Cisco’s Access Points frati@nyx.unice.fr.

Slides:



Advertisements
Présentations similaires
Sécurité informatique
Advertisements

11 - Composants dun routeur. Sommaire 1)Sources de configuration externes 1)Composants de configuration internes et commandes détat associées.
– Spanning Tree Protocol (STP)‏
11 - Composants d’un routeur
12 - Configuration d’un routeur
Exposé de système présenté le 2 décembre 2004, Par Rémy Lataix
GESTION D’IMPRISSION SOUS WINDOWS & LINUX
Client Mac dans un réseau Wifi d’entreprise sécurisé
VLC UMVF Fiche Veille Statut Logiciel gratuit, open source
Comment installer un serveur CamTrace ?
Projet RLI 2002: Etude du chip SC12
Protocole PPP* *Point-to-Point Protocol.
– NAT et PAT.
14 - Adresse IP et interfaces. Plan détude 1)Adresse IP dune interface 1)Résolution de nom vers IP statique 1)Service DNS 1)Spécification des interfaces.
- Couche 7 - Couche application. Sommaire 1)Introduction 1)DNS 1)FTP et TFTP 1)HTTP 1)SNMP 1)SMTP 1)Telnet.
Module 9 : Configuration de l'accès réseau
Cours Présenté par …………..
Les Réseaux (Informatiques)
Introduction Créer un réseau local :
Configuration d'un commutateur HP Procurve 2500
Realisè par : S.ACHRAF E.AYOUB
Mathieu TEODORO Candidat n° M
Module 1 : Préparation de l'administration d'un serveur
Analyse des protocoles de la couche application
Le Protocole OSPF.
Présentation du stage du 13 Mai au 14 juin
Cluster De Basculement DHCP
Virtual Local Area Network
Introduction RADIUS (Remote Authentication Dial-In User Service)
Protocole 802.1x serveur radius
L’IEEE
ACTIVITE N°1: Identifier, justifier, installer le matériel, vérifier Rendre accessible larrière de la machine « revendeur » sans la démonter Identification.
802.1x Audric PODMILSAK 13 janvier 2009.
Les guides de formation WS-FTP Comment télécharger un site web sur le serveur de lÉcole.
Digi_TransportWR44 Mise en Route Mode Opératoire.
Tout savoir sur la synchronisation des mails, contacts et calendrier sur Windows Phone Lire cette présentation en mode plein écran.
Les NAC Network Access Control
AirCheck. 2 Les réseaux sans fil Wi-Fi 3 Les Réseaux Sans Fil, de plus en plus critiques mais… Les réseaux sans fils sont critiques (60% 1 )... Peu de.
Service DHCP.
Vue d'ensemble Configuration d'adresses IP
TP VLAN Trunking VTP Server, Transparent, Client
SARRAZIN – RAIMBAULT SOKHNA
Installation / utilisation
Date : Juillet 2014 Formation : TAI Formateur : Tayeb BENDJELTI
L’attaque DNS Spoofing
SECURITE DES RESEAUX WIFI
Pourquoi est-il nécessaire d'installer de nouveaux logiciels sur votre ordinateur ? J'exclus de cette présentation l'installation de nouveaux matériels.
KRIKORIAN Pierre HILMI Brahim
Réseau Infrastructure Partage ressources Protocole Sécurité.
Jean-Paul Bricard Collège Pierre Brossolette dans l’Aube
VPN sous Linux Essaka Cynthia Serbin Laurent. Sommaire  Introduction  Vpnd  LRP  Freeswan.
Routeurs de Services Unifiés 2012 DSR-1000N DSR-500N DSR-250N.
Advisor Advanced IP Présentation Télémaintenance Télésurveillance.
Exemples de paramètrage ACL VLAN niveau 3
Les réseaux sans fil « Scénario N=° 3».
TP VLAN Objectifs Données de configuration
FTP : File Transfer Protocol (protocole de transfert de fichier ) est un protocole de communication destiné à l'échange informatique de fichiers sur.
Création d’un domaine Il faut :
Les réseaux sans fil « Scénario N=° 1».
En route vers le déploiement . . .
ORAL du rapport de Stage
Guide de configuration Rocket M2
Création d’un mot de passe afin dé sécuriser l’accès à la configuration.
 Aurélien – Ruhi : Routage  Aurélien – Ruhi : Trixbox  Aurélien – Ruhi : Téléphone cellulaire WiFi  Ruhi : Asterisk  Aurélien : Wifi  Conclusion.
Installation d’un serveur en réseau. Vmware Qu’est-ce que c’est ? - C’est un logiciel qui permet de virtualiser une machine par le biais d’une autre.
Formation Cisco Partie 2 – IOS.
Chapitre8 Configuration de l'adressage TCP/IP et de la résolution de noms Module S41.
Sécurité - Configuration de
Sécurité - Configuration de
trois réseaux internes
Transcription de la présentation:

Cisco’s Access Points frati@nyx.unice.fr

Prix du Cisco 1100 AP à ~460 euros http://www.comparer-les-prix-online.com/pro_86050_cisco-aironet-1100.html

Prix du Cisco 350 AP à ~900 euros Ancêtre du 1100 802.11b only http://www.comparer-les-prix-online.com/pro_81331_cisco-aironet-350-wireless-bridge.html Mais pourquoi est-il plus cher que le 1100 ?

Prise en main du Cisco AP 1120 B Que pouvez-vous déduire des caractéristiques de l’AP sans l’avoir mis en marche ? En regardant la documentation, déterminer : l’adresse IP par défaut ? le password par défaut ? le SSID par défaut ? si vous pouvez le connecter à l’aide d’un cable croisé directement sur un PC ? comment peut-on l’alimenter ?

Comment configurer le point d'accès ? Le point d'accès se comporte comme un pont ethernet. Il a deux interfaces : une filaire (ethernet 100baseTX), l'autre radio (802.11bg). On peut le configurer via: le port série (et un émulateur de terminal) une interface web Nous utiliserons de préférence cette dernière option, plus souple et facile d'abord, mais il ne faut pas sous-estimer la CLI (command line interface)

Avant de commencer réinitialiser le point d'accès pour qu'il retrouve sa configuration par défaut, voir annexe de ce sujet (ou la doc) Le point d'accès Aironet possède un serveur web embarqué qui écoute sur le port 80. Pour y accéder, il faut : attribuer une adresse IP au point d'accès par DHCP Le laisser utiliser l’adresse IP par défaut en cas de non réponse (voir doc) Par défaut, le point d'accès effectue sa configuration IP via DHCP. L'adresse MAC du point d'accès est imprimée sur l'étiquette collée au dos. Il vous faudra l'utiliser dans la configuration de votre serveur DHCP.

Lorsqu'on branche le point d'accès (AP) Il effectue quelques tests (une à 2 minutes) puis lance une requête DHCP. Dans le cas où l’option DHCP est sélectionnée, vérifier dans les logs du serveur DHCP que la bonne adresse IP lui a été attribuée. Vérifier que l'AP répond au ping. Se connecter au serveur web de l'AP à l'aide d'un navigateur web Se familiariser avec l'interface d'administration.

Le paneau EXPRESS SET-UP

Express Set-Up Connectez-vous sur http://10.0.0.1 avec IE ou lynx puis commentez Quel est le SSID affecté par défaut ? La configuration de base permet-elle à quiconque de se connecter ? Quelles sont les informations nécessaires pour connecter une station sans fil ? Un inconnu de passage peut-il les obtenir facilement ? Est-ce d'après vous légal de le faire ?

Express Security Set-Up Ce panneau permet-il de changer le nom du réseau (SSID) ? Que sont les “Aironet extensions” ? Sont-ce des caractéristiques WiFi que l’on retrouvera obligatoirement chez d’autres constructeurs ? Cet AP peut-il annoncer plusieurs SSID ? Dans ce cas, y a-t-il une restriction sur les trames balises “beacons” ? Peut-on empêcher la diffusion du SSID ? Dans la positive, est-ce optionnel pour un matériel portant le label “WiFi” ? Peut-on associer un réseau virtuel (VLAN) à chaque SSID ? A quoi cela peut-il servir d’un point de vue sécurité ? Dans quels modes sécuritaire l’AP peut-il effectuer une authentification centralisée sur un serveur externe ? Peut-on avoir un mode d’authentification différent pour chaque VLAN ? Donner la listes des trames ethernet échangés entre le serveur et le portable lorsqu'on active ce dernier (échanges vus par ethereal préalablement lancé). On listera toutes les trames observées, et on donnera leur signification. Comment voit-on que le client s'est associé au point d'accès ? Dans quels logs du PC routeur trouve-t-on trace de cette association ? Comment le portable aurait-il pu éviter de générer ces traces ? Depuis le serveur interne, peut-on "pinger" le portable ? Rappelez la signification du temps affiché par ping et donner les valeurs observées A quel débit nominal se connecte votre portable lorsqu'il est posé à côté de l'AP ? (indiquez comment vous obtenez cette information). Promenez vous (avec précautions) dans la salle puis dans le couloir adjacent, et notez l'évolution du débit nominal avec la distance. Le temps affiché par ping est-il affecté ?

Network Interfaces: IP Address Comment peut-on paramétrer l’adresse IP du point d’accès ? Pourquoi une seule adresse IP globale pour l’AP alors qu’il a deux interfaces (ethernet et wifi) et l’on pourrait s’attendre à deux adresses IP ?

L'AP CISCO propose un mécanisme simple et standard pour notifier l'administrateur réseau des différents événements. Quel est ce mécanisme ? Quel est le protocole standard utilisé par CISCO pour faire de l'"accounting" ?

Network Interfaces: FastEthernet Settings A quoi correspondent les deux options “Current Status” ? Une interface ethernet peut-elle être “Enabled” et “Down” ? Que faut-il savoir lorsque l’on change la vitesse ou le mode duplex quand on est en PoE ? Pour quelle raison voudrait-on désactiver l’interface ethernet ?

Network Interfaces: Radio0-802.11B Settings Quels sont les rôles disponibles sur ce type d’AP ? Expliquez le mode “Fallback” Peut-on empêcher un client trop lent de ralentir tout le monde ? Quels sont les canaux disponibles ? Quelles restrictions doivent s’appliquer en fonction du pays où se fera l’installation ? A combien de mW correspondra l’option “Max” Transmission Power : en France, indoor, canal 7 ? en France, outoor, canal 13 ? Si l’on peut raccorder une antenne extérieur à l’AP, pourquoi doit-on en spécifier le gain ? Quel est l’intervalle entre deux trames “balises” ? Comment l’AP choisit-il son “Default Radio Channel “ ?

Network Interfaces: Radio0-802.11B Carrier Busy Test A quoi sert le “Carrier Busy Test” ? Quels sont les canaux actuellement occupés dans les locaux ? Utilisez un logiciel de scanning réseau tel Aire (http://www-iutinfo.unice.fr/~frati/802.11/Software/) afin de détecter les canaux occupés. Les inventorier afin de démarrer votre site survey et de donner vos recommandations à la fin de celui-ci.

Procédez à un “Site Survey” 1= 2= 3= 4= 5= 6= 7= 9= 9== 5 étage supérieur = 10== 5 étage supérieur = 8 7 6 3 5 4 1 Niveau émission borne = Toutes mesures en dBm 2

CLI – le “Bonus” Comment peut-on empêcher une connection d’administration HTTP ? A l’aide d’une connexion Hyperterminal (voir Annexes), récupérez le config.txt et le comparer au résultat d’une session telnet Y a-t-il télécharger la configuration complète de l’AP par un protocole/système particulier depuis un serveur centralisé ?

Commentez ce fichier de configuration version 12.2 no service pad service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname ap username Cisco password 7 123A0C041104 username wifi privilege 15 password 7 062A3F0C65673B2A23 ip subnet-zero ip domain name wifi.org ip name-server 192.168.20.1 bridge irb line con 0 line vty 5 15 interface Dot11Radio0 no ip address no ip route-cache ! interface FastEthernet0 duplex auto speed auto bridge-group 1 no bridge-group 1 source-learning bridge-group 1 spanning-disabled interface BVI1 ip address 192.168.20.2 255.255.255.0

Commentez ce fichier de configuration ! encryption key 1 size 40bit 7 5BD89397A729 transmit-key encryption mode wep mandatory ssid ssid1 authentication open … ssid ssid9 ssid tsunami authentication network-eap eap_methods accounting acct_methods guest-mode speed basic-1.0 basic-2.0 basic-5.5 basic-11.0 rts threshold 2312 station-role root no cdp enable dot1x reauth-period server bridge-group 1

Commentez ce fichier de configuration aaa new-model ! aaa group server radius rad_eap server 192.168.20.1 auth-port 1645 acct-port 1646 aaa group server radius rad_mac aaa group server radius rad_acct … ip default-gateway 192.168.20.1 ip http server ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag/ivory/1100 ip http authentication aaa ip radius source-interface BVI1 radius-server local nas 192.168.20.1 key 7 0723116167202B3631 radius-server host 192.168.20.1 auth-port 1645 acct-port 1646 key 7 1329273F222536190D radius-server retransmit 3 radius-server attribute 32 include-in-access-req format %h radius-server authorization permit missing Service-Type radius-server vsa send accounting bridge 1 route ip end