Configuration de base Cette section montre les opérations de base à réaliser pour mettre en fonction un routeur cisco, selon une configuration minimale Le routeur est supposé être en état de fonctionner, c’est-à-dire que l’administrateur a les mots de passe d’accès Dans le cas où les mots de passe seraient perdus, une procédure particulière est prévue pour reprendre la main sur le routeur L’objectif de la configuration de base est de permettre au routeur de connaître son environnement IP et de s’y intégrer RE16

Séquence de démarrage Après le programme de bootstrap, le routeur charge son IOS Un fois le système chargé, il peut accepter des commandes Les commandes qu’il doit exécuter sont inscrites dans le fichier de configuration du routeur Ce fichier de configuration a été écrit par l’administrateur réseau et contient au minimum les paramètres des différentes interfaces La suite de cette section montre ce qu’il faut mettre dans un fichier de configuration minimum RE16

Séquence de démarrage RE16

Accès au routeur On peut accéder au routeur par un lien série appelé port console On peut ainsi dialoguer avec le routeur en mode texte, par exemple en utilisant « hyperterminal » de windows et le port série d’un PC portable Ce port console est disponible à travers une prise RJ45, pour pouvoir utiliser le précâblage réseau RE16

Ouverture de session port série RS232 port console RE16

Commandes disponibles A tout moment, on peut obtenir de l’aide : en tapant ? on obtient la liste des commandes disponibles en tapant commande ? on obtient l’aide sur commande RE16

Les différents modes RE16

Configuration minimale En mode privilégié : visualisation des configurations actives et de démarrage accéder au mode de configuration globale En mode de configuration globale : donner un nom au routeur changer les mots de passe accéder au modes de configuration des interfaces En mode de configuration d’interface : donner une adresse IP à l’interface la mettre en route revenir en mode privilégié sauvegarder la configuration en NVRAM RE16

Exemple de fichier de config hostname cisco4000 nomme le routeur ! commentaire enable secret 5 $1$QIgl$PUFwSWwHj/ mot de crypté ! interface Ethernet0 passage en mode interface ip address 192.168.0.254 255.255.255.0 affectation de l’@IP no shutdown mise en fonction interface Ethernet1 ip address 192.168.10.254 255.255.255.0 no shutdown line con 0 passage en mode ligne login logging password cisco affectation du mot de passe end RE16

Essai de fonctionnement Les commandes tapées sont exécutoires immédiatement Elles modifient le fichier de configuration active Il faut toujours vérifier que le fonctionnement du routeur est bien celui souhaité Pour cela un outil de base : commande ping RE16

Sauvegarde de la config Une fois que la configuration active correspond au fonctionnement souhaité, il faut la sauvegarder en mémoire non volatile Elle sera ainsi rechargée au prochain redémarrage RE16

FireWall : exemple de mise en oeuvre Client distant Routeur FAI Serveurs ftp HTTP DNS (2) SMTP/POP3 (2) Proxy 193.56.213.128/27 .145 .133 FireWall .1 .132 172.16.1.0/24 .2 .131 .1 Routeur interne 192.168.0.0/16 RE16

FireWall : exemple de mise en oeuvre Etape 1 : configuration de base du FireWall donner les bonnes @IP à ses interfaces et les activer fixer les niveaux de confiance des interfaces renseigner les routes statiques de routage (pas de protocole de routage, un FireWall a des fonctionnalités de routeur, mais n’est pas un routeur !) expliciter toutes les translations d’adresses (même celles des adresses qui sont translatées vers elle-même) Quand cette étape est réalisée, le FireWall fonctionne «par défaut», c’est-à-dire dans le sens du maximum de sécurité Les seules communications autorisées, sont celle qui vont de NC supérieur à NC inférieur RE16

FireWall : exemple de mise en oeuvre Etape 2 : translation des ports et ACLs paramétrer la translation des ports pour cacher les serveurs publiques derrière une seule adresse paramétrer les ACLs pour autoriser d’autres flux Le réseau est correctement protégé, à condition de sans cesse veiller à la mise à jour et à la sauvegarde de la configuration Etape 3 : configurer les accès VPN RE16

Firewall : exemple de configuration interface ethernet0 auto interface ethernet1 auto interface ethernet2 auto nameif ethernet0 outside security0 nameif ethernet1 inside security100 nameif ethernet2 dmz security50 enable password UksXdgrtqWqrfYqY encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname Pix3 domain-name ciscopix.com fixup protocol dns maximum-length 512 fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 names name 172.16.3.2 servdmz name 10.0.3.10 servinterne name 10.0.3.11 pcinterne access-list extservpub permit tcp any host 192.168.3.10 eq www access-list extservpub permit tcp any host 192.168.3.10 eq ftp access-list extservpub permit tcp any host 192.168.3.11 eq www access-list extservpub permit tcp any host 192.168.3.11 eq ftp access-list extservpub permit ip any host 192.168.3.13 access-list vpn permit ip host 192.168.3.10 any access-list vpn permit ip host 192.168.3.13 any pager lines 24 logging on logging trap debugging logging host inside pcinterne mtu outside 1500 mtu inside 1500 mtu dmz 1500 ip address outside 192.168.3.2 255.255.255.0 ip address inside 10.0.3.1 255.255.255.0 ip address dmz 172.16.3.1 255.255.255.0 ip audit name polinfo info action alarm ip audit name polattaque attack action alarm drop ip audit interface outside polinfo ip audit interface outside polattaque ip audit interface inside polinfo ip audit interface inside polattaque ip audit info action alarm ip audit attack action alarm pdm history enable arp timeout 14400 global (outside) 1 192.168.3.100 netmask 255.255.255.0 global (dmz) 1 172.16.3.100 netmask 255.255.255.0 nat (inside) 1 10.0.3.0 255.255.255.0 0 0 static (inside,outside) 192.168.3.10 servinterne netmask 255.255.255.255 0 0 static (inside,outside) 192.168.3.13 pcinterne netmask 255.255.255.255 0 0 static (dmz,outside) 192.168.3.11 servdmz netmask 255.255.255.255 0 0 access-group extservpub in interface outside route outside 0.0.0.0 0.0.0.0 192.168.3.1 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server TACACS+ max-failed-attempts 3 aaa-server TACACS+ deadtime 10 aaa-server RADIUS protocol radius aaa-server RADIUS max-failed-attempts 3 aaa-server RADIUS deadtime 10 aaa-server LOCAL protocol local aaa authentication ssh console LOCAL no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable sysopt connection permit-ipsec crypto ipsec transform-set ts1 esp-des crypto map map1 10 ipsec-isakmp crypto map map1 10 match address vpn crypto map map1 10 set peer 172.30.4.2 crypto map map1 10 set transform-set ts1 crypto map map1 interface outside isakmp enable outside isakmp key ******** address 172.30.4.2 netmask 255.255.255.255 isakmp identity address isakmp policy 10 authentication pre-share isakmp policy 10 encryption des isakmp policy 10 hash sha isakmp policy 10 group 1 isakmp policy 10 lifetime 86400 telnet timeout 5 ssh pcinterne 255.255.255.255 inside ssh timeout 5 console timeout 0 username admin560 password jG8vL0c5dq0bVsVE encrypted privilege 15 username alain560 password MgoXUhPvZ2uRvR3W encrypted privilege 2 terminal width 80 Cryptochecksum:675b40c6519bf080b850ccccf3485f42 : end RE16