SlideShare une entreprise Scribd logo
CONFIGURATION D'UN VPN-IPSEC POUR ROUTEUR CISCO
04-04-2007
Une entreprise peut avoir besoin d’une connexion WAN entre deux sites.
Dans certains cas (liaison de secours ou liaison WAN pas cher) nous pouvons utiliser un tunnel IPSEC.
IPSEC est une technologie VPN qui fonctionne sur la couche3 du model OSI. C’est aussi un standard
IETF, ce qui signifie que nous pouvons l’utiliser entre des équipements de différents fabricants.
Les VPN IPSEC permettent :
Une authentification de chaque paquet IP.
Une vérification de l’intégrité des données de chaque paquet.
De rendre confidentiels les données de chaque paquets IP.
IPSEC est un “framework” qui spécifie plusieurs protocoles a utiliser afin de fournir un standard de
sécurité.
Les protocoles spécifiés par IPSEC sont :
Internet Key Exchange : IKE
IKE va nous permettre de négocier des paramètres de sécurités et créer les clés d’authentification
utilisée par le VPN. IKE va permettre d’établir un échange de clé de manière sécurisé sur un réseau «
non sécurisé ».
Encapsulating Security Payload: ESP
Le plus utilisé par IPSEC, ESP va encrypté les données. ESP protége également contre des attaques
basées sur du traffics « replayed ».
Authentication Header : AH
AH fournit de l’authentification de la donnée. Il est peut utilisé , ESP étant plus efficace et cryptant le
tout.
Plus tard dans notre configuration nous utiliserons ESP puisqu’il permet de crypter les données en
utilisant DES, 3DES ou AES. AH ne permet pas cela
Les VPN IPSEC utilisent le protocole IKE afin d’établir une communication sécurisé entre deux « peers
» a travers un réseaux non sécurisé. IKE utilise l’algorithme de DIFFIE-HELLMAN afin d’échange des
clés symétriques entre deux « peers » et de configurer les paramètres de sécurités associé au VPN. IKE
utilise le port UDP 500 et envoie des « keepalive » toutes les 10 secondes.
IKE:
- Elimine le besoin de spécifier manuellement tous les paramètres de sécurités sur chaque « peer ».
- Permet de configuré une durée de vie pour le SA (security association) de IPSEC .Une SA est un «
ensemble de contrat de sécurité ».
- Permet de changer les clés d’encryptions pendant la session IPSEC.
- Permet de fournir des services « anti-replay ».
- Supporte l’architecture PKI.
- Permet une authentification dynamique de chaque peer.
Apres ces quelques explications nous allons voir comment configurer un VPN IPSEC.
Nous avons deux sites (Paris et Chine). Nous avons déjà une connexion WAN qui fonctionne entre les
deux sites. Nous souhaitons configurer une connexion VPN entre PARIS et CHINE qui servira de
connexion de secours. Nous décidons d’utiliser notre connexion Internet qui coûte moins cher qu’une
connexion ISDN. Mais pour cela nous devons crypter notre trafic.
Voici les différentes étapes de configuration :
1. Définir les règles de sécurité ISAKMP
2. Configurer les « transform set »
3. Configurer une ACL qui spécifiera quel trafic peut/doit emprunter le VPN.
4. Configurer une « Crypto-map »
5. Appliquer la « Crypto-map » sur l’interface
6. Configurer une ACL si besoin sur l’interface « outside » (en option)
Nous devrons exécuter ces étapes de configurations sur les routeurs de PARIS et CHINE.
Définir une règle de sécurité ISAKMP
Nous devons d’abord activer le moteur « isakmp »en utilisant la commande :
CHINA(config)# crypto isakmp enable
PARIS(config)# crypto isakmp enable
Nous utiliserons la commande suivante afin d’activer le moteur « software » au cas ou notre routeur ne
disposerait pas de moteur « hardware ».
CHINA (config)# crypto engine software ipsec
PARIS (config)# crypto engine software ipsec
Dans cet article nous utiliserons une « clé partagé » (Pre Shared Key) pour l’authentification. Elle doit
être associer à un « peer » distant qui utilise la même « clé partagé ». (Ici la PSK est labo-cisco).
CHINA (config)#crypto isakmp key labo-cisco address 192.168.0.6
PARIS(config)# crypto isakmp key labo-cisco address 192.168.0.1
Nous allons maintenant utiliser les paramètres suivant pour notre VPN sur les deux routeurs:
Authentication mode : Pre shared key (Nous pouvons aussi utiliser des « Username & Password »,
OTP, ou des certificats).
Hash Method : SHA (md5 or sha)
Encryption type : AES 192 (DES est par défaut , l’encryption AES peut utiliser de 128 à 256 bits )
Diffie-Hellman group à utiliser : 1 or 2 (group 1 est basé sur 768-bit et group 2 est basé sur 1024 bits).
Lifetime of the exchanged key : Nous utiliserons 3600 pour 1 heure.( Par défaut le compteur est à 86400
seconds = 1 journée )
Donc au final nous configurerons nos routeurs comme cela :
CHINA(config)#crypto isakmp policy 1
CHINA (config-isakmp)# encr aes 192
CHINA (config-isakmp)# authentication pre-share
CHINA (config-isakmp)# group 2
PARIS(config)#crypto isakmp policy 1
PARIS (config-isakmp)# encr aes 192
PARIS (config-isakmp)# authentication pre-share
PARIS (config-isakmp)# group 2
Configuration des « transform-set »
Une « transform set » est une combinaison d’algorithme et protocoles de sécurité « acceptable » .
Les « peers » essairont de trouver la meilleurs combinaison possible selon les configurations et
capacité de chaque point de chute du VPN en se basant sur les « transform set » disponible
Configuration:
CHINA (config)#crypto ipsec transform-set TSET esp-aes 192
PARIS (config)#crypto ipsec transform-set TSET esp-aes 192
* TSET est le nom du « transform-set » situé sur le routeur (portée locale)
* “esp-aes” précise que nous allons encrypter en utilisant ESP et AES.
* “192” est le nombre de bits utiliser pour le cryptage.
Apres avoir entré cette commande nous avons un nouveau mode de configuration ou nous pouvons
configurer notre VPN en mode « Transport » ou « Tunnel »
Le mode « Tunnel » encryptera tout le « datagram » (y compris les IP sources et destination, gênant
ainsi la QOS) alors que le mode « Transport » encryptera seulement la donnée présente dans le
paquets IP (peut poser un problème de sécurité car une personne malveillante peut ainsi voir les vrai IP
sources et destination de chaque paquet IP).
Ici nous allons utiliser le mode « Tunnel » :
CHINA(config)#mode tunnel
PARIS(config)#mode tunnel
Configurer une ACL qui spécifiera quel trafic peut/doit emprunter le VPN
Ici nous allons autoriser le traffic depuis le lan de PARIS vers le lan de CHINE.
Il faut utiliser une ACL étendue.
Sur Chine :
CHINE (config)#access-list 101 permit ip 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255
Et sur Paris :
PARIS(config)#access-list 101 permit ip 10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255
Configurer la « crypto-map »
Une « crypto-map » est comme un profil, qui va associer les ACL (crypto-ACL) , « transform-set »
configuré précédemment avec l’adresse IP du « peer » distant.
Sur CHINA nous entrerons les commandes suivante :
CHINA(config-crypto-map)#crypto map VPN-2-MAIN 10 ipsec-isakmp
match address 101
CHINA (config-crypto-map)#set peer 192.168.0.6
CHINA(config-crypto-map)#set transform-set TSET
Et sur Paris :
PARIS (config-crypto-map)#crypto map VPN-2-Remote 10 ipsec-isakmp
match address 101
PARIS (config-crypto-map)#set peer 192.168.0.1
PARIS (config-crypto-map)#set transform-set TSET
Appliquer la « Crypto-map » sur l’interface
PARIS(config-if)#crypto map VPN-2-Remote
CHINE(config-if)#crypto map VPN-2-MAIN
Voici la maquette utilisée pour tester cette configuration :
La version d' IOS utilisé est la 12.4(1).
Comme nous pouvons le voir dans la table de routage tout trafic provenant du LAN 10.0.1.0/21 vers
10.0.2.0/24 utilisera la liaison WAN principale.
Si celle-ci est inutilisable, rien ne se passera même si nous avons configuré le VPN IPSEC sur les deux
routeurs.
Nous pouvons ajouter une route statique flottante (AD plus grande que l’AD de RIP) qui peut ainsi
relayer la liaison principale arrête de fonctionner.
Il suffit de tapper:
PARIS(config)#ip route 10.0.1.0 255.255.255.0 192.168.0.1 140
CHINE(config)#ip route 10.0.2.0 255.255.255.0 192.168.0.6 140
Nous pouvons tester cela:
Sur l’ordinateur A nous faisons un « traceroute » vers l’ordinateur B :
Maintenant nous allons tester la route statique flottante quand la liaison principale est non utilisable.
Faisons un autre « traceroute » afin de confirmer que nous utilisons bien notre VPN.
CONFIGURATION DE RADIUS SUR ROUTEUR CISCO
31-03-2007
Page 1 sur 3
RADIUS (Remote Authentication Dial-In User Service) est un protocole client-serveur permettant
de centraliser des données d'authentification. RADIUS est supporté par toutes les plateformes
CISCO.
Dans cet article nous allons voir comment configurer un routeur Cisco afin qu'il puisse
communiquer avec un serveur RADIUS sur le réseau. Dans un premier temps nous verrons
comment identifier les environnements appropriés et inappropriés à l'utilisation de ce system de
sécurité. Ensuite nous verrons son fonctionnement. Puis nous traiterons de la configuration de
RADIUS à l'aide du jeu de commandes AAA (Authentication, Authorization and Accounting). Enfin
nous proposerons deux exemples de configuration.
NB : Afin de les changements prennent effet, ne pas oublier d'utiliser la commande copy
running-config startup-config.
1/ Quand utiliser l'authentification RADIUS?
1.1/ Les environnements appropriés à l'utilisation de RADIUS :
Les réseaux comportant de multiples serveurs d'accès.
Les réseaux utilisant déjà RADIUS
Les réseaux dans lesquels un client ne peut accéder qu'à un seul service.
Les réseaux qui requièrent un compteur de ressources.
1.2/ Les environnements inappropriés à l'utilisation de RADIUS :
Les environnements d'accès multi protocoles.
Radius ne supporte pas les protocoles suivants : AppleTalk Remote Access Protocol
(ARA), NetBIOS Frame Control Protocol (NBFCP), NetWare Asynchronous Services Interface
(NASI), X.25 PAD connections.
Les réseaux utilisant une variété de services.
2/ Fonctionnement de RADIUS
Lorsqu'un utilisateur tente de se connecter et de s'authentifier à un serveur d'accès utilisant
RADIUS, les étapes suivantes se produisent:
L'utilisateur est invité à rentrer son nom d'utilisateur et son mot de passe.
Le nom d'utilisateur et le mot de passe sont encrypté et envoyés à travers le réseau au
serveur RADIUS
L'utilisateur reçoit l'une des réponses suivantes de la part du serveur RADIUS :
ACCEPT (l'utilisateur est authentifié)
REJECT (l'utilisateur est invité à retaper son nom d'utilisateur et mot de passe ou bien
l'accès est refusé)
CHALLENGE (des données supplémentaires sont collectées chez l'utilisateur)
CHANGE PASSEWORD (l'utilisateur est invité à choisir un nouveau mot de passe)
CONFIGURATION D’UN VPN SITE-A-SITE SUR UN PIX
28-03-2007
Page 1 sur 4
Cette article vous guidera pas à pas pour configurer un VPN sur un PIX.
INTRODUCTION:
Les réseaux privés virtuels (VPN) permettent d'interconnecter des réseaux
géographiquement éloignés en passant par le réseau public d'Internet. Les VPN fournissent une
solution fiable, à faible coût et permettent une administration plus aisé que les WAN
traditionnelles basées sur du Frame-relay ou des connexions par modems. Les VPN maintiennent
une sécurité identique aux réseaux privés et permettent ainsi aux utilisateurs d'accéder aux
ressources de leur entreprise depuis n'importe quel endroit muni d'Internet.
L'utilisation des VPN de type accès distant (remote access) fait partie d'une nouvelle
dynamique de travail puisque cela permet aux salariés d'une entreprise, par exemple, de se
connecter au réseau interne de l'entreprise depuis leur domicile. Cependant, comme toute
connexion à distance, cela pose certains problèmes de sécurité puisque les communications
passent par Internet : les pare-feux de la gamme Cisco, les PIX, offrent la possibilité de palier à ce
problème en utilisant des algorithmes de cryptage connus pour leur efficacité : AES, 3DES, MD5,
...
Un PIX Firewall peut être configuré tel un Easy VPN Server, c'est-à-dire que l'on va le
configurer de manière à ce qu'il contienne des règles VPN qui vont être envoyé à de multiples
dispositifs clients VPN : l'avantage est que l'on va configurer un seul PIX (qui va agir tel un
serveur) et donc centraliser les différentes règles VPN.
Cependant, un Easy VPN Server ne va accepter des connexions que de dispositifs clients
qu'il supporte, qui peuvent être de type logiciel ou de type matériel. En voici la liste :
clients logiciels : ces clients sont directement connectés au PIX faisant office d’Easy VPN Server par le
biais d’Internet, et requièrent l’installation d’un logiciel spécifique :
<!--[if !supportLists]--><!--[endif]-->Cisco VPN Client version 3.x
Cisco VPN 3000 Client version 2.5
clients matériels : un Easy VPN Server est capable d’accepter la connexion de multiples clients
matériels dont voici la liste :
<!--[if !supportLists]-->PIX 501 / 506 / 506E
<!--[if !supportLists]-->Cisco VPN 3002
<!--[if !supportLists]-->Certains routeurs de la gamme Cisco dont l’IOS supporte le VPN comme les
séries 800 ou 1700
Pour chaque type de client, il y a donc une configuration spécifique puisque chacun d'eux
ne va pas utiliser le même type de connexion, d'authentification ou de sécurité. Le PIX Easy VPN
Server va ainsi être configuré en fonction du ou des clients. Voici une liste non exhaustive des
types de configurations :
utilisation de l'eXtended Authentification (Xauth)
utilisation d'IKE pour les Easy VPN Remote Devices (clients)
utilisation d'une clé pré-partagée (pre-shared key) pour les Easy VPN Remote Devices
utilisation de certificats pour les Easy VPN Remote Devices
utilisation de PPTP pour l'accès à distance
Bien entendu il en existe d'autres mais les principales sont celles citées ci-dessus.
Nous allons nous intéresser aux clients de types logiciels avec l'utilisation de clés pré-
partagées (pre-shared keys) : notre exemple va couvrir l'eXtended Authentification (Xauth) pour
l'authentification des utilisateurs, le protocole IKE pour assigner des adresses IP, un serveur
RADIUS pour donner l'autorisation aux utilisateurs d'accéder à certains services, ainsi qu'une clé
pré-partagée pour l'authentification IKE.
CONFIGURATION DE NAT
18-01-2007
Page 1 sur 3
Configuration de la translation d'adresse sur un routeur Cisco
Le NAT vous permet d’utiliser des adresses IP privées sur votre LAN et de translater ces adresses afin de les
rendre accessible depuis un réseau public comme Internet.
Le réseau privé est définit sur l’interface intérieure et l’adresse publique sur l’interface extérieure de votre
routeur.
Dans sa forme la plus simple, le NAT statique, une adresse privée unique est redirigée, vers une adresse
publique unique. La forme la plus utilisée de Nat est un groupe d’adresse privées translate en une seule et
unique adresse publique. Cette forme de Nat est appelée « overloading ».
Etape 1 : définition des interfaces pour le NAT
Le routeur principal (mainrtr) est connecté au LAN par l’interface Ethernet 0 (172.13.10.1/16), donc E0 sera
l’interface intérieure et E1 l’interface connectée à Internet (207.194.10.198/16).
Le routeur distant (remotrtr) est connecté au réseau local par l’interface E0 (172.25.10.1/24) et à Internet par
l’interface E1 (207.194.10.199).
Nous voulons que le routeur principal convertisse les adresses privées du Lan sur l’adresse 207.194.10.198,
étant donné que c’est la seule IP autorisée à envoyer des données au travers du tunnel IPSEC. Cela fournir de
plus un accès Internet au Lan, mais cela n’est pas notre objectif principal.
Nous voulons également que le routeur distant convertisse les adresses privées de son Lan sur l’adresse
207.194.10.199.
A partir du moment ou l’on mappe plusieurs adresses, nous utilisons l’overloading.
SE CONNECTER A UN ROUTEUR CISCO SOUS GNU/LINUX
18-01-2007
Page 1 sur 2
Se connecter à un dispositif Cisco via son port console afin de pouvoir l’administrer 1 -
Introduction
Nous allons voir comment se connecter a un routeur Cisco sous GNU/Linux via le port serie
(COM).
2 - BIOS et Noyau
Il faut tout d'abord vérifier que le port série est actif au niveau du BIOS.
Puis configurez si nécessaire le noyau afin qu'il supporte le port série, pour cela rendez vous
dans le répertoire des sources de votre noyau (les noyaux de base livrés avec les distributions
l'active par defaut) :
# cd /usr/src/linux
# make menuconfig
Rendez-vous dans le menu Device Drivers -> Character devices -> Serial drivers
Cochez les options :
8250/16550 and compatible serial support
Console on 8250/16550 and compatible serial port
Compilez votre noyau (version 2.6.x):
# make
# make modules_install
Copiez l'image de votre nouveau noyau dans /boot et configurez votre BootLoader.
LES IP HELPER-ADDRESS
Écrit par GUILLEMOT Erwan
18-01-2007
Page 1 sur 3
Comment remplacer l’addresse de broadcast par une adresse unicast
1. Introduction
L’ip helper address remplace l’addresse de broadcast par une adresse unicast
Configurée au niveau de l’interface pour le trafic entrant
Rappelons que l’un des premiers buts des routeurs est de bloquer les domaines de broadcast.
Mais il est peut être inconvénient de devoir implémenter des serveurs (par exemple DHCP) sur
chaque segment réseau.
Cette fonctionnalité permet de faire transiter des trames (paquets) de broadcast au travers d’un
routeur.
Syntaxe :
R(config-if)#ip helper-address 192.168.10.254<br>
RECUPERATION DE MOTS DE PASSE SUR UN PIX
Écrit par BENAROCH David
18-01-2007
Page 1 sur 5
Procédures de recuperation de mot de passe oublié
1. Introduction
Cet article a pour but de vous permettre de récupérer le ou les mot(s) de passe d’un PIX pour
les versions logicielles jusqu'à 6.3.
Cette procédure présente l’avantage de ne pas écraser la configuration, simplement de
changer les mots de passe tout en gardant la configuration existante, les authentifications
Telnet ou AAA Serveur pourront aussi être enlevées.
Pour information :
Si vous avez configuré une authentification AAA et que votre serveur d’authentification est en
panne vous pouvez essayer de vous connecter avec la configuration initiale du Telnet avec
comme login : « pix » et comme password : « password »
username pix enable password password
Si il n’y a pas de mot de passe configuré, essayez simplement avec comme login : « pix »
username pix
Si un mot de passe est configuré et que vous ne le connaissez pas alors vous devez continuer la
procédure de récupération de mot de passe suivante.
CREER UN ETHERCHANNEL
18-01-2007
Page 1 sur 3
Un etherchannel permet d’augmenter significativement la bande passante de votre backbone.
1 Introduction
Un etherchannel permet d’augmenter significativement la bande passante de votre backbone.
Il permet d’agréger jusqu’à 8 liens physiques FastEthernet ou GigabitEthernet et d’en faire un
seul lien logique. Le trafic est redistribué ensuite entre les liens physiques selon différentes
méthodes :
· L’adresse IP source
· L’adresse IP destination
· Un XOR entre les adresses IP sources et destination
· L’adresse MAC source
· L’adresse MAC destination
· Un XOR entre les adresses MAC source et destination
· Le numéro de port source
· Le numéro de port destination
· Un XOR entre les numéros de port source et destination
Un agrégat de 8 liens FastEthernet ne fournit donc pas 1,6GB/s (en full-duplex) mais redistribue
le trafic selon des méthodes de load-balancing.
Les ports de l’agrégat doivent avoir les mêmes caractéristiques (même vitesse, même VLAN et
être en mode trunk s’il doit redistribuer le trafic des différents VLANs.
CONFIGURER VTP
18-01-2007
Page 1 sur 3
VTP (VLAN Trunking Protocol) échange des trames de configuration de VLANs entre des
commutateurs d’un groupe (domaine VTP)
1. Introduction
VTP (VLAN Trunking Protocol) échange des trames de configuration de VLANs entre des
commutateurs d’un groupe (domaine VTP). Ces trames renseignent les différents commutateurs
sur la création, la suppression, le changement de nom et d’autres informations sur les VLANs.
Cela permet de configurer les VLANs sur un seul commutateur, et ce dernier grâce à VTP
transférera ces informations aux autres commutateurs du même domaine.
2. Les modes VTP
Un commutateur sur lequel est activé VTP peut être en 3 modes :
· Server :
Permet de créer, supprimer ou modifier les informations des VLANs. Ce commutateur enverra
aux autres ces informations. C’est le mode par défaut d’un commutateur.
· Client :
Accepte les modifications reçues du serveur et les applique.
· Transparent :
En VTP version 1, le commutateur transparent ne relaie pas les informations VTP et ne les
applique pas. En VTP version 2, le commutateur relaie les informations mais ne les applique pas.
CONFIGURER UN SERVEUR DHCP SUR VOTRE MATERIEL CISCO
18-01-2007
Page 1 sur 2
DHCP (Dynamic Host Configuration Protocol) permet aux utilisateurs d’obtenir
automatiquement une configuration IP lors du démarrage des services réseaux
1.Introduction
DHCP (Dynamic Host Configuration Protocol) permet aux utilisateurs d’obtenir automatiquement
une configuration IP lors du démarrage des services réseaux. Ces informations sont envoyées
aux stations hôtes par le serveur DHCP. En général c’est un serveur distinct qui joue le rôle
DHCP Server. Cependant sur des réseaux de petites tailles, il est possible de faire d’un routeur
un serveur DHCP afin d’économiser les coûts inhérents à l’achat d’un serveur dédié.
2.Configuration
La première étape consiste à créer un pool d’adresse. Les adresses IP attribuées aux clients
seront prises parmi les adresses libres du pool. La commande est la suivante ip dhcp pool
nom_du_pool
On rentre alors en mode de configuration du pool DHCP. On peut créer plusieurs pool sur un
routeur.
Ensuite on indique la plage d’adresse présente dans le pool à l’aide de la commande network
réseau masque
Le routeur attribuera alors des adresses de 192.168.10.1 à 192.168.10.254
On va ensuite rentrer les paramètres concernant la passerelle par défaut, les serveurs DNS, les
serveurs WINS, le nom de domaine du client, et la durée du bail.
On peut spécifier jusqu’à 8 serveurs DNS. Pour la durée du bail, on rentre successivement le
nombre de jours, le nombre d’heures et le nombre de minutes. Dans cet exemple, le client aura
un bail d’un jour, 4 heures et 30 minutes. La commande lease infinite permet d’attribuer un bail
éternel.
Par défaut le service DHCP est activé sur les routeurs le supportant. Si on souhaite le désactiver,
il faut taper la commande no service dhcp. Pour le réactiver : service dhcp
Finalement, on pourra exclure des adresses du pool, afin que le serveur n’attribue pas ces
adresses (par exemple les adresses des serveurs).
La commande est ip dhcp excluded-address adresse_ip_debut adresse-ip-fin
Attention, cette commande doit être rentrée en mode de configuration globale.
CONFIGURER UN SERVEUR DHCP SUR VOTRE MATERIEL CISCO
18-01-2007
Page 2 sur 2
3.Vérification
Pour voir les baux d’adresses qui ont été attribués par le routeur, il faut taper la commande show
ip dhcp binding
Vérification sur le poste utilisateur :
On peut aussi visualiser les statistiques du serveur DHCP en tapant la commande show ip dhcp
server statistics
Finalement, on peut aussi visualiser en temps réel les opérations du serveur DHCP en tapant la
commande debug ip dhcp server events
La première ligne correspond à un ipconfig/release (libération du bail) sur un poste utilisateur,la
seconde correspond à un ipconfig/renew (redemande de bail).
PROTOCOLE NTP
18-01-2007
Page 1 sur 5
Configurez le protocole NTP sur vos dispositifs réseaux.
1. Introduction
Le protocole NTP ou Network Time Protocol, est un protocole destiné à synchroniser
différentes machines entre elles.
Il fonctionne via le port UDP 123 (bien que le port TCP 123 soit aussi réservé pour le protocole
NTP) et sert à se connecter à des serveurs qui eux, en théorie, sont connectés à une horloge
atomique. Cela permet d’avoir une synchronisation quasi-parfaite entre vos dispositifs.
Nous allons voir dans cette article comment configurer un dispositif afin d’utiliser le protocole
NTP, que ce soit pour agir en tant que serveur NTP ou simplement pour synchroniser votre
appareil.
Les commandes de configuration NTP se rentrent en mode de configuration globale.
TOR
Écrit par PAPIN Nicolas
18-01-2007
Page 1 sur 3
"The Onion Router" Créer un réseau sécurisé
Il existe de plus en plus sur Internet des soucis d’anonymats et de confidentialité des données
personnelles. Est-il possible aujourd’hui d’utiliser le réseau public mondial, de façon
sécurisée et anonyme ? C’est ce que TOR propose de faire.
1 – L’anonymat
Comment se passent aujourd’hui les communications passant par le réseau public (Internet) ?
Avec tout protocole routé, les en-têtes des paquets identifient l’adresse source et destination. Il
est donc possible d’intercepter un message, de trouver de qui il provient, à qui il est destiné et de
savoir les routes empruntées tout au long du cheminement.
Même en ajoutant du chiffrage, le contenu du message sera codé, mais cette route restera
décelable.
La question peut alors se poser, qui à un réel besoin d’anonymat sur Internet ?
En premier lieu les gouvernements, les données sensibles ont besoin d’êtres échangées sur des
réseaux sécurisés. L’utilisation de l’anonymat pour un gouvernement peut être comprise pour le
rassemblement d’informations sur des sites sensibles, les réseaux des armées, les coalitions
internationales…
En seconde place, l’internaute moyen, l’utilisateur lambda :
· Vers où envoyez vous vos mèls (et donc à qui) ?
· Sur quels sites vous rendez vous ?
· Où travaillez-vous ? D’où venez-vous ?
· Qu’achetez-vous sur Internet, quels livres lisez-vous, la musique que vous écoutez...
Bien sur tout cela peut paraître sorti d’un film d’espionnage mais cela peut devenir au fil des
années une réalité. Par exemple pour une société peu scrupuleuse, c’est un moyen de se
renseigner des habitudes d’achat d’internautes et donc une forme de violation de la vie privée.
Il faut donc un moyen de trouver un chemin dédié et sécurisé entre l’émetteur et le récepteur.
VLAN
18-01-2007
Page 1 sur 6
Configuration d'un routage inter-VLAN Introduction et rappels
Cet article a pour but d'expliquer et d'établir une configuration de routage inter-VLAN.
Bref rappel sur les VLANs et le VTP
Un VLAN peut être assimilé à un domaine de broadcast. Typiquement, dans une configuration de
VLAN, chaque VLAN comprend son propre sous-réseau. Sans équipement de couche 3, il est
donc impossible pour les terminaux d'un VLAN de communiquer avec les terminaux d'un autre
VLAN.
Le VLAN Trunking Protocol (VTP) est nécessaire si l'on veut étendre une configuration de VLAN
sur plusieurs commutateurs.Un trunk est nécessaire pour une connexion entre deux
commutateurs traitant des VLANs. Ce trunk représente un canal par lequel transitent les trames
des différents VLANs d'un commutateur à un autre. Pour que les commutateurs "sachent" à quel
VLAN appartient une trame, un étiquetage est nécessaire. C'est pourquoi on utilise un protocole
d'étiquetage : ISL (Cisco) ou 802.1q (IEEE). Nous utiliserons ici le 802.1q qui est le protocole
utilisé par défaut.
CONFIGURATION DU PROTOCOLE SNMP
18-01-2007
Page 1 sur 13
SNMP (Simple Network Management Protocol) très utilisé dans l’administration réseau 1.
Introduction
Le protocole SNMP (Simple Network Management Protocol) est très utilisé dans le milieu de
l’administration réseau.
En effet, il permet de simplifier grandement la maintenance des réseaux en fournissant aux
administrateurs la possibilité d’obtenir de nombreuses informations sur des équipements
présents sur le réseau tels que des serveurs, des routeurs ou encore des commutateurs.
Le recueil de ces informations permet d’être informé à tout moment de ce qui se passe sur le
réseau et permet de réagir rapidement en cas de problème sur celui-ci, notamment en
permettant le management à distance des différents équipements réseaux utilisant le
protocole SNMP.
De plus, ce protocole fonctionne suivant un mode « client / serveur » ce qui permet à un
administrateur de n’obtenir les informations recueillies par les équipements réseaux que
lorsqu’il en fait la demande ou lorsqu’une alerte aura été déclenchée.
Afin d’éviter tout détournement d’information ou contrôle non autorisé sur ces divers
équipements, il est également possible d’instaurer des mesures de sécurité permettant de
s’assurer que seules des personnes autorisées puissent consulter ces bases d’informations
et interagir avec ces équipements.
CONFIGURATION WI-FI LINKSYS WRT55AG
18-01-2007
Page 1 sur 4
Configuration Wi-Fi du routeur Linksys WRT55AG 1. Description du matériel utilisé
Nous allons utiliser le modèle Linksys WRT55AG de Cisco qui réalise des opérations de
routage avec 4 ports full duplex 10/100 Mbps et point d’accès Wi-Fi aux normes 802.11a
802.11b 802.11g. Le WEP (Wireless Equivalent Privacy) y est présent pour sécuriser votre Wi-
Fi.
2.Installation
2.1 Dans le cas d’un modem Câble/ADSL avec un port RJ45
Branchez votre modem sur le routeur à l’aide d’un RJ45 sur le port WAN (le port séparé des 4
ports 10/100) pour obtenir une topologie correspondant à ce schéma.
2.2 Pour les autres types de modem
Si vous ne pouvez pas brancher votre modem sur le routeur, vous pouvez néanmoins l’utiliser en
tant que commutateur et point d accès Wi-Fi tout en partageant Internet par le biais de votre
ordinateur.
Il vous suffira de brancher l’ordinateur partageant Internet sur un des ports 10/100 du routeur.
Votre topologie sera désormais de la forme :
ROUTES STATIQUES
18-01-2007
Page 1 sur 7
Configuration des routes statiques, routes flottantes et leur distribution. 1.Introduction
Le routage statique précéda le routage dynamique. Il faut savoir qu’aujourd’hui, un
administrateur réseau ne déploie pas uniquement le routage dynamique. En effet, les deux
types de routages sont combinés. Par ailleurs, le routage statique est la solution optimale
dans certains cas.
D’un côté, l’administrateur réseau peut recourir vers la simplicité en utilisant les routes
statiques. Cela est un choix légitime pour des petits réseaux qui peuvent être facilement
contrôlés de près. Un petit système autonome (AS) est souvent connecté à son ISP par le
biais des routes statiques pour la même raison, qu’est la simplicité. Effectivement, mettre en
place des routes statiques est une configuration moins onéreuse par rapport à la mise en
place de BGP et/ou la redistribution entre des protocoles de routage.
De l’autre côté, les routes statiques peuvent être utilisées pour la sécurité supplémentaire du
réseau. Lorsqu’une liaison tombe en panne, un autre chemin pourrait être pris, indiqué par la
route statique.
L’activité d’un routeur se résume par deux fonctionnalités principales:
Trouver la meilleure route
Commuter le paquet sur l’interface appropriée
Pour trouver la meilleure route, un routeur compare l’adresse de destination du paquet avec les
adresses réseau de sa table de routage.
Les routes statiques représentent des réseaux distants, éloignés par un saut au moins.
Lorsque la table de routage est créée manuellement, les routes sont dites statiques. La
configuration de la métrique et de la distance administrative est laissée à l’administrateur.
ROUTES STATIQUES
18-01-2007
Page 2 sur 7
2.Route statique
Pour configurer une route statique, la commande ip route est utilisée à partir du mode de
configuration globale :
Router(config)#ip route préfixe masque { prochain_saut | int_type int_num } [ distance ] [ tag ]
[ permanent ]
Mot-clé Description
préfixe L’adresse IP du réseau distant
masque Le masque du réseau distant
prochain_saut L’adresse IP du prochain saut
int_type int_num L’interface de sortie (décrite par le type et
le numéro)
distance Distance administrative
tag Marqueur utilisé pour la redistribution de
routes
permanent Ne jamais effacer la route (même si
l’interface tombe)
2.1.Route Statique : Exemple 1
Voici un exemple de configuration simple des routes statiques. Trois routeurs RTA, RTB et RTC
sont connectés en série :
Figure 1 – Topologie simple
Pour lier ces trois routeurs, il faut placer une route statique sur les routeurs de bord. Attention, il
est important de définir pour tous les routeurs tous leurs réseaux distants. Dans le cas contraire,
on court le risque d’avoir des équipements qui reçoivent des paquets, mais ne savent pas
comment les renvoyer vers la source.
Dans l’exemple, présenté ci-dessus, le réseau distant pour le routeur RTA est 20.0.0.0/8 et le
prochain saut menant vers ce réseau est 10.0.0.2/8. Alors la configuration est :
RTA(config)#ip route 20.0.0.0 255.0.0.0 10.0.0.2
Le routeur RTB est directement connecté aux deux autres. La configuration pour le routeur RTC
est :
RTC(config)#ip route 10.0.0.0 255.0.0.0 20.0.0.1
Il serait parfaitement légitime de spécifier l’interface de sortie (interface ethernet 0) menant vers
le réseau distant, en lieu de l’adresse IP du prochain saut. Cependant, spécifier l’adresse du
prochain saut est la méthode plus précise, et plus sûre.
Pour comprendre le fonctionnement des routes statiques configurées avec l’interface sortante,
considérons l’exemple suivant.
DHCP SNOOPING
19-01-2007
Page 1 sur 5
Le DHCP Snooping est une solution de sécurité permettant d’empêcher les attaques utilisant
des serveurs DHCP pirates au sein d’un réseau.
1. Introduction
Le protocole DHCP permet de fournir dynamiquement une configuration réseau à un
ordinateur, dont par exemple une adresse IP pour lui permettre de communiquer sur le réseau.
Cependant il est possible qu’une personne mal intentionnée puisse exécuter sur son
ordinateur un serveur DHCP afin de distribuer aux utilisateurs des configurations réseaux
spécifiques qui serviront à des fins malicieuses.
Pour palier à ces problèmes de sécurité, Cisco a mis en place une solution permettant de
déterminer au sein des équipements les plus proches des utilisateurs (commutateurs) les
serveurs qui sont seulement autorisés à diffuser des configurations DHCP au sein du réseau.
Cette solution nommée « DHCP Snooping » vous sera présentée à travers cet article en vous
présentant tout d’abord la théorie puis les commandes vous permettant d’implémenter cette
solution au sein d’un réseau.
Introduction
Cet article a pour but de présenter la configuration d'un lien point à point entre deux routeurs sur
des interfaces RNIS de deux manières différentes. Le tout avec sur chaque routeur une seule
interface de BASE (BRI 0). La première configuration met en place des profils d'appels (dialer)
que l'on nommera par la suite Dialer profile tandis que la deuxième met en place des mappages
directement sur l'interface RNIS du routeur concerné, on dénommera cette configuration Dialer
Map. Voici ci-dessous le schéma logique de configuration entre les deux routeurs :
CONFIGURATION HSRP
19-01-2007
Page 1 sur 4
Configuration du protocole HSRP
HSRP (Hot Standby Routing Protocol ) est un protocole propriétaire crée par Cisco et très
utilisé aujourd’hui dans nos LAN.
De ce protocole est dérivé VRRP (Virtual Router Redundancy Protocol), normalisé et utilisé
chez la plupart des autres constructeurs (Nokia, Alcatel..)
En pratique, HSRP permet qu’un routeur de secours (ou spare) prenne immédiatement, de façon
transparente, le relais dès qu’un problème physique apparaît.
Cet article décrit tout d’abord le fonctionnement puis la configuration à effectuer.
RECUPERATION DE MOTS DE PASSE SUR UN 2600
18-01-2007
Page 1 sur 2
Procédures de recuperation de mot de passe oublié
Cet article à pur but d’expliquer la procédure à suivre quand on a malheureusement perdu les
mots de passe d’un routeur Cisco 2600. Cette procédure présente l’avantage de ne pas
écraser la configuration, simplement de changer les mots de passe tout en gardant la
configuration existante. La connexion doit se faire par un câble console.
Nous nous trouvons dans l’impossibilité de rentrer dans le mode privilégié du routeur.
La solution décrite dans la procédure est de redémarrer en mode ROM, avec l’image minimaliste
afin de changer la valeur du registre de configuration.
Il faut ensuite redémarrer le routeur avec l’interrupteur et appuyer sur la touche CTRL et
« Pause » ou « Break » au clavier dans les 30 secondes après le démarrage. L’écran suivant doit
alors apparaître :
Nous sommes alors avec l’image minimaliste, très peu de commandes sont disponibles.
Nous allons nous intéresser au registre de configuration.
La valeur normale du registre de configuration est : 0X2102, nous allons pour ignorer la
configuration passer cette valeur en confreg 0X2142 :
Puis on redémarre avec la commande reset, cette valeur du registre de configuration permet
d’ignorer la copie du fichier de configuration de sauvegarde dans le fichier de configuration
active. Autrement dit, d’ignorer les mots de passe.
Après redémarrage le routeur demande si l’on veut rentrer dans le mode SETUP, répondre « no »
à cette question.
La prochaine étape est de rentrer dans le mode privilégié avec cette configuration « vierge » :
Aucun mot de passe ne nous est demandé car la configuration est vierge.
LE PROTOCOLE EIGRP
18-01-2007
Page 1 sur 4
Configuration du protocole EIGRP
Introduction
EIGRP : ou Enhanced IGRP
Il s’agit en effet d’une évolution du protocole propriétaire de Cisco, l’IGRP. Il a la particularité d’allier la connectivité à
états de liens et à vecteur de distance :il est hybride.
Enhanced IGRP garde en mémoire toutes les tables de routages de ces voisins, ce qui permet rapidement de s'adapter à
une route alternative. Si aucune route appropriée existe, alors il va demander à ses voisin de lui en découvrir une et va
propager les demandes jusqu'à ce qu'une route soit trouvée.
De plus, il ne fait pas de mise à jour périodique des ses tables, mais envoie de partielles mises à jour lorsque la distance pour
une route change. La propagation de ces mises à jour est uniquement effectuée vers les routeurs qui ont besoin de ces
informations. Ce qui fait que Enhanced IGRP consomme beaucoup moins la bande passante que IGRP.
CONFIGURATION D’UN VPN IPSEC
É
18-01-2007
Page 1 sur 7
Configuration d'un VPN entre 2 routeurs Cisco
Créez un VPN IPSEC entre 2 LAN avec 2 routeurs Cisco
Nous disposons de 2 routeurs Cisco :
· Sur le site principal, un 2620 (mainrtr) avec 2 interfaces Ethernet :
o Une connectée au LAN interne (adresse IP 172.23.10.1/16)
o L’autre est utilisée pour se connecter à Internet (adresse IP 207.194.10.198/24).
· Sur le site distant, un 1751 (remotertr) avec 2 interfaces Ethernet :
o Une connectée au LAN interne (adresse IP 172.25.10.1/16)
o L’autre connecté à Internet (adresse 207.194.10.199/24).
La première étape consiste à configurer les règles IKE sur les 2 routeurs. Les règles IKE précisent le type
d’encryption et de découpage à utiliser ainsi que le type d’authentification qui sera implémenté. Les paramètres
doivent impérativement être les mêmes sur les 2 routeurs.
CONFIGURATION DE BASE D'UN ROUTEUR
18-01-2007
Page 1 sur 7
Dans cet article, vous apprendrez à configurer les routeurs de ce domaine de routage, afin de
permettre la connectivité de tous les ordinateurs.
Dans cet article, vous apprendrez à configurer les routeurs de ce domaine de routage, afin de permettre la connectivité de
tous les ordinateurs.
L’ interface S0 de tous les routeurs sont la partie ETCD (Équipement de communication de données, il fournit le signal de
synchronisation).
L’interface S1 de tous les routeurs sont la partie ETTD (Équipement terminal de traitement de données, il utilise
généralement la signalisation de synchronisation générée par l'ETCD).
Lorsque vous connectez les routeurs entre eux, apportez une attention particulière au sens du câble. Ce dernier a une
extrémité ETCD et une extrémité ETTD.
L’interface E0 de tous les routeurs est connectée à un concentrateur et permet de connecter vos périphériques.
La configuration que nous allons créer est basé sur la topologie suivante, le protocole utilisé pour faire communiquer les
routeurs sera le protocole RIP :
RECUPERATION DE MOT DE PASSE
18-01-2007
Page 1 sur 4
Retrouvez les procédures de changement de mot de passe oublié sur tous les routeurs Cisco
L’oubli du mot de passe d’un routeur est un vrai handicap, c’est pourquoi les routeurs CISCO permettent la récupération
de ce dernier.
La procédure étant relativement simple, il est indispensable que ce genre de périphérique soit installé dans un local
technique fermant à clé.
1.Commencez par éteindre le routeur, attendez quelques secondes avant de le rallumer.
2.Dès les premières secondes du démarrage, appuyez simultanément sur Ctrl et Pause.
Le message « user abort » apparaît, puis la ligne de commande devient boot#.
LE REGISTRE DE CONFIGURATION
18-01-2007
Page 1 sur 4
Le registre de configuration
1) Généralités
Le registre de configuration a une taille de 16 bits, et s’exprime sous la forme d’une valeur hexadécimale.
On peut modifier sa valeur :
Depuis IOS, en utilisant la commande config-register {valeur} dans le mode de configuration globale.
Depuis le mode RXBoot, accessible en utilisant la combinaison de Break avant les 60 secondes qui suivent le
démarrage à froid du routeur (en général Ctrl-Pause). La commande permettant de modifier la valeur dépend du type de
dispositif sur lequel on se trouve.
La valeur par défaut du registre de configuration est 0x2102.
Ce registre a pour principal but d’établir le comportement d’un routeur :
Bits 0 à 3 : Champ d’amorçage.
Bit 4 : Démarrage rapide (sur les routeurs 7000).
Bit 5 : Vitesse de la ligne console supérieure à 9600 Bauds.
Bit 6 : Ignorer le fichier de configuration de sauvegarde (en NVRAM).
Bit 7 : OEM.
Bit 8 : Combinaison de Break après chargement d’IOS.
Bit 9 : Utilisation du bootstrap secondaire.
Bit 10 : Broadcast IP avec tout à zéro.
Bits 11 & 12 : Vitesse de la ligne console.
Bit 13 : Utiliser l’image par défaut en ROM si échec du démarrage réseau.
Bit 14 : Broadcasts IP n’ont pas de numéros de réseau.
Bit 15 : Activer les messages de diagnostics et ignorer le contenu de la NVRAM.
PERSONNALISEZ VOTRE ROUTEUR EN CREANT UNE BANNIERE
18-01-2007
Page 1 sur 2
La bannière est le texte qui vous accueille lorsque vous vous connectez au routeur
La bannière est le texte qui vous accueille lorsque vous vous connectez au routeur.
Pour créer votre bannière, il suffit de rentrer en mode de configuration globale de votre routeur :
Une fois dans ce mode, vous rentrez les paramètres suivants :
L’expression motd ! indique que le caractère qui va mettre fin à la saisie de votre bannière est le point d’exclamation. On
aurait pu mettre n’importe quel autre caractère.
CONFIGURATIONDES PARAMETRES HORAIRES DE VOTRE ROUTEUR CISCO
18-01-2007
la commande clock vous permet de configurer la date et l'heure sur votre routeur Cisco
la commande clock vous permet de configurer la date et l'heure sur votre routeur Cisco :
clock set hh:mm:ss dd month yyyy
cette commande paramêtre la date et l'heure sur votre routeur
ex : clock set 18:40:00 25 PAR 2002
clock timezone XXX O
cette commande vous permet de spécifier au routeur la zone horaire ou le routeur se trouve (EST,CST,MST,PST)
ex : clock timezone CST °
clock summer-time XXX recurring
cette commande paramêtres les paramêtres liés à l'heure d'été
ex : clock summer-time EST recurring
service timestamps log datetime localtime show-timezone
cette commande affiche toutes les entrées du routeur contenue dans la table de log avec la date, l'heure
LA COMMANDE SHOW
18-01-2007
La commande show est tres efficace pour le monitoring et le dépannage La commande show est tres
efficace pour le monitoring et le dépannage. Vous pouvez l'utiliser pour executer toute une série de fonctions :
Monitoring du routeur pendant l'installation et pendant sa production
Isolation des problèmes d'interface, de média ou d'application
Determiner la charge du réseau
Determiner l'état des serveurs, client ou encore des routeurs voisins
Le tableau suivant présente les usages les plus courants de la commande show :
show access-lists
affiche les listes de controles d'accès configurés sur le routeur ainsi que les interaces auxquelles
elles se rapportent
show buffers affiche l'état du tampon du routeur
show clock affiche les paramêtres horaires du routeur
show <interface>
affiche différentes statistiques pour l'interface concernée comme par exemple le type de média
raccordé
show DECnet static affiche les routes statiques configurées
show flash affiche la version de lIOS utilisés par le roueur ainsi que que ma quantoté de mémoire flash utilisée
show flash all affiche la quantité de mémoire flash utilisée
show interfaces affiche les statisques ainsi que les caractéristiques de toutes les interfaces du routeur
show interfaces
accounting
affiche un aperçu des protocoles voyagant au travers des interfaces
show ip arp affiche la table arp du routeur
show ip OSPF
<interface>
affiche le statut d'ospf sur l'interface concernée
show ip route affiche la table de routage IP
show IPX interfaces affiche l'état des interfaces IPX ainsi que leur adresse MAC
show ip protocols affiche les information de routage
show ip traffic affiche les statistique de traffic passant par le routeur
show ipx servers affiche les serveurs que le routeur connait
show line affiche les lignes actives du routeur
show log affiche les logs du routeur ( il convient d'activer les logs au préalable)
show memory affiche l'état de la mémoire du routeur
show running-config affiche la configuration stockée en RAM, utilisée par le routeur en fonctionnement
show startup-config affiche la configuration stockée en NVRAM, utilisée par le routeur au démarrage
show tcp affiche les connections TCP
show version
affiche le uptime du routeur, la version de l'IPS, la séquence de boot ainsi que les caractéristiques
physiques du routeur
Il existe un nombre incroyables d'autres options pour la commande show, pour les connaîtres, utilisez l'aide du routeur en
tapant la commande : "show ?".
Il est important de rappeller que les options disponibles différent en fonction du mode ou l'utilisateur se trouve.
LES RACCOURCIS CLAVIERS
18-01-2007
En fonction des méthodes que vous utilisez pour vous connecter à votre routeur Cisco, les
flêches ou autre moyen de navigation usuels peuvent fonctionner de manière aléatoire En fonction
des méthodes que vous utilisez pour vous connecter à votre routeur Cisco, les flêches
ou autre moyen de navigation usuels peuvent fonctionner de manière aléatoire.
Voici la liste des raccourcis claviers vous permettant de naviguer dans la configuration de votre équipement Cisco :
Backspace efface le caractére a gauche du curseur
Tab complétion de la commande
? aide
Ctrl A déplace le curseur en début de ligne
Ctrl B recule d'un caractère
Ctrl D efface le caractère situé sur le curseur
Ctrl E déplace le curseur en fin de ligne
Ctrl H efface le caractère à gauche du curseur
Ctrl I completion de la commande
Ctrl K efface tous les caractères jusqu'à la fin de la ligne
Ctrl L réaffiche la ligne en cours (utile si le Debug d'affiche pendant la saisie)
Ctrl N affiche la ligne suivante dans l'historique des commandes
Ctrl P affiche la ligne précedente dans l'historique des commandes
Ctrl R réaffiche la ligne en cours (utile si le Debug d'affiche pendant la saisie)
Ctrl T transpose les caractères
Ctrl U efface les caractères jusqu'à la fin de la ligne et les place dans un tampon
Ctrl W efface le mot précédent
Ctrl X efface les caractères jusqu'au début de la ligne et les place dans un tampon
Ctrl Y insert le tampon dans la ligne de commande
Esc < affiche la première commande situé dans l'historique des commandes
Esc > affiche la dernière commande situé dans l'historique des commandes
Esc b déplace le curseur d'un mot en arrière
Esc c selectionne le mot après le curseur
Esc d efface le mot après le curseur
Esc f avance le curseur d'un mot
Esc i Tab
Esc l passe le mot placé après le curseur en minuscules
Esc u passe le mot placé après le curseur en majuscules
Esc y colle le tampon
Esc Del efface le mot placé avant le curseur
ACL
18-01-2007
Page 1 sur 4
Les Listes de Contrôle d’Accès
1- Définition
Une liste de contrôle d’accès est une collection d’instructions permettant d’autoriser ou de refuser des paquets en
fonction d’un certain nombre de critères, tels que :
-L'adresse d'origine
-L'adresse de destination
-Le numéro de port.
-Les protocoles de couches supérieures
-D’autres paramètres (horaires par exemple)
Les listes de contrôle d'accès permettent à un administrateur de gérer le trafic et d'analyser des paquets particuliers.
Les ACLs sont associées à une interface du routeur, et tout trafic acheminé par cette interface est vérifié afin d'y déceler
certaines conditions faisant partie de la liste de contrôle d'accès.
Les ACL peuvent être créées pour tous les protocoles routés. Il faut donc définir une liste de contrôle d'accès dans le cas de
chaque protocole activé dans une interface pour contrôler le flux de trafic acheminé par cette interface.
Dans le cas de certains protocoles, il faut créer une liste de contrôle d'accès pour
filtrer le trafic entrant et une pour le trafic sortant.
2- Vérification des paquets
Lorsque le routeur détermine s'il doit acheminer ou bloquer un paquet, la plate-forme logicielle Cisco IOS examine le paquet
en fonction de chaque instruction de condition dans l'ordre dans lequel les instructions ont été créées.
Si le paquet arrivant à l’interface du routeur satisfait à une condition, il est autorisé ou refusé (suivant l’instruction) et les
autres instructions ne sont pas vérifiés.
Si un paquet ne correspond à aucune instruction dans l’ACL, le paquet est jeté.
Ceci est le résultat de l’instruction implicite deny any à la fin de chaque ACL.
SAUVEGARDER LES CONFIGURATIONS DE ROUTEUR SUR UN
SERVEUR TFTP
18-01-2007
Page 1 sur 4
Sauvegardez et deployez vos fichiers de configuration de routeur
Introduction :
Une fois la configuration de nos routeurs terminée, il est important de stocker ces fichiers de configuration. En effet, sur
les réseaux critiques il est souvent nécessaire de posséder des routeurs de rechange préconfigurés pour opérer à un
remplacement rapide en cas de panne. Pour cela, on peut importer et exporter les configurations sur des serveurs TFTP.
Serveur TFTP :
TFTP, pour Trivial File Transfer Protocol , est un protocole de la pile TCP/IP qui permet l’échange d’informations entre les
nœuds. Comme l’indique son nom, ce protocole est simplifié par rapport au protocole FTP et ne permet pas l’authentification
des utilisateurs.
Vous trouverez aisément un serveur TFTP sur Internet, en voici un exemple à www.solarwinds.net
Dans cet exemple, l’adresse du serveur est 192.168.10.222 (adresse de la machine sur laquelle est installé le serveur TFTP).
LE ROUTAGE NOVELL IPX
18-01-2007
Page 1 sur 4
Configuration du routage IPX sur les réseaux Novell
Préambule :
Depuis le début des années 80, le système d’exploitation Netware de Novell offre de nombreuses application de client-
serveur. Avec plus de 5 millions de réseaux et 50 millions d’utilisateurs, Netware, et plus précisément la pile de protocole
IPX/SPX, reste un élément incontournable de l’administration réseau.
Cet article traitera essentiellement de la configuration du routage Novell, et ne s’intéressera pas en détail aux protocoles liés
à la pile IPX/SPX (IPX, SPX, SAP, NLSP, RIP).
L’adressage IPX :
L’adressage IPX permet, comme l’adressage IP, d’obtenir un système hiérarchique, offrant ainsi aux administrateurs les
bases de la conception LAN.
Ces adresses occupent 80 bits : 32 bits (en caractères hexadécimaux) définissant le numéro de réseau choisit par
l’administrateur et 48 bits pour la partie représentant le nœud qui correspondent à l’adresse MAC de l’hôte.
Exemple d’adresse IPX : 435B20C2. 00 . 30 . AB . 02 . 23
L’avantage de l’utilisation de l’adresse MAC pour la partie hôte du nœud est que le protocole ARP (gourmand en ressources
réseau) devient inutile et donc inutilisé.
CHANGER VOTRE VERSION D’IOS
18-01-2007
Page 1 sur 3
Sauvegardez et mettez à jour vos images IOS
Préambule : Les routeurs Cisco utilisent le système d’exploitation IOS pour gérer les opérations propres au routage et à la
configuration du dispositif. Vous pouvez être amené à réparer une version défectueuse d’IOS ou à installer une version
plus récente sur votre routeur.
Pour cela, procédez comme suit :
Enregistrer une version IOS valide sur un serveur TFTP :
Démarrez votre serveur TFTP. Vous pouvez télécharger un serveur TFTP gratuit à l’adresse suivante :
www.solarwinds.net
En mode privilégié, tapez copy flash tftp.
Le routeur vous demande l’adresse du serveur, dans ce cas : 192.168.10.222. Ensuite, vous devez rentrer le nom du fichier
que vous voulez uploader. (Le routeur vous propose le nom du fichier IOS installé).
Pour terminer, vous devez indiquer un nom pour le fichier qui sera stocké sur le serveur.
RIP
18-01-2007
Page 1 sur 2
Configuration du protocole RIP
1) Description
RIP (Routing Information Protocol) est relativement ancien, mais est encore couramment utilisé. Il s’agit d’un IGP (Interior
Gateway Protocol) créé pour être utilisé dans de petits réseaux homogènes, et est un protocole de routage à vecteur de
distance.
RIP utilise le protocole UDP en diffusion (Broadcast) pour échanger l’information de routage.
Les mises à jour de routage sont envoyées toutes les 30 secondes.
Si un routeur ne reçoit aucune mise à jour d’un autre routeur dans un délai de 180 secondes, il marque les routes
desservies par le routeur ne répondant pas comme inutilisables.
S’il n’y a toujours aucune mise à jour après 240 secondes, le protocole RIP enlève toutes les entrées dans sa table de
routage correspondant au routeur qui ne répond pas.
Caractéristiques principales :
La métrique qu’utilise RIP est le nombre de sauts (Hop count).
Chaque entrée dans la table de routage apprise par RIP a une distance administrative de 120.
Un réseau directement connecté a une métrique de 0, alors qu’un réseau inaccessible aura une métrique de 16.
2) Configuration du protocole RIP
a) Activation de RIP
La commande router rip, dans le mode de configuration globale, permet :
De passer en mode de configuration du protocole de routage.
D’activer le protocole RIP.
Il faut maintenant indiquer quels sont les réseaux directement connectés au routeur interagiront au niveau des mises à jour.
Ceci inclus les réseaux sur lesquels le routeur enverra les paquets de mise à jour ainsi que les réseaux qui seront inclus dans
les mises à jour. Il faut utiliser la commande network {réseau}, depuis le mode de configuration du protocole de routage.
b) Mises à jour unicast
Par défaut, les mises à jour sont diffusées (Broadcast).
Il est possible d’émettre ces mises à jour vers des destinataires uniques en utilisant la commande neighbor {IP}, dans le
mode de configuration du protocole de routage.
c) Offsets de métriques de routage
Les métriques des entrées apprises par RIP ont généralement pour valeur le cumul de celles présentes dans le paquet de mise
à jour avec la métrique du lien entre le routeur local et celui qui a envoyé la mise à jour.
Il est possible de rajouter un mécanisme d’incrémentation sélectif de ces métriques.
La commande offset-list [acl] {in | out} {valeur} [{type} {numéro}] du mode de configuration du protocole de routage
configure ce système d’incrémentation :
[acl] : Nom ou numéro d’ACL, afin de limiter l’offset-list (Paramètre optionnel).
{in | out} : L’offset-list sera appliquée lors de la réception (in) ou de l’émission (out) d’un paquet de mise à jour.
{valeur} : Nombre qui sera ajouté aux métriques concernées.
[{type} {numéro}] : L’offset-list peut aussi être appliquée sur une interface spécifique (Paramètre optionnel).
CONFIGURATION CHAP
18-01-2007
Page 1 sur 3
Configuration du protocole CHAP
1 - Introduction
La configuration du protocole CHAP sur les routeurs Cisco assure une protection maximale grâce à l’utilisation de la
méthode défi-réponse. Le fait de répéter cette méthode au cours des connexions permet de limiter le temps d’exposition à
une quelconque attaque. La méthode d’authentification CHAP dépend d’un secret que seul l’authentificateur connaît.
Dans cet exemple de configuration, nous disposons de deux routeurs nommés respectivement « Dessus » et « Dessous ». Le
principe de ce protocole CHAP consiste à configurer sur chaque routeur un compte qui autorisera l’autre à s’y connecter
ACL IPX
18-01-2007
Page 1 sur 6
Configuration de listes d’accès avec le protocole IPX
Introduction Rappel sur le protocole IPX
Le protocole IPX est un protocole de couche 3 non orienté connexion. Ainsi, il n’utilise pas de système d’accusé de
réception pour chaque paquet et définit les adresses de réseau et de nœud.
Ce protocole fonctionne de manière similaire à TCP/IP sous réserve qu'un routeur multi protocole soit installé.
Pour activer le routage avec IPX il faut utiliser la commande IPX routing en mode de configuration globale
La structure d'adressage IPX de Novell comprend deux parties :
- le numéro de réseau : attribué par l'administrateur réseau, comprend jusqu'à huit chiffres hexadécimaux.
Le numéro de nœud IPX comprend 12 chiffres hexadécimaux. Ce numéro correspond habituellement à
l'adresse MAC d'une interface réseau. L'utilisation de l'adresse MAC dans l'adresse logique IPX élimine
la nécessité d'utiliser le protocole ARP (Address Resolution Protocol).
- le numéro de nœud : généralement l'adresse MAC d'une interface réseau du nœud d'extrémité
exemple :
4a1d (numéro de réseau 8 chiffres en hexadécimal)
0000.0c56.de34 (numéro de noeud 12 chiffres en hexadécimal)
Adresse entière : 4a1d.000.0c56.de34
Note : Les interfaces série utilisent l'adresse MAC de l'interface Ethernet comme adresse de nœud IPX.
A l’instar de TCP/IP, IPX utilise des plages de numéros pour classer les différents types de liste de contrôle d’accès :
Type Plage
ACL IPX Standard 800-899
ACL IPX Etendue 900-999
ACL IPX SAP 1000-1099
Note :Les ACL ont besoin d'un numéro unique pour être identifiées.
Exemple : access-list 833 permit 4a1d.000.0c56.de34 0.0.0.fff 4acb
Le numéro 833 définit une liste d'accès IPX standard qui autorise les paquets provenant du réseau 4a1d.000.0c56.de34 vers
le réseau 4acb. N'oubliez pas qu'une seule liste de contrôle d'accès est permise par port, par protocole et par direction.
Note : Toutes les ACL sont configurées par défaut avec un « DENY ALL » implicite et tous les masques représentés en binaire
avec ip sont représentés en hexadécimal avec ipx.
CONFIGURATION AP 1200 CISCO AVEC EAP-TLS
19-01-2007
Page 1 sur 6
Configuration d'EAP-TLS sur l'AP 1200 Cisco
Introduction :
Les réseaux sans fil, ou WLAN (pour Wireless LAN), réussissent à conjuguer tous les
avantages d’un réseau filaire traditionnel comme Ethernet ou Token Ring mais sans la
limitation des câbles.
La mobilité est maintenant l’attrait principal pour les entreprises, la possibilité d’étendre son
réseau LAN existant selon les besoins de l’organisation.
Le média utilisé par les WLANs est l’air et particulièrement des fréquences radio à 2,4 GHz et 5
GHz.
On parle de "réseaux sans fil" mais la plupart du temps, ces réseaux sont intégrés aux LANs
traditionnels, juste considérés comme une extension à l’existant. Aujourd’hui, grâce à des
normalisations de l’IEEE et du "Wi-Fi Alliance", les équipements sans fil sont standardisés et
compatibles, ce qui explique l’engouement croissant pour ce type de réseau de moins en moins
coûteux.
L’Access Point (ou point d’accès) est une station qui transmet et reçoit des données dans un
réseau local sans fil (WLAN). Un AP peut servir de point d'interconnections entre le WLAN et un
réseau fixe de fil. Chaque point d'accès peut servir plusieurs utilisateurs dans un secteur défini
de réseau. Lorsque l’utilisateur se déplace au delà de la couverture d'un point d'accès, il est
automatiquement reconnecté sur le prochain AP.
Dans cet article nous allons expliquer de façon la plus précise possible la configuration d’un AP
de type 1200 Cisco. Pour cela, nous verrons dans un premier temps une configuration de base
pour ensuite configurer l’EAP-TLS avec certificat Radius sur un Windows 2003.
1/ Configuration de base d’un AP :
Avant de configurer son AP, il faut déterminer ou recueillir les informations suivantes :
• Un nom de système
• Un SSID (Service Set Identifier) pour le réseau radio
• Une adresse IP unique (si l’AP n’utilise pas le serveur DHCP)
• Une passerelle par défaut et masque de sous réseau (si l’AP n’est pas sur le même sous
réseau que le PC d’administration)
• Un nom de communauté SNMP et le fichier SNMP attribué (si SNMP est utilisé)
Pour passer en mode privilégié sur l’AP, le mot de passe par défaut est : Cisco
Il existe 2 interfaces permettant de configurer son AP, Pour administrer l’AP, le nom d’utilisateur
par défaut est « Cisco » avec le mot de passe « Cisco » :
• Page d’accueil de la CLI (command-line interface), connexion console ou telnet :
• Page d’accueil de l’interface http (recommandé) – IOS GUI (Graphical User Interface),
adresse par défaut http://10.0.0.1 :
Dans cet article, nous resterons en mode Web, mais les commandes existent en CLI et sont
similaires à tous les matériels Cisco
http://www.cisco.com/univercd/cc/td/doc/product/wireless/airo1100/accsspts/i1237ja/cr1237ja/cr37main.ht
m
Nous allons commencer tout d’abord par quelques paramètres de base sur la page Express
Setup :
Cette page permet de régler
plusieurs paramètres tels que :
Hostname
Protocole serveur configuré
Adresse IP
Masque
Passerelle
Communauté SNMP
Puis, pour chaque interface Radio de
l’AP :
SSID (nous choisirons « Labo-
cisco »)
Broadcast SSID (permet aux
stations ne spécifiant pas de SSID
de se connecter sur l’AP)
Nous retrouvons le paramétrage de l’adressage IP dans cette page :
Il faut savoir que par défaut, la borne se met en 10.0.0.1 et fait un DHCP pour les clients. Dans le
cadre d’un petit réseau domestique par exemple.
Par contre il y a également la possibilité que la borne prenne une IP sur une plage définie par
l’administrateur afin de rejoindre un LAN existant. Il faut toujours garder à l’esprit que ce type de
borne n’est pas routeur, elle fonctionne au niveau 2 du modèle OSI et donc ne pourra pas traiter
deux réseaux différents.
La configuration basique est surtout sur l’interface Radio, nous allons utiliser quelques options
de cette page (Network Interfaces, Radio0) :
Ci-dessus, les réglages sont par défaut.
Il convient toutefois de vérifier 2 paramètres, le débit et les canaux.
Pour le débit (Data Rates) toutes les vitesses sont listées, on peut les rendre obligatoires
(Require), simplement les activer (Enable) ou les désactiver (Disable).
Explication des boutons :
- Best Range : La meilleure portée, les plus petites vitesses seront sélectionnées afin que le
client puisse capter le plus loin possible. Ce choix de la portée se fera au détriment du débit.
- Best Throughput : Le meilleur débit. Les plus grandes vitesses seront sélectionnées afin
que les clients aient un accès rapide. Ce choix du débit se fera au détriment de la portée.
- Default : Laisse les paramètres en réglage d’usine.
Pour notre configuration basique, les réglages par défaut sont satisfaisants.
Channel :
La sélection du canal d’émission est très importante, aujourd’hui de nombreux points d’accès
sont présents.
Le mieux est tout d’abord de vérifier la bande de fréquences avec un PC WIFI équipé par exemple
avec netstumbler (http://www.netstumbler.com/ ) .
Il y a 13 Channels autorisés en France, ce qui signifie que le choix est assez limité.
Astuce : La technologie utilisée répand le signal sur plusieurs canaux alentours. Il est fortement
conseillé de choisir un canal libre d’au moins 3 à 4 canaux autour (Exemple Canal 1, 5, 9 et 13)
sont parfaitement espacés pour ne pas avoir de perturbations)
La configuration peut également se faire avec le « Least Congested Frequency », la borne va
alors scanner les canaux pour sélectionner le moins chargé. Cette option permet que le choix du
canal soit dynamique même si de nouveaux AP environnants apparaissent.
Notre configuration Radio est terminée.
<<Précédent - Suivant>>
2/ Configuration sécurisée avec EAP-TLS :
Cet exemple sera à travers une société inventée « AZATAR »
Pour mettre en place notre architecture WLAN sécurisée les composants suivant sont requis:
• Un serveur RADIUS, Microsoft Internet Authentication Service (IAS)
• Un serveur de certificat, Autorité de certificat
• Un serveur IIS
• Un domaine Active Directory
Mise en place d'un domaine Active Directory sous Windows 2003 Server
Pour transformer un serveur autonome en serveur de domaine Active Directory, il suffit de lancer
la commande dcpromo.
Nous installons ici un contrôleur de domaine pour un nouveau domaine, dans une nouvelle forêt
Active Directory.
Active Directory se base sur DNS pour la résolution de nom, un serveur DNS doit donc être
configuré pour le nouveau domaine.
Il faut ensuite indiquer le nom pleinement qualifié du nouveau domaine. Dans notre exemple le
nom du domaine sera Azatar.lan.
Le nom NetBIOS du nouveau domaine sera donc AZATAR.
Il faut ensuite spécifier l'emplacement de la base de données Active Directory ainsi que
l'emplacement des fichiers de log.
Il faut ensuite spécifier l'emplacement du dossier Sysvol. Le dossier sysvol contient les fichiers
du domaine commun à tous les contrôleurs de domaine.
La configuration du domaine Active Directory est presque fini, cliquez sur suivant pour créer le
domaine.
Une fois l'installation terminée, le serveur doit être redémarré.
CONFIGURATION AP 1200 CISCO AVEC EAP-TLS
Écrit par PAPIN Nicolas
19-01-2007
Page 4 sur 6
Installation du serveur de l'autorité de
certificat racine
Le serveur de l'autorité de certificat va distribuer les
certificats X509, qui seront utilisés pour
l'authentification des clients wireless. Pour
fonctionner, le serveur de l'autorité de certificat
nécessite les services IIS (Internet Information Server).
Pour installer IIS, il suffit de se rendre dans le menu
"Add/Remove windows components" situé dans le
menu "Add/Remove programs" dans le panneau de configuration.
Index de l'article
Configuration AP 1200 Cisco avec EAP-TLS
Page 2
Page 3
Page 4
Page 5
Page 6
L'installation du service de certificats se fait de la même manière.
Notre serveur de certificat sera configuré comme "Autorité Racine d'entreprise"
Nous allons choisir AzatarCertificat, comme nom d'autorité de certificat.
Il faut désormais spécifier m'emplacement de la base de donnée pour l'autorité de certificat ainsi
que l'emplacement des fichiers de log.
Installation et configuration du serveur RADIUS
Il faut maintenant installer le service Microsoft Internet Authentication Service (IAS), il suffit de se
rendre dans le menu "Add/Remove windows components" situé dans le menu "Add/Remove
programs" dans le panneau de configuration. Puis aller dans le menu "Networking services".
Configuration du serveur Microsoft Windows 2003 Server Enterprise
Nous allons créer un groupe de sécurité global et un utilisateur dans Active Directory, cet
utilisateur nous servira d'utilisateur test. Pour se faire il faut se rendre dans le menu "Active
Directory Users and Computers".
 configuration vpn-ipsec-routeur
Il faut ensuite ajouter cet utilisateur au groupe de sécurité global "AzatarWireless".
Il faut maintenant configurer le service Microsoft Internet Authentication Service (IAS).
La première étape est de déclarer nos bornes wireless en tant que "Client RADIUS" et de spécifier
le secret partagé.
Il faut maintenant définir une stratégie d'accès distant.
Donnez un nom à votre stratégie d'accès distant.
Notre politique d'accès distant est défini pour les accès de type wireless.
On autorise l'accès à notre groupe de sécurité global "AzatarWireless"
Sélectionnez les certificats comme type EAP pour cette politique de sécurité
On peut éditer notre stratégie d'accès pour en vérifier les propriétés
Comme spécifié précédemment le type EAP est "smart Card or other certificate"
Cliquez sur "Edit", on s'aperçoit alors que le certificat correspond à notre autorité de certificat
créé précédemment.
CONFIGURATION AP 1200 CISCO AVEC EAP-TLS
Écrit par PAPIN Nicolas
19-01-2007
Page 5 sur 6
Configuration du Client Wireless
Il faut maintenant installer le certificat sur le client ceci
peut être fait avec une disquette ou via le réseau filaire
existant. Dans notre exemple nous supposons que le
client est relié au réseau filaire de l'entreprise.
Le client wireless doit se connecter au site web du
serveur d'autorité de certificat afin d'installer le
certificat. Pour se faire il doit entrer l'url suivante dans
un explorateur web: http://192.168.0.254/certsrv
Il faut s'authentifier avec le compte utilisateur "UserWireless"
Index de l'article
Configuration AP 1200 Cisco avec EAP-TLS
Page 2
Page 3
Page 4
Page 5
Page 6
Une fois logué, nous avons accès à la page principale, il faut dans un premier temps ajouter
l'autorité principale de confiance. Pour se faire il faut cliquer sur "Download a CA certificate,
certificate chain, or CRL"
Il faut ensuite cliquer sur "install this CA certificate Chain", afin d'approuver cette autorité de
certificat.
Il faut ensuite revenir à la page principale afin d'installer un certificat utilisateur en cliquant sur
"Request a certificate"
Sélectionnez ensuite un certificat utilisateur.
Il ne reste plus qu'à installer le certificat sur le client wireless, en cliquant sur "Install this
Certificate"
Configuration de la borne
L’adresse IP sera la même que dans notre configuration basique :
SSID Manager:
Figure 13: Security/SSID Manager
Dans le menu "Security/SSID Manager", il faut définir un SSID.
Comme "Authentication Settings" il faut spécifier "Open Authentication with Mac Authentication
and EAP" ainsi que "Network EAP with MAC Authentication".
Encryption Manager:
Figure 14: Security/Encryption Manager
Dans le menu "Security/Encryption Manager", il faut spécifier "Cipher TKIP+WEP128bit" et fournir
une clef d'encryptions. Cette clé servira au moment de l’authentification mais ne sera pas à saisir
sur le client.
Advanced Security:
Figure 16: Security/Advenced Security
Nous avons reglé l’authentification pour prendre en compte les adresses MAC. Dans le Menu
"Security/Adavanced Security ", il faut spécifier les adresses MAC des clients pour
l'authentification basée sur les adresses MAC.
Server ManP°MM/ager:
Figure 15: Security/Server Manager
Dans le Menu "Security/Server Manager", il faut spécifier l'adresse IP ainsi que le secret partagé
du serveur RADIUS.

Contenu connexe

Tendances

projet sur le vpn presentation
projet sur le vpn presentationprojet sur le vpn presentation
projet sur le vpn presentation
Manuel Cédric EBODE MBALLA
 
Mise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASAMise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASA
Ousmane BADJI
 
mémoire de projet de fin d'études
mémoire de projet de fin d'études mémoire de projet de fin d'études
mémoire de projet de fin d'études
MortadhaBouallagui
 
Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack
Ahmed Slim
 
Alphorm.com Formation pfSense: Le firewall open source de référence
Alphorm.com Formation pfSense: Le firewall open source de référenceAlphorm.com Formation pfSense: Le firewall open source de référence
Alphorm.com Formation pfSense: Le firewall open source de référence
Alphorm
 
Mini projet Zabbix
Mini projet ZabbixMini projet Zabbix
Mini projet Zabbix
SamiMessaoudi4
 
Mise en place d’un OpenVPN sous PfSense
Mise en place d’un OpenVPN sous PfSenseMise en place d’un OpenVPN sous PfSense
Mise en place d’un OpenVPN sous PfSense
Laouali Ibrahim bassirou Been Makao
 
Mise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsenseMise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsense
Pape Moussa SONKO
 
Openvpn avec un client windows
Openvpn avec un client windows Openvpn avec un client windows
Openvpn avec un client windows
Yaya N'Tyeni Sanogo
 
GNS3, VoIP, ToIP
GNS3, VoIP, ToIPGNS3, VoIP, ToIP
GNS3, VoIP, ToIP
Dimitri LEMBOKOLO
 
Presentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesPresentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemes
Hicham Moujahid
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sakka Mustapha
 
présentation sur le vpn
présentation sur le vpn présentation sur le vpn
présentation sur le vpn
Manuel Cédric EBODE MBALLA
 
VPN site-to-site.pdf
VPN site-to-site.pdfVPN site-to-site.pdf
VPN site-to-site.pdf
gorguindiaye
 
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécuriséeMise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
OlivierMawourkagosse
 
Déploiement de la solution Libre de cloud computing : Nextcloud
Déploiement de la solution Libre de  cloud computing : NextcloudDéploiement de la solution Libre de  cloud computing : Nextcloud
Déploiement de la solution Libre de cloud computing : Nextcloud
bamaemmanuel
 
Implémentation de la QoS au sein d'un IP/MPLS - Rapport
Implémentation de la QoS au sein d'un IP/MPLS - RapportImplémentation de la QoS au sein d'un IP/MPLS - Rapport
Implémentation de la QoS au sein d'un IP/MPLS - Rapport
Rihab Chebbah
 
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING  PRIVÉ BASÉE SUR UN ...ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING  PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
Borel NZOGANG
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Saadaoui Marwen
 

Tendances (20)

projet sur le vpn presentation
projet sur le vpn presentationprojet sur le vpn presentation
projet sur le vpn presentation
 
Mise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASAMise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASA
 
VPN: SSL vs IPSEC
VPN: SSL vs IPSECVPN: SSL vs IPSEC
VPN: SSL vs IPSEC
 
mémoire de projet de fin d'études
mémoire de projet de fin d'études mémoire de projet de fin d'études
mémoire de projet de fin d'études
 
Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack
 
Alphorm.com Formation pfSense: Le firewall open source de référence
Alphorm.com Formation pfSense: Le firewall open source de référenceAlphorm.com Formation pfSense: Le firewall open source de référence
Alphorm.com Formation pfSense: Le firewall open source de référence
 
Mini projet Zabbix
Mini projet ZabbixMini projet Zabbix
Mini projet Zabbix
 
Mise en place d’un OpenVPN sous PfSense
Mise en place d’un OpenVPN sous PfSenseMise en place d’un OpenVPN sous PfSense
Mise en place d’un OpenVPN sous PfSense
 
Mise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsenseMise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsense
 
Openvpn avec un client windows
Openvpn avec un client windows Openvpn avec un client windows
Openvpn avec un client windows
 
GNS3, VoIP, ToIP
GNS3, VoIP, ToIPGNS3, VoIP, ToIP
GNS3, VoIP, ToIP
 
Presentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesPresentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemes
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
 
présentation sur le vpn
présentation sur le vpn présentation sur le vpn
présentation sur le vpn
 
VPN site-to-site.pdf
VPN site-to-site.pdfVPN site-to-site.pdf
VPN site-to-site.pdf
 
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécuriséeMise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
 
Déploiement de la solution Libre de cloud computing : Nextcloud
Déploiement de la solution Libre de  cloud computing : NextcloudDéploiement de la solution Libre de  cloud computing : Nextcloud
Déploiement de la solution Libre de cloud computing : Nextcloud
 
Implémentation de la QoS au sein d'un IP/MPLS - Rapport
Implémentation de la QoS au sein d'un IP/MPLS - RapportImplémentation de la QoS au sein d'un IP/MPLS - Rapport
Implémentation de la QoS au sein d'un IP/MPLS - Rapport
 
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING  PRIVÉ BASÉE SUR UN ...ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING  PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
 

Similaire à configuration vpn-ipsec-routeur

Configuration d'un VP IPSEC CISCO
Configuration d'un VP IPSEC CISCOConfiguration d'un VP IPSEC CISCO
Configuration d'un VP IPSEC CISCO
saqrjareh
 
Reseaux Avancés Tunnel_Niveaux347.pdf
Reseaux Avancés Tunnel_Niveaux347.pdfReseaux Avancés Tunnel_Niveaux347.pdf
Reseaux Avancés Tunnel_Niveaux347.pdf
SergeAKUE
 
Deep Dive: Virtual Private Cloud
Deep Dive: Virtual Private CloudDeep Dive: Virtual Private Cloud
Deep Dive: Virtual Private Cloud
Julien SIMON
 
Cisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracerCisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracer
Med Ali Bhs
 
Weos tunnel ssl hôte à site
Weos   tunnel ssl hôte à siteWeos   tunnel ssl hôte à site
Weos tunnel ssl hôte à site
Fabian Vandendyck
 
VPN - Virtual Private Network
VPN - Virtual Private NetworkVPN - Virtual Private Network
VPN - Virtual Private Network
julienlfr
 
Les commandes CISCO (routeur)
Les commandes CISCO (routeur)Les commandes CISCO (routeur)
Les commandes CISCO (routeur)
EL AMRI El Hassan
 
70374-router-remotevpn-sdm 70374-router-remotevpn-sdm
70374-router-remotevpn-sdm 70374-router-remotevpn-sdm70374-router-remotevpn-sdm 70374-router-remotevpn-sdm
70374-router-remotevpn-sdm 70374-router-remotevpn-sdm
mia884611
 
Vpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientVpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et client
Manassé Achim kpaya
 
Bah mamadou hady
Bah mamadou hadyBah mamadou hady
Bah mamadou hady
MamadouHadyBah
 
chapitre 6 vpn (1).pptx
chapitre 6 vpn (1).pptxchapitre 6 vpn (1).pptx
chapitre 6 vpn (1).pptx
WiemAssadi
 
Comment paramétrer une connexion adsl sur un modem
Comment paramétrer une connexion adsl sur un modemComment paramétrer une connexion adsl sur un modem
Comment paramétrer une connexion adsl sur un modem
CONNECT Tunisia
 
presentation_corrige_rapidertgrthtrr.pptx
presentation_corrige_rapidertgrthtrr.pptxpresentation_corrige_rapidertgrthtrr.pptx
presentation_corrige_rapidertgrthtrr.pptx
ThamerMahersi1
 
Les sockets.pptx
Les sockets.pptxLes sockets.pptx
Câblage, installation et paramétrage d’un réseau informatique.pdf
Câblage, installation et paramétrage d’un réseau informatique.pdfCâblage, installation et paramétrage d’un réseau informatique.pdf
Câblage, installation et paramétrage d’un réseau informatique.pdf
mia884611
 
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASAVPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
Manassé Achim kpaya
 

Similaire à configuration vpn-ipsec-routeur (20)

Configuration d'un VP IPSEC CISCO
Configuration d'un VP IPSEC CISCOConfiguration d'un VP IPSEC CISCO
Configuration d'un VP IPSEC CISCO
 
Vpn
VpnVpn
Vpn
 
Reseaux Avancés Tunnel_Niveaux347.pdf
Reseaux Avancés Tunnel_Niveaux347.pdfReseaux Avancés Tunnel_Niveaux347.pdf
Reseaux Avancés Tunnel_Niveaux347.pdf
 
Deep Dive: Virtual Private Cloud
Deep Dive: Virtual Private CloudDeep Dive: Virtual Private Cloud
Deep Dive: Virtual Private Cloud
 
Cisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracerCisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracer
 
Weos tunnel ssl hôte à site
Weos   tunnel ssl hôte à siteWeos   tunnel ssl hôte à site
Weos tunnel ssl hôte à site
 
VPN - Virtual Private Network
VPN - Virtual Private NetworkVPN - Virtual Private Network
VPN - Virtual Private Network
 
Adsl cisco
Adsl ciscoAdsl cisco
Adsl cisco
 
Les commandes CISCO (routeur)
Les commandes CISCO (routeur)Les commandes CISCO (routeur)
Les commandes CISCO (routeur)
 
70374-router-remotevpn-sdm 70374-router-remotevpn-sdm
70374-router-remotevpn-sdm 70374-router-remotevpn-sdm70374-router-remotevpn-sdm 70374-router-remotevpn-sdm
70374-router-remotevpn-sdm 70374-router-remotevpn-sdm
 
Vpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientVpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et client
 
Bah mamadou hady
Bah mamadou hadyBah mamadou hady
Bah mamadou hady
 
chapitre 6 vpn (1).pptx
chapitre 6 vpn (1).pptxchapitre 6 vpn (1).pptx
chapitre 6 vpn (1).pptx
 
Comment paramétrer une connexion adsl sur un modem
Comment paramétrer une connexion adsl sur un modemComment paramétrer une connexion adsl sur un modem
Comment paramétrer une connexion adsl sur un modem
 
presentation_corrige_rapidertgrthtrr.pptx
presentation_corrige_rapidertgrthtrr.pptxpresentation_corrige_rapidertgrthtrr.pptx
presentation_corrige_rapidertgrthtrr.pptx
 
Les sockets.pptx
Les sockets.pptxLes sockets.pptx
Les sockets.pptx
 
Tuto vpn
Tuto vpnTuto vpn
Tuto vpn
 
Pfsense
PfsensePfsense
Pfsense
 
Câblage, installation et paramétrage d’un réseau informatique.pdf
Câblage, installation et paramétrage d’un réseau informatique.pdfCâblage, installation et paramétrage d’un réseau informatique.pdf
Câblage, installation et paramétrage d’un réseau informatique.pdf
 
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASAVPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
 

configuration vpn-ipsec-routeur

  • 1. CONFIGURATION D'UN VPN-IPSEC POUR ROUTEUR CISCO 04-04-2007 Une entreprise peut avoir besoin d’une connexion WAN entre deux sites. Dans certains cas (liaison de secours ou liaison WAN pas cher) nous pouvons utiliser un tunnel IPSEC. IPSEC est une technologie VPN qui fonctionne sur la couche3 du model OSI. C’est aussi un standard IETF, ce qui signifie que nous pouvons l’utiliser entre des équipements de différents fabricants. Les VPN IPSEC permettent : Une authentification de chaque paquet IP. Une vérification de l’intégrité des données de chaque paquet. De rendre confidentiels les données de chaque paquets IP. IPSEC est un “framework” qui spécifie plusieurs protocoles a utiliser afin de fournir un standard de sécurité. Les protocoles spécifiés par IPSEC sont : Internet Key Exchange : IKE IKE va nous permettre de négocier des paramètres de sécurités et créer les clés d’authentification utilisée par le VPN. IKE va permettre d’établir un échange de clé de manière sécurisé sur un réseau « non sécurisé ». Encapsulating Security Payload: ESP Le plus utilisé par IPSEC, ESP va encrypté les données. ESP protége également contre des attaques basées sur du traffics « replayed ». Authentication Header : AH AH fournit de l’authentification de la donnée. Il est peut utilisé , ESP étant plus efficace et cryptant le tout. Plus tard dans notre configuration nous utiliserons ESP puisqu’il permet de crypter les données en utilisant DES, 3DES ou AES. AH ne permet pas cela Les VPN IPSEC utilisent le protocole IKE afin d’établir une communication sécurisé entre deux « peers » a travers un réseaux non sécurisé. IKE utilise l’algorithme de DIFFIE-HELLMAN afin d’échange des clés symétriques entre deux « peers » et de configurer les paramètres de sécurités associé au VPN. IKE utilise le port UDP 500 et envoie des « keepalive » toutes les 10 secondes. IKE: - Elimine le besoin de spécifier manuellement tous les paramètres de sécurités sur chaque « peer ». - Permet de configuré une durée de vie pour le SA (security association) de IPSEC .Une SA est un « ensemble de contrat de sécurité ». - Permet de changer les clés d’encryptions pendant la session IPSEC. - Permet de fournir des services « anti-replay ». - Supporte l’architecture PKI. - Permet une authentification dynamique de chaque peer. Apres ces quelques explications nous allons voir comment configurer un VPN IPSEC. Nous avons deux sites (Paris et Chine). Nous avons déjà une connexion WAN qui fonctionne entre les deux sites. Nous souhaitons configurer une connexion VPN entre PARIS et CHINE qui servira de connexion de secours. Nous décidons d’utiliser notre connexion Internet qui coûte moins cher qu’une connexion ISDN. Mais pour cela nous devons crypter notre trafic.
  • 2. Voici les différentes étapes de configuration : 1. Définir les règles de sécurité ISAKMP 2. Configurer les « transform set » 3. Configurer une ACL qui spécifiera quel trafic peut/doit emprunter le VPN. 4. Configurer une « Crypto-map » 5. Appliquer la « Crypto-map » sur l’interface 6. Configurer une ACL si besoin sur l’interface « outside » (en option) Nous devrons exécuter ces étapes de configurations sur les routeurs de PARIS et CHINE. Définir une règle de sécurité ISAKMP Nous devons d’abord activer le moteur « isakmp »en utilisant la commande : CHINA(config)# crypto isakmp enable PARIS(config)# crypto isakmp enable Nous utiliserons la commande suivante afin d’activer le moteur « software » au cas ou notre routeur ne disposerait pas de moteur « hardware ». CHINA (config)# crypto engine software ipsec PARIS (config)# crypto engine software ipsec Dans cet article nous utiliserons une « clé partagé » (Pre Shared Key) pour l’authentification. Elle doit être associer à un « peer » distant qui utilise la même « clé partagé ». (Ici la PSK est labo-cisco). CHINA (config)#crypto isakmp key labo-cisco address 192.168.0.6 PARIS(config)# crypto isakmp key labo-cisco address 192.168.0.1 Nous allons maintenant utiliser les paramètres suivant pour notre VPN sur les deux routeurs: Authentication mode : Pre shared key (Nous pouvons aussi utiliser des « Username & Password », OTP, ou des certificats). Hash Method : SHA (md5 or sha) Encryption type : AES 192 (DES est par défaut , l’encryption AES peut utiliser de 128 à 256 bits ) Diffie-Hellman group à utiliser : 1 or 2 (group 1 est basé sur 768-bit et group 2 est basé sur 1024 bits). Lifetime of the exchanged key : Nous utiliserons 3600 pour 1 heure.( Par défaut le compteur est à 86400
  • 3. seconds = 1 journée ) Donc au final nous configurerons nos routeurs comme cela : CHINA(config)#crypto isakmp policy 1 CHINA (config-isakmp)# encr aes 192 CHINA (config-isakmp)# authentication pre-share CHINA (config-isakmp)# group 2 PARIS(config)#crypto isakmp policy 1 PARIS (config-isakmp)# encr aes 192 PARIS (config-isakmp)# authentication pre-share PARIS (config-isakmp)# group 2 Configuration des « transform-set » Une « transform set » est une combinaison d’algorithme et protocoles de sécurité « acceptable » . Les « peers » essairont de trouver la meilleurs combinaison possible selon les configurations et capacité de chaque point de chute du VPN en se basant sur les « transform set » disponible Configuration: CHINA (config)#crypto ipsec transform-set TSET esp-aes 192 PARIS (config)#crypto ipsec transform-set TSET esp-aes 192 * TSET est le nom du « transform-set » situé sur le routeur (portée locale) * “esp-aes” précise que nous allons encrypter en utilisant ESP et AES. * “192” est le nombre de bits utiliser pour le cryptage. Apres avoir entré cette commande nous avons un nouveau mode de configuration ou nous pouvons configurer notre VPN en mode « Transport » ou « Tunnel » Le mode « Tunnel » encryptera tout le « datagram » (y compris les IP sources et destination, gênant ainsi la QOS) alors que le mode « Transport » encryptera seulement la donnée présente dans le paquets IP (peut poser un problème de sécurité car une personne malveillante peut ainsi voir les vrai IP sources et destination de chaque paquet IP). Ici nous allons utiliser le mode « Tunnel » : CHINA(config)#mode tunnel PARIS(config)#mode tunnel Configurer une ACL qui spécifiera quel trafic peut/doit emprunter le VPN Ici nous allons autoriser le traffic depuis le lan de PARIS vers le lan de CHINE. Il faut utiliser une ACL étendue. Sur Chine : CHINE (config)#access-list 101 permit ip 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255 Et sur Paris : PARIS(config)#access-list 101 permit ip 10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255
  • 4. Configurer la « crypto-map » Une « crypto-map » est comme un profil, qui va associer les ACL (crypto-ACL) , « transform-set » configuré précédemment avec l’adresse IP du « peer » distant. Sur CHINA nous entrerons les commandes suivante : CHINA(config-crypto-map)#crypto map VPN-2-MAIN 10 ipsec-isakmp match address 101 CHINA (config-crypto-map)#set peer 192.168.0.6 CHINA(config-crypto-map)#set transform-set TSET Et sur Paris : PARIS (config-crypto-map)#crypto map VPN-2-Remote 10 ipsec-isakmp match address 101 PARIS (config-crypto-map)#set peer 192.168.0.1 PARIS (config-crypto-map)#set transform-set TSET Appliquer la « Crypto-map » sur l’interface PARIS(config-if)#crypto map VPN-2-Remote CHINE(config-if)#crypto map VPN-2-MAIN Voici la maquette utilisée pour tester cette configuration : La version d' IOS utilisé est la 12.4(1). Comme nous pouvons le voir dans la table de routage tout trafic provenant du LAN 10.0.1.0/21 vers 10.0.2.0/24 utilisera la liaison WAN principale.
  • 5. Si celle-ci est inutilisable, rien ne se passera même si nous avons configuré le VPN IPSEC sur les deux routeurs. Nous pouvons ajouter une route statique flottante (AD plus grande que l’AD de RIP) qui peut ainsi relayer la liaison principale arrête de fonctionner. Il suffit de tapper: PARIS(config)#ip route 10.0.1.0 255.255.255.0 192.168.0.1 140 CHINE(config)#ip route 10.0.2.0 255.255.255.0 192.168.0.6 140 Nous pouvons tester cela: Sur l’ordinateur A nous faisons un « traceroute » vers l’ordinateur B : Maintenant nous allons tester la route statique flottante quand la liaison principale est non utilisable. Faisons un autre « traceroute » afin de confirmer que nous utilisons bien notre VPN.
  • 6. CONFIGURATION DE RADIUS SUR ROUTEUR CISCO 31-03-2007 Page 1 sur 3 RADIUS (Remote Authentication Dial-In User Service) est un protocole client-serveur permettant de centraliser des données d'authentification. RADIUS est supporté par toutes les plateformes CISCO. Dans cet article nous allons voir comment configurer un routeur Cisco afin qu'il puisse communiquer avec un serveur RADIUS sur le réseau. Dans un premier temps nous verrons comment identifier les environnements appropriés et inappropriés à l'utilisation de ce system de sécurité. Ensuite nous verrons son fonctionnement. Puis nous traiterons de la configuration de RADIUS à l'aide du jeu de commandes AAA (Authentication, Authorization and Accounting). Enfin nous proposerons deux exemples de configuration. NB : Afin de les changements prennent effet, ne pas oublier d'utiliser la commande copy running-config startup-config. 1/ Quand utiliser l'authentification RADIUS? 1.1/ Les environnements appropriés à l'utilisation de RADIUS : Les réseaux comportant de multiples serveurs d'accès. Les réseaux utilisant déjà RADIUS Les réseaux dans lesquels un client ne peut accéder qu'à un seul service. Les réseaux qui requièrent un compteur de ressources. 1.2/ Les environnements inappropriés à l'utilisation de RADIUS : Les environnements d'accès multi protocoles. Radius ne supporte pas les protocoles suivants : AppleTalk Remote Access Protocol (ARA), NetBIOS Frame Control Protocol (NBFCP), NetWare Asynchronous Services Interface (NASI), X.25 PAD connections. Les réseaux utilisant une variété de services. 2/ Fonctionnement de RADIUS Lorsqu'un utilisateur tente de se connecter et de s'authentifier à un serveur d'accès utilisant RADIUS, les étapes suivantes se produisent: L'utilisateur est invité à rentrer son nom d'utilisateur et son mot de passe. Le nom d'utilisateur et le mot de passe sont encrypté et envoyés à travers le réseau au serveur RADIUS L'utilisateur reçoit l'une des réponses suivantes de la part du serveur RADIUS : ACCEPT (l'utilisateur est authentifié) REJECT (l'utilisateur est invité à retaper son nom d'utilisateur et mot de passe ou bien l'accès est refusé)
  • 7. CHALLENGE (des données supplémentaires sont collectées chez l'utilisateur) CHANGE PASSEWORD (l'utilisateur est invité à choisir un nouveau mot de passe) CONFIGURATION D’UN VPN SITE-A-SITE SUR UN PIX 28-03-2007 Page 1 sur 4 Cette article vous guidera pas à pas pour configurer un VPN sur un PIX. INTRODUCTION: Les réseaux privés virtuels (VPN) permettent d'interconnecter des réseaux géographiquement éloignés en passant par le réseau public d'Internet. Les VPN fournissent une solution fiable, à faible coût et permettent une administration plus aisé que les WAN traditionnelles basées sur du Frame-relay ou des connexions par modems. Les VPN maintiennent une sécurité identique aux réseaux privés et permettent ainsi aux utilisateurs d'accéder aux ressources de leur entreprise depuis n'importe quel endroit muni d'Internet. L'utilisation des VPN de type accès distant (remote access) fait partie d'une nouvelle dynamique de travail puisque cela permet aux salariés d'une entreprise, par exemple, de se connecter au réseau interne de l'entreprise depuis leur domicile. Cependant, comme toute connexion à distance, cela pose certains problèmes de sécurité puisque les communications passent par Internet : les pare-feux de la gamme Cisco, les PIX, offrent la possibilité de palier à ce problème en utilisant des algorithmes de cryptage connus pour leur efficacité : AES, 3DES, MD5, ... Un PIX Firewall peut être configuré tel un Easy VPN Server, c'est-à-dire que l'on va le configurer de manière à ce qu'il contienne des règles VPN qui vont être envoyé à de multiples dispositifs clients VPN : l'avantage est que l'on va configurer un seul PIX (qui va agir tel un serveur) et donc centraliser les différentes règles VPN. Cependant, un Easy VPN Server ne va accepter des connexions que de dispositifs clients qu'il supporte, qui peuvent être de type logiciel ou de type matériel. En voici la liste : clients logiciels : ces clients sont directement connectés au PIX faisant office d’Easy VPN Server par le biais d’Internet, et requièrent l’installation d’un logiciel spécifique : <!--[if !supportLists]--><!--[endif]-->Cisco VPN Client version 3.x Cisco VPN 3000 Client version 2.5 clients matériels : un Easy VPN Server est capable d’accepter la connexion de multiples clients matériels dont voici la liste : <!--[if !supportLists]-->PIX 501 / 506 / 506E <!--[if !supportLists]-->Cisco VPN 3002 <!--[if !supportLists]-->Certains routeurs de la gamme Cisco dont l’IOS supporte le VPN comme les séries 800 ou 1700 Pour chaque type de client, il y a donc une configuration spécifique puisque chacun d'eux ne va pas utiliser le même type de connexion, d'authentification ou de sécurité. Le PIX Easy VPN Server va ainsi être configuré en fonction du ou des clients. Voici une liste non exhaustive des types de configurations : utilisation de l'eXtended Authentification (Xauth) utilisation d'IKE pour les Easy VPN Remote Devices (clients)
  • 8. utilisation d'une clé pré-partagée (pre-shared key) pour les Easy VPN Remote Devices utilisation de certificats pour les Easy VPN Remote Devices utilisation de PPTP pour l'accès à distance Bien entendu il en existe d'autres mais les principales sont celles citées ci-dessus. Nous allons nous intéresser aux clients de types logiciels avec l'utilisation de clés pré- partagées (pre-shared keys) : notre exemple va couvrir l'eXtended Authentification (Xauth) pour l'authentification des utilisateurs, le protocole IKE pour assigner des adresses IP, un serveur RADIUS pour donner l'autorisation aux utilisateurs d'accéder à certains services, ainsi qu'une clé pré-partagée pour l'authentification IKE. CONFIGURATION DE NAT 18-01-2007 Page 1 sur 3 Configuration de la translation d'adresse sur un routeur Cisco Le NAT vous permet d’utiliser des adresses IP privées sur votre LAN et de translater ces adresses afin de les rendre accessible depuis un réseau public comme Internet. Le réseau privé est définit sur l’interface intérieure et l’adresse publique sur l’interface extérieure de votre routeur. Dans sa forme la plus simple, le NAT statique, une adresse privée unique est redirigée, vers une adresse publique unique. La forme la plus utilisée de Nat est un groupe d’adresse privées translate en une seule et unique adresse publique. Cette forme de Nat est appelée « overloading ». Etape 1 : définition des interfaces pour le NAT Le routeur principal (mainrtr) est connecté au LAN par l’interface Ethernet 0 (172.13.10.1/16), donc E0 sera l’interface intérieure et E1 l’interface connectée à Internet (207.194.10.198/16). Le routeur distant (remotrtr) est connecté au réseau local par l’interface E0 (172.25.10.1/24) et à Internet par l’interface E1 (207.194.10.199). Nous voulons que le routeur principal convertisse les adresses privées du Lan sur l’adresse 207.194.10.198, étant donné que c’est la seule IP autorisée à envoyer des données au travers du tunnel IPSEC. Cela fournir de plus un accès Internet au Lan, mais cela n’est pas notre objectif principal. Nous voulons également que le routeur distant convertisse les adresses privées de son Lan sur l’adresse 207.194.10.199. A partir du moment ou l’on mappe plusieurs adresses, nous utilisons l’overloading.
  • 9. SE CONNECTER A UN ROUTEUR CISCO SOUS GNU/LINUX 18-01-2007 Page 1 sur 2 Se connecter à un dispositif Cisco via son port console afin de pouvoir l’administrer 1 - Introduction Nous allons voir comment se connecter a un routeur Cisco sous GNU/Linux via le port serie (COM). 2 - BIOS et Noyau Il faut tout d'abord vérifier que le port série est actif au niveau du BIOS. Puis configurez si nécessaire le noyau afin qu'il supporte le port série, pour cela rendez vous dans le répertoire des sources de votre noyau (les noyaux de base livrés avec les distributions l'active par defaut) : # cd /usr/src/linux # make menuconfig Rendez-vous dans le menu Device Drivers -> Character devices -> Serial drivers Cochez les options : 8250/16550 and compatible serial support Console on 8250/16550 and compatible serial port Compilez votre noyau (version 2.6.x): # make # make modules_install Copiez l'image de votre nouveau noyau dans /boot et configurez votre BootLoader. LES IP HELPER-ADDRESS Écrit par GUILLEMOT Erwan 18-01-2007 Page 1 sur 3 Comment remplacer l’addresse de broadcast par une adresse unicast 1. Introduction L’ip helper address remplace l’addresse de broadcast par une adresse unicast Configurée au niveau de l’interface pour le trafic entrant Rappelons que l’un des premiers buts des routeurs est de bloquer les domaines de broadcast. Mais il est peut être inconvénient de devoir implémenter des serveurs (par exemple DHCP) sur chaque segment réseau. Cette fonctionnalité permet de faire transiter des trames (paquets) de broadcast au travers d’un
  • 10. routeur. Syntaxe : R(config-if)#ip helper-address 192.168.10.254<br> RECUPERATION DE MOTS DE PASSE SUR UN PIX Écrit par BENAROCH David 18-01-2007 Page 1 sur 5 Procédures de recuperation de mot de passe oublié 1. Introduction Cet article a pour but de vous permettre de récupérer le ou les mot(s) de passe d’un PIX pour les versions logicielles jusqu'à 6.3. Cette procédure présente l’avantage de ne pas écraser la configuration, simplement de changer les mots de passe tout en gardant la configuration existante, les authentifications Telnet ou AAA Serveur pourront aussi être enlevées. Pour information : Si vous avez configuré une authentification AAA et que votre serveur d’authentification est en panne vous pouvez essayer de vous connecter avec la configuration initiale du Telnet avec comme login : « pix » et comme password : « password » username pix enable password password Si il n’y a pas de mot de passe configuré, essayez simplement avec comme login : « pix » username pix Si un mot de passe est configuré et que vous ne le connaissez pas alors vous devez continuer la procédure de récupération de mot de passe suivante.
  • 11. CREER UN ETHERCHANNEL 18-01-2007 Page 1 sur 3 Un etherchannel permet d’augmenter significativement la bande passante de votre backbone. 1 Introduction Un etherchannel permet d’augmenter significativement la bande passante de votre backbone. Il permet d’agréger jusqu’à 8 liens physiques FastEthernet ou GigabitEthernet et d’en faire un seul lien logique. Le trafic est redistribué ensuite entre les liens physiques selon différentes méthodes : · L’adresse IP source · L’adresse IP destination · Un XOR entre les adresses IP sources et destination · L’adresse MAC source · L’adresse MAC destination · Un XOR entre les adresses MAC source et destination · Le numéro de port source · Le numéro de port destination · Un XOR entre les numéros de port source et destination Un agrégat de 8 liens FastEthernet ne fournit donc pas 1,6GB/s (en full-duplex) mais redistribue le trafic selon des méthodes de load-balancing. Les ports de l’agrégat doivent avoir les mêmes caractéristiques (même vitesse, même VLAN et être en mode trunk s’il doit redistribuer le trafic des différents VLANs. CONFIGURER VTP 18-01-2007 Page 1 sur 3 VTP (VLAN Trunking Protocol) échange des trames de configuration de VLANs entre des commutateurs d’un groupe (domaine VTP) 1. Introduction VTP (VLAN Trunking Protocol) échange des trames de configuration de VLANs entre des commutateurs d’un groupe (domaine VTP). Ces trames renseignent les différents commutateurs sur la création, la suppression, le changement de nom et d’autres informations sur les VLANs. Cela permet de configurer les VLANs sur un seul commutateur, et ce dernier grâce à VTP
  • 12. transférera ces informations aux autres commutateurs du même domaine. 2. Les modes VTP Un commutateur sur lequel est activé VTP peut être en 3 modes : · Server : Permet de créer, supprimer ou modifier les informations des VLANs. Ce commutateur enverra aux autres ces informations. C’est le mode par défaut d’un commutateur. · Client : Accepte les modifications reçues du serveur et les applique. · Transparent : En VTP version 1, le commutateur transparent ne relaie pas les informations VTP et ne les applique pas. En VTP version 2, le commutateur relaie les informations mais ne les applique pas. CONFIGURER UN SERVEUR DHCP SUR VOTRE MATERIEL CISCO 18-01-2007 Page 1 sur 2 DHCP (Dynamic Host Configuration Protocol) permet aux utilisateurs d’obtenir automatiquement une configuration IP lors du démarrage des services réseaux 1.Introduction DHCP (Dynamic Host Configuration Protocol) permet aux utilisateurs d’obtenir automatiquement une configuration IP lors du démarrage des services réseaux. Ces informations sont envoyées aux stations hôtes par le serveur DHCP. En général c’est un serveur distinct qui joue le rôle DHCP Server. Cependant sur des réseaux de petites tailles, il est possible de faire d’un routeur un serveur DHCP afin d’économiser les coûts inhérents à l’achat d’un serveur dédié. 2.Configuration La première étape consiste à créer un pool d’adresse. Les adresses IP attribuées aux clients seront prises parmi les adresses libres du pool. La commande est la suivante ip dhcp pool nom_du_pool On rentre alors en mode de configuration du pool DHCP. On peut créer plusieurs pool sur un routeur. Ensuite on indique la plage d’adresse présente dans le pool à l’aide de la commande network réseau masque Le routeur attribuera alors des adresses de 192.168.10.1 à 192.168.10.254
  • 13. On va ensuite rentrer les paramètres concernant la passerelle par défaut, les serveurs DNS, les serveurs WINS, le nom de domaine du client, et la durée du bail. On peut spécifier jusqu’à 8 serveurs DNS. Pour la durée du bail, on rentre successivement le nombre de jours, le nombre d’heures et le nombre de minutes. Dans cet exemple, le client aura un bail d’un jour, 4 heures et 30 minutes. La commande lease infinite permet d’attribuer un bail éternel. Par défaut le service DHCP est activé sur les routeurs le supportant. Si on souhaite le désactiver, il faut taper la commande no service dhcp. Pour le réactiver : service dhcp Finalement, on pourra exclure des adresses du pool, afin que le serveur n’attribue pas ces adresses (par exemple les adresses des serveurs). La commande est ip dhcp excluded-address adresse_ip_debut adresse-ip-fin Attention, cette commande doit être rentrée en mode de configuration globale. CONFIGURER UN SERVEUR DHCP SUR VOTRE MATERIEL CISCO 18-01-2007 Page 2 sur 2 3.Vérification Pour voir les baux d’adresses qui ont été attribués par le routeur, il faut taper la commande show ip dhcp binding Vérification sur le poste utilisateur :
  • 14. On peut aussi visualiser les statistiques du serveur DHCP en tapant la commande show ip dhcp server statistics Finalement, on peut aussi visualiser en temps réel les opérations du serveur DHCP en tapant la commande debug ip dhcp server events La première ligne correspond à un ipconfig/release (libération du bail) sur un poste utilisateur,la seconde correspond à un ipconfig/renew (redemande de bail).
  • 15. PROTOCOLE NTP 18-01-2007 Page 1 sur 5 Configurez le protocole NTP sur vos dispositifs réseaux. 1. Introduction Le protocole NTP ou Network Time Protocol, est un protocole destiné à synchroniser différentes machines entre elles. Il fonctionne via le port UDP 123 (bien que le port TCP 123 soit aussi réservé pour le protocole NTP) et sert à se connecter à des serveurs qui eux, en théorie, sont connectés à une horloge atomique. Cela permet d’avoir une synchronisation quasi-parfaite entre vos dispositifs. Nous allons voir dans cette article comment configurer un dispositif afin d’utiliser le protocole NTP, que ce soit pour agir en tant que serveur NTP ou simplement pour synchroniser votre appareil. Les commandes de configuration NTP se rentrent en mode de configuration globale. TOR Écrit par PAPIN Nicolas 18-01-2007 Page 1 sur 3 "The Onion Router" Créer un réseau sécurisé Il existe de plus en plus sur Internet des soucis d’anonymats et de confidentialité des données personnelles. Est-il possible aujourd’hui d’utiliser le réseau public mondial, de façon sécurisée et anonyme ? C’est ce que TOR propose de faire. 1 – L’anonymat Comment se passent aujourd’hui les communications passant par le réseau public (Internet) ? Avec tout protocole routé, les en-têtes des paquets identifient l’adresse source et destination. Il est donc possible d’intercepter un message, de trouver de qui il provient, à qui il est destiné et de savoir les routes empruntées tout au long du cheminement. Même en ajoutant du chiffrage, le contenu du message sera codé, mais cette route restera décelable. La question peut alors se poser, qui à un réel besoin d’anonymat sur Internet ? En premier lieu les gouvernements, les données sensibles ont besoin d’êtres échangées sur des réseaux sécurisés. L’utilisation de l’anonymat pour un gouvernement peut être comprise pour le rassemblement d’informations sur des sites sensibles, les réseaux des armées, les coalitions
  • 16. internationales… En seconde place, l’internaute moyen, l’utilisateur lambda : · Vers où envoyez vous vos mèls (et donc à qui) ? · Sur quels sites vous rendez vous ? · Où travaillez-vous ? D’où venez-vous ? · Qu’achetez-vous sur Internet, quels livres lisez-vous, la musique que vous écoutez... Bien sur tout cela peut paraître sorti d’un film d’espionnage mais cela peut devenir au fil des années une réalité. Par exemple pour une société peu scrupuleuse, c’est un moyen de se renseigner des habitudes d’achat d’internautes et donc une forme de violation de la vie privée. Il faut donc un moyen de trouver un chemin dédié et sécurisé entre l’émetteur et le récepteur. VLAN 18-01-2007 Page 1 sur 6 Configuration d'un routage inter-VLAN Introduction et rappels Cet article a pour but d'expliquer et d'établir une configuration de routage inter-VLAN. Bref rappel sur les VLANs et le VTP Un VLAN peut être assimilé à un domaine de broadcast. Typiquement, dans une configuration de VLAN, chaque VLAN comprend son propre sous-réseau. Sans équipement de couche 3, il est
  • 17. donc impossible pour les terminaux d'un VLAN de communiquer avec les terminaux d'un autre VLAN. Le VLAN Trunking Protocol (VTP) est nécessaire si l'on veut étendre une configuration de VLAN sur plusieurs commutateurs.Un trunk est nécessaire pour une connexion entre deux commutateurs traitant des VLANs. Ce trunk représente un canal par lequel transitent les trames des différents VLANs d'un commutateur à un autre. Pour que les commutateurs "sachent" à quel VLAN appartient une trame, un étiquetage est nécessaire. C'est pourquoi on utilise un protocole d'étiquetage : ISL (Cisco) ou 802.1q (IEEE). Nous utiliserons ici le 802.1q qui est le protocole utilisé par défaut. CONFIGURATION DU PROTOCOLE SNMP 18-01-2007 Page 1 sur 13 SNMP (Simple Network Management Protocol) très utilisé dans l’administration réseau 1. Introduction Le protocole SNMP (Simple Network Management Protocol) est très utilisé dans le milieu de l’administration réseau. En effet, il permet de simplifier grandement la maintenance des réseaux en fournissant aux administrateurs la possibilité d’obtenir de nombreuses informations sur des équipements présents sur le réseau tels que des serveurs, des routeurs ou encore des commutateurs. Le recueil de ces informations permet d’être informé à tout moment de ce qui se passe sur le réseau et permet de réagir rapidement en cas de problème sur celui-ci, notamment en permettant le management à distance des différents équipements réseaux utilisant le protocole SNMP. De plus, ce protocole fonctionne suivant un mode « client / serveur » ce qui permet à un administrateur de n’obtenir les informations recueillies par les équipements réseaux que lorsqu’il en fait la demande ou lorsqu’une alerte aura été déclenchée. Afin d’éviter tout détournement d’information ou contrôle non autorisé sur ces divers équipements, il est également possible d’instaurer des mesures de sécurité permettant de s’assurer que seules des personnes autorisées puissent consulter ces bases d’informations et interagir avec ces équipements. CONFIGURATION WI-FI LINKSYS WRT55AG 18-01-2007 Page 1 sur 4 Configuration Wi-Fi du routeur Linksys WRT55AG 1. Description du matériel utilisé Nous allons utiliser le modèle Linksys WRT55AG de Cisco qui réalise des opérations de routage avec 4 ports full duplex 10/100 Mbps et point d’accès Wi-Fi aux normes 802.11a 802.11b 802.11g. Le WEP (Wireless Equivalent Privacy) y est présent pour sécuriser votre Wi- Fi. 2.Installation 2.1 Dans le cas d’un modem Câble/ADSL avec un port RJ45
  • 18. Branchez votre modem sur le routeur à l’aide d’un RJ45 sur le port WAN (le port séparé des 4 ports 10/100) pour obtenir une topologie correspondant à ce schéma. 2.2 Pour les autres types de modem Si vous ne pouvez pas brancher votre modem sur le routeur, vous pouvez néanmoins l’utiliser en tant que commutateur et point d accès Wi-Fi tout en partageant Internet par le biais de votre ordinateur. Il vous suffira de brancher l’ordinateur partageant Internet sur un des ports 10/100 du routeur. Votre topologie sera désormais de la forme : ROUTES STATIQUES 18-01-2007 Page 1 sur 7 Configuration des routes statiques, routes flottantes et leur distribution. 1.Introduction Le routage statique précéda le routage dynamique. Il faut savoir qu’aujourd’hui, un administrateur réseau ne déploie pas uniquement le routage dynamique. En effet, les deux types de routages sont combinés. Par ailleurs, le routage statique est la solution optimale dans certains cas. D’un côté, l’administrateur réseau peut recourir vers la simplicité en utilisant les routes statiques. Cela est un choix légitime pour des petits réseaux qui peuvent être facilement contrôlés de près. Un petit système autonome (AS) est souvent connecté à son ISP par le biais des routes statiques pour la même raison, qu’est la simplicité. Effectivement, mettre en place des routes statiques est une configuration moins onéreuse par rapport à la mise en place de BGP et/ou la redistribution entre des protocoles de routage. De l’autre côté, les routes statiques peuvent être utilisées pour la sécurité supplémentaire du
  • 19. réseau. Lorsqu’une liaison tombe en panne, un autre chemin pourrait être pris, indiqué par la route statique. L’activité d’un routeur se résume par deux fonctionnalités principales: Trouver la meilleure route Commuter le paquet sur l’interface appropriée Pour trouver la meilleure route, un routeur compare l’adresse de destination du paquet avec les adresses réseau de sa table de routage. Les routes statiques représentent des réseaux distants, éloignés par un saut au moins. Lorsque la table de routage est créée manuellement, les routes sont dites statiques. La configuration de la métrique et de la distance administrative est laissée à l’administrateur. ROUTES STATIQUES 18-01-2007 Page 2 sur 7 2.Route statique Pour configurer une route statique, la commande ip route est utilisée à partir du mode de configuration globale : Router(config)#ip route préfixe masque { prochain_saut | int_type int_num } [ distance ] [ tag ] [ permanent ] Mot-clé Description préfixe L’adresse IP du réseau distant masque Le masque du réseau distant prochain_saut L’adresse IP du prochain saut int_type int_num L’interface de sortie (décrite par le type et le numéro) distance Distance administrative tag Marqueur utilisé pour la redistribution de routes permanent Ne jamais effacer la route (même si l’interface tombe) 2.1.Route Statique : Exemple 1 Voici un exemple de configuration simple des routes statiques. Trois routeurs RTA, RTB et RTC sont connectés en série :
  • 20. Figure 1 – Topologie simple Pour lier ces trois routeurs, il faut placer une route statique sur les routeurs de bord. Attention, il est important de définir pour tous les routeurs tous leurs réseaux distants. Dans le cas contraire, on court le risque d’avoir des équipements qui reçoivent des paquets, mais ne savent pas comment les renvoyer vers la source. Dans l’exemple, présenté ci-dessus, le réseau distant pour le routeur RTA est 20.0.0.0/8 et le prochain saut menant vers ce réseau est 10.0.0.2/8. Alors la configuration est : RTA(config)#ip route 20.0.0.0 255.0.0.0 10.0.0.2 Le routeur RTB est directement connecté aux deux autres. La configuration pour le routeur RTC est : RTC(config)#ip route 10.0.0.0 255.0.0.0 20.0.0.1 Il serait parfaitement légitime de spécifier l’interface de sortie (interface ethernet 0) menant vers le réseau distant, en lieu de l’adresse IP du prochain saut. Cependant, spécifier l’adresse du prochain saut est la méthode plus précise, et plus sûre. Pour comprendre le fonctionnement des routes statiques configurées avec l’interface sortante, considérons l’exemple suivant. DHCP SNOOPING 19-01-2007 Page 1 sur 5 Le DHCP Snooping est une solution de sécurité permettant d’empêcher les attaques utilisant des serveurs DHCP pirates au sein d’un réseau. 1. Introduction Le protocole DHCP permet de fournir dynamiquement une configuration réseau à un ordinateur, dont par exemple une adresse IP pour lui permettre de communiquer sur le réseau. Cependant il est possible qu’une personne mal intentionnée puisse exécuter sur son ordinateur un serveur DHCP afin de distribuer aux utilisateurs des configurations réseaux spécifiques qui serviront à des fins malicieuses. Pour palier à ces problèmes de sécurité, Cisco a mis en place une solution permettant de déterminer au sein des équipements les plus proches des utilisateurs (commutateurs) les serveurs qui sont seulement autorisés à diffuser des configurations DHCP au sein du réseau. Cette solution nommée « DHCP Snooping » vous sera présentée à travers cet article en vous présentant tout d’abord la théorie puis les commandes vous permettant d’implémenter cette
  • 21. solution au sein d’un réseau. Introduction Cet article a pour but de présenter la configuration d'un lien point à point entre deux routeurs sur des interfaces RNIS de deux manières différentes. Le tout avec sur chaque routeur une seule interface de BASE (BRI 0). La première configuration met en place des profils d'appels (dialer) que l'on nommera par la suite Dialer profile tandis que la deuxième met en place des mappages directement sur l'interface RNIS du routeur concerné, on dénommera cette configuration Dialer Map. Voici ci-dessous le schéma logique de configuration entre les deux routeurs : CONFIGURATION HSRP 19-01-2007 Page 1 sur 4 Configuration du protocole HSRP HSRP (Hot Standby Routing Protocol ) est un protocole propriétaire crée par Cisco et très utilisé aujourd’hui dans nos LAN. De ce protocole est dérivé VRRP (Virtual Router Redundancy Protocol), normalisé et utilisé chez la plupart des autres constructeurs (Nokia, Alcatel..) En pratique, HSRP permet qu’un routeur de secours (ou spare) prenne immédiatement, de façon transparente, le relais dès qu’un problème physique apparaît.
  • 22. Cet article décrit tout d’abord le fonctionnement puis la configuration à effectuer. RECUPERATION DE MOTS DE PASSE SUR UN 2600 18-01-2007 Page 1 sur 2 Procédures de recuperation de mot de passe oublié Cet article à pur but d’expliquer la procédure à suivre quand on a malheureusement perdu les mots de passe d’un routeur Cisco 2600. Cette procédure présente l’avantage de ne pas écraser la configuration, simplement de changer les mots de passe tout en gardant la configuration existante. La connexion doit se faire par un câble console. Nous nous trouvons dans l’impossibilité de rentrer dans le mode privilégié du routeur. La solution décrite dans la procédure est de redémarrer en mode ROM, avec l’image minimaliste afin de changer la valeur du registre de configuration. Il faut ensuite redémarrer le routeur avec l’interrupteur et appuyer sur la touche CTRL et « Pause » ou « Break » au clavier dans les 30 secondes après le démarrage. L’écran suivant doit alors apparaître : Nous sommes alors avec l’image minimaliste, très peu de commandes sont disponibles. Nous allons nous intéresser au registre de configuration. La valeur normale du registre de configuration est : 0X2102, nous allons pour ignorer la configuration passer cette valeur en confreg 0X2142 : Puis on redémarre avec la commande reset, cette valeur du registre de configuration permet d’ignorer la copie du fichier de configuration de sauvegarde dans le fichier de configuration active. Autrement dit, d’ignorer les mots de passe. Après redémarrage le routeur demande si l’on veut rentrer dans le mode SETUP, répondre « no » à cette question.
  • 23. La prochaine étape est de rentrer dans le mode privilégié avec cette configuration « vierge » : Aucun mot de passe ne nous est demandé car la configuration est vierge. LE PROTOCOLE EIGRP 18-01-2007 Page 1 sur 4 Configuration du protocole EIGRP Introduction EIGRP : ou Enhanced IGRP Il s’agit en effet d’une évolution du protocole propriétaire de Cisco, l’IGRP. Il a la particularité d’allier la connectivité à états de liens et à vecteur de distance :il est hybride. Enhanced IGRP garde en mémoire toutes les tables de routages de ces voisins, ce qui permet rapidement de s'adapter à une route alternative. Si aucune route appropriée existe, alors il va demander à ses voisin de lui en découvrir une et va propager les demandes jusqu'à ce qu'une route soit trouvée. De plus, il ne fait pas de mise à jour périodique des ses tables, mais envoie de partielles mises à jour lorsque la distance pour une route change. La propagation de ces mises à jour est uniquement effectuée vers les routeurs qui ont besoin de ces informations. Ce qui fait que Enhanced IGRP consomme beaucoup moins la bande passante que IGRP. CONFIGURATION D’UN VPN IPSEC É 18-01-2007 Page 1 sur 7 Configuration d'un VPN entre 2 routeurs Cisco Créez un VPN IPSEC entre 2 LAN avec 2 routeurs Cisco Nous disposons de 2 routeurs Cisco : · Sur le site principal, un 2620 (mainrtr) avec 2 interfaces Ethernet : o Une connectée au LAN interne (adresse IP 172.23.10.1/16) o L’autre est utilisée pour se connecter à Internet (adresse IP 207.194.10.198/24). · Sur le site distant, un 1751 (remotertr) avec 2 interfaces Ethernet : o Une connectée au LAN interne (adresse IP 172.25.10.1/16) o L’autre connecté à Internet (adresse 207.194.10.199/24). La première étape consiste à configurer les règles IKE sur les 2 routeurs. Les règles IKE précisent le type
  • 24. d’encryption et de découpage à utiliser ainsi que le type d’authentification qui sera implémenté. Les paramètres doivent impérativement être les mêmes sur les 2 routeurs. CONFIGURATION DE BASE D'UN ROUTEUR 18-01-2007 Page 1 sur 7 Dans cet article, vous apprendrez à configurer les routeurs de ce domaine de routage, afin de permettre la connectivité de tous les ordinateurs. Dans cet article, vous apprendrez à configurer les routeurs de ce domaine de routage, afin de permettre la connectivité de tous les ordinateurs. L’ interface S0 de tous les routeurs sont la partie ETCD (Équipement de communication de données, il fournit le signal de synchronisation). L’interface S1 de tous les routeurs sont la partie ETTD (Équipement terminal de traitement de données, il utilise généralement la signalisation de synchronisation générée par l'ETCD). Lorsque vous connectez les routeurs entre eux, apportez une attention particulière au sens du câble. Ce dernier a une extrémité ETCD et une extrémité ETTD. L’interface E0 de tous les routeurs est connectée à un concentrateur et permet de connecter vos périphériques. La configuration que nous allons créer est basé sur la topologie suivante, le protocole utilisé pour faire communiquer les routeurs sera le protocole RIP :
  • 25. RECUPERATION DE MOT DE PASSE 18-01-2007 Page 1 sur 4 Retrouvez les procédures de changement de mot de passe oublié sur tous les routeurs Cisco L’oubli du mot de passe d’un routeur est un vrai handicap, c’est pourquoi les routeurs CISCO permettent la récupération de ce dernier. La procédure étant relativement simple, il est indispensable que ce genre de périphérique soit installé dans un local technique fermant à clé. 1.Commencez par éteindre le routeur, attendez quelques secondes avant de le rallumer. 2.Dès les premières secondes du démarrage, appuyez simultanément sur Ctrl et Pause. Le message « user abort » apparaît, puis la ligne de commande devient boot#. LE REGISTRE DE CONFIGURATION 18-01-2007 Page 1 sur 4 Le registre de configuration 1) Généralités Le registre de configuration a une taille de 16 bits, et s’exprime sous la forme d’une valeur hexadécimale. On peut modifier sa valeur : Depuis IOS, en utilisant la commande config-register {valeur} dans le mode de configuration globale. Depuis le mode RXBoot, accessible en utilisant la combinaison de Break avant les 60 secondes qui suivent le démarrage à froid du routeur (en général Ctrl-Pause). La commande permettant de modifier la valeur dépend du type de dispositif sur lequel on se trouve. La valeur par défaut du registre de configuration est 0x2102. Ce registre a pour principal but d’établir le comportement d’un routeur :
  • 26. Bits 0 à 3 : Champ d’amorçage. Bit 4 : Démarrage rapide (sur les routeurs 7000). Bit 5 : Vitesse de la ligne console supérieure à 9600 Bauds. Bit 6 : Ignorer le fichier de configuration de sauvegarde (en NVRAM). Bit 7 : OEM. Bit 8 : Combinaison de Break après chargement d’IOS. Bit 9 : Utilisation du bootstrap secondaire. Bit 10 : Broadcast IP avec tout à zéro. Bits 11 & 12 : Vitesse de la ligne console. Bit 13 : Utiliser l’image par défaut en ROM si échec du démarrage réseau. Bit 14 : Broadcasts IP n’ont pas de numéros de réseau. Bit 15 : Activer les messages de diagnostics et ignorer le contenu de la NVRAM. PERSONNALISEZ VOTRE ROUTEUR EN CREANT UNE BANNIERE 18-01-2007 Page 1 sur 2 La bannière est le texte qui vous accueille lorsque vous vous connectez au routeur La bannière est le texte qui vous accueille lorsque vous vous connectez au routeur. Pour créer votre bannière, il suffit de rentrer en mode de configuration globale de votre routeur : Une fois dans ce mode, vous rentrez les paramètres suivants :
  • 27. L’expression motd ! indique que le caractère qui va mettre fin à la saisie de votre bannière est le point d’exclamation. On aurait pu mettre n’importe quel autre caractère. CONFIGURATIONDES PARAMETRES HORAIRES DE VOTRE ROUTEUR CISCO 18-01-2007 la commande clock vous permet de configurer la date et l'heure sur votre routeur Cisco la commande clock vous permet de configurer la date et l'heure sur votre routeur Cisco : clock set hh:mm:ss dd month yyyy cette commande paramêtre la date et l'heure sur votre routeur ex : clock set 18:40:00 25 PAR 2002 clock timezone XXX O cette commande vous permet de spécifier au routeur la zone horaire ou le routeur se trouve (EST,CST,MST,PST) ex : clock timezone CST ° clock summer-time XXX recurring cette commande paramêtres les paramêtres liés à l'heure d'été ex : clock summer-time EST recurring service timestamps log datetime localtime show-timezone cette commande affiche toutes les entrées du routeur contenue dans la table de log avec la date, l'heure LA COMMANDE SHOW 18-01-2007 La commande show est tres efficace pour le monitoring et le dépannage La commande show est tres efficace pour le monitoring et le dépannage. Vous pouvez l'utiliser pour executer toute une série de fonctions : Monitoring du routeur pendant l'installation et pendant sa production Isolation des problèmes d'interface, de média ou d'application Determiner la charge du réseau Determiner l'état des serveurs, client ou encore des routeurs voisins Le tableau suivant présente les usages les plus courants de la commande show : show access-lists affiche les listes de controles d'accès configurés sur le routeur ainsi que les interaces auxquelles elles se rapportent show buffers affiche l'état du tampon du routeur
  • 28. show clock affiche les paramêtres horaires du routeur show <interface> affiche différentes statistiques pour l'interface concernée comme par exemple le type de média raccordé show DECnet static affiche les routes statiques configurées show flash affiche la version de lIOS utilisés par le roueur ainsi que que ma quantoté de mémoire flash utilisée show flash all affiche la quantité de mémoire flash utilisée show interfaces affiche les statisques ainsi que les caractéristiques de toutes les interfaces du routeur show interfaces accounting affiche un aperçu des protocoles voyagant au travers des interfaces show ip arp affiche la table arp du routeur show ip OSPF <interface> affiche le statut d'ospf sur l'interface concernée show ip route affiche la table de routage IP show IPX interfaces affiche l'état des interfaces IPX ainsi que leur adresse MAC show ip protocols affiche les information de routage show ip traffic affiche les statistique de traffic passant par le routeur show ipx servers affiche les serveurs que le routeur connait show line affiche les lignes actives du routeur show log affiche les logs du routeur ( il convient d'activer les logs au préalable) show memory affiche l'état de la mémoire du routeur show running-config affiche la configuration stockée en RAM, utilisée par le routeur en fonctionnement show startup-config affiche la configuration stockée en NVRAM, utilisée par le routeur au démarrage show tcp affiche les connections TCP show version affiche le uptime du routeur, la version de l'IPS, la séquence de boot ainsi que les caractéristiques physiques du routeur Il existe un nombre incroyables d'autres options pour la commande show, pour les connaîtres, utilisez l'aide du routeur en tapant la commande : "show ?". Il est important de rappeller que les options disponibles différent en fonction du mode ou l'utilisateur se trouve. LES RACCOURCIS CLAVIERS 18-01-2007 En fonction des méthodes que vous utilisez pour vous connecter à votre routeur Cisco, les flêches ou autre moyen de navigation usuels peuvent fonctionner de manière aléatoire En fonction des méthodes que vous utilisez pour vous connecter à votre routeur Cisco, les flêches ou autre moyen de navigation usuels peuvent fonctionner de manière aléatoire. Voici la liste des raccourcis claviers vous permettant de naviguer dans la configuration de votre équipement Cisco : Backspace efface le caractére a gauche du curseur Tab complétion de la commande ? aide Ctrl A déplace le curseur en début de ligne Ctrl B recule d'un caractère Ctrl D efface le caractère situé sur le curseur Ctrl E déplace le curseur en fin de ligne Ctrl H efface le caractère à gauche du curseur Ctrl I completion de la commande Ctrl K efface tous les caractères jusqu'à la fin de la ligne Ctrl L réaffiche la ligne en cours (utile si le Debug d'affiche pendant la saisie) Ctrl N affiche la ligne suivante dans l'historique des commandes Ctrl P affiche la ligne précedente dans l'historique des commandes Ctrl R réaffiche la ligne en cours (utile si le Debug d'affiche pendant la saisie) Ctrl T transpose les caractères Ctrl U efface les caractères jusqu'à la fin de la ligne et les place dans un tampon Ctrl W efface le mot précédent Ctrl X efface les caractères jusqu'au début de la ligne et les place dans un tampon Ctrl Y insert le tampon dans la ligne de commande Esc < affiche la première commande situé dans l'historique des commandes Esc > affiche la dernière commande situé dans l'historique des commandes Esc b déplace le curseur d'un mot en arrière Esc c selectionne le mot après le curseur Esc d efface le mot après le curseur Esc f avance le curseur d'un mot Esc i Tab Esc l passe le mot placé après le curseur en minuscules Esc u passe le mot placé après le curseur en majuscules Esc y colle le tampon
  • 29. Esc Del efface le mot placé avant le curseur ACL 18-01-2007 Page 1 sur 4 Les Listes de Contrôle d’Accès 1- Définition Une liste de contrôle d’accès est une collection d’instructions permettant d’autoriser ou de refuser des paquets en fonction d’un certain nombre de critères, tels que : -L'adresse d'origine -L'adresse de destination -Le numéro de port. -Les protocoles de couches supérieures -D’autres paramètres (horaires par exemple) Les listes de contrôle d'accès permettent à un administrateur de gérer le trafic et d'analyser des paquets particuliers. Les ACLs sont associées à une interface du routeur, et tout trafic acheminé par cette interface est vérifié afin d'y déceler certaines conditions faisant partie de la liste de contrôle d'accès. Les ACL peuvent être créées pour tous les protocoles routés. Il faut donc définir une liste de contrôle d'accès dans le cas de chaque protocole activé dans une interface pour contrôler le flux de trafic acheminé par cette interface. Dans le cas de certains protocoles, il faut créer une liste de contrôle d'accès pour filtrer le trafic entrant et une pour le trafic sortant. 2- Vérification des paquets Lorsque le routeur détermine s'il doit acheminer ou bloquer un paquet, la plate-forme logicielle Cisco IOS examine le paquet en fonction de chaque instruction de condition dans l'ordre dans lequel les instructions ont été créées. Si le paquet arrivant à l’interface du routeur satisfait à une condition, il est autorisé ou refusé (suivant l’instruction) et les autres instructions ne sont pas vérifiés. Si un paquet ne correspond à aucune instruction dans l’ACL, le paquet est jeté. Ceci est le résultat de l’instruction implicite deny any à la fin de chaque ACL. SAUVEGARDER LES CONFIGURATIONS DE ROUTEUR SUR UN SERVEUR TFTP 18-01-2007 Page 1 sur 4 Sauvegardez et deployez vos fichiers de configuration de routeur Introduction : Une fois la configuration de nos routeurs terminée, il est important de stocker ces fichiers de configuration. En effet, sur les réseaux critiques il est souvent nécessaire de posséder des routeurs de rechange préconfigurés pour opérer à un remplacement rapide en cas de panne. Pour cela, on peut importer et exporter les configurations sur des serveurs TFTP. Serveur TFTP : TFTP, pour Trivial File Transfer Protocol , est un protocole de la pile TCP/IP qui permet l’échange d’informations entre les nœuds. Comme l’indique son nom, ce protocole est simplifié par rapport au protocole FTP et ne permet pas l’authentification des utilisateurs. Vous trouverez aisément un serveur TFTP sur Internet, en voici un exemple à www.solarwinds.net
  • 30. Dans cet exemple, l’adresse du serveur est 192.168.10.222 (adresse de la machine sur laquelle est installé le serveur TFTP). LE ROUTAGE NOVELL IPX 18-01-2007 Page 1 sur 4 Configuration du routage IPX sur les réseaux Novell Préambule : Depuis le début des années 80, le système d’exploitation Netware de Novell offre de nombreuses application de client- serveur. Avec plus de 5 millions de réseaux et 50 millions d’utilisateurs, Netware, et plus précisément la pile de protocole IPX/SPX, reste un élément incontournable de l’administration réseau. Cet article traitera essentiellement de la configuration du routage Novell, et ne s’intéressera pas en détail aux protocoles liés à la pile IPX/SPX (IPX, SPX, SAP, NLSP, RIP). L’adressage IPX : L’adressage IPX permet, comme l’adressage IP, d’obtenir un système hiérarchique, offrant ainsi aux administrateurs les bases de la conception LAN. Ces adresses occupent 80 bits : 32 bits (en caractères hexadécimaux) définissant le numéro de réseau choisit par l’administrateur et 48 bits pour la partie représentant le nœud qui correspondent à l’adresse MAC de l’hôte. Exemple d’adresse IPX : 435B20C2. 00 . 30 . AB . 02 . 23 L’avantage de l’utilisation de l’adresse MAC pour la partie hôte du nœud est que le protocole ARP (gourmand en ressources réseau) devient inutile et donc inutilisé. CHANGER VOTRE VERSION D’IOS
  • 31. 18-01-2007 Page 1 sur 3 Sauvegardez et mettez à jour vos images IOS Préambule : Les routeurs Cisco utilisent le système d’exploitation IOS pour gérer les opérations propres au routage et à la configuration du dispositif. Vous pouvez être amené à réparer une version défectueuse d’IOS ou à installer une version plus récente sur votre routeur. Pour cela, procédez comme suit : Enregistrer une version IOS valide sur un serveur TFTP : Démarrez votre serveur TFTP. Vous pouvez télécharger un serveur TFTP gratuit à l’adresse suivante : www.solarwinds.net En mode privilégié, tapez copy flash tftp. Le routeur vous demande l’adresse du serveur, dans ce cas : 192.168.10.222. Ensuite, vous devez rentrer le nom du fichier que vous voulez uploader. (Le routeur vous propose le nom du fichier IOS installé). Pour terminer, vous devez indiquer un nom pour le fichier qui sera stocké sur le serveur. RIP 18-01-2007 Page 1 sur 2 Configuration du protocole RIP 1) Description RIP (Routing Information Protocol) est relativement ancien, mais est encore couramment utilisé. Il s’agit d’un IGP (Interior Gateway Protocol) créé pour être utilisé dans de petits réseaux homogènes, et est un protocole de routage à vecteur de distance. RIP utilise le protocole UDP en diffusion (Broadcast) pour échanger l’information de routage. Les mises à jour de routage sont envoyées toutes les 30 secondes.
  • 32. Si un routeur ne reçoit aucune mise à jour d’un autre routeur dans un délai de 180 secondes, il marque les routes desservies par le routeur ne répondant pas comme inutilisables. S’il n’y a toujours aucune mise à jour après 240 secondes, le protocole RIP enlève toutes les entrées dans sa table de routage correspondant au routeur qui ne répond pas. Caractéristiques principales : La métrique qu’utilise RIP est le nombre de sauts (Hop count). Chaque entrée dans la table de routage apprise par RIP a une distance administrative de 120. Un réseau directement connecté a une métrique de 0, alors qu’un réseau inaccessible aura une métrique de 16. 2) Configuration du protocole RIP a) Activation de RIP La commande router rip, dans le mode de configuration globale, permet : De passer en mode de configuration du protocole de routage. D’activer le protocole RIP. Il faut maintenant indiquer quels sont les réseaux directement connectés au routeur interagiront au niveau des mises à jour. Ceci inclus les réseaux sur lesquels le routeur enverra les paquets de mise à jour ainsi que les réseaux qui seront inclus dans les mises à jour. Il faut utiliser la commande network {réseau}, depuis le mode de configuration du protocole de routage. b) Mises à jour unicast Par défaut, les mises à jour sont diffusées (Broadcast). Il est possible d’émettre ces mises à jour vers des destinataires uniques en utilisant la commande neighbor {IP}, dans le mode de configuration du protocole de routage. c) Offsets de métriques de routage Les métriques des entrées apprises par RIP ont généralement pour valeur le cumul de celles présentes dans le paquet de mise à jour avec la métrique du lien entre le routeur local et celui qui a envoyé la mise à jour. Il est possible de rajouter un mécanisme d’incrémentation sélectif de ces métriques. La commande offset-list [acl] {in | out} {valeur} [{type} {numéro}] du mode de configuration du protocole de routage configure ce système d’incrémentation : [acl] : Nom ou numéro d’ACL, afin de limiter l’offset-list (Paramètre optionnel). {in | out} : L’offset-list sera appliquée lors de la réception (in) ou de l’émission (out) d’un paquet de mise à jour. {valeur} : Nombre qui sera ajouté aux métriques concernées. [{type} {numéro}] : L’offset-list peut aussi être appliquée sur une interface spécifique (Paramètre optionnel). CONFIGURATION CHAP 18-01-2007 Page 1 sur 3 Configuration du protocole CHAP 1 - Introduction La configuration du protocole CHAP sur les routeurs Cisco assure une protection maximale grâce à l’utilisation de la méthode défi-réponse. Le fait de répéter cette méthode au cours des connexions permet de limiter le temps d’exposition à une quelconque attaque. La méthode d’authentification CHAP dépend d’un secret que seul l’authentificateur connaît. Dans cet exemple de configuration, nous disposons de deux routeurs nommés respectivement « Dessus » et « Dessous ». Le
  • 33. principe de ce protocole CHAP consiste à configurer sur chaque routeur un compte qui autorisera l’autre à s’y connecter ACL IPX 18-01-2007 Page 1 sur 6 Configuration de listes d’accès avec le protocole IPX Introduction Rappel sur le protocole IPX Le protocole IPX est un protocole de couche 3 non orienté connexion. Ainsi, il n’utilise pas de système d’accusé de réception pour chaque paquet et définit les adresses de réseau et de nœud. Ce protocole fonctionne de manière similaire à TCP/IP sous réserve qu'un routeur multi protocole soit installé. Pour activer le routage avec IPX il faut utiliser la commande IPX routing en mode de configuration globale La structure d'adressage IPX de Novell comprend deux parties : - le numéro de réseau : attribué par l'administrateur réseau, comprend jusqu'à huit chiffres hexadécimaux. Le numéro de nœud IPX comprend 12 chiffres hexadécimaux. Ce numéro correspond habituellement à l'adresse MAC d'une interface réseau. L'utilisation de l'adresse MAC dans l'adresse logique IPX élimine la nécessité d'utiliser le protocole ARP (Address Resolution Protocol). - le numéro de nœud : généralement l'adresse MAC d'une interface réseau du nœud d'extrémité exemple : 4a1d (numéro de réseau 8 chiffres en hexadécimal) 0000.0c56.de34 (numéro de noeud 12 chiffres en hexadécimal) Adresse entière : 4a1d.000.0c56.de34 Note : Les interfaces série utilisent l'adresse MAC de l'interface Ethernet comme adresse de nœud IPX. A l’instar de TCP/IP, IPX utilise des plages de numéros pour classer les différents types de liste de contrôle d’accès : Type Plage ACL IPX Standard 800-899 ACL IPX Etendue 900-999 ACL IPX SAP 1000-1099 Note :Les ACL ont besoin d'un numéro unique pour être identifiées. Exemple : access-list 833 permit 4a1d.000.0c56.de34 0.0.0.fff 4acb Le numéro 833 définit une liste d'accès IPX standard qui autorise les paquets provenant du réseau 4a1d.000.0c56.de34 vers le réseau 4acb. N'oubliez pas qu'une seule liste de contrôle d'accès est permise par port, par protocole et par direction. Note : Toutes les ACL sont configurées par défaut avec un « DENY ALL » implicite et tous les masques représentés en binaire avec ip sont représentés en hexadécimal avec ipx. CONFIGURATION AP 1200 CISCO AVEC EAP-TLS 19-01-2007
  • 34. Page 1 sur 6 Configuration d'EAP-TLS sur l'AP 1200 Cisco Introduction : Les réseaux sans fil, ou WLAN (pour Wireless LAN), réussissent à conjuguer tous les avantages d’un réseau filaire traditionnel comme Ethernet ou Token Ring mais sans la limitation des câbles. La mobilité est maintenant l’attrait principal pour les entreprises, la possibilité d’étendre son réseau LAN existant selon les besoins de l’organisation. Le média utilisé par les WLANs est l’air et particulièrement des fréquences radio à 2,4 GHz et 5 GHz. On parle de "réseaux sans fil" mais la plupart du temps, ces réseaux sont intégrés aux LANs traditionnels, juste considérés comme une extension à l’existant. Aujourd’hui, grâce à des normalisations de l’IEEE et du "Wi-Fi Alliance", les équipements sans fil sont standardisés et compatibles, ce qui explique l’engouement croissant pour ce type de réseau de moins en moins coûteux. L’Access Point (ou point d’accès) est une station qui transmet et reçoit des données dans un réseau local sans fil (WLAN). Un AP peut servir de point d'interconnections entre le WLAN et un réseau fixe de fil. Chaque point d'accès peut servir plusieurs utilisateurs dans un secteur défini de réseau. Lorsque l’utilisateur se déplace au delà de la couverture d'un point d'accès, il est automatiquement reconnecté sur le prochain AP. Dans cet article nous allons expliquer de façon la plus précise possible la configuration d’un AP de type 1200 Cisco. Pour cela, nous verrons dans un premier temps une configuration de base pour ensuite configurer l’EAP-TLS avec certificat Radius sur un Windows 2003. 1/ Configuration de base d’un AP : Avant de configurer son AP, il faut déterminer ou recueillir les informations suivantes : • Un nom de système • Un SSID (Service Set Identifier) pour le réseau radio • Une adresse IP unique (si l’AP n’utilise pas le serveur DHCP) • Une passerelle par défaut et masque de sous réseau (si l’AP n’est pas sur le même sous réseau que le PC d’administration) • Un nom de communauté SNMP et le fichier SNMP attribué (si SNMP est utilisé) Pour passer en mode privilégié sur l’AP, le mot de passe par défaut est : Cisco Il existe 2 interfaces permettant de configurer son AP, Pour administrer l’AP, le nom d’utilisateur par défaut est « Cisco » avec le mot de passe « Cisco » : • Page d’accueil de la CLI (command-line interface), connexion console ou telnet :
  • 35. • Page d’accueil de l’interface http (recommandé) – IOS GUI (Graphical User Interface), adresse par défaut http://10.0.0.1 : Dans cet article, nous resterons en mode Web, mais les commandes existent en CLI et sont similaires à tous les matériels Cisco http://www.cisco.com/univercd/cc/td/doc/product/wireless/airo1100/accsspts/i1237ja/cr1237ja/cr37main.ht m Nous allons commencer tout d’abord par quelques paramètres de base sur la page Express Setup :
  • 36. Cette page permet de régler plusieurs paramètres tels que : Hostname Protocole serveur configuré Adresse IP Masque Passerelle Communauté SNMP Puis, pour chaque interface Radio de l’AP : SSID (nous choisirons « Labo- cisco ») Broadcast SSID (permet aux stations ne spécifiant pas de SSID de se connecter sur l’AP) Nous retrouvons le paramétrage de l’adressage IP dans cette page : Il faut savoir que par défaut, la borne se met en 10.0.0.1 et fait un DHCP pour les clients. Dans le cadre d’un petit réseau domestique par exemple. Par contre il y a également la possibilité que la borne prenne une IP sur une plage définie par l’administrateur afin de rejoindre un LAN existant. Il faut toujours garder à l’esprit que ce type de borne n’est pas routeur, elle fonctionne au niveau 2 du modèle OSI et donc ne pourra pas traiter deux réseaux différents. La configuration basique est surtout sur l’interface Radio, nous allons utiliser quelques options de cette page (Network Interfaces, Radio0) :
  • 37. Ci-dessus, les réglages sont par défaut. Il convient toutefois de vérifier 2 paramètres, le débit et les canaux. Pour le débit (Data Rates) toutes les vitesses sont listées, on peut les rendre obligatoires (Require), simplement les activer (Enable) ou les désactiver (Disable). Explication des boutons : - Best Range : La meilleure portée, les plus petites vitesses seront sélectionnées afin que le client puisse capter le plus loin possible. Ce choix de la portée se fera au détriment du débit. - Best Throughput : Le meilleur débit. Les plus grandes vitesses seront sélectionnées afin que les clients aient un accès rapide. Ce choix du débit se fera au détriment de la portée. - Default : Laisse les paramètres en réglage d’usine. Pour notre configuration basique, les réglages par défaut sont satisfaisants. Channel : La sélection du canal d’émission est très importante, aujourd’hui de nombreux points d’accès sont présents.
  • 38. Le mieux est tout d’abord de vérifier la bande de fréquences avec un PC WIFI équipé par exemple avec netstumbler (http://www.netstumbler.com/ ) . Il y a 13 Channels autorisés en France, ce qui signifie que le choix est assez limité. Astuce : La technologie utilisée répand le signal sur plusieurs canaux alentours. Il est fortement conseillé de choisir un canal libre d’au moins 3 à 4 canaux autour (Exemple Canal 1, 5, 9 et 13) sont parfaitement espacés pour ne pas avoir de perturbations) La configuration peut également se faire avec le « Least Congested Frequency », la borne va alors scanner les canaux pour sélectionner le moins chargé. Cette option permet que le choix du canal soit dynamique même si de nouveaux AP environnants apparaissent. Notre configuration Radio est terminée. <<Précédent - Suivant>> 2/ Configuration sécurisée avec EAP-TLS : Cet exemple sera à travers une société inventée « AZATAR » Pour mettre en place notre architecture WLAN sécurisée les composants suivant sont requis: • Un serveur RADIUS, Microsoft Internet Authentication Service (IAS) • Un serveur de certificat, Autorité de certificat • Un serveur IIS • Un domaine Active Directory Mise en place d'un domaine Active Directory sous Windows 2003 Server Pour transformer un serveur autonome en serveur de domaine Active Directory, il suffit de lancer la commande dcpromo.
  • 39. Nous installons ici un contrôleur de domaine pour un nouveau domaine, dans une nouvelle forêt Active Directory.
  • 40. Active Directory se base sur DNS pour la résolution de nom, un serveur DNS doit donc être configuré pour le nouveau domaine. Il faut ensuite indiquer le nom pleinement qualifié du nouveau domaine. Dans notre exemple le nom du domaine sera Azatar.lan.
  • 41. Le nom NetBIOS du nouveau domaine sera donc AZATAR. Il faut ensuite spécifier l'emplacement de la base de données Active Directory ainsi que l'emplacement des fichiers de log.
  • 42. Il faut ensuite spécifier l'emplacement du dossier Sysvol. Le dossier sysvol contient les fichiers du domaine commun à tous les contrôleurs de domaine. La configuration du domaine Active Directory est presque fini, cliquez sur suivant pour créer le domaine.
  • 43. Une fois l'installation terminée, le serveur doit être redémarré.
  • 44. CONFIGURATION AP 1200 CISCO AVEC EAP-TLS Écrit par PAPIN Nicolas 19-01-2007 Page 4 sur 6 Installation du serveur de l'autorité de certificat racine Le serveur de l'autorité de certificat va distribuer les certificats X509, qui seront utilisés pour l'authentification des clients wireless. Pour fonctionner, le serveur de l'autorité de certificat nécessite les services IIS (Internet Information Server). Pour installer IIS, il suffit de se rendre dans le menu "Add/Remove windows components" situé dans le menu "Add/Remove programs" dans le panneau de configuration. Index de l'article Configuration AP 1200 Cisco avec EAP-TLS Page 2 Page 3 Page 4 Page 5 Page 6
  • 45. L'installation du service de certificats se fait de la même manière. Notre serveur de certificat sera configuré comme "Autorité Racine d'entreprise"
  • 46. Nous allons choisir AzatarCertificat, comme nom d'autorité de certificat. Il faut désormais spécifier m'emplacement de la base de donnée pour l'autorité de certificat ainsi que l'emplacement des fichiers de log.
  • 47. Installation et configuration du serveur RADIUS Il faut maintenant installer le service Microsoft Internet Authentication Service (IAS), il suffit de se rendre dans le menu "Add/Remove windows components" situé dans le menu "Add/Remove programs" dans le panneau de configuration. Puis aller dans le menu "Networking services". Configuration du serveur Microsoft Windows 2003 Server Enterprise Nous allons créer un groupe de sécurité global et un utilisateur dans Active Directory, cet utilisateur nous servira d'utilisateur test. Pour se faire il faut se rendre dans le menu "Active Directory Users and Computers".
  • 49. Il faut ensuite ajouter cet utilisateur au groupe de sécurité global "AzatarWireless". Il faut maintenant configurer le service Microsoft Internet Authentication Service (IAS).
  • 50. La première étape est de déclarer nos bornes wireless en tant que "Client RADIUS" et de spécifier le secret partagé.
  • 51. Il faut maintenant définir une stratégie d'accès distant.
  • 52. Donnez un nom à votre stratégie d'accès distant. Notre politique d'accès distant est défini pour les accès de type wireless.
  • 53. On autorise l'accès à notre groupe de sécurité global "AzatarWireless" Sélectionnez les certificats comme type EAP pour cette politique de sécurité
  • 54. On peut éditer notre stratégie d'accès pour en vérifier les propriétés
  • 55. Comme spécifié précédemment le type EAP est "smart Card or other certificate" Cliquez sur "Edit", on s'aperçoit alors que le certificat correspond à notre autorité de certificat créé précédemment.
  • 56. CONFIGURATION AP 1200 CISCO AVEC EAP-TLS Écrit par PAPIN Nicolas 19-01-2007 Page 5 sur 6 Configuration du Client Wireless Il faut maintenant installer le certificat sur le client ceci peut être fait avec une disquette ou via le réseau filaire existant. Dans notre exemple nous supposons que le client est relié au réseau filaire de l'entreprise. Le client wireless doit se connecter au site web du serveur d'autorité de certificat afin d'installer le certificat. Pour se faire il doit entrer l'url suivante dans un explorateur web: http://192.168.0.254/certsrv Il faut s'authentifier avec le compte utilisateur "UserWireless" Index de l'article Configuration AP 1200 Cisco avec EAP-TLS Page 2 Page 3 Page 4 Page 5 Page 6
  • 57. Une fois logué, nous avons accès à la page principale, il faut dans un premier temps ajouter l'autorité principale de confiance. Pour se faire il faut cliquer sur "Download a CA certificate, certificate chain, or CRL" Il faut ensuite cliquer sur "install this CA certificate Chain", afin d'approuver cette autorité de certificat.
  • 58. Il faut ensuite revenir à la page principale afin d'installer un certificat utilisateur en cliquant sur "Request a certificate"
  • 59. Sélectionnez ensuite un certificat utilisateur.
  • 60. Il ne reste plus qu'à installer le certificat sur le client wireless, en cliquant sur "Install this Certificate"
  • 61. Configuration de la borne L’adresse IP sera la même que dans notre configuration basique : SSID Manager:
  • 62. Figure 13: Security/SSID Manager Dans le menu "Security/SSID Manager", il faut définir un SSID. Comme "Authentication Settings" il faut spécifier "Open Authentication with Mac Authentication and EAP" ainsi que "Network EAP with MAC Authentication". Encryption Manager:
  • 63. Figure 14: Security/Encryption Manager Dans le menu "Security/Encryption Manager", il faut spécifier "Cipher TKIP+WEP128bit" et fournir une clef d'encryptions. Cette clé servira au moment de l’authentification mais ne sera pas à saisir sur le client. Advanced Security:
  • 64. Figure 16: Security/Advenced Security Nous avons reglé l’authentification pour prendre en compte les adresses MAC. Dans le Menu "Security/Adavanced Security ", il faut spécifier les adresses MAC des clients pour l'authentification basée sur les adresses MAC. Server ManP°MM/ager:
  • 65. Figure 15: Security/Server Manager Dans le Menu "Security/Server Manager", il faut spécifier l'adresse IP ainsi que le secret partagé du serveur RADIUS.