Configuration dun LAN PME 14.

01
Configuration vrification de la connectivit Ethernet et TCP/IP

Exercice de configuration LAN PME 14.01 - Configuration et vrification TCP/IP de F.-E. Goffinet goffinet@goffinet.eu est mis disposition selon les termes de la licence Creative Commons Attribution - Partage dans les Mmes Conditions 2.0 Belgique.

Pr-requis
Le cours "Construire un rseau simple" au pralable. Un document de laboratoire accompagne cette prsentation.

Description de l'activit
Dans ce travail d'initiation, on vous demande d'tablir et de vrifier la connectivit TCP/IP d'une topologie LAN "Small and Medium Business (SMB/PME)" sur une passerelle. Environnement Cisco IOS Routage par dfaut Adressage priv 192.168.1.0/24 NAT/PAT Clients LAN tous OS - adressage statique et dynamique (DHCP) La mise en place du service DHCP et du NAT/PAT Accessoirement, le configuration de la scurit sur les routeurs et commutateurs, le pare-feu, une activit ARP poisonning (empoisonnement ARP)

Objectifs
Comprendre et diagnostiquer la connectivit TCP/IP dans un LAN. Acqurir les comptences de configuration et de vrification d'un routeur (passerelle). Acqurir des comptences fondamentales en diagnostic des rseaux. Implmenter le services NAT et DHCP. Dvelopper des comptences en Cisco IOS. Se familiariser avec la scurit du rseau. Se familiariser avec des contextes d'administration htrognes.

Sommaire
1. 2. 3. 4. 5. 6. 7. 8. Configuration de base de la topologie Diagnostic de la connectivit locale Activation du NAT et du service DHCP Vrification de la connectivit globale Configuration du pare-feu Scurisation du routeur et du commutateur Configuration de base du commutateur Attaque de couche 2 (Empoisonnement ARP)

Topologie
Tches accomplir :
1. Configuration du routeur 2. Configuration des priphriques du LAN

Environnement de laboratoire
1. 2. 3. 4. Laboratoire rel Fichier PacketTracer : smb-lan.pkt Reproduisible sous GNS3. Reproduisible avec M0n0wall ou pfSense, n'importe quelle distribution Linux sous VMware/Virtualbox/XEN

Lectures pralables
Fondamentaux des rseaux : modles, protocoles, encapsulation, TCP/IP, composants, lexique http://cisco.goffinet.org/s2/notions_routeurs

1re partie
Configuration de base de la topologie

Topologie
Tches accomplir :
1. Configuration du routeur 2. Vrification des paramtres

Matriel configurer
Les machines sont dj cbles et allume. Le nuage ISP est dj configur. Il y a deux PCs (statique) configurer et un routeur Cisco 1841.

Routeur : paramtres
Paramtres globaux :
Nom de la machine : Gateway

Interface LAN :
nom : interface Fa0/0 adresse IPv4 : 192.168.1.254 255.255.255.0

Interface WAN :
nom : interface Fa0/1 adresse IPv4 : attribue par DHCP

Routage :
route statique par dfaut

Connexion la console du routeur

Cble invers (roll-over) du port COM1 du PC au routeur sur le port console. Lancer un logiciel d'mulation de terminal (putty/hyperterminal)

Configuration du routeur
1. Vrification des interfaces 2. Configuration des paramtres globaux 3. Configuration de l'interface LAN 4. Vrification de l'interface LAN 5. Configuration de l'interface WAN 6. Vrification de l'interface WAN 7. Vrification de la table de routage 8. Cration de la route statique et vrification 9. Enregistrer la configuration du routeur 10. Fichier de configuration

1. Vrification des interfaces

1. Accder au mode privilge :
Router>enable Router#

2. Vrifier les interfaces :

Router#show ip interface brief
Interface Protocol FastEthernet0/0 FastEthernet0/1 Vlan1 IP-Address OK? Method Status

unassigned unassigned unassigned

YES unset YES unset YES unset

administratively down down administratively down down administratively down down

2. Configuration des paramtres globaux

1. Entrer en mode configuration globale
Router#configure terminal

2. Donner un nom au routeur :

Router(config)#hostname Gateway Gateway(config)#

3. Configuration de l'interface LAN

1. Appeler l'interface LAN :
Gateway(config)#interface Fa0/0

2. Lui donner une adresse IPv4 :

Gateway(config-if)#ip address 192.168.1.254 255.255.255.0

3. Activer l'interface :
Gateway(config-if)#no shutdown

4. Sortie du mode de configuration :

Gateway(config-if)#exit Gateway(config)#exit Gateway#

4. Vrification de l'interface LAN

1. Vrification de l'interface LAN :
Gateway#show ip interface brief
Interface FastEthernet0/0 FastEthernet0/1 Vlan1 IP-Address 192.168.1.254 unassigned unassigned OK? Method Status YES manual up YES unset YES unset Protocol up

administratively down down administratively down down

Gateway#

5. Configuration de l'interface WAN

1. Appeler l'interface WAN :
Gateway#configure terminal Gateway(config)#interface Fa0/1

2. Configuration client DHCP :

Gateway(config-if)#ip address dhcp

3. Activer l'interface :
Gateway(config-if)#no shutdown

4. Sortie du mode de configuration :

Gateway(config-if)#exit Gateway(config)#exit Gateway#

6. Vrification de l'interface WAN

1. Vrifier l'interface WAN
Gateway#show ip interface brief
Interface FastEthernet0/0 FastEthernet0/1 Vlan1 +++ Sh int F0/1 +++ ping 195.238.2.22 IP-Address 192.168.1.254 195.238.2.21 unassigned OK? Method Status YES manual up YES DHCP YES unset up Protocol up up

administratively down down

7. Vrification de la table de routage

Gateway# show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS interarea * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is not set C C 192.168.1.0/24 is directly connected, FastEthernet0/0 195.238.2.0/30 is subnetted, 1 subnets 195.238.2.20 is directly connected, FastEthernet0/1

8. Cration de la route statique

Gateway(config)# ip route 0.0.0.0 0.0.0.0 fa0/1 Gateway(config)#^Z Gateway# %SYS-5-CONFIG_I: Configured from console by console Gateway# show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is 0.0.0.0 to network 0.0.0.0 C C 192.168.1.0/24 is directly connected, FastEthernet0/0 195.238.2.0/30 is subnetted, 1 subnets 195.238.2.20 is directly connected, FastEthernet0/1

9. Enregistrer la configuration du routeur

Enregistrement de la configuration :
Gateway#copy running-config startup-config Destination filename [startup-config]? Building configuration... [OK] Gateway#

Visualisation de la configuration courante (RAM) :

Gateway#show running-config

Visualisation de la configuration de dmarrage (NRAM):

Gateway#show startup-config

Fichier de configuration
hostname Gateway ! interface FastEthernet0/0 ip address 192.168.1.254 255.255.255.0 Vous pouvez coller ces commandes ip nat inside en mode de configuration globale no shutdown (config)# ! interface FastEthernet0/1 ip address dhcp ip nat outside no shutdown ! access-list 1 permit 192.168.1.0 0.0.0.255 ip nat inside source list 1 interface FastEthernet0/1 overload ! ip route 0.0.0.0 0.0.0.0 FastEthernet0/1 ! ip dhcp pool GW network 192.168.1.0 255.255.255.0 default-router 192.168.1.254 dns-server 8.8.8.8 ! ip dhcp excluded-address 192.168.1.1 192.168.1.10 ! end

2me partie
Diagnostic de la connectivit locale

Topologie
Tches accomplir :
1. Configuration des stations de travail 2. Vrifications locales et diagnostic

Configuration statique d'un PC

Sous Windows :
http://windows.microsoft.com/fr-ca/windowsvista/change-tcp-ip-settings

Sous Linux :
https://help.ubuntu.com/12. 04/serverguide/network-configuration.html#ipaddressing

Sous PT :
Desktop / IP Configuration Placez les paramtres : Adresse IP : 192.168.1.1 Masque : 255.255.255.0 Passerelle par dfaut : 192.168.1.1 Serveur DNS : 8.8.8.8

Vrification de l'interface du PC
Vrifier ses paramtres : ipconfig

Vrification de la table de routage du PC

netstat -r, route print

Ping vers la passerelle

ping 192.168.1.2654

Vrification L2 sur la station de travail

arp -a

6. Vrification L2 sur le routeur

show ip interface brief

6. Vrification L2 sur le routeur

show interface f0/0

Rfrences
Rfrences :

http://cisco.goffinet.org/s2/notions_routeurs

3me Partie
Activation du NAT et du service DHCP

Topologie
Tches accomplir :
1. Activer le NAT/PAT 2. Activer le service DHCP sur le LAN

Manque d'IPv4
En IPv4, on distingue adressage priv dfinition tendue Dfinition du NAT Combin -->

Rle du NAT/PAT
Ici, tablir la connectivit IPv4 entre un rseau priv et l'Internet adress globalement :
Pro udp udp udp Inside global 195.238.2.21:1029 195.238.2.21:1025 195.238.2.21:1024 Inside local 192.168.1.11:1029 192.168.1.12:1025 192.168.1.13:1025 Outside local 8.8.8.8:53 8.8.8.8:53 8.8.8.8:53 Outside global 8.8.8.8:53 8.8.8.8:53 8.8.8.8:53

En maintenant une table de correspondance Protocole Adresse Port Deux cts : Inside Outside

Logique de configuration sur Cisco IOS

1. Quel trafic traduire ?
Le trafic ayant pour IP_SOURCE 192.168.1.0/24

2. Cration de la rgle :
Traduire dans le trafic venant de l'intrieur l'IP_SOURCE 192.168.1.0/24 par l'adresse IP de l'interface f0/1 (195.238.2.21) avec du PAT.

3. Dfinition Inside / Ouside :

L'interface f0/0 sera du ct "intrieur". L'interface f0/1 sera du ct "extrieur".

Configuration du NAT/PAT
1. Quel trafic traduire ?
Gateway(config)#access-list 1 permit 192.168.1.0 0.0.0.255

2. Cration de la rgle :
Gateway(config)#ip nat inside source list 1 interface f0/1 overload

3. Dfinition Inside / Ouside :

Gateway(config)#interface Gateway(config-if)#ip nat Gateway(config-if)#exit Gateway(config)#interface Gateway(config-if)#ip nat Gateway(config-if)#exit Gateway(config)# f0/0 inside f0/1 outside

Vrification du NAT
A partir du routeur, gnrer du trafic prenant l'adresse IP de l'interface LAN come origine ...

Vrification du NAT/PAT
Gateway# ping Protocol [ip]: Target IP address: 195.238.2.21 Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Source address or interface: 192.168.1.254 Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 195.238.2.21, timeout is 2 seconds: Packet sent with a source address of 192.168.1.254 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 4/5/6 ms

10.b Vrification du NAT/PAT

Gateway# show ip nat translations Pro Inside global Inside local global icmp 195.238.2.21:11 192.168.1.254:11 11 icmp 195.238.2.21:12 192.168.1.254:12 12 icmp 195.238.2.21:13 192.168.1.254:13 13 icmp 195.238.2.21:14 192.168.1.254:14 14 icmp 195.238.2.21:15 192.168.1.254:15 15 Gateway# Outside local 195.238.2.22:11 195.238.2.22:12 195.238.2.22:13 195.238.2.22:14 195.238.2.22:15 Outside 195.238.2.22: 195.238.2.22: 195.238.2.22: 195.238.2.22: 195.238.2.22:

Inside = Champs IP_SOURCE Local = interface inside

Rle du service DHCP

Dynamic Host Configuration Protocol (DHCP) Un serveur offre aux clients qui le demandent un bail pour des paramtres TCP/IP :

Adresse IP Masque Passerelle Adresse du serveur de noms

La ngociation dbute en broadcast.

Rle du service DHCP

12. Configuration du serveur DHCP

Gateway(config)#ip dhcp pool GW Gateway(dhcp-config)#network 192.168.1.0 255.255.255.0 Gateway(dhcp-config)#default-router 192.168.1.254 Gateway(dhcp-config)#dns-server 8.8.8.8 Gateway(dhcp-config)#exit
Gateway(config)#ip dhcp excluded-address 192.168.1.1 192.168.1.10

13. Enregistrer la configuration du routeur

Enregistrement de la configuration :
Gateway#copy running-config startup-config Destination filename [startup-config]? Building configuration... [OK] Gateway#

Visualisation de la configuration courante (RAM) :

Gateway#show running-config

Visualisation de la configuration de dmarrage (NRAM):

Gateway#show startup-config

4me partie
Vrification de la connectivit globale

Topologie
Tches accomplir :
1. Diagnostic TCP/IP global (L1-L7)

4. Configuration dynamique d'un PC

Sous Windows :
http://windows.microsoft.com/fr-ca/windowsvista/change-tcp-ip-settings

Sous Linux :
https://help.ubuntu.com/12. 04/serverguide/network-configuration.html#ipaddressing

Sous PT :
Desktop / IP Configuration

Vrification :
ipconfig, ipconfig /all sous Windows ifconfig sous Linux Une adresse obtenue vrifie la couche 7 Application sur le LAN.

2. Vrification L3 partir du PC
ping 8.8.8.8

3. Vrification L3 partir du PC
tracert 8.8.8.8

5. Vrification de la connectivit globale L7

ping cisco.goffinet.org

Navigateur Web
Dans la barre d'adresse du navigateur (client http://cisco.goffinet.org

Sessions TCP
Sur un PC, la suite d'une requte DNS ou HTTP ou DHCP : netstat -an

Table de routage du routeur

#show ip route

Table NAT
#show ip nat translation

Rfrences
Rfrences :

http://cisco.goffinet.org/s2/methode_diagnostic

Configuration avance

5me Partie
Configuration et vrification du pare-feu

Topologie
Tches accomplir :
1. Configurer le pare-feu

Notion de pare-feu
La notion de pare-feu est amplement explique ici http: //www.goffinet.eu/linuxlabs5-filtrage-du-trafic/. On proposera d'implmenter une fonction de pare-feu tat (stateful firewall) sur le routeur SMB avec des rgles classiques de filtrage :

Une autre manire de symboliser les rgles de filtrage : LAN > WAN WAN X LAN LAN > DMZ DMZ X LAN WAN X DMZ (sauf TCP80 par exemple) DMZ > WAN

Topologie avec pare-feu SPI

Cisco IOS Stateful Packet Inspection (SPI)

ip inspect name myfw tcp ip inspect name myfw udp ip inspect name myfw icmp ! interface FastEthernet0/0 description interface WAN ip inspect myfw out

access-list 101 deny ip any any ! interface FastEthernet0/1 description interface WAN ip access-group 101 in

Tches accomplir
1. Vrifier la connectivit au pralable 2. Configurer une ACL pour bloquer le trafic venant du rseau non-scuris (l'interface WAN). 3. S'assurer que la connectivit est possible pour la trafic venant du rseau scuris (l'interface LAN) destination du rseau non-scuris. 4. Crer les rgles d'inspection qui examinent le trafic de retour du trafic initi de l'intrieur. 5. Appliquer les rgles d'inspection sur l'interface LAN 6. Vrifier la fonction pare-feu.

ACL blocante WAN

On place une ACL qui bloque tout trafic entrant sur l'interface WAN Fa0/1 :
Gateway(config)#access-list 101 deny ip any any Gateway(config)#interface fastethernet 0/1 Gateway(config-if)#ip access-group 101 in

Cration et application des rgles d'inspection

Cration des rgles d'inspection :
Gateway(config)#ip inspect name myfw tcp Gateway(config)#ip inspect name myfw udp Gateway(config)#ip inspect name myfw icmp

Application en entre sur l'interface LAN :

Gateway(config)#interface f0/0 Gateway(config-if)#ip inspect myfw out

Configuration
access-list 101 deny ip any any ! interface FastEthernet0/1 description interface WAN ip access-group 101 in ! ip inspect name myfw tcp ip inspect name myfw udp ip inspect name myfw icmp ! interface FastEthernet0/0 description interface WAN ip inspect myfw out ! end

Rfrences
http://www.goffinet.eu/linuxlabs5-filtrage-du-trafic/ http://www.cisco. com/en/US/prod/collateral/vpndevc/ps5708/ps5710/ps1 018/product_implementation_design_guide09186a0080 0fd670.html

6me partie
Scurisation du routeur et du commutateur

Topologie
Tches accomplir :
1. Scuriser l'accs au matriel Cisco

Mot de passe sur le mode privilge

Un mot sera demand lors de l'accs au mode privilge, par exemple
>enable Password:

Configuration du mot de passe "cisco" :

(config)#enable secret cisco

Dsactivation :
(config)#no enable secret

Mot de passe sur la console

Mot de passe simple :
(config)#line console 0 (config-line)#login (config-line)#password cisco

Authentification d'un utilisateur :

(config)#username admin secret cisco (config)#line console 0 (config-line)#login local (config-line)#no password

Activation du service Telnet

Par dfaut Telnet est activ mais inaccessible.
(config)#username admin secret cisco (config)#line vty 0 4 (config-line)#login local

Faiblesse des mots de passe

La plupart des mots de passe sont visibles dans le fichier de configuration :
no service password-encryption ! hostname SW1 ! enable secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0 ! username admin privilege 1 password 0 cisco

Encryption automatique des mots de passe

(config)#service password-encryption

activera l'encryption type 7 sur les mots de passe. Dans le fichier de configuration :
service password-encryption ! hostname SW1 ! enable secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0 ! username admin privilege 1 password 7 0822455D0A16

On prfrera toujours le paramtre "secret" au lieu de password fournissant une encryption type 5 (MD5) :
(config)#username admin secret cisco

Dcryption type 7
http://www.ibeast. com/content/tools/CiscoPassword/

Configuration SSH
1. Gnrer la cl RSA :
(config)#hostname SW1 (config)#ip domain-name goffinet.eu (config)#crypto key generate rsa
The name for the keys will be: SW1.goffinet.eu ... % Generating 2048 bit RSA keys, keys will be non-exportable...[OK]

2. Configurer les lignes :

(config)#line vty 0 4 (config-line)#transport input ssh

Configuration des messages d'accueil

(config)#banner motd #Message# (config)#banner login #Message#

7me partie
Configuration de base du commutateur

Topologie
Tches accomplir :
1. Configurer une adresse IPv4 de gestion sur le commutateur 2. Implmenter et tester la scurit sur les ports

Configurer les paramtres IP d'un commutateur

(config)#interface vlan 1 (config-if)#ip address 192.168.1.200 255.255.255.0 (config-if)#no shutdown (config-if)#exit (config)#ip default-gateway 192.168.1.254

Configurer une plage d'interfaces

(config)#interface range f0/1-24 (config-if-range)#spanning-tree portfast (config-if-range)#exit

Diagnostic sur un commutateur

#show mac-address-table #show interface f0/1 #show vlan

Scurit sur les ports du commutateur

Exemple de configuration :
(config)#interface f0/1 (config-if)#switchport mode access (config-if)#switchport port-security

Accessoirement :
(config-if)#switchport port-security macaddress sticky

Diagnostic :
#show port-security #show port-security interface f0/1 #show running-config

Rfrences
http://www.cisco. com/en/US/docs/switches/lan/catalyst2960/software/rel ease/12.2_55_se/configuration/guide/swtrafc. html#wp1038501

8me partie
Attaque de couche 2 (Empoisonnement ARP)

Mise en place du lab

1. Installer et configurer un service DHCP
http://filezilla-project.org/download.php?type=server

2. Crer un utilisateur avec un mot de passe et un accs un dossier partag. 3. Tenter une connexion FTP partir d'un client tel qu'un navigateur : ftp://adresse-ip 4. Installer et configuer le logiciel de capture et d'empoisonnement :
http://www.oxid.it/downloads/apr-intro.swf http://www.oxid.it/cain.html

Scnario
Tenter une attaque MitM de type empoisonnement ARP sur le LAN lors d'une connexion FTP entre un client et un serveur. Objectif : rcuprer le mot de passe Trois rles interchangeables : client FTP serveur FTP station pirate

Attaque sur les mots de passe

On a pas toujours l'occasion de rcuprer du matriel en clair. Souvent, les mots de passe ne sont pas changs. Ils sont crypts, soit cachs. Mais partir de matriel cryptographique que l'on aurait captur il est possible et plus ou moins laborieux de le dcouvrir : par attaque statistique (imparable combin avec la suivante) par attaque de type dictionnaire brute/force On peut se protger de l'attaque par dictionnaire en augmentant les probabilits : au moins 10 caractres lettres minuscules majuscules chiffres caractres spciaux. en les changeant rgulirement. en assurant sa confidentialit absolue (pas de partage, pas de note, pas de mot de passe unique, etc.)

Dmonstration

Document

Versions et ToDo
v5.1 juin 2013 v5.0 mars 2013 v2.1 mars 2013 v2.0 mars 2013

Todo :
v6.0 : Capture d'cran placer, consistence, intgration de concepts, distinction exercices,

Licence et Droits
Droits :
Exercice de configuration LAN PME v5.1 - Configuration et vrification TCP/IP de F.-E. Goffinet goffinet@goffinet.eu est mis disposition selon les termes de la licence Creative Commons Attribution - Partage dans les Mmes Conditions 2.0 Belgique. http://www.cisco.com/web/about/ac50/ac47/cisco_copyright_program.html

Auteur
Franois-Emmanuel Goffinet Formateur IT http://be.linkedin.com/in/fegoffinet/ http://cisco.goffinet.org http://www.goffinet.eu