Scribd
Importer
53 vues10 pages

TP 2-2024

Transféré par

Rawnek Akremi
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats DOCX, PDF, TXT ou lisez en ligne sur Scribd
53 vues10 pages

TP 2-2024

Transféré par

Rawnek Akremi
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats DOCX, PDF, TXT ou lisez en ligne sur Scribd

MESRS

Université de Monastir Atelier Sécurité Réseaux


ISSAT Mahdia
T-LEEA
Semestre 5

TP2: Configuration et sécurisation d’un Routeur


via packet tracer

Objectifs du TP :

-Configuration initiale d’un routeur (les mots de passe, adressage IP,


table de routage, sauvegarde de la configuration et Sécurisation des
interfaces et protocoles)

Support d’activité :

- Logiciels : Cisco Packet Tracer, suite bureautique


- Internet

Tache 1 : CONFIGURATION INITIALE DES ROUTEURS : HQ, B1, B2

Paramétrage IP
La commande ifconfig permet de récupérer les informations sur les interfaces réseaux de votre
machine, utilisez la pour configurer les interfaces de vos deux machines afin de leur attribuer
une adresse réseau valide. Il est vivement conseillé de regarder le man de cette commande.
Attention au choix des adresses réseaux qui doivent faire appartenir chaque machine à des
réseaux différents ! La configuration se fera sur l’interface eth1 (carte réseau située en bas de
votre unité centrale).
- les réseaux utilisés sont les réseaux [Link] et [Link]
- le dernier chiffre de la partie hôte de l’adresse doit reprendre le numéro de la machine
g17-XX (par exemple machine G17-12 => @IP 192.168.X.12).
Ajout des modules aux routeurs :
Les Routeurs Cisco offrent la possibilité d’ajouter différents modules. L’outil de simulation
Packet Tracer permet de simuler une façade de routeur et ainsi monter différents modules.
Pour ajouter un module il faut le faire dans cet ordre :
Mettre hors tension le routeur ;
Glisser le module dans l’emplacement prévu à cet effet ;

1
· Remettre en tension le routeur.

FIGURE - AJOUT MODULE WIC-2T AU ROUTEUR

Les routeurs sont reliés entre eux par des câbles DCE. Tous les autres équipements sont
reliés par des câbles Ethernet.
B. Application d'une configuration fondamentale aux périphériques
1. Configuration du Routeur HQ :
Changement de nom :
Router>enable
Router# conf t
Router(config)#hostname HQ

2
Mot de passe de connexion en mode console
HQ#conf t
HQ(config)#lin con 0
HQ(config-line)#password cisco
HQ(config-line)#
Mot de passe telnet :
HQ#conf t
HQ(config)#line vty 0 4
HQ(config-line)#password cisco
HQ(config-line)#login
Interfaces FA0/0 :
HQ(config)# interface FA0/0
HQ(config-if)#description Liaison vers Lan [Link]/24
HQ(config-if)#ip address [Link] [Link]
HQ(config-if)#no shutdown
Interface FA0/1:
HQ(config)# interface FA0/1
HQ(config-if)#description Liaison vers Lan [Link]/24
HQ(config-if)#ip address [Link] [Link]
HQ(config-if)#no shutdown
Interface S0/0/0:
Vérification que l’interface est bien DCE
HQ#show controllers S0/0/0
Interface Serial0/0/0
Hardware is PowerQUICC MPC860
DCE V.35, no clock
L’interface est bien DCE, il faudra configurer la clock rate.
HQ # conf t
HQ(config)#
HQ(config)#interface serial0/0/0
HQ(config-if)#description Liaison vers B1
HQ(config-if)# ip address [Link] [Link]
HQ(config-if)# clock rate 64000
HQ(config-if)#no shutdown
HQ(config-if)#exit
HQ(config)#exit
HQ#
Interface S0/0/1:
Vérification que l’interface est bien DCE :
HQ#show controllers S0/0/1
Interface Serial0/0/0
Hardware is PowerQUICC MPC860
DCE V.35, no clock
HQ # conf t
HQ(config)#
HQ(config)#interface serial0/0/1
HQ(config-if)#description Liaison vers B2
HQ(config-if)# ip address [Link] [Link]
HQ(config-if)# clock rate 64000
HQ(config-if)#no shutdown
HQ(config-if)#exit
HQ(config)#exit
HQ#

3
Sauvegarde de la configuration :
HQ#copy run start
2. Configuration du Routeur B1:
Changement de nom :
Router>enable
Router# conf t
Router(config)#hostname B1
Mot de passe de connexion en mode console :
B1#conf t
B1(config)#lin con 0
B1(config-line)#password cisco
B1(config-line)#login
Mot de passe Telnet :
B1#conf t
B1(config)#line vty 0 4
B1(config-line)#password cisco
B1(config-line)#login
Interfaces FA0/0 :
B1(config)# interface FA0/0
B1(config-if)# ip address [Link] [Link]
B1(config-if)#no shutdown
Interface FA0/1:
B1(config)# interface FA0/1
B1(config-if)# ip address [Link] [Link]
B1(config-if)#no shutdown
Interface FA1/0:
B1(config)# interface FA1/0
B1(config-if)# ip address [Link] [Link]
B1(config-if)#no shutdown
Interface FA1/1:
B1(config)# interface FA0/1
B1(config-if)# ip address [Link] [Link]
B1(config-if)#no shutdown
Interface S0/0/0:
Vérification que l’interface est bien DTE
B1#show controllers S0/0/0
Interface Serial0/0/0
DTE V.35, no clock
L’interface est bien DTE , il faudra configurer la clock rate.
B1 # conf t
B1(config)#
B1(config)#interface serial0/0/0
B1(config-if)#description Liaison vers HQ
B1(config-if)#ip address [Link] [Link]
B1(config-if)#no clock rate
B1(config-if)#no shutdown
B1(config-if)#exit
B1(config)#exit
B1#
Sauvegarde de la configuration :
B1#copy run start

4
3. Configuration du Routeur B2:
Changement de nom :
Router>enable
Router# conf t
Router(config)#hostname B2
Mot de passe de connexion en mode console:
B2#conf t
B2(config)#line con 0
B2(config-line)#password cisco
B2(config-line)#login
Mot de passe telnet:
B2#conf t
B2(config)#line vty 0 4
B2(config-line)#password cisco
B2(config-line)#login
Interfaces FA0/0:
B2(config)# interface FA0/0
B2(config-if)# ip address [Link] [Link]
B2(config-if)#no shutdown
Interface FA0/1:
B2(config)# interface FA0/1
B2(config-if)# ip address [Link] [Link]
B2(config-if)#no shutdown
Interface FA1/0:
B2(config)# interface FA0/1
B2(config-if)# ip address [Link] [Link]
B2(config-if)#no shutdown
Interface FA1/1:
B2(config)# interface FA0/1
B2(config-if)# ip address [Link] [Link]
B2(config-if)#no shutdown
Interface S0/0/0:
Vérification que l’interface est bien DTE
B2#show controllers S0/0/0
Interface Serial0/0/0
DTE V.35, no clock
L’interface est bien DTE, il faudra configurer la clock rate.
B2 # conf t
B2(config)#
B2(config)#interface serial0/0/0
B2(config-if)#description Liaison vers HQ
B2(config-if)# ip address [Link] [Link]
B2(config-if)#no clock rate
B2(config-if)#no shutdown
B2(config-if)#exit
B2(config)#exit
B2#
Sauvegarde de la configuration :
B2#copy run start
Tâche 2 : Configuration des PC
4. Configuration des PC :

5
Pour configurer nous utilisons ces adresses
Ip masque passerelle
PC1 [Link] [Link] [Link]
PC2 [Link] [Link] [Link]
PC3 [Link] [Link] [Link]

Tâche 3 : Routages
Configuration d'un routage statique et par défaut
1. Routeur HQ :
HQ dois communiquer avec les réseaux de B1 c'est-à-dire de [Link] à [Link].
Donc nous devons choisir un masque qui englobe les réseaux.
· Après un petit calcule nous mettons le masque [Link], qui permet d’englober les
réseaux de B1.
HQ dois communiquer avec les réseaux de B2 c'est-à-dire de [Link] à [Link].
Donc nous devons choisir un masque qui englobe les réseaux.
· Après un petit calcul nous mettons le masque [Link], qui permet d’englober les
réseaux de B2.
HQ #
HQ#ip route [Link] [Link] Serial0/0/0
HQ# ip route [Link] [Link] Serial0/0/1
HQ#copy run start
2. Routeur B1 :
Nous mettons la route par default sur la sortie S0/0/0
B1 #
B1# ip route [Link] [Link] Serial0/0/0
B1#copy run start
3. Routeur B2:
Nous mettons la route par default sur la sortie S0/0/0
B2 #
B2# ip route [Link] [Link] Serial0/0/0
B2#copy run start

Tâche 4 : Test des connexions

Afin d’effectuer des tests de connexion nous allons réaliser des ping entre les différents
équipements du réseau. Le réseau étant constitué de beaucoup d’équipements nous n’en
illustrerons que les plus importants.
B2 vers B1 FA/0/0 :
B1#ping [Link]
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to [Link], timeout is 2 seconds:
Success rate is 100 percent (5/5), round-trip min/avg/max = 47/69/109 ms
B1#
Le ping est concluant.
Ping PC8 vers PC5 :
PC>ping [Link]
Pinging [Link] with 32 bytes of data:
Reply from [Link]: bytes=32 time=96ms TTL=126
Reply from [Link]: bytes=32 time=110ms TTL=126
Reply from [Link]: bytes=32 time=156ms TTL=126
Reply from [Link]: bytes=32 time=109ms TTL=126

6
Ping statistics for [Link]:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 96ms, Maximum = 156ms, Average = 117ms
Ping PC3 vers PC6:
PC>ping [Link]
Pinging [Link] with 32 bytes of data:
Reply from [Link]: bytes=32 time=109ms TTL=126
Reply from [Link]: bytes=32 time=125ms TTL=126
Reply from [Link]: bytes=32 time=90ms TTL=126
Reply from [Link]: bytes=32 time=141ms TTL=126
Pendant la configuration de la maquette, tous les équipements ont communiqué entres eux
de bout en bout.
2. Examinez la configuration.
Routeur HQ :
HQ#show ip interface brief
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 [Link] YES manual up up
FastEthernet0/1 [Link] YES manual up up
Serial0/0/0 [Link] YES manual up up
Serial0/0/1 [Link] YES manual up up
La table de routage :
HQ#show ip route

Gateway of last resort is not set
[Link]/30 is subnetted, 2 subnets
C [Link] is directly connected, Serial0/0/0
C [Link] is directly connected, Serial0/0/1
S [Link]/14 is directly connected, Serial0/0/0
S [Link]/22 is directly connected, Serial0/0/1
C [Link]/24 is directly connected, FastEthernet0/0
C [Link]/24 is directly connected, FastEthernet0/1

Tâche 4 : Test des configurations des Routeurs


Afficher la configuration générale du routeur HQ
HQ#show run
Afficher la table de routage :
HQ#show ip route
Afficher la configuration des adresses IP :
HQ#show ip interface brief

Tâche 5 : Configuration et Filtrages des ACL

Filtrage sur les routeurs : découverte des ACL CISCO


Nous allons maintenant utiliser les possibilités de filtrage offertes par le routeur CISCO. Pour ce
faire, nous n’allons utiliser qu’une petite partie de ces capacités, en se limitant au filtrage de niveau
réseau. Cette fonctionnalité est appelée Access Control List.
Introduction des ACL CISCO
Les Access Control List (ACL) sont des listes de filtrage présentes sur quasiment tous les routeurs
CISCO. On définit des autorisations et des interdictions. Une ACL : est définie par un numéro, qui

7
permet de classifier sa complexité (d’un simple filtrage sur les adresses IP à des filtres plus
élaborés prenant en compte les ports sources et destinations des protocoles).
- Par les règles qui lui son propre
- Par son application sur une interface en entrée ou en sortie de cette dernière
- Par un parcours séquentiel lors de son application, avec une sortie dès qu’une condition est
validée. L’ordre des autorisations et des interdictions est donc très important.

Configuration des ACL Standards :

 Définition de la liste :
Router (config.)# access-list "numéro-liste-accès entre 1 et 99" {permit|deny} "@ IP
source/masque générique"

Router (config.)# access-list "numéro-liste-accès entre 1 et 99" remark "texte" Définit

un commentaire qui rappelle l’effet de la liste d’accès.

Une fois la liste de contrôle d’accès crée, il faut l’assigner à une interface (pour l’activer) de la
manière suivante :

 Assignation de la liste à une interface :

Router (config-if)# ip access-group <n°-liste> [in|out]


- in | out indique si la liste doit être appliquée pour le trafic entrant ou sortant.

 Afficher le contenu de la liste d’accès :


La commande show access-lists affiche le contenu de toutes les listes d’accès. Pour consulter une
liste particulière il faut spécifier son numéro de liste (<n°-liste>).

 Les bits de masque générique :


Les listes de contrôle d’accès utilisent le masque générique pour spécifier quelle partie d’une
adresse IP examiner (dans le but d’accorder ou d’interdire l’accès) comme suit :
- Masque de 32 bits divisé en 4 octets
 0 signifie « vérifier la valeur du bit correspondant »
 1 signifie « ignorer la valeur du bit correspondant »

- Exemple : Router (config.)# access-list 1 permit [Link] [Link] ;


Seul les 16 premiers bits sont vérifiés

 La commande « any » :
Cette commande est utilisé pour indiquer n’importe quelle adresses (équivaut à [Link]
[Link]) :
- Exemple : Router (config.)# access-list 1 permit 0.0.0 0 [Link] ;
Équivaut à :
- Router (config.)# access-list 1 permit any ;

 La commande « host » :
Cette commande permet d’indiquer une adresse bien spécifique :
- Exemple : Router (config.)# access-list 1 permit [Link] 0.0.0 0 ;
Équivaut à :

8
- Router (config.)# access-list 1 permit host [Link] ;

Les ACL étendues :

Les listes d’accès étendues permettent de filtrer les paquets au niveau de la couche transport du
modèle OSI (vérifient les protocoles et les n° de ports source et destination), tout en précisant
l’adresse IP de destination, ainsi que d’autres paramètres.

Configuration des ACL :

La procédure est la même que la liste d’accès standard, avec la syntaxe suivante :

 Syntaxe :
Router (config.)# access-list "numéro liste accès" {permit|deny} "protocole sur IP" "@
IP source/masque générique" ["opérateur" ["port"] ] "@ IP destination/masque
générique" ["opérateur" ["port"] ] [established] [log]

Paramètre Description

N° de liste De 100 à 199


protocole sur IP Identifie le protocole concerné : IP,
TCP, ICMP, UDP,IGRP,OSPF,EIGRP
opérateur Fonction conditionnelle : eq,
lt, gt, ne, range
port N° de port (peut être
remplacé par son nom)
Established Permet au trafic TCP de passer si le
paquet utilise une connexion établie
log Permet de préciser si les
correspondances trouvées pour la
liste d’accès doivent être consignées

Remarque : Seuls les protocoles qui utilisent directement IP sont pris en compte. Par exemple,
RIP n’apparaît pas car il utilise UDP.

 Exemple :
Router (config.)# access-list 101 deny tcp any host [Link] range 20 23
access-list 101 permit tcp any host [Link] eq smtp

Ainsi, on bloque les services TCP (20 à 23) à destination de [Link], et on autorise
uniquement le service de messagerie (SMTP) vers cette même machine.

2) IP Accounting :

IP accounting est un outil (debugging) permettant de vérifier si une ACL étendue est correcte. Il
permet de garder trace des adresses sources et destinations des correspondances trouvées

9
pour la liste d’accès mais aussi celles qui violent la même liste.
IP accounting permet ainsi de vérifier quels paquets sont autorisés et ceux qui sont bloqués.

 Syntaxe : (mode configuration interface):


Router (config-if)# ip accounting output-packets
Router (config-if)# ip accounting access-violations

 Afficher le contenu de la trace :


Router # show ip accounting
Router # show ip accounting access-violations

3) Loggings :

Il s’agit d’une autre technique (mot clé log) pour vérifier si une ACL étendue est correcte. Elle
permet de préciser si les correspondances trouvées pour la liste d’accès doivent être
consignées dans le buffer du router.

L’accès aux logs du routeur se fait par la commande show logging.

 Exemple:
Router (config)# access-list 101 deny tcp any host [Link] range 20 23 log

B. Contrôle des mises à jour de routage grâce aux ACL :

Les listes d’accès peuvent aussi servir à filtrer les informations de routage. Pour réaliser ce
filtrage, on procède de la manière suivante :

1. Créer la liste d’accès en standard ou étendue comme décrit auparavant.

2. En mode configuration routeur, appliquer la liste définie, par la commande


distribute-list <n°-liste> [in|out] <interface>, à l’interface donnée en argument. Les mots clefs in
(entrée) et out (sortie) permettent de déterminer le sens du filtre.

10

Vous aimerez peut-être aussi