Академический Документы
Профессиональный Документы
Культура Документы
01
Configuration vrification de la connectivit Ethernet et TCP/IP
Exercice de configuration LAN PME 14.01 - Configuration et vrification TCP/IP de F.-E. Goffinet goffinet@goffinet.eu est mis disposition selon les termes de la licence Creative Commons Attribution - Partage dans les Mmes Conditions 2.0 Belgique.
Pr-requis
Le cours "Construire un rseau simple" au pralable. Un document de laboratoire accompagne cette prsentation.
Description de l'activit
Dans ce travail d'initiation, on vous demande d'tablir et de vrifier la connectivit TCP/IP d'une topologie LAN "Small and Medium Business (SMB/PME)" sur une passerelle. Environnement Cisco IOS Routage par dfaut Adressage priv 192.168.1.0/24 NAT/PAT Clients LAN tous OS - adressage statique et dynamique (DHCP) La mise en place du service DHCP et du NAT/PAT Accessoirement, le configuration de la scurit sur les routeurs et commutateurs, le pare-feu, une activit ARP poisonning (empoisonnement ARP)
Objectifs
Comprendre et diagnostiquer la connectivit TCP/IP dans un LAN. Acqurir les comptences de configuration et de vrification d'un routeur (passerelle). Acqurir des comptences fondamentales en diagnostic des rseaux. Implmenter le services NAT et DHCP. Dvelopper des comptences en Cisco IOS. Se familiariser avec la scurit du rseau. Se familiariser avec des contextes d'administration htrognes.
Sommaire
1. 2. 3. 4. 5. 6. 7. 8. Configuration de base de la topologie Diagnostic de la connectivit locale Activation du NAT et du service DHCP Vrification de la connectivit globale Configuration du pare-feu Scurisation du routeur et du commutateur Configuration de base du commutateur Attaque de couche 2 (Empoisonnement ARP)
Topologie
Tches accomplir :
1. Configuration du routeur 2. Configuration des priphriques du LAN
Environnement de laboratoire
1. 2. 3. 4. Laboratoire rel Fichier PacketTracer : smb-lan.pkt Reproduisible sous GNS3. Reproduisible avec M0n0wall ou pfSense, n'importe quelle distribution Linux sous VMware/Virtualbox/XEN
Lectures pralables
Fondamentaux des rseaux : modles, protocoles, encapsulation, TCP/IP, composants, lexique http://cisco.goffinet.org/s2/notions_routeurs
1re partie
Configuration de base de la topologie
Topologie
Tches accomplir :
1. Configuration du routeur 2. Vrification des paramtres
Matriel configurer
Les machines sont dj cbles et allume. Le nuage ISP est dj configur. Il y a deux PCs (statique) configurer et un routeur Cisco 1841.
Routeur : paramtres
Paramtres globaux :
Nom de la machine : Gateway
Interface LAN :
nom : interface Fa0/0 adresse IPv4 : 192.168.1.254 255.255.255.0
Interface WAN :
nom : interface Fa0/1 adresse IPv4 : attribue par DHCP
Routage :
route statique par dfaut
Configuration du routeur
1. Vrification des interfaces 2. Configuration des paramtres globaux 3. Configuration de l'interface LAN 4. Vrification de l'interface LAN 5. Configuration de l'interface WAN 6. Vrification de l'interface WAN 7. Vrification de la table de routage 8. Cration de la route statique et vrification 9. Enregistrer la configuration du routeur 10. Fichier de configuration
3. Activer l'interface :
Gateway(config-if)#no shutdown
Gateway#
3. Activer l'interface :
Gateway(config-if)#no shutdown
Fichier de configuration
hostname Gateway ! interface FastEthernet0/0 ip address 192.168.1.254 255.255.255.0 Vous pouvez coller ces commandes ip nat inside en mode de configuration globale no shutdown (config)# ! interface FastEthernet0/1 ip address dhcp ip nat outside no shutdown ! access-list 1 permit 192.168.1.0 0.0.0.255 ip nat inside source list 1 interface FastEthernet0/1 overload ! ip route 0.0.0.0 0.0.0.0 FastEthernet0/1 ! ip dhcp pool GW network 192.168.1.0 255.255.255.0 default-router 192.168.1.254 dns-server 8.8.8.8 ! ip dhcp excluded-address 192.168.1.1 192.168.1.10 ! end
2me partie
Diagnostic de la connectivit locale
Topologie
Tches accomplir :
1. Configuration des stations de travail 2. Vrifications locales et diagnostic
Sous Linux :
https://help.ubuntu.com/12. 04/serverguide/network-configuration.html#ipaddressing
Sous PT :
Desktop / IP Configuration Placez les paramtres : Adresse IP : 192.168.1.1 Masque : 255.255.255.0 Passerelle par dfaut : 192.168.1.1 Serveur DNS : 8.8.8.8
Vrification de l'interface du PC
Vrifier ses paramtres : ipconfig
Rfrences
Rfrences :
http://cisco.goffinet.org/s2/notions_routeurs
3me Partie
Activation du NAT et du service DHCP
Topologie
Tches accomplir :
1. Activer le NAT/PAT 2. Activer le service DHCP sur le LAN
Manque d'IPv4
En IPv4, on distingue adressage priv dfinition tendue Dfinition du NAT Combin -->
Rle du NAT/PAT
Ici, tablir la connectivit IPv4 entre un rseau priv et l'Internet adress globalement :
Pro udp udp udp Inside global 195.238.2.21:1029 195.238.2.21:1025 195.238.2.21:1024 Inside local 192.168.1.11:1029 192.168.1.12:1025 192.168.1.13:1025 Outside local 8.8.8.8:53 8.8.8.8:53 8.8.8.8:53 Outside global 8.8.8.8:53 8.8.8.8:53 8.8.8.8:53
En maintenant une table de correspondance Protocole Adresse Port Deux cts : Inside Outside
2. Cration de la rgle :
Traduire dans le trafic venant de l'intrieur l'IP_SOURCE 192.168.1.0/24 par l'adresse IP de l'interface f0/1 (195.238.2.21) avec du PAT.
Configuration du NAT/PAT
1. Quel trafic traduire ?
Gateway(config)#access-list 1 permit 192.168.1.0 0.0.0.255
2. Cration de la rgle :
Gateway(config)#ip nat inside source list 1 interface f0/1 overload
Vrification du NAT
A partir du routeur, gnrer du trafic prenant l'adresse IP de l'interface LAN come origine ...
Vrification du NAT/PAT
Gateway# ping Protocol [ip]: Target IP address: 195.238.2.21 Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Source address or interface: 192.168.1.254 Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 195.238.2.21, timeout is 2 seconds: Packet sent with a source address of 192.168.1.254 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 4/5/6 ms
4me partie
Vrification de la connectivit globale
Topologie
Tches accomplir :
1. Diagnostic TCP/IP global (L1-L7)
Sous Linux :
https://help.ubuntu.com/12. 04/serverguide/network-configuration.html#ipaddressing
Sous PT :
Desktop / IP Configuration
Vrification :
ipconfig, ipconfig /all sous Windows ifconfig sous Linux Une adresse obtenue vrifie la couche 7 Application sur le LAN.
2. Vrification L3 partir du PC
ping 8.8.8.8
3. Vrification L3 partir du PC
tracert 8.8.8.8
Navigateur Web
Dans la barre d'adresse du navigateur (client http://cisco.goffinet.org
Sessions TCP
Sur un PC, la suite d'une requte DNS ou HTTP ou DHCP : netstat -an
Table NAT
#show ip nat translation
Rfrences
Rfrences :
http://cisco.goffinet.org/s2/methode_diagnostic
Configuration avance
5me Partie
Configuration et vrification du pare-feu
Topologie
Tches accomplir :
1. Configurer le pare-feu
Notion de pare-feu
La notion de pare-feu est amplement explique ici http: //www.goffinet.eu/linuxlabs5-filtrage-du-trafic/. On proposera d'implmenter une fonction de pare-feu tat (stateful firewall) sur le routeur SMB avec des rgles classiques de filtrage :
Une autre manire de symboliser les rgles de filtrage : LAN > WAN WAN X LAN LAN > DMZ DMZ X LAN WAN X DMZ (sauf TCP80 par exemple) DMZ > WAN
ip inspect name myfw tcp ip inspect name myfw udp ip inspect name myfw icmp ! interface FastEthernet0/0 description interface WAN ip inspect myfw out
access-list 101 deny ip any any ! interface FastEthernet0/1 description interface WAN ip access-group 101 in
Tches accomplir
1. Vrifier la connectivit au pralable 2. Configurer une ACL pour bloquer le trafic venant du rseau non-scuris (l'interface WAN). 3. S'assurer que la connectivit est possible pour la trafic venant du rseau scuris (l'interface LAN) destination du rseau non-scuris. 4. Crer les rgles d'inspection qui examinent le trafic de retour du trafic initi de l'intrieur. 5. Appliquer les rgles d'inspection sur l'interface LAN 6. Vrifier la fonction pare-feu.
Configuration
access-list 101 deny ip any any ! interface FastEthernet0/1 description interface WAN ip access-group 101 in ! ip inspect name myfw tcp ip inspect name myfw udp ip inspect name myfw icmp ! interface FastEthernet0/0 description interface WAN ip inspect myfw out ! end
Rfrences
http://www.goffinet.eu/linuxlabs5-filtrage-du-trafic/ http://www.cisco. com/en/US/prod/collateral/vpndevc/ps5708/ps5710/ps1 018/product_implementation_design_guide09186a0080 0fd670.html
6me partie
Scurisation du routeur et du commutateur
Topologie
Tches accomplir :
1. Scuriser l'accs au matriel Cisco
Dsactivation :
(config)#no enable secret
activera l'encryption type 7 sur les mots de passe. Dans le fichier de configuration :
service password-encryption ! hostname SW1 ! enable secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0 ! username admin privilege 1 password 7 0822455D0A16
On prfrera toujours le paramtre "secret" au lieu de password fournissant une encryption type 5 (MD5) :
(config)#username admin secret cisco
Dcryption type 7
http://www.ibeast. com/content/tools/CiscoPassword/
Configuration SSH
1. Gnrer la cl RSA :
(config)#hostname SW1 (config)#ip domain-name goffinet.eu (config)#crypto key generate rsa
The name for the keys will be: SW1.goffinet.eu ... % Generating 2048 bit RSA keys, keys will be non-exportable...[OK]
7me partie
Configuration de base du commutateur
Topologie
Tches accomplir :
1. Configurer une adresse IPv4 de gestion sur le commutateur 2. Implmenter et tester la scurit sur les ports
Accessoirement :
(config-if)#switchport port-security macaddress sticky
Diagnostic :
#show port-security #show port-security interface f0/1 #show running-config
Rfrences
http://www.cisco. com/en/US/docs/switches/lan/catalyst2960/software/rel ease/12.2_55_se/configuration/guide/swtrafc. html#wp1038501
8me partie
Attaque de couche 2 (Empoisonnement ARP)
2. Crer un utilisateur avec un mot de passe et un accs un dossier partag. 3. Tenter une connexion FTP partir d'un client tel qu'un navigateur : ftp://adresse-ip 4. Installer et configuer le logiciel de capture et d'empoisonnement :
http://www.oxid.it/downloads/apr-intro.swf http://www.oxid.it/cain.html
Scnario
Tenter une attaque MitM de type empoisonnement ARP sur le LAN lors d'une connexion FTP entre un client et un serveur. Objectif : rcuprer le mot de passe Trois rles interchangeables : client FTP serveur FTP station pirate
Dmonstration
Document
Versions et ToDo
v5.1 juin 2013 v5.0 mars 2013 v2.1 mars 2013 v2.0 mars 2013
Todo :
v6.0 : Capture d'cran placer, consistence, intgration de concepts, distinction exercices,
Licence et Droits
Droits :
Exercice de configuration LAN PME v5.1 - Configuration et vrification TCP/IP de F.-E. Goffinet goffinet@goffinet.eu est mis disposition selon les termes de la licence Creative Commons Attribution - Partage dans les Mmes Conditions 2.0 Belgique. http://www.cisco.com/web/about/ac50/ac47/cisco_copyright_program.html
Auteur
Franois-Emmanuel Goffinet Formateur IT http://be.linkedin.com/in/fegoffinet/ http://cisco.goffinet.org http://www.goffinet.eu