Scribd
Importer
48 vues6 pages

Sécurisation et configuration réseau GNS3

Transféré par

amina mINU
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats DOCX, PDF, TXT ou lisez en ligne sur Scribd
48 vues6 pages

Sécurisation et configuration réseau GNS3

Transféré par

amina mINU
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats DOCX, PDF, TXT ou lisez en ligne sur Scribd

1.1.

Renforcement de la sécurité d’un réseau


1.1.1. Objectif
Le but de ce laboratoire est de présenter plus avant le simulateur de réseau GNS3, de couvrir quelques
configurations de base du réseau, d’étudier certaines vulnérabilités de la sécurité des périphériques
réseau et de renforcer le durcissement des périphériques sur les routeurs Cisco.
1.1.2. Ajoutez votre ordinateur hôte au réseau virtuel - via une interface de bouclage
Il existe plusieurs façons d’incorporer des hôtes / serveurs à la topologie GNS3. Un simulateur de PC
virtuel, une machine virtuelle (VM) ou l'ordinateur hôte lui-même peut être connecté en tant que
système hôte. Dans l'exemple suivant, la machine hôte sera connectée à la topologie GNS3 via une
interface Lookpback.

Configurer une interface de bouclage pour se connecter à la topologie virtuelle


Vérifiez si une carte réseau en boucle est installée à partir de la boîte de dialogue Centre de mise en
réseau et de partage (boîte de dialogue Mise en réseau des versions précédentes de Windows).
Vérifiez les interfaces à partir de la fenêtre Connexions réseau (cliquez sur Modifier les paramètres de
la carte) comme indiqué ci-dessous:

Si aucune carte réseau de bouclage n'est installée, une interface de bouclage devra être ajoutée
sur l'ordinateur local (s'il existe un bouclage, passez à la section de configuration).
Sous Windows 7, lancez hdwwiz à partir de l'invite de démarrage ou de la ligne de commande.
Sélectionnez Installer le matériel manuellement, comme indiqué ci-dessous.

Choisissez Cartes réseau dans la liste, puis cliquez sur Suivant, comme indiqué ci-dessous.

Choisissez Microsoft en tant que fabricant, puis Microsoft Loopback Adapter en tant que carte
réseau. Terminez l'assistant.
Configurer la carte réseau de bouclage
Sélectionnez Connexions réseau (Modifier les paramètres de l'adaptateur) dans la boîte de
dialogue Centre de mise en réseau et de partage (boîte de dialogue Mise en réseau dans les
versions précédentes de Windows), comme indiqué ci-dessous.

Cliquez avec le bouton droit sur l'interface de bouclage et définissez l'adressage IP de la couche réseau sur
[Link]/24, comme indiqué ci-dessous. Cliquez sur OK pour enregistrer les modifications.

Configurer une interface de bouclage pour se connecter à la topologie virtuelle


Ouvrir une terminal autant qu’administratif et écrire la commande suivante:
sc config npfstart= auto
Redémarrer votre ordinateur ouvrer par la suite GNS3 et ajouter deux routeur c7200 à votre
topologie.
Faites glisser un ordinateur dans le volet de l'espace de travail de la topologie, comme indiqué ci-
dessous.
Clic droit> Configurer l'ordinateur C1. Sélectionnez C1 sous les nuages, puis sélectionnez l’onglet
Ethernet NIO. Les droits d'administrateur sont requis pour cela. Sélectionnez l'interface réseau à
utiliser, dans ce cas l'interface de bouclage configurée précédemment, comme indiqué ci-dessous.
Supprimez tous les éléments déjà sélectionnés, puis cliquez sur le bouton Ajouter pour ajouter le
bouclage, puis sur OK pour terminer.

Utilisez le bouton Ajouter un lien et l'option Manuelle pour créer votre connexion de l'interface de bouclage à
l'interface R1 f0/1, comme indiqué ci-dessous.

Attribuez une adresse IP sur le même réseau que l'hôte et activez l'interface.
R1(config)# interface fa0/1
R1(config-if)# description INT TO THE [Link]/24 HOST NETWORK
R1(config-if)# ip address [Link] [Link]
R1(config-if)# no shutdown
R1(config-if)# exit
R1(config)#
Tester la connectivité entre le système hôte et le périphérique R1
Vérifiez les états actuels de l'interface à l'aide de show ip int brief et affichez la configuration en cours.
1.1.3. Routage du trafic réseau
Utilisez les commandes suivantes pour exécuter le protocole de routage rip et ajouter le routage pour tous les
réseaux connectés ([Link]) sur le routeur R1.
R1(config)# router rip
R1(config-router)# network [Link]
R1(config-router)# exit
R1(config)#
Faire de même pour le routeur R2
Q : Vérifiez la table de routage. A-t-il été rempli de routes vers des réseaux ?
Q : Combien de routes sont directement connectées au routeur et combien ont été apprises à partir du
protocole de routage rip ?
Tester la connectivité entre le périphérique R2 et le système hôte
Tester la connectivité entre le système hôte et le périphérique R2
Q : L'interface du routeur répond-elle ?
Q : Le PC hôte répond-il ?
Q : Si non, qu'est-ce qui pourrait être à l'origine du problème ?
Si une autre interface sans fil ou réseau local sur l'hôte est activée et qu'une passerelle par défaut est définie, le
trafic peut être envoyé via cette interface. Si les requêtes ping vers R2 échouent, désactivez temporairement les
autres interfaces activées à partir de la boîte de dialogue Connexions réseau. Testez à nouveau la connectivité
au routeur R2.
1.1.4. Renfort de périphérique réseau - Mots de passe d'accès administrateur
Console d'administration Sécurité d'accès - Ajouter des mots de passe
Le moyen le plus simple de se connecter au périphérique consiste à utiliser le port console, comme indiqué ci-
dessous.

Un mot de passe de console peut être configuré et un mot de passe ajouté à l'aide des commandes suivantes:
R1(config)#
R1(config)# line con<TAB>
R1(config)# line console 0
R1(config-line)# password conpass
R1(config-line)# login
R1(config-line)# exit
R1(config)#
Cryptage du mot de passe
Le cryptage des mots de passe peut être défini sur les périphériques Cisco, ce qui signifie que tous les mots de
passe configurés sur le routeur sont cryptés. L'algorithme de chiffrement utilisé n'est pas un algorithme de
chiffrement de hachage, et est assez facilement déchiffré. Utilisez le suivant:
R1(config)#
R1(config)# service password-encryption
R1(config)# exit
R1#
1.1.5. Accès administratif à distance - Telnet
Serveur Telnet
Les administrateurs doivent généralement configurer les périphériques à distance, car ils n'ont peut-être pas
d'accès physique à brancher sur le port de la console. Les interfaces virtuelles (ou lignes) du périphérique
réseau peuvent être configurées pour accéder au serveur Telnet des routeurs et l'administrateur peut administrer
le périphérique via le réseau local à l'aide d'un client Telnet, comme indiqué ci-dessous.

Le mot de passe de la ligne virtuelle fournit une authentification pour l’accès administratif à distance au service
telnet du routeur. La commande suivante définit cinq lignes virtuelles, 0-4. Sauf si un mot de passe telnet est
défini, l'accès sur cette ligne virtuelle est bloqué. Configurez les lignes de terminaux virtuels à l'aide de:
R1# config t
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)# line vty 0 4
R1(config-line)# password telnetpass
R1(config-line)# login
R1(config-line)# exit
R1(config)#
Client Telnet
Connectez-vous à partir du système hôte à l'aide d'un client telnet. Telnet n'est pas installé par défaut dans
certaines versions de Windows (telles que Windows 7). Pour installer le client Telnet, cliquez sur le bouton
Démarrer de Windows, sélectionnez Panneau de configuration, Programmes et fonctionnalités, puis Activer ou
désactiver les fonctionnalités Windows.
Dans la boîte de dialogue Fonctionnalités Windows, cochez la case Client Telnet, comme indiqué ci-dessous,
puis cliquez sur OK. L'installation peut prendre une minute ou deux!

Depuis le système hôte, administrez le routeur R1 via Telnet.


À partir de l'hôte, ouvrez une fenêtre Cmd et utilisez le telnet -? commande pour vérifier la syntaxe de l'outil
client Telnet.
Utilisez maintenant la commande telnet [Link] pour vous connecter au serveur telnet sur R1, comme
indiqué. Connectez-vous avec le mot de passe Telnet que vous avez configuré.

Maintenant, telnet à R2: telnet [Link]


Exécutez Wireshark pour capturer le trafic.
Q : Quel protocole de couche réseau utilise Telnet ?
Q : Quels sont les numéros de paquets des paquets effectuant la négociation TCP ?
Q : Complétez le schéma avec les adresses IP et les numéros de port des clients et des serveurs.

1.1.6. Accès administratif à distance - Secure Shell (SSH)


SSH est une application d'émulation de terminal sécurisée permettant un accès administratif aux périphériques
dotés de communications cryptées. Il peut également fournir une authentification cryptographique du serveur
SSH distant. Configurez le serveur SSH sur le routeur R1 comme suit.
Serveur SSH
Un nom de domaine doit être créé pour utiliser SSH à partir de Cisco IOS:
R1# config t
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)# ip domain-name [Link]
SSH a besoin de clés de cryptographie asymétriques RSA pour l’authentification et le chiffrement du trafic.
Utilisez une clé de 1024 bits et non la valeur par défaut du Cisco 512, comme indiqué ci-dessous:
R1(config)# crypto key generate rsa general-keys modulus 1024
Définissez un délai de connexion de 15 secondes et le nombre de tentatives à 3
R1(config)# ip ssh time-out 10
R1(config)# ip ssh authentication-retries 3
SSH n'autorise pas l'utilisation du mot de passe de ligne virtuelle pour fournir une authentification pour l'accès
administratif à distance au routeur. Un compte d'utilisateur doit être configuré, soit localement sur le
périphérique, soit sur un serveur d'authentification. Les commandes suivantes configurent un utilisateur / mot
de passe et définissent les cinq lignes virtuelles, de 0 à 4 pour utiliser SSH au lieu de telnet:
R1(config)# username admin secret ssh pass
R1(config)# line vty 0 4
R1(config-line)# transport input ssh
R1(config-line)# login local
R1(config-line)# exit
R1(config)#
Vérifiez que le serveur SSH est en cours d’exécution à l’aide des commandes suivantes:
R1# show ipssh
Client SSH
Sur le PC hôte, nous utiliserons le client SSH Putty.
Sur le système hôte, ouvrez l'application Putty, comme indiqué ci-dessous, et connectez-vous au serveur SSH
sur R1 en sélectionnant Oui dans la boîte de dialogue vous demandant si vous faites confiance au serveur SSH.

Vous devriez pouvoir vous connecter avec votre compte utilisateur et votre mot de passe définis sur le routeur,
comme indiqué ci-dessous.

Exécutez Wireshark pour capturer le trafic de session SSH.


Q : Pouvez-vous lire les données de la session SSH ?
Q : Quelles menaces/attaques SSH aiderait-il à atténuer ?
Q : Recherchez quel type d'attaque pourrait permettre la lecture du trafic SSH et donnez une brève
description :

Vous aimerez peut-être aussi