ConfigurationVPN IPSEC ROUTEUR

Embed Size (px)

Citation preview

CONFIGURATION D'UN VPN-IPSEC POUR ROUTEUR CISCO04-04-2007

Une entreprise peut avoir besoin dune connexion WAN entre deux sites. Dans certains cas (liaison de secours ou liaison WAN pas cher) nous pouvons utiliser un tunnel IPSEC. IPSEC est une technologie VPN qui fonctionne sur la couche3 du model OSI. Cest aussi un standard IETF, ce qui signifie que nous pouvons lutiliser entre des quipements de diffrents fabricants. Les VPN IPSEC permettent : Une authentification de chaque paquet IP. Une vrification de lintgrit des donnes de chaque paquet. De rendre confidentiels les donnes de chaque paquets IP. IPSEC est un framework qui spcifie plusieurs protocoles a utiliser afin de fournir un standard de scurit. Les protocoles spcifis par IPSEC sont : Internet Key Exchange : IKE IKE va nous permettre de ngocier des paramtres de scurits et crer les cls dauthentification utilise par le VPN. IKE va permettre dtablir un change de cl de manire scuris sur un rseau non scuris . Encapsulating Security Payload: ESP Le plus utilis par IPSEC, ESP va encrypt les donnes. ESP protge galement contre des attaques bases sur du traffics replayed . Authentication Header : AH AH fournit de lauthentification de la donne. Il est peut utilis , ESP tant plus efficace et cryptant le tout. Plus tard dans notre configuration nous utiliserons ESP puisquil permet de crypter les donnes en utilisant DES, 3DES ou AES. AH ne permet pas cela

Les VPN IPSEC utilisent le protocole IKE afin dtablir une communication scuris entre deux peers a travers un rseaux non scuris. IKE utilise lalgorithme de DIFFIE-HELLMAN afin dchange des cls symtriques entre deux peers et de configurer les paramtres de scurits associ au VPN. IKE utilise le port UDP 500 et envoie des keepalive toutes les 10 secondes. IKE: - Elimine le besoin de spcifier manuellement tous les paramtres de scurits sur chaque peer . - Permet de configur une dure de vie pour le SA (security association) de IPSEC .Une SA est un ensemble de contrat de scurit . - Permet de changer les cls dencryptions pendant la session IPSEC. - Permet de fournir des services anti-replay . - Supporte larchitecture PKI. - Permet une authentification dynamique de chaque peer. Apres ces quelques explications nous allons voir comment configurer un VPN IPSEC. Nous avons deux sites (Paris et Chine). Nous avons dj une connexion WAN qui fonctionne entre les deux sites. Nous souhaitons configurer une connexion VPN entre PARIS et CHINE qui servira de connexion de secours. Nous dcidons dutiliser notre connexion Internet qui cote moins cher quune connexion ISDN. Mais pour cela nous devons crypter notre trafic.

Voici les diffrentes tapes de configuration : 1. Dfinir les rgles de scurit ISAKMP 2. Configurer les transform set 3. Configurer une ACL qui spcifiera quel trafic peut/doit emprunter le VPN. 4. Configurer une Crypto-map 5. Appliquer la Crypto-map sur linterface 6. Configurer une ACL si besoin sur linterface outside (en option) Nous devrons excuter ces tapes de configurations sur les routeurs de PARIS et CHINE. Dfinir une rgle de scurit ISAKMP Nous devons dabord activer le moteur isakmp en utilisant la commande :

CHINA(config)# crypto isakmp enable PARIS(config)# crypto isakmp enable Nous utiliserons la commande suivante afin dactiver le moteur software au cas ou notre routeur ne disposerait pas de moteur hardware . CHINA (config)# crypto engine software ipsec PARIS (config)# crypto engine software ipsec

Dans cet article nous utiliserons une cl partag (Pre Shared Key) pour lauthentification. Elle doit tre associer un peer distant qui utilise la mme cl partag . (Ici la PSK est labo-cisco).

CHINA (config)#crypto isakmp key labo-cisco address 192.168.0.6 PARIS(config)# crypto isakmp key labo-cisco address 192.168.0.1

Nous allons maintenant utiliser les paramtres suivant pour notre VPN sur les deux routeurs:

Authentication mode : Pre shared key (Nous pouvons aussi utiliser des Username & Password , OTP, ou des certificats). Hash Method : SHA (md5 or sha) Encryption type : AES 192 (DES est par dfaut , lencryption AES peut utiliser de 128 256 bits ) Diffie-Hellman group utiliser : 1 or 2 (group 1 est bas sur 768-bit et group 2 est bas sur 1024 bits). Lifetime of the exchanged key : Nous utiliserons 3600 pour 1 heure.( Par dfaut le compteur est 86400

seconds = 1 journe )

Donc au final nous configurerons nos routeurs comme cela : CHINA(config)#crypto isakmp policy 1 CHINA (config-isakmp)# encr aes 192 CHINA (config-isakmp)# authentication pre-share CHINA (config-isakmp)# group 2 PARIS(config)#crypto isakmp policy 1 PARIS (config-isakmp)# encr aes 192 PARIS (config-isakmp)# authentication pre-share PARIS (config-isakmp)# group 2 Configuration des transform-set Une transform set est une combinaison dalgorithme et protocoles de scurit acceptable . Les peers essairont de trouver la meilleurs combinaison possible selon les configurations et capacit de chaque point de chute du VPN en se basant sur les transform set disponible Configuration: CHINA (config)#crypto ipsec transform-set TSET esp-aes 192 PARIS (config)#crypto ipsec transform-set TSET esp-aes 192

* TSET est le nom du transform-set situ sur le routeur (porte locale) * esp-aes prcise que nous allons encrypter en utilisant ESP et AES. * 192 est le nombre de bits utiliser pour le cryptage.

Apres avoir entr cette commande nous avons un nouveau mode de configuration ou nous pouvons configurer notre VPN en mode Transport ou Tunnel Le mode Tunnel encryptera tout le datagram (y compris les IP sources et destination, gnant ainsi la QOS) alors que le mode Transport encryptera seulement la donne prsente dans le paquets IP (peut poser un problme de scurit car une personne malveillante peut ainsi voir les vrai IP sources et destination de chaque paquet IP). Ici nous allons utiliser le mode Tunnel :

CHINA(config)#mode PARIS(config)#mode

tunnel tunnel

Configurer une ACL qui spcifiera quel trafic peut/doit emprunter le VPN Ici nous allons autoriser le traffic depuis le lan de PARIS vers le lan de CHINE. Il faut utiliser une ACL tendue. Sur Chine : CHINE (config)#access-list 101 permit ip 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255 Et sur Paris : PARIS(config)#access-list 101 permit ip 10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255

Configurer la crypto-map Une crypto-map est comme un profil, qui va associer les ACL (crypto-ACL) , transform-set configur prcdemment avec ladresse IP du peer distant. Sur CHINA nous entrerons les commandes suivante : CHINA(config-crypto-map)#crypto map VPN-2-MAIN 10 ipsec-isakmp match address 101 CHINA (config-crypto-map)#set peer 192.168.0.6 CHINA(config-crypto-map)#set transform-set TSET Et sur Paris : PARIS (config-crypto-map)#crypto map VPN-2-Remote 10 ipsec-isakmp match address 101 PARIS (config-crypto-map)#set peer 192.168.0.1 PARIS (config-crypto-map)#set transform-set TSET Appliquer la Crypto-map sur linterface PARIS(config-if)#crypto map VPN-2-Remote CHINE(config-if)#crypto map VPN-2-MAIN

Voici la maquette utilise pour tester cette configuration : La version d' IOS utilis est la 12.4(1).

Comme nous pouvons le voir dans la table de routage tout trafic provenant du LAN 10.0.1.0/21 vers 10.0.2.0/24 utilisera la liaison WAN principale.

Si celle-ci est inutilisable, rien ne se passera mme si nous avons configur le VPN IPSEC sur les deux routeurs. Nous pouvons ajouter une route statique flottante (AD plus grande que lAD de RIP) qui peut ainsi relayer la liaison principale arrte de fonctionner. Il suffit de tapper: PARIS(config)#ip route 10.0.1.0 255.255.255.0 192.168.0.1 140 CHINE(config)#ip route 10.0.2.0 255.255.255.0 192.168.0.6 140 Nous pouvons tester cela: Sur lordinateur A nous faisons un traceroute vers lordinateur B :

Maintenant nous allons tester la route statique flottante quand la liaison principale est non utilisable.

Faisons un autre traceroute afin de confirmer que nous utilisons bien notre VPN.

CONFIGURATION DE RADIUS SUR ROUTEUR CISCO31-03-2007 Page 1 sur 3

RADIUS (Remote Authentication Dial-In User Service) est un protocole client-serveur permettant de centraliser des donnes d'authentification. RADIUS est support par toutes les plateformes CISCO. Dans cet article nous allons voir comment configurer un routeur Cisco afin qu'il puisse communiquer avec un serveur RADIUS sur le rseau. Dans un premier temps nous verrons comment identifier les environnements appropris et inappropris l'utilisation de ce system de scurit. Ensuite nous verrons son fonctionnement. Puis nous traiterons de la configuration de RADIUS l'aide du jeu de commandes AAA (Authentication, Authorization and Accounting). Enfin nous proposerons deux exemples de configuration. NB : Afin de les changements prennent effet, ne pas oublier d'utiliser la commande copy running-config startup-config.

1/ Quand utiliser l'authentification RADIUS?1.1/ Les environnements appropris l'utilisation de RADIUS :Les rseaux comportant de multiples serveurs d'accs. Les rseaux utilisant dj RADIUS Les rseaux dans lesquels un client ne peut accder qu' un seul service. Les rseaux qui requirent un compteur de ressources.

1.2/ Les environnements inappropris l'utilisation de RADIUS :Les environnements d'accs multi protocoles. Radius ne supporte pas les protocoles suivants : AppleTalk Remote Access Protocol (ARA), NetBIOS Frame Control Protocol (NBFCP), NetWare Asynchronous Services Interface (NASI), X.25 PAD connections. Les rseaux utilisant une varit de services.

2/ Fonctionnement de RADIUSLorsqu'un utilisateur tente de se connecter et de s'authentifier un serveur d'accs utilisant RADIUS, les tapes suivantes se produisent: L'utilisateur est invit rentrer son nom d'utilisateur et son mot de passe. Le nom d'utilisateur et le mot de passe sont encrypt et envoys travers le rseau au serveur RADIUS L'utilisateur reoit l'une des rponses suivantes de la part du serveur RADIUS : ACCEPT (l'utilisateur est authentifi) REJECT (l'utilisateur est invit retaper son nom d'utilisateur et mot de passe ou bien l'accs est refus)

CHALLENGE (des donnes supplmentaires sont collectes chez l'utilisateur) CHANGE PASSEWORD (l'utilisateur est invit choisir un nouveau mot de passe)

CONFIGURATION DUN VPN SITE-A-SITE SUR UN PIX28-03-2007 Page 1 sur 4

Cette article vous guidera pas pas pour configurer un VPN sur un PIX.

INTRODUCTION:Les rseaux privs virtuels (VPN) permettent d'interconnecter des rseaux gographiquement loigns en passant par le rseau public d'Internet. Les VPN fournissent une solution fiable, faible cot et permettent une administration plus ais que les WAN traditionnelles bases sur du Frame-relay ou des connexions par modems. Les VPN maintiennent une scurit identique aux rseaux privs et permettent ainsi aux utilisateurs d'accder aux ressources de leur entreprise depuis n'importe quel endroit muni d'Internet. L'utilisation des VPN de type accs distant (remote access) fait partie d'une nouvelle dynamique de travail puisque cela permet aux salaris d'une entreprise, par exemple, de se connecter au rseau interne de l'entreprise depuis leur domicile. Cependant, comme toute connexion distance, cela pose certains problmes de scurit puisque les communications passent par Internet : les pare-feux de la gamme Cisco, les PIX, offrent la possibilit de palier ce problme en utilisant des algorithmes de cryptage connus pour leur efficacit : AES, 3DES, MD5, ... Un PIX Firewall peut tre configur tel un Easy VPN Server, c'est--dire que l'on va le configurer de manire ce qu'il contienne des rgles VPN qui vont tre envoy de multiples dispositifs clients VPN : l'avantage est que l'on va configurer un seul PIX (qui va agir tel un serveur) et donc centraliser les diffrentes rgles VPN. Cependant, un Easy VPN Server ne va accepter des connexions que de dispositifs clients qu'il supporte, qui peuvent tre de type logiciel ou de type matriel. En voici la liste :clients logiciels : ces clients sont directement connects au PIX faisant office dEasy VPN Server par le biais dInternet, et requirent linstallation dun logiciel spcifique :

Cisco VPN Client version 3.xCisco VPN 3000 Client version 2.5 clients matriels : un Easy VPN Server est capable daccepter la connexion de multiples clients matriels dont voici la liste :

PIX 501 / 506 / 506E Cisco VPN 3002 Certains routeurs de la gamme Cisco dont lIOS supporte le VPN comme lessries 800 ou 1700

Pour chaque type de client, il y a donc une configuration spcifique puisque chacun d'eux ne va pas utiliser le mme type de connexion, d'authentification ou de scurit. Le PIX Easy VPN Server va ainsi tre configur en fonction du ou des clients. Voici une liste non exhaustive des types de configurations : utilisation de l'eXtended Authentification (Xauth) utilisation d'IKE pour les Easy VPN Remote Devices (clients)

utilisation d'une cl pr-partage (pre-shared key) pour les Easy VPN Remote Devices utilisation de certificats pour les Easy VPN Remote Devices utilisation de PPTP pour l'accs distance Bien entendu il en existe d'autres mais les principales sont celles cites ci-dessus. Nous allons nous intresser aux clients de types logiciels avec l'utilisation de cls prpartages (pre-shared keys) : notre exemple va couvrir l'eXtended Authentification (Xauth) pour l'authentification des utilisateurs, le protocole IKE pour assigner des adresses IP, un serveur RADIUS pour donner l'autorisation aux utilisateurs d'accder certains services, ainsi qu'une cl pr-partage pour l'authentification IKE.

CONFIGURATION DE NAT18-01-2007 Page 1 sur 3

Configuration de la translation d'adresse sur un routeur CiscoLe NAT vous permet dutiliser des adresses IP prives sur votre LAN et de translater ces adresses afin de les rendre accessible depuis un rseau public comme Internet. Le rseau priv est dfinit sur linterface intrieure et ladresse publique sur linterface extrieure de votre routeur. Dans sa forme la plus simple, le NAT statique, une adresse prive unique est redirige, vers une adresse publique unique. La forme la plus utilise de Nat est un groupe dadresse prives translate en une seule et unique adresse publique. Cette forme de Nat est appele overloading .

Etape 1 : dfinition des interfaces pour le NAT

Le routeur principal (mainrtr) est connect au LAN par linterface Ethernet 0 (172.13.10.1/16), donc E0 sera linterface intrieure et E1 linterface connecte Internet (207.194.10.198/16). Le routeur distant (remotrtr) est connect au rseau local par linterface E0 (172.25.10.1/24) et Internet par linterface E1 (207.194.10.199).

Nous voulons que le routeur principal convertisse les adresses prives du Lan sur ladresse 207.194.10.198, tant donn que cest la seule IP autorise envoyer des donnes au travers du tunnel IPSEC. Cela fournir de plus un accs Internet au Lan, mais cela nest pas notre objectif principal.

Nous voulons galement que le routeur distant convertisse les adresses prives de son Lan sur ladresse 207.194.10.199.

A partir du moment ou lon mappe plusieurs adresses, nous utilisons loverloading.

SE CONNECTER A UN ROUTEUR CISCO SOUS GNU/LINUX18-01-2007 Page 1 sur 2

Se connecter un dispositif Cisco via son port console afin de pouvoir ladministrer 1 Introduction Nous allons voir comment se connecter a un routeur Cisco sous GNU/Linux via le port serie (COM). 2 - BIOS et Noyau Il faut tout d'abord vrifier que le port srie est actif au niveau du BIOS. Puis configurez si ncessaire le noyau afin qu'il supporte le port srie, pour cela rendez vous dans le rpertoire des sources de votre noyau (les noyaux de base livrs avec les distributions l'active par defaut) : # cd /usr/src/linux # make menuconfig Rendez-vous dans le menu Device Drivers -> Character devices -> Serial drivers Cochez les options : 8250/16550 and compatible serial support Console on 8250/16550 and compatible serial port

Compilez votre noyau (version 2.6.x): # make # make modules_install Copiez l'image de votre nouveau noyau dans /boot et configurez votre BootLoader.

LES IP HELPER-ADDRESScrit par GUILLEMOT Erwan 18-01-2007 Page 1 sur 3

Comment remplacer laddresse de broadcast par une adresse unicast 1. Introduction Lip helper address remplace laddresse de broadcast par une adresse unicast Configure au niveau de linterface pour le trafic entrant Rappelons que lun des premiers buts des routeurs est de bloquer les domaines de broadcast. Mais il est peut tre inconvnient de devoir implmenter des serveurs (par exemple DHCP) sur chaque segment rseau. Cette fonctionnalit permet de faire transiter des trames (paquets) de broadcast au travers dun

routeur.

Syntaxe :R(config-if)#ip helper-address 192.168.10.254

RECUPERATION DE MOTS DE PASSE SUR UN PIXcrit par BENAROCH David 18-01-2007 Page 1 sur 5

Procdures de recuperation de mot de passe oubli 1. Introduction Cet article a pour but de vous permettre de rcuprer le ou les mot(s) de passe dun PIX pour les versions logicielles jusqu' 6.3. Cette procdure prsente lavantage de ne pas craser la configuration, simplement de changer les mots de passe tout en gardant la configuration existante, les authentifications Telnet ou AAA Serveur pourront aussi tre enleves. Pour information : Si vous avez configur une authentification AAA et que votre serveur dauthentification est en panne vous pouvez essayer de vous connecter avec la configuration initiale du Telnet avec comme login : pix et comme password : password username pix enable password password Si il ny a pas de mot de passe configur, essayez simplement avec comme login : pix username pix Si un mot de passe est configur et que vous ne le connaissez pas alors vous devez continuer la procdure de rcupration de mot de passe suivante.

CREER UN ETHERCHANNEL18-01-2007 Page 1 sur 3

Un etherchannel permet daugmenter significativement la bande passante de votre backbone. 1 Introduction

Un etherchannel permet daugmenter significativement la bande passante de votre backbone. Il permet dagrger jusqu 8 liens physiques FastEthernet ou GigabitEthernet et den faire un seul lien logique. Le trafic est redistribu ensuite entre les liens physiques selon diffrentes mthodes : Ladresse IP source Ladresse IP destination Un XOR entre les adresses IP sources et destination Ladresse MAC source Ladresse MAC destination Un XOR entre les adresses MAC source et destination Le numro de port source Le numro de port destination Un XOR entre les numros de port source et destination

Un agrgat de 8 liens FastEthernet ne fournit donc pas 1,6GB/s (en full-duplex) mais redistribue le trafic selon des mthodes de load-balancing. Les ports de lagrgat doivent avoir les mmes caractristiques (mme vitesse, mme VLAN et tre en mode trunk sil doit redistribuer le trafic des diffrents VLANs.

CONFIGURER VTP18-01-2007 Page 1 sur 3

VTP (VLAN Trunking Protocol) change des trames de configuration de VLANs entre des commutateurs dun groupe (domaine VTP) 1. Introduction VTP (VLAN Trunking Protocol) change des trames de configuration de VLANs entre des commutateurs dun groupe (domaine VTP). Ces trames renseignent les diffrents commutateurs sur la cration, la suppression, le changement de nom et dautres informations sur les VLANs. Cela permet de configurer les VLANs sur un seul commutateur, et ce dernier grce VTP

transfrera ces informations aux autres commutateurs du mme domaine. 2. Les modes VTP Un commutateur sur lequel est activ VTP peut tre en 3 modes : Server :

Permet de crer, supprimer ou modifier les informations des VLANs. Ce commutateur enverra aux autres ces informations. Cest le mode par dfaut dun commutateur. Client :

Accepte les modifications reues du serveur et les applique. Transparent :

En VTP version 1, le commutateur transparent ne relaie pas les informations VTP et ne les applique pas. En VTP version 2, le commutateur relaie les informations mais ne les applique pas.

CONFIGURER UN SERVEUR DHCP SUR VOTRE MATERIEL CISCO18-01-2007 Page 1 sur 2

DHCP (Dynamic Host Configuration Protocol) permet aux utilisateurs dobtenir automatiquement une configuration IP lors du dmarrage des services rseaux 1.Introduction DHCP (Dynamic Host Configuration Protocol) permet aux utilisateurs dobtenir automatiquement une configuration IP lors du dmarrage des services rseaux. Ces informations sont envoyes aux stations htes par le serveur DHCP. En gnral cest un serveur distinct qui joue le rle DHCP Server. Cependant sur des rseaux de petites tailles, il est possible de faire dun routeur un serveur DHCP afin dconomiser les cots inhrents lachat dun serveur ddi. 2.Configuration La premire tape consiste crer un pool dadresse. Les adresses IP attribues aux clients seront prises parmi les adresses libres du pool. La commande est la suivante ip dhcp pool nom_du_pool

On rentre alors en mode de configuration du pool DHCP. On peut crer plusieurs pool sur un routeur. Ensuite on indique la plage dadresse prsente dans le pool laide de la commande network rseau masque

Le routeur attribuera alors des adresses de 192.168.10.1 192.168.10.254

On va ensuite rentrer les paramtres concernant la passerelle par dfaut, les serveurs DNS, les serveurs WINS, le nom de domaine du client, et la dure du bail.

On peut spcifier jusqu 8 serveurs DNS. Pour la dure du bail, on rentre successivement le nombre de jours, le nombre dheures et le nombre de minutes. Dans cet exemple, le client aura un bail dun jour, 4 heures et 30 minutes. La commande lease infinite permet dattribuer un bail ternel. Par dfaut le service DHCP est activ sur les routeurs le supportant. Si on souhaite le dsactiver, il faut taper la commande no service dhcp. Pour le ractiver : service dhcp Finalement, on pourra exclure des adresses du pool, afin que le serveur nattribue pas ces adresses (par exemple les adresses des serveurs). La commande est ip dhcp excluded-address adresse_ip_debut adresse-ip-fin Attention, cette commande doit tre rentre en mode de configuration globale.

CONFIGURER UN SERVEUR DHCP SUR VOTRE MATERIEL CISCO18-01-2007 Page 2 sur 2

3.Vrification Pour voir les baux dadresses qui ont t attribus par le routeur, il faut taper la commande show ip dhcp binding

Vrification sur le poste utilisateur :

On peut aussi visualiser les statistiques du serveur DHCP en tapant la commande show ip dhcp server statistics

Finalement, on peut aussi visualiser en temps rel les oprations du serveur DHCP en tapant la commande debug ip dhcp server events

La premire ligne correspond un ipconfig/release (libration du bail) sur un poste utilisateur,la seconde correspond un ipconfig/renew (redemande de bail).

PROTOCOLE NTP18-01-2007 Page 1 sur 5

Configurez le protocole NTP sur vos dispositifs rseaux. 1. Introduction Le protocole NTP ou Network Time Protocol, est un protocole destin synchroniser diffrentes machines entre elles. Il fonctionne via le port UDP 123 (bien que le port TCP 123 soit aussi rserv pour le protocole NTP) et sert se connecter des serveurs qui eux, en thorie, sont connects une horloge atomique. Cela permet davoir une synchronisation quasi-parfaite entre vos dispositifs. Nous allons voir dans cette article comment configurer un dispositif afin dutiliser le protocole NTP, que ce soit pour agir en tant que serveur NTP ou simplement pour synchroniser votre appareil. Les commandes de configuration NTP se rentrent en mode de configuration globale.

TORcrit par PAPIN Nicolas 18-01-2007 Page 1 sur 3

"The Onion Router" Crer un rseau scuris Il existe de plus en plus sur Internet des soucis danonymats et de confidentialit des donnes personnelles. Est-il possible aujourdhui dutiliser le rseau public mondial, de faon scurise et anonyme ? Cest ce que TOR propose de faire. 1 Lanonymat Comment se passent aujourdhui les communications passant par le rseau public (Internet) ? Avec tout protocole rout, les en-ttes des paquets identifient ladresse source et destination. Il est donc possible dintercepter un message, de trouver de qui il provient, qui il est destin et de savoir les routes empruntes tout au long du cheminement. Mme en ajoutant du chiffrage, le contenu du message sera cod, mais cette route restera dcelable. La question peut alors se poser, qui un rel besoin danonymat sur Internet ? En premier lieu les gouvernements, les donnes sensibles ont besoin dtres changes sur des rseaux scuriss. Lutilisation de lanonymat pour un gouvernement peut tre comprise pour le rassemblement dinformations sur des sites sensibles, les rseaux des armes, les coalitions

internationales En seconde place, linternaute moyen, lutilisateur lambda : Vers o envoyez vous vos mls (et donc qui) ? Sur quels sites vous rendez vous ? O travaillez-vous ? Do venez-vous ? Quachetez-vous sur Internet, quels livres lisez-vous, la musique que vous coutez...

Bien sur tout cela peut paratre sorti dun film despionnage mais cela peut devenir au fil des annes une ralit. Par exemple pour une socit peu scrupuleuse, cest un moyen de se renseigner des habitudes dachat dinternautes et donc une forme de violation de la vie prive. Il faut donc un moyen de trouver un chemin ddi et scuris entre lmetteur et le rcepteur.

VLAN18-01-2007 Page 1 sur 6

Configuration d'un routage inter-VLAN Introduction et rappels Cet article a pour but d'expliquer et d'tablir une configuration de routage inter-VLAN.

Bref rappel sur les VLANs et le VTP Un VLAN peut tre assimil un domaine de broadcast. Typiquement, dans une configuration de VLAN, chaque VLAN comprend son propre sous-rseau. Sans quipement de couche 3, il est

donc impossible pour les terminaux d'un VLAN de communiquer avec les terminaux d'un autre VLAN. Le VLAN Trunking Protocol (VTP) est ncessaire si l'on veut tendre une configuration de VLAN sur plusieurs commutateurs.Un trunk est ncessaire pour une connexion entre deux commutateurs traitant des VLANs. Ce trunk reprsente un canal par lequel transitent les trames des diffrents VLANs d'un commutateur un autre. Pour que les commutateurs "sachent" quel VLAN appartient une trame, un tiquetage est ncessaire. C'est pourquoi on utilise un protocole d'tiquetage : ISL (Cisco) ou 802.1q (IEEE). Nous utiliserons ici le 802.1q qui est le protocole utilis par dfaut.

CONFIGURATION DU PROTOCOLE SNMP18-01-2007 Page 1 sur 13

SNMP (Simple Network Management Protocol) trs utilis dans ladministration rseau 1. Introduction Le protocole SNMP (Simple Network Management Protocol) est trs utilis dans le milieu de ladministration rseau. En effet, il permet de simplifier grandement la maintenance des rseaux en fournissant aux administrateurs la possibilit dobtenir de nombreuses informations sur des quipements prsents sur le rseau tels que des serveurs, des routeurs ou encore des commutateurs. Le recueil de ces informations permet dtre inform tout moment de ce qui se passe sur le rseau et permet de ragir rapidement en cas de problme sur celui-ci, notamment en permettant le management distance des diffrents quipements rseaux utilisant le protocole SNMP. De plus, ce protocole fonctionne suivant un mode client / serveur ce qui permet un administrateur de nobtenir les informations recueillies par les quipements rseaux que lorsquil en fait la demande ou lorsquune alerte aura t dclenche. Afin dviter tout dtournement dinformation ou contrle non autoris sur ces divers quipements, il est galement possible dinstaurer des mesures de scurit permettant de sassurer que seules des personnes autorises puissent consulter ces bases dinformations et interagir avec ces quipements.

CONFIGURATION WI-FI LINKSYS WRT55AG18-01-2007 Page 1 sur 4

Configuration Wi-Fi du routeur Linksys WRT55AG 1. Description du matriel utilis Nous allons utiliser le modle Linksys WRT55AG de Cisco qui ralise des oprations de routage avec 4 ports full duplex 10/100 Mbps et point daccs Wi-Fi aux normes 802.11a 802.11b 802.11g. Le WEP (Wireless Equivalent Privacy) y est prsent pour scuriser votre WiFi. 2.Installation 2.1 Dans le cas dun modem Cble/ADSL avec un port RJ45

Branchez votre modem sur le routeur laide dun RJ45 sur le port WAN (le port spar des 4 ports 10/100) pour obtenir une topologie correspondant ce schma.

2.2 Pour les autres types de modem Si vous ne pouvez pas brancher votre modem sur le routeur, vous pouvez nanmoins lutiliser en tant que commutateur et point d accs Wi-Fi tout en partageant Internet par le biais de votre ordinateur. Il vous suffira de brancher lordinateur partageant Internet sur un des ports 10/100 du routeur. Votre topologie sera dsormais de la forme :

ROUTES STATIQUES18-01-2007 Page 1 sur 7

Configuration des routes statiques, routes flottantes et leur distribution. 1.Introduction Le routage statique prcda le routage dynamique. Il faut savoir quaujourdhui, un administrateur rseau ne dploie pas uniquement le routage dynamique. En effet, les deux types de routages sont combins. Par ailleurs, le routage statique est la solution optimale dans certains cas. Dun ct, ladministrateur rseau peut recourir vers la simplicit en utilisant les routes statiques. Cela est un choix lgitime pour des petits rseaux qui peuvent tre facilement contrls de prs. Un petit systme autonome (AS) est souvent connect son ISP par le biais des routes statiques pour la mme raison, quest la simplicit. Effectivement, mettre en place des routes statiques est une configuration moins onreuse par rapport la mise en place de BGP et/ou la redistribution entre des protocoles de routage. De lautre ct, les routes statiques peuvent tre utilises pour la scurit supplmentaire du

rseau. Lorsquune liaison tombe en panne, un autre chemin pourrait tre pris, indiqu par la route statique. Lactivit dun routeur se rsume par deux fonctionnalits principales: Trouver la meilleure route Commuter le paquet sur linterface approprie Pour trouver la meilleure route, un routeur compare ladresse de destination du paquet avec les adresses rseau de sa table de routage. Les routes statiques reprsentent des rseaux distants, loigns par un saut au moins. Lorsque la table de routage est cre manuellement, les routes sont dites statiques. La configuration de la mtrique et de la distance administrative est laisse ladministrateur.

ROUTES STATIQUES18-01-2007 Page 2 sur 7

2.Route statique Pour configurer une route statique, la commande ip route est utilise partir du mode de configuration globale : Router(config)#ip route prfixe masque { prochain_saut | int_type int_num } [ distance ] [ tag ] [ permanent ] Mot-cl prfixe masque prochain_saut int_type int_num distance tag permanent Description Ladresse IP du rseau distant Le masque du rseau distant Ladresse IP du prochain saut Linterface de sortie (dcrite par le type et le numro) Distance administrative Marqueur utilis pour la redistribution de routes Ne jamais effacer la route (mme si linterface tombe)

2.1.Route Statique : Exemple 1 Voici un exemple de configuration simple des routes statiques. Trois routeurs RTA, RTB et RTC sont connects en srie :

Figure 1 Topologie simple Pour lier ces trois routeurs, il faut placer une route statique sur les routeurs de bord. Attention, il est important de dfinir pour tous les routeurs tous leurs rseaux distants. Dans le cas contraire, on court le risque davoir des quipements qui reoivent des paquets, mais ne savent pas comment les renvoyer vers la source. Dans lexemple, prsent ci-dessus, le rseau distant pour le routeur RTA est 20.0.0.0/8 et le prochain saut menant vers ce rseau est 10.0.0.2/8. Alors la configuration est : RTA(config)#ip route 20.0.0.0 255.0.0.0 10.0.0.2 Le routeur RTB est directement connect aux deux autres. La configuration pour le routeur RTC est : RTC(config)#ip route 10.0.0.0 255.0.0.0 20.0.0.1 Il serait parfaitement lgitime de spcifier linterface de sortie (interface ethernet 0) menant vers le rseau distant, en lieu de ladresse IP du prochain saut. Cependant, spcifier ladresse du prochain saut est la mthode plus prcise, et plus sre. Pour comprendre le fonctionnement des routes statiques configures avec linterface sortante, considrons lexemple suivant.

DHCP SNOOPING19-01-2007 Page 1 sur 5

Le DHCP Snooping est une solution de scurit permettant dempcher les attaques utilisant des serveurs DHCP pirates au sein dun rseau. 1. Introduction Le protocole DHCP permet de fournir dynamiquement une configuration rseau un ordinateur, dont par exemple une adresse IP pour lui permettre de communiquer sur le rseau. Cependant il est possible quune personne mal intentionne puisse excuter sur son ordinateur un serveur DHCP afin de distribuer aux utilisateurs des configurations rseaux spcifiques qui serviront des fins malicieuses. Pour palier ces problmes de scurit, Cisco a mis en place une solution permettant de dterminer au sein des quipements les plus proches des utilisateurs (commutateurs) les serveurs qui sont seulement autoriss diffuser des configurations DHCP au sein du rseau. Cette solution nomme DHCP Snooping vous sera prsente travers cet article en vous prsentant tout dabord la thorie puis les commandes vous permettant dimplmenter cette

solution au sein dun rseau.

IntroductionCet article a pour but de prsenter la configuration d'un lien point point entre deux routeurs sur des interfaces RNIS de deux manires diffrentes. Le tout avec sur chaque routeur une seule interface de BASE (BRI 0). La premire configuration met en place des profils d'appels (dialer) que l'on nommera par la suite Dialer profile tandis que la deuxime met en place des mappages directement sur l'interface RNIS du routeur concern, on dnommera cette configuration Dialer Map. Voici ci-dessous le schma logique de configuration entre les deux routeurs :

CONFIGURATION HSRP19-01-2007 Page 1 sur 4

Configuration du protocole HSRP HSRP (Hot Standby Routing Protocol ) est un protocole propritaire cre par Cisco et trs utilis aujourdhui dans nos LAN. De ce protocole est driv VRRP (Virtual Router Redundancy Protocol), normalis et utilis chez la plupart des autres constructeurs (Nokia, Alcatel..) En pratique, HSRP permet quun routeur de secours (ou spare) prenne immdiatement, de faon transparente, le relais ds quun problme physique apparat.

Cet article dcrit tout dabord le fonctionnement puis la configuration effectuer.

RECUPERATION DE MOTS DE PASSE SUR UN 260018-01-2007 Page 1 sur 2

Procdures de recuperation de mot de passe oubli Cet article pur but dexpliquer la procdure suivre quand on a malheureusement perdu les mots de passe dun routeur Cisco 2600. Cette procdure prsente lavantage de ne pas craser la configuration, simplement de changer les mots de passe tout en gardant la configuration existante. La connexion doit se faire par un cble console.

Nous nous trouvons dans limpossibilit de rentrer dans le mode privilgi du routeur. La solution dcrite dans la procdure est de redmarrer en mode ROM, avec limage minimaliste afin de changer la valeur du registre de configuration. Il faut ensuite redmarrer le routeur avec linterrupteur et appuyer sur la touche CTRL et Pause ou Break au clavier dans les 30 secondes aprs le dmarrage. Lcran suivant doit alors apparatre :

Nous sommes alors avec limage minimaliste, trs peu de commandes sont disponibles. Nous allons nous intresser au registre de configuration. La valeur normale du registre de configuration est : 0X2102, nous allons pour ignorer la configuration passer cette valeur en confreg 0X2142 :

Puis on redmarre avec la commande reset, cette valeur du registre de configuration permet dignorer la copie du fichier de configuration de sauvegarde dans le fichier de configuration active. Autrement dit, dignorer les mots de passe. Aprs redmarrage le routeur demande si lon veut rentrer dans le mode SETUP, rpondre no cette question.

La prochaine tape est de rentrer dans le mode privilgi avec cette configuration vierge :

Aucun mot de passe ne nous est demand car la configuration est vierge.

LE PROTOCOLE EIGRP18-01-2007 Page 1 sur 4

Configuration du protocole EIGRPIntroduction EIGRP : ou Enhanced IGRP Il sagit en effet dune volution du protocole propritaire de Cisco, lIGRP. Il a la particularit dallier la connectivit tats de liens et vecteur de distance :il est hybride. Enhanced IGRP garde en mmoire toutes les tables de routages de ces voisins, ce qui permet rapidement de s'adapter une route alternative. Si aucune route approprie existe, alors il va demander ses voisin de lui en dcouvrir une et va propager les demandes jusqu' ce qu'une route soit trouve. De plus, il ne fait pas de mise jour priodique des ses tables, mais envoie de partielles mises jour lorsque la distance pour une route change. La propagation de ces mises jour est uniquement effectue vers les routeurs qui ont besoin de ces informations. Ce qui fait que Enhanced IGRP consomme beaucoup moins la bande passante que IGRP.

CONFIGURATION DUN VPN IPSEC 18-01-2007 Page 1 sur 7

Configuration d'un VPN entre 2 routeurs CiscoCrez un VPN IPSEC entre 2 LAN avec 2 routeurs Cisco Nous disposons de 2 routeurs Cisco : o o o o Sur le site principal, un 2620 (mainrtr) avec 2 interfaces Ethernet : Une connecte au LAN interne (adresse IP 172.23.10.1/16) Lautre est utilise pour se connecter Internet (adresse IP 207.194.10.198/24). Sur le site distant, un 1751 (remotertr) avec 2 interfaces Ethernet : Une connecte au LAN interne (adresse IP 172.25.10.1/16) Lautre connect Internet (adresse 207.194.10.199/24).

La premire tape consiste configurer les rgles IKE sur les 2 routeurs. Les rgles IKE prcisent le type

dencryption et de dcoupage utiliser ainsi que le type dauthentification qui sera implment. Les paramtres doivent imprativement tre les mmes sur les 2 routeurs.

CONFIGURATION DE BASE D'UN ROUTEUR18-01-2007 Page 1 sur 7

Dans cet article, vous apprendrez configurer les routeurs de ce domaine de routage, afin de permettre la connectivit de tous les ordinateurs.Dans cet article, vous apprendrez configurer les routeurs de ce domaine de routage, afin de permettre la connectivit de tous les ordinateurs. L interface S0 de tous les routeurs sont la partie ETCD (quipement de communication de donnes, il fournit le signal de synchronisation). Linterface S1 de tous les routeurs sont la partie ETTD (quipement terminal de traitement de donnes, il utilise gnralement la signalisation de synchronisation gnre par l'ETCD). Lorsque vous connectez les routeurs entre eux, apportez une attention particulire au sens du cble. Ce dernier a une extrmit ETCD et une extrmit ETTD. Linterface E0 de tous les routeurs est connecte un concentrateur et permet de connecter vos priphriques. La configuration que nous allons crer est bas sur la topologie suivante, le protocole utilis pour faire communiquer les routeurs sera le protocole RIP :

RECUPERATION DE MOT DE PASSE18-01-2007 Page 1 sur 4

Retrouvez les procdures de changement de mot de passe oubli sur tous les routeurs CiscoLoubli du mot de passe dun routeur est un vrai handicap, cest pourquoi les routeurs CISCO permettent la rcupration de ce dernier. La procdure tant relativement simple, il est indispensable que ce genre de priphrique soit install dans un local technique fermant cl. 1.Commencez par teindre le routeur, attendez quelques secondes avant de le rallumer. 2.Ds les premires secondes du dmarrage, appuyez simultanment sur Ctrl et Pause.

Le message user abort apparat, puis la ligne de commande devient boot#.

LE REGISTRE DE CONFIGURATION18-01-2007 Page 1 sur 4

Le registre de configuration1) Gnralits

Le registre de configuration a une taille de 16 bits, et sexprime sous la forme dune valeur hexadcimale. On peut modifier sa valeur :

Depuis IOS, en utilisant la commande config-register {valeur} dans le mode de configuration globale. Depuis le mode RXBoot, accessible en utilisant la combinaison de Break avant les 60 secondes qui suivent le dmarrage froid du routeur (en gnral Ctrl-Pause). La commande permettant de modifier la valeur dpend du type de dispositif sur lequel on se trouve. La valeur par dfaut du registre de configuration est 0x2102. Ce registre a pour principal but dtablir le comportement dun routeur :

Bits 0 3 : Champ damorage. Bit 4 : Dmarrage rapide (sur les routeurs 7000). Bit 5 : Vitesse de la ligne console suprieure 9600 Bauds. Bit 6 : Ignorer le fichier de configuration de sauvegarde (en NVRAM). Bit 7 : OEM. Bit 8 : Combinaison de Break aprs chargement dIOS. Bit 9 : Utilisation du bootstrap secondaire. Bit 10 : Broadcast IP avec tout zro. Bits 11 & 12 : Vitesse de la ligne console. Bit 13 : Utiliser limage par dfaut en ROM si chec du dmarrage rseau. Bit 14 : Broadcasts IP nont pas de numros de rseau. Bit 15 : Activer les messages de diagnostics et ignorer le contenu de la NVRAM.

PERSONNALISEZ VOTRE ROUTEUR EN CREANT UNE BANNIERE18-01-2007 Page 1 sur 2

La bannire est le texte qui vous accueille lorsque vous vous connectez au routeurLa bannire est le texte qui vous accueille lorsque vous vous connectez au routeur. Pour crer votre bannire, il suffit de rentrer en mode de configuration globale de votre routeur :

Une fois dans ce mode, vous rentrez les paramtres suivants :

Lexpression motd ! indique que le caractre qui va mettre fin la saisie de votre bannire est le point dexclamation. On aurait pu mettre nimporte quel autre caractre.

CONFIGURATIONDES PARAMETRES HORAIRES DE VOTRE ROUTEUR CISCO18-01-2007

la commande clock vous permet de configurer la date et l'heure sur votre routeur Ciscola commande clock vous permet de configurer la date et l'heure sur votre routeur Cisco : clock set hh:mm:ss dd month yyyy cette commande paramtre la date et l'heure sur votre routeur ex : clock set 18:40:00 25 PAR 2002

clock timezone XXX O cette commande vous permet de spcifier au routeur la zone horaire ou le routeur se trouve (EST,CST,MST,PST) ex : clock timezone CST clock summer-time XXX recurring cette commande paramtres les paramtres lis l'heure d't ex : clock summer-time EST recurring service timestamps log datetime localtime show-timezone cette commande affiche toutes les entres du routeur contenue dans la table de log avec la date, l'heure

LA COMMANDE SHOW18-01-2007

La commande show est tres efficace pour le monitoring et le dpannage La commande show est tresefficace pour le monitoring et le dpannage. Vous pouvez l'utiliser pour executer toute une srie de fonctions : Monitoring du routeur pendant l'installation et pendant sa production Isolation des problmes d'interface, de mdia ou d'application Determiner la charge du rseau Determiner l'tat des serveurs, client ou encore des routeurs voisins Le tableau suivant prsente les usages les plus courants de la commande show : affiche les listes de controles d'accs configurs sur le routeur ainsi que les interaces auxquelles elles se rapportent affiche l'tat du tampon du routeur

show access-lists show buffers

show clock show show DECnet static show flash show flash all show interfaces show interfaces accounting show ip arp show ip OSPF show ip route show IPX interfaces show ip protocols show ip traffic show ipx servers show line show log show memory show running-config show startup-config show tcp show version

affiche les paramtres horaires du routeur affiche diffrentes statistiques pour l'interface concerne comme par exemple le type de mdia raccord affiche les routes statiques configures affiche la version de lIOS utiliss par le roueur ainsi que que ma quantot de mmoire flash utilise affiche la quantit de mmoire flash utilise affiche les statisques ainsi que les caractristiques de toutes les interfaces du routeur affiche un aperu des protocoles voyagant au travers des interfaces affiche la table arp du routeur affiche le statut d'ospf sur l'interface concerne affiche la table de routage IP affiche l'tat des interfaces IPX ainsi que leur adresse MAC affiche les information de routage affiche les statistique de traffic passant par le routeur affiche les serveurs que le routeur connait affiche les lignes actives du routeur affiche les logs du routeur ( il convient d'activer les logs au pralable) affiche l'tat de la mmoire du routeur affiche la configuration stocke en RAM, utilise par le routeur en fonctionnement affiche la configuration stocke en NVRAM, utilise par le routeur au dmarrage affiche les connections TCP affiche le uptime du routeur, la version de l'IPS, la squence de boot ainsi que les caractristiques physiques du routeur

Il existe un nombre incroyables d'autres options pour la commande show, pour les connatres, utilisez l'aide du routeur en tapant la commande : "show ?". Il est important de rappeller que les options disponibles diffrent en fonction du mode ou l'utilisateur se trouve.

LES RACCOURCIS CLAVIERS18-01-2007

En fonction des mthodes que vous utilisez pour vous connecter votre routeur Cisco, les flches ou autre moyen de navigation usuels peuvent fonctionner de manire alatoire En fonctiondes mthodes que vous utilisez pour vous connecter votre routeur Cisco, les flches ou autre moyen de navigation usuels peuvent fonctionner de manire alatoire. Voici la liste des raccourcis claviers vous permettant de naviguer dans la configuration de votre quipement Cisco :

Backspace efface le caractre a gauche du curseur Tab compltion de la commande ? aide Ctrl A dplace le curseur en dbut de ligne Ctrl B recule d'un caractre Ctrl D efface le caractre situ sur le curseur Ctrl E dplace le curseur en fin de ligne Ctrl H efface le caractre gauche du curseur Ctrl I completion de la commande Ctrl K efface tous les caractres jusqu' la fin de la ligne Ctrl L raffiche la ligne en cours (utile si le Debug d'affiche pendant la saisie) Ctrl N affiche la ligne suivante dans l'historique des commandes Ctrl P affiche la ligne prcedente dans l'historique des commandes Ctrl R raffiche la ligne en cours (utile si le Debug d'affiche pendant la saisie) Ctrl T transpose les caractres Ctrl U efface les caractres jusqu' la fin de la ligne et les place dans un tampon Ctrl W efface le mot prcdent Ctrl X efface les caractres jusqu'au dbut de la ligne et les place dans un tampon Ctrl Y insert le tampon dans la ligne de commande Esc Esc Esc Esc Esc Esc Esc Esc Esc Esc < affiche la premire commande situ dans l'historique des commandes > affiche la dernire commande situ dans l'historique des commandes b dplace le curseur d'un mot en arrire c selectionne le mot aprs le curseur d efface le mot aprs le curseur f avance le curseur d'un mot i Tab l passe le mot plac aprs le curseur en minuscules u passe le mot plac aprs le curseur en majuscules y colle le tampon

Esc Del efface le mot plac avant le curseur

ACL18-01-2007 Page 1 sur 4

Les Listes de Contrle dAccs1Dfinition

Une liste de contrle daccs est une collection dinstructions permettant dautoriser ou de refuser des paquets en fonction dun certain nombre de critres, tels que : -L'adresse d'origine -L'adresse de destination -Le numro de port. -Les protocoles de couches suprieures -Dautres paramtres (horaires par exemple) Les listes de contrle d'accs permettent un administrateur de grer le trafic et d'analyser des paquets particuliers. Les ACLs sont associes une interface du routeur, et tout trafic achemin par cette interface est vrifi afin d'y dceler certaines conditions faisant partie de la liste de contrle d'accs. Les ACL peuvent tre cres pour tous les protocoles routs. Il faut donc dfinir une liste de contrle d'accs dans le cas de chaque protocole activ dans une interface pour contrler le flux de trafic achemin par cette interface. Dans le cas de certains protocoles, il faut crer une liste de contrle d'accs pour filtrer le trafic entrant et une pour le trafic sortant. 2Vrification des paquets

Lorsque le routeur dtermine s'il doit acheminer ou bloquer un paquet, la plate-forme logicielle Cisco IOS examine le paquet en fonction de chaque instruction de condition dans l'ordre dans lequel les instructions ont t cres. Si le paquet arrivant linterface du routeur satisfait une condition, il est autoris ou refus (suivant linstruction) et les autres instructions ne sont pas vrifis. Si un paquet ne correspond aucune instruction dans lACL, le paquet est jet. Ceci est le rsultat de linstruction implicite deny any la fin de chaque ACL.

SAUVEGARDER LES CONFIGURATIONS DE ROUTEUR SUR UN SERVEUR TFTP18-01-2007 Page 1 sur 4

Sauvegardez et deployez vos fichiers de configuration de routeurIntroduction : Une fois la configuration de nos routeurs termine, il est important de stocker ces fichiers de configuration. En effet, sur les rseaux critiques il est souvent ncessaire de possder des routeurs de rechange prconfigurs pour oprer un remplacement rapide en cas de panne. Pour cela, on peut importer et exporter les configurations sur des serveurs TFTP. Serveur TFTP : TFTP, pour Trivial File Transfer Protocol , est un protocole de la pile TCP/IP qui permet lchange dinformations entre les nuds. Comme lindique son nom, ce protocole est simplifi par rapport au protocole FTP et ne permet pas lauthentification des utilisateurs. Vous trouverez aisment un serveur TFTP sur Internet, en voici un exemple

www.solarwinds.net

Dans cet exemple, ladresse du serveur est 192.168.10.222 (adresse de la machine sur laquelle est install le serveur TFTP).

LE ROUTAGE NOVELL IPX18-01-2007 Page 1 sur 4

Configuration du routage IPX sur les rseaux NovellPrambule : Depuis le dbut des annes 80, le systme dexploitation Netware de Novell offre de nombreuses application de clientserveur. Avec plus de 5 millions de rseaux et 50 millions dutilisateurs, Netware, et plus prcisment la pile de protocole IPX/SPX, reste un lment incontournable de ladministration rseau. Cet article traitera essentiellement de la configuration du routage Novell, et ne sintressera pas en dtail aux protocoles lis la pile IPX/SPX (IPX, SPX, SAP, NLSP, RIP). Ladressage IPX : Ladressage IPX permet, comme ladressage IP, dobtenir un systme hirarchique, offrant ainsi aux administrateurs les bases de la conception LAN. Ces adresses occupent 80 bits : 32 bits (en caractres hexadcimaux) dfinissant le numro de rseau choisit par ladministrateur et 48 bits pour la partie reprsentant le nud qui correspondent ladresse MAC de lhte. Exemple dadresse IPX : 435B20C2. 00 . 30 . AB . 02 . 23 Lavantage de lutilisation de ladresse MAC pour la partie hte du nud est que le protocole ARP (gourmand en ressources rseau) devient inutile et donc inutilis.

CHANGER VOTRE VERSION DIOS

18-01-2007 Page 1 sur 3

Sauvegardez et mettez jour vos images IOSPrambule : Les routeurs Cisco utilisent le systme dexploitation IOS pour grer les oprations propres au routage et la configuration du dispositif. Vous pouvez tre amen rparer une version dfectueuse dIOS ou installer une version plus rcente sur votre routeur. Pour cela, procdez comme suit : Enregistrer une version IOS valide sur un serveur TFTP : Dmarrez votre serveur TFTP. Vous pouvez tlcharger un serveur TFTP gratuit ladresse suivante :

www.solarwinds.netEn mode privilgi, tapez copy flash tftp.

Le routeur vous demande ladresse du serveur, dans ce cas : 192.168.10.222. Ensuite, vous devez rentrer le nom du fichier que vous voulez uploader. (Le routeur vous propose le nom du fichier IOS install). Pour terminer, vous devez indiquer un nom pour le fichier qui sera stock sur le serveur.

RIP18-01-2007 Page 1 sur 2

Configuration du protocole RIP

1)

Description

RIP (Routing Information Protocol) est relativement ancien, mais est encore couramment utilis. Il sagit dun IGP (Interior Gateway Protocol) cr pour tre utilis dans de petits rseaux homognes, et est un protocole de routage vecteur de distance. RIP utilise le protocole UDP en diffusion (Broadcast) pour changer linformation de routage.

Les mises jour de routage sont envoyes toutes les 30 secondes.

Si un routeur ne reoit aucune mise jour dun autre routeur dans un dlai de 180 secondes, il marque les routes desservies par le routeur ne rpondant pas comme inutilisables. Sil ny a toujours aucune mise jour aprs 240 secondes, le protocole RIP enlve toutes les entres dans sa table de routage correspondant au routeur qui ne rpond pas. Caractristiques principales :

La mtrique quutilise RIP est le nombre de sauts (Hop count). Chaque entre dans la table de routage apprise par RIP a une distance administrative de 120. Un rseau directement connect a une mtrique de 0, alors quun rseau inaccessible aura une mtrique de 16. 2) a) Configuration du protocole RIP Activation de RIP

La commande router rip, dans le mode de configuration globale, permet :

De passer en mode de configuration du protocole de routage. Dactiver le protocole RIP. Il faut maintenant indiquer quels sont les rseaux directement connects au routeur interagiront au niveau des mises jour. Ceci inclus les rseaux sur lesquels le routeur enverra les paquets de mise jour ainsi que les rseaux qui seront inclus dans les mises jour. Il faut utiliser la commande network {rseau}, depuis le mode de configuration du protocole de routage. b) Mises jour unicast

Par dfaut, les mises jour sont diffuses (Broadcast). Il est possible dmettre ces mises jour vers des destinataires uniques en utilisant la commande neighbor {IP}, dans le mode de configuration du protocole de routage. c) Offsets de mtriques de routage

Les mtriques des entres apprises par RIP ont gnralement pour valeur le cumul de celles prsentes dans le paquet de mise jour avec la mtrique du lien entre le routeur local et celui qui a envoy la mise jour. Il est possible de rajouter un mcanisme dincrmentation slectif de ces mtriques. La commande offset-list [acl] {in | out} {valeur} [{type} {numro}] du mode de configuration du protocole de routage configure ce systme dincrmentation :

[acl] : Nom ou numro dACL, afin de limiter loffset-list (Paramtre optionnel). {in | out} : Loffset-list sera applique lors de la rception (in) ou de lmission (out) dun paquet de mise jour. {valeur} : Nombre qui sera ajout aux mtriques concernes. [{type} {numro}] : Loffset-list peut aussi tre applique sur une interface spcifique (Paramtre optionnel).

CONFIGURATION CHAP18-01-2007 Page 1 sur 3

Configuration du protocole CHAP1 - Introduction La configuration du protocole CHAP sur les routeurs Cisco assure une protection maximale grce lutilisation de la mthode dfi-rponse. Le fait de rpter cette mthode au cours des connexions permet de limiter le temps dexposition une quelconque attaque. La mthode dauthentification CHAP dpend dun secret que seul lauthentificateur connat. Dans cet exemple de configuration, nous disposons de deux routeurs nomms respectivement Dessus et Dessous . Le

principe de ce protocole CHAP consiste configurer sur chaque routeur un compte qui autorisera lautre sy connecter

ACL IPX18-01-2007 Page 1 sur 6

Configuration de listes daccs avec le protocole IPXIntroduction Rappel sur le protocole IPX Le protocole IPX est un protocole de couche 3 non orient connexion. Ainsi, il nutilise pas de systme daccus de rception pour chaque paquet et dfinit les adresses de rseau et de nud. Ce protocole fonctionne de manire similaire TCP/IP sous rserve qu'un routeur multi protocole soit install. Pour activer le routage avec IPX il faut utiliser la commande IPX routing en mode de configuration globale La structure d'adressage IPX de Novell comprend deux parties : - le numro de rseau : attribu par l'administrateur rseau, comprend jusqu' huit chiffres hexadcimaux. Le numro de nud IPX comprend 12 chiffres hexadcimaux. Ce numro correspond habituellement l'adresse MAC d'une interface rseau. L'utilisation de l'adresse MAC dans l'adresse logique IPX limine la ncessit d'utiliser le protocole ARP (Address Resolution Protocol). - le numro de nud : gnralement l'adresse MAC d'une interface rseau du nud d'extrmit exemple : 4a1d (numro de rseau 8 chiffres en hexadcimal) 0000.0c56.de34 (numro de noeud 12 chiffres en hexadcimal) Adresse entire : 4a1d.000.0c56.de34 Note : Les interfaces srie utilisent l'adresse MAC de l'interface Ethernet comme adresse de nud IPX. A linstar de TCP/IP, IPX utilise des plages de numros pour classer les diffrents types de liste de contrle daccs : Type ACL IPX Standard ACL IPX Etendue ACL IPX SAP 800-899 900-999 1000-1099 Plage

Note :Les ACL ont besoin d'un numro unique pour tre identifies. Exemple : access-list 833 permit 4a1d.000.0c56.de34 0.0.0.fff 4acb Le numro 833 dfinit une liste d'accs IPX standard qui autorise les paquets provenant du rseau 4a1d.000.0c56.de34 vers le rseau 4acb. N'oubliez pas qu'une seule liste de contrle d'accs est permise par port, par protocole et par direction. Note : Toutes les ACL sont configures par dfaut avec un DENY ALL implicite et tous les masques reprsents en binaire avec ip sont reprsents en hexadcimal avec ipx.

CONFIGURATION AP 1200 CISCO AVEC EAP-TLS19-01-2007

Page 1 sur 6

Configuration d'EAP-TLS sur l'AP 1200 Cisco

Introduction :Les rseaux sans fil, ou WLAN (pour Wireless LAN), russissent conjuguer tous les avantages dun rseau filaire traditionnel comme Ethernet ou Token Ring mais sans la limitation des cbles. La mobilit est maintenant lattrait principal pour les entreprises, la possibilit dtendre son rseau LAN existant selon les besoins de lorganisation. Le mdia utilis par les WLANs est lair et particulirement des frquences radio 2,4 GHz et 5 GHz. On parle de "rseaux sans fil" mais la plupart du temps, ces rseaux sont intgrs aux LANs traditionnels, juste considrs comme une extension lexistant. Aujourdhui, grce des normalisations de lIEEE et du "Wi-Fi Alliance", les quipements sans fil sont standardiss et compatibles, ce qui explique lengouement croissant pour ce type de rseau de moins en moins coteux. LAccess Point (ou point daccs) est une station qui transmet et reoit des donnes dans un rseau local sans fil (WLAN). Un AP peut servir de point d'interconnections entre le WLAN et un rseau fixe de fil. Chaque point d'accs peut servir plusieurs utilisateurs dans un secteur dfini de rseau. Lorsque lutilisateur se dplace au del de la couverture d'un point d'accs, il est automatiquement reconnect sur le prochain AP. Dans cet article nous allons expliquer de faon la plus prcise possible la configuration dun AP de type 1200 Cisco. Pour cela, nous verrons dans un premier temps une configuration de base pour ensuite configurer lEAP-TLS avec certificat Radius sur un Windows 2003.

1/ Configuration de base dun AP :Avant de configurer son AP, il faut dterminer ou recueillir les informations suivantes :

Un nom de systme Un SSID (Service Set Identifier) pour le rseau radio Une adresse IP unique (si lAP nutilise pas le serveur DHCP) Une passerelle par dfaut et masque de sous rseau (si lAP nest pas sur le mme sous rseau que le PC dadministration) Un nom de communaut SNMP et le fichier SNMP attribu (si SNMP est utilis) Pour passer en mode privilgi sur lAP, le mot de passe par dfaut est : Cisco

Il existe 2 interfaces permettant de configurer son AP, Pour administrer lAP, le nom dutilisateur par dfaut est Cisco avec le mot de passe Cisco :

Page daccueil de la CLI (command-line interface), connexion console ou telnet :

Page daccueil de linterface http (recommand) IOS GUI (Graphical User Interface), adresse par dfaut http://10.0.0.1 :

Dans cet article, nous resterons en mode Web, mais les commandes existent en CLI et sont similaires tous les matriels Ciscohttp://www.cisco.com/univercd/cc/td/doc/product/wireless/airo1100/accsspts/i1237ja/cr1237ja/cr37main.ht m

Nous allons commencer tout dabord par quelques paramtres de base sur la page Express Setup :

Cette page permet de rgler plusieurs paramtres tels que : Hostname Protocole serveur configur Adresse IP Masque Passerelle Communaut SNMP Puis, pour chaque interface Radio de lAP : SSID (nous choisirons Labocisco ) Broadcast SSID (permet aux stations ne spcifiant pas de SSID de se connecter sur lAP)

Nous retrouvons le paramtrage de ladressage IP dans cette page :

Il faut savoir que par dfaut, la borne se met en 10.0.0.1 et fait un DHCP pour les clients. Dans le cadre dun petit rseau domestique par exemple. Par contre il y a galement la possibilit que la borne prenne une IP sur une plage dfinie par ladministrateur afin de rejoindre un LAN existant. Il faut toujours garder lesprit que ce type de borne nest pas routeur, elle fonctionne au niveau 2 du modle OSI et donc ne pourra pas traiter deux rseaux diffrents.

La configuration basique est surtout sur linterface Radio, nous allons utiliser quelques options de cette page (Network Interfaces, Radio0) :

Ci-dessus, les rglages sont par dfaut. Il convient toutefois de vrifier 2 paramtres, le dbit et les canaux. Pour le dbit (Data Rates) toutes les vitesses sont listes, on peut les rendre obligatoires (Require), simplement les activer (Enable) ou les dsactiver (Disable). Explication des boutons : Best Range : La meilleure porte, les plus petites vitesses seront slectionnes afin que le client puisse capter le plus loin possible. Ce choix de la porte se fera au dtriment du dbit. Best Throughput : Le meilleur dbit. Les plus grandes vitesses seront slectionnes afin que les clients aient un accs rapide. Ce choix du dbit se fera au dtriment de la porte. Default : Laisse les paramtres en rglage dusine.

Pour notre configuration basique, les rglages par dfaut sont satisfaisants.

Channel : La slection du canal dmission est trs importante, aujourdhui de nombreux points daccs sont prsents.

Le mieux est tout dabord de vrifier la bande de frquences avec un PC WIFI quip par exemple avec netstumbler (http://www.netstumbler.com/ ) . Il y a 13 Channels autoriss en France, ce qui signifie que le choix est assez limit. Astuce : La technologie utilise rpand le signal sur plusieurs canaux alentours. Il est fortement conseill de choisir un canal libre dau moins 3 4 canaux autour (Exemple Canal 1, 5, 9 et 13) sont parfaitement espacs pour ne pas avoir de perturbations) La configuration peut galement se faire avec le Least Congested Frequency , la borne va alors scanner les canaux pour slectionner le moins charg. Cette option permet que le choix du canal soit dynamique mme si de nouveaux AP environnants apparaissent. Notre configuration Radio est termine.

2/ Configuration scurise avec EAP-TLS :Cet exemple sera travers une socit invente AZATAR Pour mettre en place notre architecture WLAN scurise les composants suivant sont requis:

Un serveur RADIUS, Microsoft Internet Authentication Service (IAS) Un serveur de certificat, Autorit de certificat Un serveur IIS Un domaine Active Directory

Mise en place d'un domaine Active Directory sous Windows 2003 ServerPour transformer un serveur autonome en serveur de domaine Active Directory, il suffit de lancer la commande dcpromo.

Nous installons ici un contrleur de domaine pour un nouveau domaine, dans une nouvelle fort Active Directory.

Active Directory se base sur DNS pour la rsolution de nom, un serveur DNS doit donc tre configur pour le nouveau domaine.

Il faut ensuite indiquer le nom pleinement qualifi du nouveau domaine. Dans notre exemple le nom du domaine sera Azatar.lan.

Le nom NetBIOS du nouveau domaine sera donc AZATAR.

Il faut ensuite spcifier l'emplacement de la base de donnes Active Directory ainsi que l'emplacement des fichiers de log.

Il faut ensuite spcifier l'emplacement du dossier Sysvol. Le dossier sysvol contient les fichiers du domaine commun tous les contrleurs de domaine.

La configuration du domaine Active Directory est presque fini, cliquez sur suivant pour crer le domaine.

Une fois l'installation termine, le serveur doit tre redmarr.

CONFIGURATION AP 1200 CISCO AVEC EAP-TLScrit par PAPIN Nicolas 19-01-2007 Page 4 sur 6

Index de l'articleConfiguration AP 1200 Cisco avec EAP-TLS Page 2

Installation du serveur de l'autorit de certificat racine

Le serveur de l'autorit de certificat va distribuer les Page 3 certificats X509, qui seront utiliss pour Page 4 l'authentification des clients wireless. Pour fonctionner, le serveur de l'autorit de certificat Page 5 ncessite les services IIS (Internet Information Server). Pour installer IIS, il suffit de se rendre dans le menu Page 6 "Add/Remove windows components" situ dans le menu "Add/Remove programs" dans le panneau de configuration.

L'installation du service de certificats se fait de la mme manire.

Notre serveur de certificat sera configur comme "Autorit Racine d'entreprise"

Nous allons choisir AzatarCertificat, comme nom d'autorit de certificat.

Il faut dsormais spcifier m'emplacement de la base de donne pour l'autorit de certificat ainsi que l'emplacement des fichiers de log.

Installation et configuration du serveur RADIUSIl faut maintenant installer le service Microsoft Internet Authentication Service (IAS), il suffit de se rendre dans le menu "Add/Remove windows components" situ dans le menu "Add/Remove programs" dans le panneau de configuration. Puis aller dans le menu "Networking services".

Configuration du serveur Microsoft Windows 2003 Server EnterpriseNous allons crer un groupe de scurit global et un utilisateur dans Active Directory, cet utilisateur nous servira d'utilisateur test. Pour se faire il faut se rendre dans le menu "Active Directory Users and Computers".

Il faut ensuite ajouter cet utilisateur au groupe de scurit global "AzatarWireless".

Il faut maintenant configurer le service Microsoft Internet Authentication Service (IAS).

La premire tape est de dclarer nos bornes wireless en tant que "Client RADIUS" et de spcifier le secret partag.

Il faut maintenant dfinir une stratgie d'accs distant.

Donnez un nom votre stratgie d'accs distant.

Notre politique d'accs distant est dfini pour les accs de type wireless.

On autorise l'accs notre groupe de scurit global "AzatarWireless"

Slectionnez les certificats comme type EAP pour cette politique de scurit

On peut diter notre stratgie d'accs pour en vrifier les proprits

Comme spcifi prcdemment le type EAP est "smart Card or other certificate"

Cliquez sur "Edit", on s'aperoit alors que le certificat correspond notre autorit de certificat cr prcdemment.

CONFIGURATION AP 1200 CISCO AVEC EAP-TLScrit par PAPIN Nicolas 19-01-2007 Page 5 sur 6

Index de l'articleConfiguration AP 1200 Cisco avec EAP-TLS Page 2 Page 3 Page 4 Page 5 Page 6

Configuration du Client WirelessIl faut maintenant installer le certificat sur le client ceci peut tre fait avec une disquette ou via le rseau filaire existant. Dans notre exemple nous supposons que le client est reli au rseau filaire de l'entreprise. Le client wireless doit se connecter au site web du serveur d'autorit de certificat afin d'installer le certificat. Pour se faire il doit entrer l'url suivante dans un explorateur web: http://192.168.0.254/certsrv

Il faut s'authentifier avec le compte utilisateur "UserWireless"

Une fois logu, nous avons accs la page principale, il faut dans un premier temps ajouter l'autorit principale de confiance. Pour se faire il faut cliquer sur "Download a CA certificate, certificate chain, or CRL"

Il faut ensuite cliquer sur "install this CA certificate Chain", afin d'approuver cette autorit de certificat.

Il faut ensuite revenir la page principale afin d'installer un certificat utilisateur en cliquant sur "Request a certificate"

Slectionnez ensuite un certificat utilisateur.

Il ne reste plus qu' installer le certificat sur le client wireless, en cliquant sur "Install this Certificate"

Configuration de la borne Ladresse IP sera la mme que dans notre configuration basique :

SSID Manager:

Figure 13: Security/SSID Manager Dans le menu "Security/SSID Manager", il faut dfinir un SSID. Comme "Authentication Settings" il faut spcifier "Open Authentication with Mac Authentication and EAP" ainsi que "Network EAP with MAC Authentication".

Encryption Manager:

Figure 14: Security/Encryption Manager Dans le menu "Security/Encryption Manager", il faut spcifier "Cipher TKIP+WEP128bit" et fournir une clef d'encryptions. Cette cl servira au moment de lauthentification mais ne sera pas saisir sur le client.

Advanced Security:

Figure 16: Security/Advenced Security Nous avons regl lauthentification pour prendre en compte les adresses MAC. Dans le Menu "Security/Adavanced Security ", il faut spcifier les adresses MAC des clients pour l'authentification base sur les adresses MAC.

Server ManPMM/ager:

Figure 15: Security/Server Manager Dans le Menu "Security/Server Manager", il faut spcifier l'adresse IP ainsi que le secret partag du serveur RADIUS.