Sécurisation des VLANs avec les TP - Sécurisation des VLANs avec les PVLANs, RACLs et VACLs CFI_Site_Paris

Schéma du réseau - Objectifs Adresses passerelles HSRP VLAN 1: 172.16.1.1/24 VLAN 100: 172.16.100.1/24 VLAN 200: 172.16.200.1/24 DLS1 DLS2 Fa0/11 Fa0/11 Fa0/6 Fa0/12 Fa0/12 Serveur DHCP Fa0/9 Fa0/9 Fa0/7 Fa0/8 Fa0/8 Fa0/7 Fa0/10 Fa0/10 Fa0/9 Fa0/9 Fa0/7 Fa0/8 Fa0/8 Fa0/7 Fa0/10 Fa0/10 Fa0/11 Fa0/11 Fa0/12 Fa0/12 ALS1 ALS2 Tous les connexions entre les commutateurs sont des trunks 802.1Q Utilisateurs sur Fa0/15-0/24 VLAN 100: STAFF Utilisateurs sur Fa0/15-0/24 VLAN 200: STUDENTS - Objectifs  Sécuriser la ferme de serveurs en utilisant les VLANs privés  Sécuriser le VLAN staff par rapport au VLAN student  Sécuriser le VLAN staff lorsque du personnel temporaire est présent - Scénario Dans ce lab vous allez configurer le réseau pour protéger les VLANs en utilisant les ACLs routeur, les ACLs VLAN et les VLANs privés. D'abord vous sécuriserez la nouvelle ferme de serveurs en utilisant les VLANs privés ainsi les broadcasts d'un serveur VLAN ne sont pas reçus par un autre serveur VLAN. Les fournisseurs de services utilisent les VLANs privés pour séparer le trafic des différents clients tout en utilisant le même VLAN parent pour tout le trafic serveur. Les VLANs privés offrent l'isolement du trafic entre équipements bien qu'ils existent sur le même VLAN. Ensuite vous allez sécuriser le VLAN staff par rapport au VLAN student en utilisant une RACL laquelle évite que le trafic issu du VLAN student atteigne le VLAN staff. Ceci permet au trafic du VLAN student d'utiliser le réseau et les services Internet tout en évitant que les étudiants accèdent aux ressources du VLAN staff. Enfin vous allez configurer une VACL qui permet à un host du réseau staff d'être capable d'utiliser le VLAN pour l'accès mais garde le host isolé du reste des machines du staff. Cette machine est utilisée par des employés temporaires. CFI_Site_Paris

- Etape 1 Vérifiez que les configurations des labs "Sécurisation des équipements de commutation de couche 2" et "Sécurisation du Spanning-Tree" sont chargées sur les équipements en entrant la commande show vtp status sur ALS1. La sortie doit montrer que le domaine VTP cou- rant est SWPOD et que les VLANs 100 et 200 sont représentés dans le nombre des VLANs. ALS1#show vtp status VTP Version : 2 Configuration Revision : 4 Maximum VLANs supported locally : 255 Number of existing VLANs : 7 VTP Operating Mode : Client VTP Domain Name : SWPOD VTP Pruning Mode : Disabled VTP V2 Mode : Disabled VTP Traps Generation : Disabled MD5 digest : 0x18 0x59 0xE2 0xE0 0x28 0xF3 0xE7 0xD1 Configuration last modified by 172.16.1.3 at 3-12-07 19:46:16 ALS1# 1. Est-ce que l'information VLAN sera stockée en NVRAM quand cet équipement sera démarré? Entrez la commande show vlan sur DLS1. Les VLANs staff et student doivent être représen- tés dans la sortie de cette commande. DLS1# show vlan VLAN Name Status Ports ---- -------------------------------- --------- ----------------------------- 1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/13, Fa0/14 Fa0/15, Fa0/16, Fa0/17, Fa0/18 Fa0/19, Fa0/20, Fa0/21, Fa0/22 Fa0/23, Fa0/24, Gi0/1, Gi0/2 100 staff active 200 student active 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2 ---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------ 1 enet 100001 1500 - - - - - 0 0 100 enet 100100 1500 - - - - - 0 0 200 enet 100200 1500 - - - - - 0 0 1002 fddi 101002 1500 - - - - - 0 0 1003 tr 101003 1500 - - - - - 0 0 1004 fdnet 101004 1500 - - - ieee - 0 0 1005 trnet 101005 1500 - - - ibm - 0 0 CFI_Site_Paris

2. Combien de ces VLANs sont actifs par défaut sur un 3560? Remote SPAN VLANs ------------------------------------------------------------------------------ Primary Secondary Type Ports ------- --------- ----------------- ------------------------------------------ DLS1# 2. Combien de ces VLANs sont actifs par défaut sur un 3560? Entrez la commande show interface trunk sur tous les commutateurs de ce lab. Si le trunking a été correctement configurés dans les deux labs précédents, Fastethernet 0/7 à 0/12 doivent être des trunks sur tous les commutateurs. DLS1# show int trunk Port Mode Encapsulation Status Native vlan Fa0/7 on 802.1q trunking 1 Fa0/8 on 802.1q trunking 1 Fa0/9 on 802.1q trunking 1 Fa0/10 on 802.1q trunking 1 Fa0/11 on 802.1q trunking 1 Fa0/12 on 802.1q trunking 1 Port Vlans allowed on trunk Fa0/7 1-4094 Fa0/8 1-4094 Fa0/9 1-4094 Fa0/10 1-4094 Fa0/11 1-4094 Fa0/12 1-4094 Port Vlans allowed and active in management domain Fa0/7 1,100,200 Fa0/8 1,100,200 Fa0/9 1,100,200 Fa0/10 1,100,200 Fa0/11 1,100,200 Fa0/12 1,100,200 Port Vlans in spanning tree forwarding state and not pruned CFI_Site_Paris

3. Quel est le VLAN natif pour ces ports trunks 3. Quel est le VLAN natif pour ces ports trunks? Utilisez la commande show standby brief sur DLS2. DLS2# show standby brief Interface Grp Prio P State Active Standby Virtual IP Vl1 1 100 P Standby 172.16.1.3 local 172.16.1.1 Vl100 1 100 P Standby 172.16.100.3 local 172.16.100.1 Vl200 1 150 P Active local 172.16.200.3 172.16.200.1 4. DLS2 est le routeur actif pour quels VLANs? - Etape 2 Dans ce VLAN ferme de serveurs, tous les serveurs doivent être autorisés à accéder au rou- teur ou passerelle mais ne doivent pas pouvoir écouter le trafic broadcast de chacun des autres serveurs. Les VLANs privés résolvent ce problème. Quand vous utilisez un VLAN privé, le VLAN primaire (VLAN normal) peut être associé logiquement avec des VLANs uni- directionnels ou secondaires. Les serveurs ou les hosts des VLANs secondaires peuvent communiquer avec le VLAN primaire mais pas avec un autre VLAN secondaire. Vous pou- vez définir les VLANs secondaires soit comme isolé ou de communauté. Un VLAN secondaire isolé peut atteindre le VLAN primaire mais aucun autre VLAN secon- daire. De plus le host associé au port isolé ne peut pas communiquer avec aucun autre équipement du même VLAN secondaire isolé. Il est totalement isolé de tout sauf du VLAN primaire. Un VLAN de communauté ne pas communiquer avec d'autres VLANs secondaires; cepen- dant il peut communiquer dans la communauté. Ceci vous permet d'avoir des groupes de travail dans une organisation tout en les gardant isolés les uns des autres. La première étape est de configurer les commutateurs pour le VLAN primaire. D'après la topologie du réseau, le VLAN 150 sera utilisé pour la nouvelle ferme de serveurs. Sur DLS1 ajoutez le VLAN 150 à la configuration et nommez le VLAN. DLS1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. DLS1(config)#vlan 150 DLS1(config-vlan)#name server-farm DLS1(config-vlan)#end CFI_Site_Paris

Ajoutez le routage et l'information HSRP pour le nouveau VLAN sur DLS1 et DLS2. Assu- rez-vous que DLS2 est le routeur actif et que DLS1 est le routeur de secours. DLS1#config t Enter configuration commands, one per line. End with CNTL/Z. DLS1(config)#interface vlan 150 DLS1(config-if)#ip address 172.16.150.3 255.255.255.0 DLS1(config-if)#standby 1 ip 172.16.150.1 DLS1(config-if)#standby 1 priority 100 DLS1(config-if)#standby 1 preempt DLS1(config-if)#end DLS2#config t DLS2(config)#interface vlan 150 DLS2(config-if)#ip add 172.16.150.4 255.255.255.0 DLS2(config-if)#standby 1 ip 172.16.150.1 DLS2(config-if)#standby 1 priority 150 DLS2(config-if)#standby 1 preempt DLS2(config-if)#end DLS2# Vérifiez la configuration HSRP pour le VLAN 150 en utilisant la commande show standby vlan 150 brief sur DLS2. DLS2# show standby vlan 150 brief P indicates configured to preempt. | Interface Grp Prio P State Active Standby Virtual IP Vl150 1 150 P Active local 172.16.150.3 172.16.150.1 La sortie de la commande montre que DLS2 est le routeur actif pour le VLAN. Maintenant configurez l'information VLAN primaire et secondaire sur DLS2. Comme les nouveaux VLANs secondaires ont une signification locale, configurez DLS2 en mode VTP transparent en utilisant la commande vtp mode transparent en mode de configuration global. Vous devez également associer ces VLANs secondaires au VLAN primaire. DLS2(config)#vlan 151 DLS2(config-vlan)#private-vlan isolated DLS2(config-vlan)#exit DLS2(config)#vlan 152 DLS2(config-vlan)#private-vlan community DLS2(config)#vlan 150 DLS2(config-vlan)#private-vlan primary DLS2(config-vlan)#private-vlan association 151,152 DLS2(config)# CFI_Site_Paris

Vérifiez la création des VLANs privés secondaires et leur association avec le VLAN primai- re en utilisant la commande show vlan private-vlan. DLS2# show vlan private-vlan Primary Secondary Type Ports ------- --------- ----------------- ------------------------------------ 150 151 isolated 150 152 community 5. Est-ce que des hosts affectés à des ports du VLAN privé 151 seront capables de com- muniquer directement entre eux? Ensuite configurez les ports FastEthernet qui sont associés aux VLANs privés ferme de serveurs. Le port FastEthernet 0/15 est utilisé pour le VLAN secondaire isolé 151 et les ports 0/18 à 0/20 sont utilisés pour le VLAN secondaire de communauté 152. Les ports 0/16 et 0/17 sont réservés pour usage futur. La commande switchport private-vlan host-association primary-vlan-id secondary-vlan- id affecte les VLANs appropriés aux interfaces. Ce qui suit est un exemple de configuration pour DLS2. DLS2#config t Enter configuration commands, one per line. End with CNTL/Z. DLS2(config)#interface fastethernet 0/15 DLS2(config-if)#switchport private-vlan host-association 150 151 DLS2(config-if)#exit DLS2(config)#interface range fa0/18 - 20 DLS2(config-if-range)#switchport private-vlan host-association 150 152 DLS2(config-if-range)#end 6. Comme les serveurs sont affectés sur les ports FastEthernet 0/18 - 20, est-ce que ces serveurs verront les broadcasts de chacun d'entre eux? Optionnel: Si vous avez des hosts ou des serveurs disponibles, connectez les aux ports FastEthernet et essayez de les pinguer entre eux. 7. Quels pings réussissent et quels pings échouent? - Etape 3 Configurez une liste de contrôle d'accès pour séparer les VLANs staff et student. Le VLAN staff peut accéder au VLAN student mais le VLAN student ne peut pas accéder au VLAN staff pour des raisons de sécurité. Ceci peut réalisé en utilisant une liste d'accès IP standard sur DLS1 et DLS2 et d'affecter cette liste d'accès aux interfaces VLAN appropriées. Pour refuser l'accès pour le VLAN stu- dent, utilisez la commande access-list # deny subnet-address wildcard-mask. Ensuite affectez la liste d'accès en utilisant la commande access-group # {in|out} CFI_Site_Paris

DLS1#config t Enter configuration commands, one per line. End with CNTL/Z. DLS1(config)#access-list 1 deny 172.16.200.0 0.0.0.255 DLS1(config)#interface vlan 100 DLS1(config-if)#ip access-group 1 out DLS1(config-if)#end DLS2#config t DLS2(config)#access-list 1 deny 172.16.200.0 0.0.0.255 DLS2(config)#interface vlan 100 DLS2(config-if)#ip access-group 1 out DLS2(config-if)#end DLS2# Vérifiez la configuration en utilisant les commandes show ip access-list et show ip inter- face vlan 100. DLS1# show ip access-lists Standard IP access list 1 10 deny 172.16.200.0, wildcard bits 0.0.0.255 DLS1# show ip int vlan 100 Vlan100 is up, line protocol is up Internet address is 172.16.100.3/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Multicast reserved groups joined: 224.0.0.2 Outgoing access list is 1 Inbound access list is not set Une fois que la liste d'accès est appliquée, vérifiez la configuration selon une des façons suivantes: Option 1 - S'ils sont disponibles, connectez des hosts aux VLANs staff et student et pin- guez un host staff depuis un host student. Le ping doit échouer. Pinguez un host student depuis un host staff. Est-ce que ce ping réussit? Pourquoi? Option 2 - Utilisez ALS1 comme un host du VLAN 200 en créant une interface VLAN 200 sur le commutateur. Donnez à l'interface une adresse IP dans le VLAN 200 et affectez la passerelle par défaut 172.16.200.1. Bloquez l'interface VLAN 1. Maintenant tentez de pin- guer l'interface de la passerelle pour le VLAN staff. CFI_Site_Paris

Enter configuration commands, one per line. End with CNTL/Z. Ce qui suit est un exemple de configuration et de ping à partir de ALS1: ALS1#config t Enter configuration commands, one per line. End with CNTL/Z. ALS1(config)#int vlan 1 ALS1(config-if)#shutdown ALS1(config-if)#exit ALS1(config)#int vlan 200 ALS1(config-if)#ip add 172.16.200.200 255.255 ALS1(config)#ip default-gateway 172.16.200.1 ALS1(config)#end ALS1#ping 172.16.100.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.100.1, timeout is 2 seconds: U.U.U Success rate is 0 percent (0/5) ALS1# 8. Que signifie U dans la sortie de la commande ping? - Etape 4 Configurez le réseau pour que le host du personnel temporaire de staff ne puisse pas accé- der au reste du VLAN staff mais puisse accéder à la passerelle par défaut du sous-réseau staff pour se connecter au reste du réseau et fournisseur d'accès Internet. Vous pouvez accomplir cette tâche en utilisant une VACL. Comme le PC du personnel temporaire est situé sur l'interface FastEthernet 0/3 de DLS1, la VACL doit être placée sur DLS1. Configurez d'abord une liste d'accès appelée temp-host sur DLS1 en utilisant la comman- de ip access-list extended name. Cette liste d'accès est utilisée pour définir le trafic entre ce host et le reste du réseau. Ensuite définissez le trafic en utilisant la commande permit ip host ip-address subnet-mask wildcard-mask. DLS1#config t DLS1(config)#ip access-list extended temp-host DLS1(config-ext-nacl)#permit ip host 172.16.100.150 172.16.100.0 0.0.0.255 DLS1(config-ext-nacl)#exit La VACL est définie en utilisant une VLAN access map. Les access maps sont évaluées en séquence. Pour créer une access-map, utilisez la commande vlan access-map map-name seq#. CFI_Site_Paris

La configuration suivante définit une access-map nommée block-temp laquelle utilise l'instruction match pour repérer le trafic définit dans la liste d'accès et rejeter le trafic. Vous devez également ajouter une ligne à l'access-map qui autorise tout autre trafic. Si cette ligne n'est pas ajoutée, un rejet implicite capture toute autre trafic et le rejette. DLS1(config)#vlan access-map block-temp 10 DLS1(config-access-map)#match ip address temp-host DLS1(config-access-map)#action drop DLS1(config-access-map)#vlan access-map block-temp 20 DLS1(config-access-map)#action forward DLS1(config-access-map)#exit Définissez sur quels VLANs l'access-map doit être appliquée en utilisant la commande vlan filter map-name vlan-list vlan-ID. DLS1(config)#vlan filter block-temp vlan-list 100 DLS1(config)#end Vérifiez la configuration de la VACL en utilisant la commande show vlan access-map sur DLS1. DLS1# show vlan access-map Vlan access-map "block-temp" 10 Match clauses: ip address: temp-host Action: drop Vlan access-map "block-temp" 20 forward Optionnel: Si possible, connectez un PC au port fa0/3 de DLS1 et affectez une adresse IP 172.16.100.150/24 au host. Essayez de pinguer un autre host du VLAN staff. Le ping doit échouer. CFI_Site_Paris