ENSIAS – Master MIOLA

Sécurité des réseaux

TP1, sécurité LAN

Partie LAN
- Réalisez la partie LAN de la maquette ci-dessous sans sécurité.
o Adressage fixe sur le réseau 1.0.0.0/8
o Testez des pings entre les différents PCs connectés au Switch
o Configurez le point d’accès avec un SSID=mastersec ouvert
o Testez des pings entre les différents PCs wireless et wired
o Affichez la table de commutation du switch
 Switch> enable
 Switch# show mac-address-table
 Combien d’adresse MAC sont connectés sur le port du point d’accès
- Sécurité d’accès du Switch
o Configurez la sécurité d’accès au Switch pour le mode utilisateur (via console)
 Switch# configure terminal (ou conf t)
 Switch-config# Line console 0
 Switch-config-line# password test1
 Switch-config-line# login
 Fermez et ré-ouvrez la connexion console
o Configurez la sécurité d’accès au Switch pour le mode utilisateur (via réseau : il faut
activer les lignes vty)
 Switch# configure terminal (ou conf t)
 Switch-config# Line vty 0 4
 Switch-config-line# password test2
 Switch-config-line# login
 Attribuez une adresse ip au Switch pour le manager.
 Switch-config# int vlan 1
 Switch-config-int# no shutdown
 Switch-config-int# ip address 1.0.0.200
 Testez une connexion telnet à partir de n’importe quel PC du LAN
o Protégez le niveau privilégié par un mot de passe
 Switch# configure terminal (ou conf t)
 Switch-config# enable password test3
 Switch-config# enable secret test4
 Testez une connexion telnet à partir de n’importe quel PC du LAN
 Quel mot de passe est actif pour le mode privilégié ? …………………
 Affichez la configuration du switch
 Switch# show running-config
 configure terminal (ou conf t)
o Activez le service de cryptage des mots de passe
 Switch-config# Service password-encryption
 Ré-Affichez la configuration du switch
  Switch# show running-config
 Notez la longueur des différents hash de mot de passe

- Configuration de la sécurité SSH sur le Switch

o Configurez le serveur SSH sur le switch
 Switch# configure terminal (ou conf t)
 Switch-config# Hostname SW1
 Switch-config# ip domain-name inpt.ma
 Switch-config# usename admin1 secret inpt1
 Switch-config# Crypto key generate RSA
 La clé générée est de longueur 512 bits
 Switch-config# Line vty 0 4
 Switch-config-line# transport input ssh
 Affichez la clé publique générée
 Switch # sh crypto key mypubkey rsa
 Testez une connexion telnet à partir de n’importe quel PC du LAN
 Testez une connexion ssh à partir de n’importe quel PC du LAN avec le
compte admin1

o Configurez le routeur, coté LAN avec l’adresse IP 1.0.0.1/8

 Router> enable
 Router# configure terminal (ou conf t)
 Router-config# int fa0/0
 Router-config-if# ip address 1.0.0.1 255.0.0.0
 Router-config-if# no shutdown
 Testez des pings à partir des PCs du LAN

o Sécurisez le routeur à l’aide de la commande assistée auto secure
 Router# auto secure
 Is this router connected to internet? [no]: yes
 Enter the number of interfaces facing the internet [1]:1
 Enter the interface name that is facing the internet: Serial 0/2/0
 Enter the security banner {Put the banner between k and k, where k
is any character}:kBienvenu sur le routeur INPTk
 Enable password : test1
 Enable secret : test2
 Username : admin1
 Secret : pass1
 Blocking Period when Login Attack detected: 120
 Maximum Login failures with the device: 3
 Maximum time period for crossing the failed login attempts: 60
 Configure SSH server? [yes]:yes
 Enter the host name: Rabat
 Enter the domain-name: test.ma
 Enable tcp intercept feature? [yes/no]: no
 Configure CBAC Firewall feature? [yes/no]: no
 Affichez la configuration générée
  Router# show running-config
 Vérifiez que le protocole ssh est activé sur les lignes vty
 Testez à partir des PCs une connexion ssh sur le routeur Rabat

- Configuration de la sécurité WPA2 sur le point d’accès

o Configurez le SSID : mastersec
o Configurez le cryptage AES avec testing1 comme clé
o Constatez que les deux PCs wireless ne sont plus connectés
o Adaptez les paramètres de sécurité sur les deux PCs wireless (même stratégie WPA2
avec testing1 comme clé)
o Testez de nouveau des pings entre l’ensemble des ressources du réseau

- Configurez les services suivants sur la Serv : DHCP, DNS, WEB et AAA
- A partir des clients, testez les services DHCP et WEB

3.0.0.0/8

RouteurB PC5
2.0.0.4/30

ISP

2.0.0.0/30 RouteurA
Dhcp
Switch
AAA
server

1.0.0.100/8
Point PC4
PC1 PC2 d’Accès

PC3
1.0.0.0/8
ENSIAS – Master MIOLA

Sécurité des réseaux

TP2, Filtrage et Inspection

Filtrage par ACLs

- Réalisez la maquette ci-après, testez les communications entre les différentes
machines puis sauvegardez votre travail. Créez en deux copies.

- Limiter l’accès ssh pour le LAN1 Networking à tous les équipements réseaux (Switch
et Routeur)
o Exemple du Switch :
 Switch-config# ip default-gateway 100.1.0.1
 Switch-config# int vlan 1
 Switch-config-int# ip address 100.1.0.100 255.0.0.0
 Switch-config-int# no sh

 Switch-config# usename ad1 privilege 15 secret pass1
 Switch-config# Hostname SW1
 Switch-config# ip domain-name inpt.ma
 Switch-config# Crypto key generate RSA
 Switch-config# Line vty 0 4
 Switch-config-line# transport input ssh
 Switch-config-line# access-class 1 in
 Switch-config-line# login local

- Réalisez les filtres suivants :

o Limitez l’accès ssh à la machine
o Réseau LAN2 peut accéder au LAN1 pour toutes les communications. Il peut
accéder à la DMZ pour les services WEB et DNS
……………………………………………………………………………………………….
…………………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………………
………………………………………………………………..
Filtrage de zone
o Ouvrez le travail sans filtres.

o Créez trois zones : INSIDE, DMZ et INTERNET

 Router> enable
 Router# conf t
 Router-config# zone security INSIDE
 Router-config# zone security DMZ
 Router-config# zone security INTERNET

o Créez deux classes de trafics de zones : INSIDE-PROTOCOLS et DMZ-

PROTOCOLS
 Router-config# class-map type inspect match-any INSIDE-PROTOCOLS
 Router-config-cmap# match protocol icmp
 Router-config-cmap# match protocol tcp
 Router-config-cmap# match protocol udp
 Router-config-cmap# exit

 Router-config# class-map type inspect match-any DMZ-PROTOCOLS

 Router-config-cmap# match protocol http
 Router-config-cmap# match protocol dns
 Router-config-cmap# exit

o Créez les politiques de sécurité associées aux deux classes : INSIDE-

PROTOCOLS et DMZ-PROTOCOLS
 Router-config# policy-map type inspect POL-INS2INT
 Router-config-pmap# class type inspect INSIDE-PROTOCOLS
 Router-config-pmap-c# pass
 Router-config-pmap-c# exit
 Router-config-pmap# exit
 Router-config# policy-map type inspect POL-INT2DMZ
 Router-config-pmap# class type inspect DMZ-PROTOCOLS
 Router-config-pmap-c# inspect
 Router-config-pmap-c# exit
 Router-config-pmap# exit

o Créez les relations entre zone (zone-pair), on va créer deux zones paires :
 Router-config# zone-pair security INSIDE-TO-INTERNET source INSIDE
destination INTERNET
 Router-config-sec-zone-pair# service-policy type inspect POL-INS2INT
 Router-config-sec-zone-pair# exit
  Router-config# zone-pair security INTERNET-TO-DMZ source
INTERNET destination DMZ
 Router-config-sec-zone-pair# service-policy type inspect POL-
INT2DMZ

o Affectez les interfaces aux zones : fa0/0 à INSIDE, fa0/1 à DMZ et fa1/0 à
Internet :
 Router-config# int fa0/0
 Router-config-if# zone-member security INSIDE
 Router-config-if# exit

 Router-config# int fa0/1

 Router-config-if# zone-member security DMZ
 Router-config-if# exit

 Router-config# int fa1/0

 Router-config-if# zone-member security INTERNET
 Router-config-if# exit

o Testez les communications et expliquez les résultats :

 Ping entre M1 et M3 ? …………………………………………………………
 Ping entre M1 et SDMZ ? ……………………………………………………
 Web entre M1 et SDMZ ? ……………………………………………………
 Ping entre M1 et SINTERNET ? ……………………………………………
 Web entre M1 et SDMZ ? ……………………………………………………

 Ping entre M3 et M1 ? …………………………………………………………

 Ping entre M3 et SDMZ ? ……………………………………………………
 Web entre M3 et SDMZ ? ……………………………………………………
 Ping entre M3 et SINTERNET ? ……………………………………………
 Web entre M3 et SINTERNET ? ……………………………………………
 Ping entre Internet et M1 ? …………………………………………………

 Ping entre Internet et SDMZ ? ……………………………………………

 Web entre Internet et M1 ? …………………………………………………
 Web entre Internet et SDMZ ? ……………………………………………

Que faut-il faire pour autorisez M3 à faire des communications avec les autres zones au
même titre que M1 ? ……………………………………………………………………….
Restez les communications à partir de M3. ………………………………………………………
………………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………………………………

100.1.0.0/16
ENSIAS – Master MIOLA

Sécurité des réseaux

TP3, sécurité WAN

Partie WAN
Configuration du protocole CHAP

- Configurez les liens série des routeurs avec la sécurité CHAP (exemple du routeur Rabat)
o Router# configure terminal (ou conf t)
o Router-config# hostname Rabat
o Rabat-config# username ISP password passisp1
o Rabat-config# int serial 0/3/0
o Rabat-config-if# encapsulation ppp
o Rabat-config-if# ppp authentication chap
o Testez le lien série

Configuration du Routage OSPF sécurisé

- Configurez le routage OSPF sur Rabat

o Rabat# configure terminal (ou conf t)
o Rabat-config# router ospf 1
o Rabat-config-router# Network 1.0.0.0 0.255.255.255 area 0
o Rabat-config-router# Network 2.0.0.0 0.0.0.3 area 0
- Configurez le routage OSPF sur ISP
o ISP# configure terminal (ou conf t)
o ISP-config# router ospf 1
o ISP-config-router# Network 2.0.0.0 0.0.0.3 area 0
o ISP-config-router# Network 2.0.0.0 0.0.0.3 area 0
- Configurez le routage OSPF sur Casa
o Casa# configure terminal (ou conf t)
o Casa-config# router ospf 1
o Casa-config-router# Network 1.0.0.0 0.255.255.255 area 0
o Casa-config-router# Network 2.0.0.0 0.0.0.3 area 0

- Configurez la sécurité du routage OSPF en utilisant MD5comme algorithme et ospfkey

comme clé (exemple du routeur Casa)
o Casa# configure terminal (ou conf t)
o Casa-config# int serial 0/3/0
o Casa-config-router# ip ospf message-digest-key 1 md5 ospfkey
o Casa-config-router# ip ospf authentication message-digest
o Vérifiez qu’il n’y a plus échange des tables de routage tant que la même clé n’a pas
été configurée sur le routeur voisin
o Configurez la même clé OSPF sur les trois routeurs et vérifiez que le routage a été
rétabli.
Configuration du tunnel VPN

- Configurez un tunnel VPN entre les routeurs Rabat et Casa, activez les algorithmes ESP-AES
et ESP-SHA
o Etape 1 : création du tunnel ISAKMP
 Rabat# configure terminal (ou conf t)
 Rabat-config# crypto isakmp policy 1
 Rabat-config-isakmp# crypto isakmp policy 1
 Rabat-config-isakmp# hash sha
 Rabat-config-isakmp# authentication pre-share
 Rabat-config-isakmp# encryption aes
 Rabat-config-isakmp# group 5
 Rabat-config-isakmp# lifetime 3600
 Rabat-config-isakmp# exit
 Définition du bout du tunnel
 Rabat-config# crypto isakmp key vpnkey address 2.0.0.6
o Etape 2 : Définition du trafic intéressant (trafic qui sera crypté dans le tunnel)
 Rabat# configure terminal (ou conf t)
 Rabat-config# access-list 100 permit ip 1.0.0.0 0.255.255.255 3.0.0.0
0.255.255.255
 Rabat-config# access-list 100 permit icmp 1.0.0.0 0.255.255.255 3.0.0.0
0.255.255.255
o Etape 3 : Configuration du tunnel ipsec
 Rabat# configure terminal (ou conf t)
 Rabat-config# Crypto ipsec transform-set Rabat-Casa esp-aes esp-sha-hma
 100 permit ip 1.0.0.0 0.255.255.255 3.0.0.0 0.255.255.255
o Etape 4 : Configuration de la crypto map qui associe le tunnel isakmp, le tunnel ipsec
et le trafic intéressant
 Rabat# configure terminal (ou conf t)
 Rabat-config# Crypto map mymap 10 ipsec- isakmp
 Rabat-config-crypto-map# match address 100
 Rabat-config-crypto-map# set transform-set Rabat-Casa
 Rabat-config-crypto-map# set peer 2.0.0.6
 Rabat-config-crypto-map# set pfs group5
 Rabat-config-crypto-map# set security-association lifetime seconds 900
o Etape 5 : Application de la crypto map sur l’interface liée à Internet
 Rabat# configure terminal (ou conf t)
 Rabat-config# int serial 0/3/0
 Rabat-config-if# Crypto map mymap
o Testez une communication entre les LANs Rabat et Casa
o Vérifiez l’établissement du tunnel
 Etape 5 : Application de la crypto map sur l’interface liée à Internet
 Rabat# show crypto map
 Rabat# show crypto isakmp sa
 Rabat# show crypto ipsec sa
Configuration de l’authentification centralisée

- Centralisez l’authentification des routeurs sur le serveur AAA (exemple du routeur Rabat)
 Configurez le serveur AAA sur la machine 1.0.0.100 avec le routeur Rabat
comme client et aaakey comme clé
 Créez sur le serveur AAA un compte username : aaauser, password : aaapass
 Configurez le routeur Rabat comme client AAA
 Rabat# configure terminal (ou conf t)
 Rabat-config# aaa new-model
 Rabat-config# aaa authentication login ssh-login group radius
 Rabat-config# radius-server host 1.0.0.100 auth-port 1645
 Rabat-config# radius-server key aaakey
 Rabat-config# line vty 0 4
 Rabat-config-line# login authentication ssh-login
 Rabat-config# transport input ssh
o A partir d’un PC du LAN, testez une connexion ssl –l user ip-routeur, authentifiez-
vous avec le compte aaauser

3.0.0.0/8

RouteurB PC5
2.0.0.4/30

ISP

2.0.0.0/30 RouteurA
Dhcp
Switch
AAA
server

1.0.0.100/8
Point PC4
PC1 PC2 d’Accès

PC3
1.0.0.0/8