sur un routeur tous les ports sont administrativement désactivés, contrairement au commutateur.

Une bonne pratique consiste à commencer la configuration des commutateurs en désactivant toutes les interfaces et, dans la suite de la configuration, activer uniquement celles qui sont utilisées.

La commande « interface range » permet de configurer un groupe de ports.

Exemple : sur le commutateur WS-2960-24TT Switch>enable

Switch#configure terminal

Switch(config)#interface range F0/1-24 Switch(config-if-range)#shutdown

…

%LINK-5-CHANGED: Interface FastEthernet0/24, changed state to administratively down Switch(config-if-range)#

Switch(config-if-range)#interface range G0/1-2 Switch(config-if-range)#shutdown

%LINK-5-CHANGED: Interface GigabitEthernet0/1, changed state to administratively down

%LINK-5-CHANGED: Interface GigabitEthernet0/2, changed state to administratively down

Question 1

À l’aide du logiciel « Cisco Packet Tracer », testez l’exemple ci-dessus.

SURVEILLANCE DHCP (SNOOPING)

Comme vous l’avez-vu lors d’une activité pratique précédente, le DHCP (Dynamic Host

Configuration Protocol) fonctionne en mode Client/serveur avec un échange d’informations qui peut être résumé par l’acronyme DORA. En effet, l’attibution de l’adresse IP se fait par le biais d’un mécanisme décomposé en quatre étapes :

- DHCP Discover (D) : découverte du ou des serveurs DHCP ;

- DHCP Offer (O) : proposition d’adresses IP fournie par le ou les serveurs DHCP ; - DHCP Request (R) : demande de réservervation d’un client vers un serveur DHCP ; - DHCP Ack (A) : confirmation de réservation du serveur vers le client.

Le principe de la surveillance DHCP (DHCP snooping) consiste à définir les ports connectés aux serveurs DHCP désignés comme « trust » (de confiance) afin de les autoriser à répondre à toutes les requêtes DHCP.

Les autres ports sont « untrust » (non fiable) et ils pourront uniquement obtenir les demandes DHCP. Seules les offres suivantes seront autorisées en entrée : Discover et Request. Si un périphérique (sur un port non fiable) tente d’envoyer une offre DHCP, le port est arrêtée.

Cette surveillance permet au commutateur de créer une table (snooping binding) contenant le numéro de port, le numéro de VLAN, l’adresse MAC, l’adresse IP du client qui pourra être exploitée pour réduire les risques de débordement de la table d’adresse MAC.

À lire : DHCP snooping et mise en place DHCP snooping.

Question 2

À l’aide du logiciel « Cisco Packet Tracer » réalisez le montage conformément à la topologie (physique et logique) ci-dessous.

Activez la surveillance DHCP :

Switch>enable

Switch#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Switch(config)#ip dhcp snooping Définissez les ports fiables :

Switch(config)#interface f0/1

Switch(config-if)#ip dhcp snooping trust

Switch(config-if)#ip dhcp snooping limit rate 100 Switch(config-if)#

…

La commande « dhcp snooping » permet de limiter le nombre de requête DHCP (100 messages DHCP/s) afin de réduire le risque de « DHCP starvation ».

Vous pouvez visualiser la configuration :

Switch#sh ip dhcp snooping Switch DHCP snooping is enabled

DHCP snooping is configured on following VLANs:

none

Insertion of option 82 is enabled

Option 82 on untrusted port is not allowed Verification of hwaddr field is enabled Interface Trusted Rate limit (pps)

--- --- --- FastEthernet0/1 yes 100

…

La table des liens peut également être visualisée : « sh dhcp snooping binding ».

SÉCURISATION PORT/MAC

La sécurisation de port se met en œuvre en configurant une valeur maximale d’adresses MAC à stocker dans la table d’adresses MAC. Ainsi, il est possible de restreindre la taille des tables d’adresses MAC par port. Il est également possible de créer des enregistrements d’adresses dans la table d’adresses MAC. Ainsi, il est possible de restreindre l’utilisation d’un port à un client

spécifique. Cette option associée à la limitation de table d’adresses MAC permet d’accroître encore plus la sécurité.

Question 3

À l’aide du logiciel « Cisco Packet Tracer » réalisez le montage conformément à la topologie (physique et logique) ci-dessous.

L’adresse MAC peut être modifiée sur Cisco Packet Tracer.

Si le périphérique derrière un port est connu et fixe, il est possible de n’autoriser que l’adresse MAC de ce périphérique.

Entrez les commandes ci-dessous :

Switch(config)#interface fastethernet 0/1 Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security

Switch(config-if)#switchport port-security mac-address 00D0.BA28.35BA Switch(config-if)#switchport port-security maximum 1

Switch(config-if)#switchport port-security violation restrict

Ajouter un deuxième PC (192.168.0.2/24). Testez la connectivité entre les deux machines. Le test d’écho est-il concluant ?

Modifiez l’adresse MAC de « PC ». Testez la connectivité entre les deux machines. Le test d’écho est-il concluant ?

La commande switchport port-security acive la sécurité du port pour l’interface en cours.

La commande switchport port-security maximum définit le nombre d’adresse MAC autorisées derrière ce port (par défaut, une seule).

La commande switchport-security violation restrict bloque les adresses MAC inconnues, crée un message « syslog » et incrémente le compteur de violation de 1.

Deux autres comportements auraient également pu être choisis :

- switchport port-security violation shutdown qui bloque définitivement le port, crée un message syslog et incrémente le compteur de violation de 1. Il faut alors l’intervention de l’administrateur pour réactiver le port (no shutdown du port).

- switchport port-security violation protect qui bloque uniquement les adresses MAC inconnues sans créer de message syslog et sans incrémenter le compteur de violation.

Il est possible de voir l’état d’une interface avec la commande ci-dessous : Switch#sh port-security interface fa0/1

Port Security : Enabled Port Status : Secure-up Violation Mode : Restrict Aging Time : 0 mins Aging Type : Absolute

SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1

Total MAC Addresses : 1 Configured MAC Addresses : 1 Sticky MAC Addresses : 0

Last Source Address:Vlan : 00D0.BA28.35BC:1 Security Violation Count : 3

Port-security est bien activé sur le port fa0/1 et son mode est bien restrict.

Il y a eu ici 3 violation de sécurité et l’interface est restée active.

SÉCURISATION DE PORT PAR « STICKY MAC »

La sécurisation de port des commutateurs permet de contrôler les accès physiques au réseau. Le principe est d’associer à un port l’adresse MAC du client. La difficulté est d’inventorier les

adresses MAC, puis de les associer aux ports où est connecté l’ordinateur client.

La configuration des ports en « sticky MAC » rend l’association MAC-port plus simple. À la première connexion de l’ordinateur client, le commutateur va lire l’adresse MAC et créer une entrée associant cette dernière au port.

Question 4

Réalisez le montage conformément à la topologie (physique et logique) ci-dessous.

Entrez les commandes ci-dessous :

Switch#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Switch(config)#interface fa0/10

Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security

Switch(config-if)#switchport port-security mac-address sticky Switch(config-if)#switchport port-security maximum 1

Switch(config-if)#switchport port-security violation shutdown

Connectez le PC à l’interface fa0/10 et regardez les paramètres port-security.

Switch#sh port-security interface f0/10 Port Security : Enabled

Port Status : Secure-up Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute

SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1

Total MAC Addresses : 1 Configured MAC Addresses : 0 Sticky MAC Addresses : 1

Last Source Address:Vlan : 000C.8570.5D11:1 Security Violation Count : 0

Pensez à réaliser à test d’écho sur vers une autre machine via le commutateur !

L’interface est bien en mode Shutdown et a bien appris automatiquement l’adresse MAC de PC.

Placez une autre machine derrière ce même port.

Demandez à nouveau les paramètres port-security.

Switch#sh port-security interface f0/10 Port Security : Enabled

Port Status : Secure-shutdown Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute

SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1

Total MAC Addresses : 1 Configured MAC Addresses : 0 Sticky MAC Addresses : 1

Last Source Address:Vlan : 0090.2B84.8853:1 Security Violation Count : 1

L’interface est bien désactivée (Port status : Secure-shutdown) et la violation a bien été comptée (Security Violation count : 1).

Question 5

Réactivez le port de l’interface Fa0/10.

Pour réactivez le port en Secure-shutdown, il faut d’abord le désactiver puis le réactivez.

Question 6

Donnez une vue générale avec la commande « show port-security address ».

Secure Mac Address Table

--- Vlan Mac Address Type Ports Remaining Age

(mins)

---- --- ---- --- ---

1 000C.8570.5D11 SecureSticky FastEthernet0/10 -

--- Total Addresses in System (excluding one mac per port) : 0

Max Addresses limit in System (excluding one mac per port) : 1024 Le contenu de la table des adresses MAC peut être visualisé : sh mac-address-table

EXERCICE

CONFIGURATION ET SÉCURISATION D’UN COMMUTATEUR

Réalisez le montage conformément à la topologie page suivante.

Des informations figurant sur la topologie réseau ci-dessus peuvent vous être utile pour la configuration du réseau.

Question 8

Configurez le serveur DHCP (service sur SRV-01) :

Adresse IP : 172.17.200.1/24 Passerelle : 172.17.200.254

Configurez le serveur DNS (service sur SRV-01) comme ci-dessous :

Configurez PR-01 :

Adresse IP : 172.17.200.101/24 Passerelle : 172.17.200.254 Configurez LT-01 :

Adresse IP : dynamique via le serveur DHCP Vérifiez la configuration de LT-01 :

Question 9

Configurez le commutateur : nom d’hôte et suffixe DNS.

Nom d’hôte : SW-01 Suffixe DNS : snir1.local

Activez le chiffrement des mots de passe.

Protégez l’accès au mode privilégié avec le mot de passe : snir1.

Protégez l’accès à la console avec le mot de passe : secret.

Vous allez ajouter l’utilisateur « admin » avec le mot de passe « password ».

SW-01(config)#username admin secret password

Vous allez en plus, configurer l’accès VTY (SSHv2 uniquement) pour utiliser l’utilisateur « admin » et la synchronisation des logs pour tour les VTY. La clé RSA aura ici un modulo de 1024 bits.

SW-01(config)#crypto key generate rsa

The name for the keys will be: SW-01.snir1.local

Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes.

How many bits in the modulus [512]: 1024

% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

SW-01(config)#ip ssh version 2

*mars 1 0:13:0.608: %SSH-5-ENABLED: SSH 1.99 has been enabled SW-01(config)#line vty 0 15

SW-01(config-line)#login local

SW-01(config-line)#transport input ssh SW-01(config-line)#logging synchronous SW-01(config-line)#exit

SW-01(config)#

Vérifiez les paramètres SSH :

SW-01#sh ip ssh

SSH Enabled - version 2.0

Authentication timeout: 120 secs; Authentication retries: 3 Question 10

Configurez l’interface de gestion : 172.17.200.241/24 (VLAN 200 « gestion ») ainsi que la passerelle par défaut 172.17.200.254.

Question 11

Désactivez toutes les interfaces.

Question 12

Placez les interfaces F0/1, F0/2, F0/23 et F0/24 dans le VLAN 200, activez-les et testez la connexion avec le portable, l’imprimante et le serveur.

Exemple de test de connexion depuis le commutateur vers le serveur : SW-01#ping 172.17.200.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 172.17.200.1, timeout is 2 seconds:

.!!!!

Success rate is 80 percent (4/5), round-trip min/avg/max = 0/0/0 ms

En cas de problème, utilisez la commande : « sh ip inter br » pour avoir des informations concernant les interfaces et les VLAN.

Question 13

Testez les accès Telnet et SSH deuis le portable.

Pour Telnet, c’est du déjà vu, pour SSH, c’est nouveau et la commande est : ssh -l admin adresse IP

Question 14

Interdisez la connexion de tout autre périphérique que l’imprimante sur le port F0/2.

Le port doit rester actif après une violation et une trace des violations doit être gardée. Il faut utiliser l’adresse MAC de l’imprimante.

Question 15

Interdisez la connexion de tout autre périphérique que le portable sur le port F0/1.

Le port doit être désactivé en cas de violation et une trace des violations doit être gardée. Il faut pas utiliser directement l’adresse MAC.

Question 16

Donnez une vue générale sur la sécurité des ports.

Question 17

Mettez en place la surveillance DHCP avec un taux de 80 pps et sauvegardez la configuration.

APPELEZ LE PROFESSEUR POUR VALIDER