Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
Scribd Logo
Importer

Bienvenue sur Scribd !

  • 28 vues

    Conception Sécurisation LAN - VF

    Transféré par

    juchana
    Ce document décrit la configuration d'un réseau avec GNS3. Il explique comment installer GNS3, ajouter des équipements réseau virtuels et les interconnecter pour créer une topologie réseau. Le document détaille ensuite la configuration des équipements réseau, notamment les commutateurs, le routage, les VLAN, DHCP et STP.

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd

    Conception Sécurisation LAN - VF

    Transféré par

    juchana
    28 vues42 pages
    Ce document décrit la configuration d'un réseau avec GNS3. Il explique comment installer GNS3, ajouter des équipements réseau virtuels et les interconnecter pour créer une topologie réseau. Le document détaille ensuite la configuration des équipements réseau, notamment les commutateurs, le routage, les VLAN, DHCP et STP.

    Titre original

    Conception_Sécurisation_LAN.Vf

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Ce document décrit la configuration d'un réseau avec GNS3. Il explique comment installer GNS3, ajouter des équipements réseau virtuels et les interconnecter pour créer une topologie réseau. Le document détaille ensuite la configuration des équipements réseau, notamment les commutateurs, le routage, les VLAN, DHCP et STP.

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format pdf ou txt
    28 vues42 pages

    Conception Sécurisation LAN - VF

    Transféré par

    juchana
    Ce document décrit la configuration d'un réseau avec GNS3. Il explique comment installer GNS3, ajouter des équipements réseau virtuels et les interconnecter pour créer une topologie réseau. Le document détaille ensuite la configuration des équipements réseau, notamment les commutateurs, le routage, les VLAN, DHCP et STP.

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format pdf ou txt
    sur 42

    Préface

    Les systèmes d’informations font aujourd’hui partie intégrante de toute organisation. Elles se
    révèlent inéluctables dans l’optimisation du service offert en termes de performance mais aussi
    et surtout de sécurité.
    Il se révèle dès lors nécessaire de disposer d’un environnement de test distinct de celui en
    production. Cela permet de se perfectionner de manière continue en implémentant ou déployant
    de nouveaux outils ou services. Il y va ainsi pour la supervision, le monitoring ou l’analyse des
    logs pour tout ce qui concernerait incidents d’exploitation ou de sécurité dans le réseau.
    De ce fait, plusieurs plateformes sont disponibles, parmi lesquelles GNS3 pour lequel nous
    optons pour les raisons suivantes :

     Il est open source


     Il simule les interfaces réseaux
     Il émule les équipements réseaux (routeurs, switchs…)
     Il virtualise les serveurs grâce à d’autres logiciels tels que Virtualbox ou Vmware
     Il intègre dans sa version VM une option pour émuler des firewalls
    Cette panoplie d’instruments nous permet de reproduire à l’identique des infrastructures
    réseaux complexes.
    D’autres plateformes sont aussi disponibles avec tout de même des facteurs à prendre en
    compte :
     Packet Tracer (niveau académique, pour les novices)
     VIRL (typiquement Cisco, payant par abonnement)
     ENSP (typiquement Huawei, en version simulateur)
     EVE-NG (version pro payante)

     Télécharger maintenant GNS3 par https://gns3.com puis procéder à son installation


    Merci de consulter la documentation sur le site pour plus amples détails.
    Plusieurs méthodes d’installation sont possibles mais pour ce stage, veiller à l’installer en mode
    standalone.

    1. Contexte
    Les évolutions croissantes des usages des SI en entreprise impliquent nécessairement une plus
    grande ouverture à l’internet. C’est ainsi que les administrateurs réseaux sont de plus en plus
    confrontés à diverses menaces pesant sur leurs infrastructures. Les vulnérabilités s’accroissent
    et se diversifient. Ce changement affecte aussi bien les entreprises que les particuliers.
    En effet, les entreprises souhaitent améliorer leurs rendements en utilisant de nouvelles
    pratiques. En contrepartie, elles doivent prendre conscience du risque dont leurs systèmes
    s’exposent.
    La démocratisation de l’accès à Internet, le développement rapide des TIC, les applications
    mobiles, le cloud computing, la Big Data, l’IA, la dématérialisation des processus métiers, la
    convergence entre l’informatique, les télécommunications et l’audiovisuel, l’utilisation des
    réseaux sociaux, les profondes mutations sociétales…
    Tout ceci a entrainé une masse critique de données à organiser au sein du SI.
    2. Préparation et prise en main

    Le téléchargement nécessite la création d’un compte utilisateur !!!


    Ajouter les OS fournis dans le dossier « Logiciels » disponible sur le Bureau de votre post
    Finir l’installation.

    Donner un nom au nouveau projet qui va être créer.

     Remplissez par les initiales de vos prénoms et noms.


    Ouvrir « Preferences… » pour consulter les paramètres de la plateforme installée.
    Ajouter l’OS d’un routeur. Il s’agira pour nous du modèle de routeur C7200.
     Par défaut, le modèle de routeur proposé est le C1700.
    Adapter-le au modèle C7200.
    Renommer et basculer vers la plateforme C7200.
    Dérouler puis ajouter deux interfaces FastEthernet.
    Exécuter « idle-pc » pour éviter une éventuelle surutilisation des ressources du processeur de
    votre poste physique.
    Valider pour confirmer l’ajout.
    Procéder à l’ajout des switches une fois le routeur ajouté.
    Il s’agira du modèle C2691 pour les commutateurs de niveau2 et C3745 pour ceux de
    niveau3.
    Choisir l’image suivante pour le switch L2  c2691-adventerprisek9_sna-mz.124-13b.image
     Cocher la case pour émuler le switch de niveau 2.
    Choisir l’image suivante pour le switch L3  c3745-adventerprisek9-mz.124-18.image
     Cocher la case pour émuler le switch de niveau 3.
     Afficher les deux switches que vous venez de rajouter ?

    Passer maintenant à la mise en place de l’architecture multicouche préalablement élaborée.

    3. Architecture, design et nomenclature


    Mettre en place deux switches L2 et trois switches L3.
    Procéder à l’interconnexion des équipements.

     Veiller à connecter à partir des interfaces FastEthernet1/0 !!!

    Les interfaces FastEthernet0/0 et 0/1 sont de niveau 3 !!!


     Connecter les ports en vis-à-vis entre chaque switch.
    Procéder à la nomenclature des commutateurs.
    Les switchs cœur L3 seront appelés BACKBONE et les L2 seront ACCESS.
    Démarrer maintenant tous les nœuds.
     Les switchs n’assurant pas les mêmes fonctions, distinguons alors leurs symboles.

    Faire un clic droit puis changer le symbole des L2.


    Dérouler à Classic, remplir le Filtre à « eth » et choisir le symbole qui apparaît.
    Votre réseau LAN est maintenant en place.

    Passer maintenant à l’administration et à la mise en service des équipements du réseau.


    4. Plan d’adressage et segmentation
    Le tableau suivant constituera la base documentaire quant aux adresses IP pour la suite du
    TP :

    Adresse sous Adresse de


    Equipements/N°Vlan Emplacement/Service Passerelle Masque
    Réseau Broadcast
    1er Etage
    ACCESS_01
    (QG/SIEGE)

    100 RH

    200 Agents_Filaire

    300 Visiteurs_Wifi

    400 Téléphonie

    500 Management
    2ème Etage
    ACCESS_02
    (Site_distant_01)
    100 RH

    200 Agents_Filaire

    300 Visiteurs_Wifi

    400 Téléphonie

    500 Management
    3ème Etage
    ACCESS_03
    (Site_distant_02)
    100 RH

    200 Agents_Filaire

    300 Visiteurs_Wifi

    400 Téléphonie

    500 Management
    Liaisons d’ interco
    (découpage en /30 ou
    /29)
    500 LAN

    --- WAN

    … … … … … …

    5. Conception LAN
    Cette zone simule la partie interne à la structure. Elle est organisée en couches de niveau 2 et
    3. La partie accès sera constituée des switches de niveau 2 (L2) et la partie cœur ou backbone
    des switches de niveau 3 (L3).
    Les switches L2 sont ceux qui font face aux utilisateurs finaux.
    Accéder aux équipements en mode console (CLI).
    Faire un clic droit pour y accéder puis effectuer les étapes de configurations comme décrites
    plus-bas :
     Naviguer à travers le commutateur
     Configurer les paramètres de gestion pour chaque commutateur
     Procéder à la création des Vlans
     Procéder à la création des interfaces relatives à chaque Vlan
     Assigner les adresses IP en se conformant au plan d’adressage retenu
     Configurer les types de ports connectés
     Activer les ports
     Mettre en place la redondance par le protocole HSRP
     Configurer le service DHCP
     Configurer le protocole STP pour éviter les boucles

    Une fois les services mis en place, votre LAN est maintenant prêt à l’exploitation.

     Mais avant, faire les tests d’analyse et de diagnostic de bon fonctionnement du


    réseau
    Faire un clic droit sur une des liaisons reliant le BACKBONE_01 à l’un des switches d’accès,
    il est possible d’accéder à « Wireshark », outil d’analyse de protocoles très populaire.

    6. Mise en place WAN


    Cette zone simule la partie interco vers votre FAI donc l’accès à Internet.
    Le nœud Cloud1 est bridgé au port Ethernet de votre PC physique.

     Vous remarquerez que cela nécessitera d’être connecté au filaire.

    L’étape suivante est la configuration du routeur d’interco.


    Faire un clic droit pour accéder à la console pour effectuer les étapes de configurations
    comme illustrées ci-après :
     Configurer les ports selon le plan d’adressage
     Configurer l’interface f1/0 en mode dhcp
     Configurer le nat en mode overload
     Configurer la route par défaut avec pour passerelle celle de votre machine
    physique

    Vous obtenez ce message d’information montrant l’adresse allouée à l’interface :


    Vérifier que vous pinguer bien la passerelle qui correspond à celle de la machine physique :

    A cela, s’ajoute la configuration des paramètres DNS :

    Vérifier que vous joignez et résolvez bien google.com

    Passer maintenant à la configuration du firewall

    Il nous est maintenant possible d’accéder grâce au navigateur de la machine virtuelle à ajouter

     A noter que la VM a préalablement été créée sur VirtualBox

    Accéder à la VM puis vérifier l’adresse assignée telle que décrite plus haut.

    Vérifier puis tester l’accès :


    Ouvrir un navigateur puis accéder à Internet :

    Tester la connectivité du routeur :

     Tester l’accès à Internet en pinguant les serveurs DNS de google !!!


     Pourquoi la résolution DNS est-elle possible pour le routeur ???

    7. Solution de protection réseau : comprendre les failles


    natives relatives au fonctionnement du réseau

    7.1 Concepts et notions importantes de sécurité réseaux


    Tout élément pouvant porter atteinte à la confidentialité, à l’intégrité ou encore à la disponibilité
    des systèmes d’informations constitue une menace voire un risque pouvant affecter le bon
    fonctionnement d’un réseau.

     Système d’information : Ensemble de ressources destinées à collecter, classifier,


    stocker, gérer, diffuser les informations au sein d’une organisation. Il doit faciliter la
    mission de l’organisation.

     Menace : Menace est une cause potentielle d'incident, qui peut résulter en un dommage
    au système ou à l'organisation (selon la norme de sécurité des systèmes d'information
    ISO/CEI 27000). C’est donc la cause potentielle d’un incident, qui pourrait entraîner
    des dommages sur un actif (primordiaux et supports) si cette menace se concrétise. Il
    peut pour ainsi dire donc s’agir d’un code malveillant, de la perte de service, de
    personnes extérieures ou stagiaires malveillants ou malintentionnés.
     Risque : Evaluation du danger selon sa probabilité et son impact. Un risque représente
    la possibilité que se produise un événement qui aura un impact sur la réalisation des
    objectifs.

     Vulnérabilité (Exploit) : Vulnérabilité est une faiblesse au niveau d’un actif. On peut
    la retrouver au niveau de la conception, de la réalisation, de l’installation, de la
    configuration ou encore dans l’utilisation du bien.

     Attaque : Action malveillante destinée à porter atteinte à la sécurité du SI. Une attaque
    représente la concrétisation d’une menace, et nécessite l’exploitation d’une
    vulnérabilité.

    7.2 Catégorisation des vulnérabilités réseaux

    7.3 Déroulement et fonctionnement des attaques réseaux

    7.4 Cas de figures potentiellement vulnérables et conseils

    Vous aimerez peut-être aussi