barbaroux bts sio sisr 1 julie
Post on 19-Jun-2022
3 Views
Preview:
TRANSCRIPT
BARBAROUX BTS SIO SISR 1
Julie
Travaux pratiques : configuration des fonctions de sécurité des commutateurs
Pour le début de mon TP j’ai décidé de ne pas suive la totalité de la configuration du routeur , j’ai
seulement changer ou amélioré les chose que j’estimé utile au bon fonctionnement de mon TP.
Étape 3 : Configurez les paramètres de base sur S1.
Après avoir fait les modifications, je configure l'adresse IP de l'interface de gestion du VLAN 99,
comme indiqué dans la table d'adressage, puis je l’active.
Grace a la commande « sh vlan » je verifie l’etat du Vlan99
On constate alors qu’il est actif
J’attribue les ports F0/5 et F0/6 au VLAN 99 sur le commutateur.
Avec la commande « sh ip int br » je vérifie l’état du protocole de VLAN99
On peut alors constater que le protocole affichés de l'interface VLAN 99 est « Up » et « up »
Étape 4 : Vérifiez la connectivité entre les périphériques.
J’exécute une série de ping afin de constater la bonne connectivité entre le pc le routeur et le
switch :
De pc-a vers la passerelle de R1 :
De pc-a vers le switch S1 (c1) dans mon cas :
De mon switch vers la passerelle de R1 :
À partir de PC-A, j’ouvre un navigateur Web et accéde à http://172.16.99.11
A ce moment la tu tp je décide de renommer mon C1 en S1 pour ne pas me perdre dans les
explication.
Partie 3 : Configuration et vérification de l'accès SSH sur S1
Étape 1 : Configurez l'accès SSH sur S1.
Je crée aussi un nom de domaine sécurisé ainsi de l’entré de transport et la clef de chiffrement
RSA :
J’utilise la commande sh ip ssh :
Quelle version de SSH le commutateur utilise-t-il ? le commutateur utilise la version 1.99
Combien de tentatives d'authentification SSH permet-il ? SSH permet 3 tentative
Quelle est la valeur par défaut du délai d'attente de SSH ? le délai d’attente par défaut est de 120
secondes
Étape 2 : Modifiez la configuration de SSH sur S1.
Je commence par modifier la configuration de SSH par défaut.
Combien de tentatives d'authentification SSH permet-il ? Le serveur ssh permet 2 tentatives
d’authentification.
Quelle est la valeur du délai d'attente de SSH ? la valeur du délai d’attente de ssh est de 75 secondes
Étape 3 : Vérifiez la configuration de SSH sur S1.
À l'aide d'un logiciel client SSH sur PC-A j’ouvre une connexion SSH avec S1.
On constate alors que la connexion marche.
Partie 4 : Configuration et vérification des fonctions de sécurité sur S1
Étape 1 : Configurez les fonctions de sécurité générales sur S1.
Je commence par configurer une bannière MOTD
J’exécute ensuite la commande « sh ip int br »
On constate alors que le port F0/5 ET F0/6 sont up aussi bien leur statuts que leur protocole
Suite à ça j’arrête tous les ports physiques non utilisé grâce a la commande « int rang »
Je re exécute la commande « sh ip int br »
On constate que les ports F0/1 à F0/4 sont « administratively down » .
J’exécute ensuite la commande sh ip server status :
Quel est l'état du serveur HTTP ? le serveur ssh est Activé
Quel port de serveur utilise-t-il ? il utilise le port 80
Quel est l'état du serveur sécurisé HTTP ? le serveur http est Activé
Quel port de serveur sécurisé utilise-t-il ? Il utilise le port 443
Je désactive le service HTTP en cours d'exécution sur S1.
On constate alors qu’on ne peut plus joindre « http://172.16.99.11
Étape 2 : Configurez et vérifiez la sécurité des ports sur S1.
À partir de l'interface en ligne de commande de R1, j’exécute la commande show interface g0/1 et
je note l'adresse MAC de l'interface.
J’exécute une commande « show mac address-table »
On peut alors constater l’adresse MAC de F0/5 etF0/6 :
Adresse MAC de F0/5
Adresse MAC de F0/6 :
Je passe en mode de configuration d'interface pour le port qui se connecte à R1 puis j’arrête le port
et active la sécurité des ports sur F0/5.
J’active ensuite le port du commutateur.
Je vérifie la sécurité des ports sur l'interface F0/5 de S1 en exécutant une commande « show port-
security interfac ».
Sur R1, j’envoie une requête ping à PC-A pour vérifier la connectivité.
On constate que cette fois le ping marche
Je vais maintenant violer la sécurité en modifiant l'adresse MAC sur l'interface du routeur. Pour
cela je passe en mode de configuration d'interface pour G0/1 et je l’arrete.
Je configure une nouvelle adresse MAC pour l'interface, en utilisant aaaa.bbbb.cccc comme adresse.
Puis sur R1, j’envoie une requête ping à PC-A.
On peut constater que le ping ne marche pas.
Sur le commutateur, Je vérifie la sécurité des ports à l'aide de la commande « sh port-security. »
On constate alors que F0/5 est SHUTDOWN a cause du viol de sécurité fais auparavant
Je fais aussi la commande sh port-security interface f0/5.
On constate que le compteur de violation de sécurité a été activé et est maintenant a 1 et que la
source est la MAC aaaa.bbbb.cccc. Le port est maintenant shutdown
Ainsi que la commande sh int f0/5
Puis je refais la commande sh port-security en ajoutant « adresse » à la fin
Sur le routeur, j’arrête l'interface G0/1, puis je supprime l'adresse MAC codée en dur du routeur,
puis je réactive l'interface G0/1.
À partir de R1, je renvoie à nouveau une requête ping à PC-A à l'adresse 172.16.99.3.
On constate que la requête ping n’aboutit pas.
J’exécute la commande show interface f0/5 afin de déterminer la cause de l'échec de la requête
ping
La requête ping n’a pas pu aboutir à cause du protocole down (err-disabled) il faut manuellement
réactiver f0/5.
J’efface donc l'état « Error Disabled » de F0/5 sur S1.
Pour effacer cet êta j’éteins f0/5 puis je le relance.
J’exécute la commande show interface f0/5 sur S1 afin de vérifier que F0/5 n'est plus en mode «
Error Disabled ».
On peut alors constater que F0/5 est maintenant connecté (up)
À partir de l'invite de commande de R1, je renvoie à nouveau une requête ping à PC-A.
On peut alors constater que le ping fonctionne car le VLAN99 F0/5 est réactivé
Commande sh run de mon routeur :
R1#sh run
Building configuration...
Current configuration : 1699 bytes
version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname R1
!
enable secret 4 VYlArd0J6s2X4dZwZ42oTpLQ5Zog8wZDgZKHMP2SHEw
no ip domain lookup
!
interface GigabitEthernet0/0
description vers PCB
no ip address
shutdown
duplex auto
speed auto
!
interface GigabitEthernet0/1
description vers SWITCH
ip address 172.16.99.1 255.255.255.0
duplex auto
speed auto
!
interface Serial0/0/0
description Link to R1
no ip address
shutdown
no fair-queue
clock rate 2000000
!
interface Serial0/0/1
no ip address
shutdown
clock rate 2000000
ip forward-protocol nd
!
no ip http server
no ip http secure-server
line con 0
exec-timeout 5 0
password 7 094F471A1A0A141D051C053938
logging synchronous
login
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport input all
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
exec-timeout 5 0
password 7 05080F1C2243581D0015160118
logging synchronous
login local
transport input ssh
end
Commande sh run de S1 :
S1#sh run
Building configuration...
Current configuration : 4586 bytes
! Last configuration change at 03:26:36 UTC Mon Mar 1 1993
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname S1
!
enable secret 5 $1$voVA$sIaZBCHYWvxmfNCOAhNCY.
username admin privilege 15 secret 5 $1$OhRj$ep.mCaeNedps1fK1.l69X1
ip domain-name CCNA-lab.com
!
crypto pki trustpoint TP-self-signed-2929648896
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2929648896
revocation-check none
rsakeypair TP-self-signed-2929648896
!
crypto pki certificate chain TP-self-signed-2929648896
certificate self-signed 01
3082022B 30820194 A0030201 02020101 300D0609 2A864886 F70D0101 05050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 32393239 36343838 3936301E 170D3933 30333031 30303031
30345A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D32 39323936
!
spanning-tree mode rapid-pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
interface FastEthernet0/1
switchport access vlan 99
shutdown
!
interface FastEthernet0/2
switchport access vlan 99
shutdown
!
interface FastEthernet0/3
switchport access vlan 99
shutdown
!
interface FastEthernet0/4
switchport access vlan 99
shutdown
!
interface FastEthernet0/5
switchport access vlan 99
switchport mode access
switchport port-security mac-address 4403.a708.8829
switchport port-security
top related