Avertissement Certaines parties de ce cours sont construites à partir d’informations relatives aux routeurs de la marque cisco Les notions manipulées sont assez générales pour êtres valables quelle que soit la marque La syntaxe des quelques commandes présentées est propre à cisco Cependant, seules des commandes très généralistes sont décrites, il sera donc aisé d’en trouver l’équivalent chez un autre constructeur RE16

Routeur Un routeur est une machine de traitement de données, au même titre qu’un ordinateur Il est composé : d’une partie matérielle (processeur, mémoire, interfaces) d’une partie logicielle comprenant : un système d’exploitation des fichiers de configuration RE16

Routeur : système d’exploitation Il interprète les commandes entrées à la ligne de commande ou collectionnées dans le fichier de configuration Comme sur un ordinateur, il peut être mis à jour pour corriger des failles ou ajouter des fonctions RE16

Routeur : aspects matériels RE16

Routeur : composants Les composants internes d'un routeur sont les suivants : Mémoire RAM/DRAM : tables de routage la mémoire cache ARP files d'attente de paquets sert également de mémoire d'exécution au fichier de configuration du routeur lorsque ce dernier est sous tension le contenu de la mémoire RAM est perdu lors d'une mise hors tension ou d'un redémarrage. Mémoire NVRAM : mémoire non volatile stocke le fichier de configuration RE16

Routeur : composants Mémoire flash : Mémoire ROM : Interfaces : mémoire morte effaçable électriquement contient le microcode et l'image du système d'exploitation. permet d'effectuer des mises à niveau logicielles sans retirer ni remplacer les puces du processeur son contenu est conservé lors d'une mise hors tension et d'un redémarrage Elle peut stocker plusieurs versions de la plate-forme logicielle Cisco IOS Mémoire ROM : les diagnostics de mise sous tension un programme d'amorçage Interfaces : connexions réseau situées sur la carte-mère ou sur des modules d'interface distincts, par lesquelles les paquets entrent dans le routeur et en sortent RE16

Accès au routeur On peut configurer un routeur à partir des sources externes suivantes : le port console (RS232) un modem utilisant le port auxiliaire une session telnet, après l'installation du routeur sur le réseau un serveur TFTP du réseau Certains routeurs intègrent un serveur web qui permet de les programmés, à condition qu’ils soient déjà visibles sur le réseau RE16

Les modes d’un routeur Quelle que soit la méthode utilisée pour accéder au routeur, celui-ci peut fonctionner dans différents modes : Mode utilisateur -- Dans ce mode en lecture seule, l'utilisateur peut consulter les informations relatives au routeur mais il ne peut pas les modifier. Mode privilégié -- Prend en charge les commandes de débogage et de test, l'analyse détaillée du routeur, le traitement des fichiers de configuration et l'accès aux modes de configuration. Mode setup -- Affiche un dialogue interactif à l'écran de la console, à l'aide duquel l'utilisateur débutant peut créer sa première configuration de base. Mode de configuration globale -- Mode offrant des commandes de configurations simples. Autres modes de configuration -- Modes permettant de créer des configurations multilignes détaillées, pour chaque interface. Mode RXBoot -- Mode de maintenance permettant notamment de récupérer des mots de passe perdus. RE16

Visualisation de l’état d’un routeur show version : affiche la configuration matérielle système, la version du logiciel, le nom et la source des fichiers de configuration ainsi que l'image d'amorçage. show protocols : affiche les protocoles configurés et l'état de tous les protocoles configurés de couche 3. show memory : affiche des statistiques sur la mémoire du routeur, notamment sur la mémoire disponible. show flash : affiche des informations sur la mémoire flash. show running-config : affiche le fichier de la configuration active. show startup-config : affiche le fichier de la configuration de sauvegarde. show interfaces : affiche des statistiques sur toutes les interfaces configurées du routeur. RE16

show version RE16

show protocols RE16

Fichiers de configuration Un routeur contient toujours deux configurations : une configuration active (runnin-config) en RAM : elle peut être modifiée à chaud, les modifications seront exécutoires immédiatement une configuration de démarrage (startup-config) en NVRAM : elle est copiée vers la RAM à chaque démarrage pour créer la configuration active Ainsi, les modifications de configuration faites sur la configuration active doivent être sauvegardées dans la configuration de démarrage, si on veut les conserver au-delà du prochain redémarrage RE16

show running-config show startup-config RE16

Exemple de fichier de config version 10.3 no service config ! évite les requêtes TFTP en broadcast pour les mises à jour automatiques de la config no service tcp-small-servers ! no service udp-small-servers ! évite le déni de service sur les ports 7 et 9 no ip domain-lookup ! évite la recherche DNS sur des mauvaises commandes service password-encryption ! les mots de passe seront inscrits codés dans les configs hostname cisco4000 ! enable secret 5 $1$QIgl$PUFwSWwHjElDaG4LOLFxa/ enable password class interface Ethernet0 ip address 192.168.0.254 255.255.255.0 no shutdown interface Ethernet1 ip address 192.168.10.254 255.255.255.0 interface Ethernet2 ip address 192.168.20.254 255.255.255.0 no shutdown ! interface Ethernet3 ip address 192.168.30.254 255.255.255.0 interface Serial0 no ip address shutdown interface Serial1 line con 0 login password cisco end RE16

Table de routage Un routeur intervient pour l’aiguillage des paquets Il y parvient grâce à sa table de routage On peut visualiser la table de routage grâce à la commande show ip route RE16

Test de bon fonctionnement Pour vérifier la bonne connectivité d’un routeur avec ses voisins, on utilise les commandes ping et trace route RE16

Connexion à l’Internet : FireWall L’idée est de maîtriser un éventuel incendie Cela signifie que : on accepte l’idée qu’un incendie est possible (attaque de la DMZ) au cas où cela se produit, on s’arrange pour qu’il soit limité à une zone non cruciale du réseau (la DMZ) Le FireWall est utilisé pour confronter tous les paquets de données aux règles de la politique de sécurité Il avertira l’administrateur de toute activité suspecte RE16

FireWall : différents types Le fonctionnement d’un FireWall repose sur les éléments suivants : filtrage des paquets avec des ACLs, translations d’adresses (couches 3 et 4) serveur proxy (couches 4 à 7) Il peut proposer d’autres techniques liées à la sécurité des accès au réseau : VPN Virtual Private Network détection d’intrusions Authentification RE16

FireWall : différents types Un FireWall peut être logiciel : c’est un programme installé sur un OS classique exemple : CheckPoint FireWall 1 on dit aussi « server based FireWall » dans cette catégorie, on trouve aussi les FireWalls personnels comme Norton, MacAfee, Zone Labs, … ces logiciels sont souvent couplés à un antivirus réservé en général à la protection d’une machine seulement, ou d’un très petit réseau ! RE16

FireWall : différents types Un FireWall peut être matériel : ce sont des plate-formes spécifiques sur ces plate-formes tourne un OS spécifique (épuré) exemples : Cisco, NetScreen, SonicWall, WatchGuard on dit aussi « dedicated FireWall » L’IOS de certains routeurs peut aussi intégrer des fonctions «FireWall» RE16

Firewall : aspects matériels C’est la même chose que pour un routeur !?! Le firewall a lui aussi : un système d’exploitation un accès administratif des modes de configuration des fichiers de configuration RE16

Connexion à l’Internet : FireWall Point de passage obligé pour tous les paquets qui sortent et qui entrent dans le réseau Réseau interne Zone « démilitarisée » : DMZ RE16

Firewall matériel Il a pour fonctions : Le routage Le filtrage La translation d’adresses La détection d’intrusions La gestion des accès distants Routage ACLs NAT IDS VPN RE16

Comparaison Routeur / Firewal Fnalement, un routeur et Firewall ont tous les deux les mêmes fonctions : la structure matérielle/logicielle est la même ils relient pluseurs réseaux IP différents, ils font donc du routage ils permettent tous les deux de faire du filtrage même chose pour la translation d’adresses On peut faire de la détection d’intrusion avec certains routeurs Où est la différence ? RE16

Comparaison Routeur Firewall Un routeur « peut » alors qu’un firewall « doit » La différence réside dans : les performances physiques et logiques du système, même si la structure est la même (pour un routeur et un firewall) les contraintes et la philosophie de mise en oeuvre Un routeur peut « tout » faire, il n’est pas assez spécialisé pour être rapide sur les fonctions de sécurité Un firewall doit aussi faire du routage, mais cela doit rester simple car ce n’est pas son travail principal Un firewall est construit pour être rapide pour les fonctions de sécurité Routeur et firewall sont des matériels voisins techniquement, avec des fonctions communes, mais qui sont utilisées pour servir des objectifs bien distincts RE16

FireWall : niveaux de confiance Un FireWall utilise la notion de niveau de confiance : 100 : signifie que le réseau est sûr (réseau interne) 0 : signifie le contraire (extérieur) les communications sont par défaut interdites des réseaux de niveau de confiance inférieurs vers les réseau à niveau de confiance supérieurs seuls les paquets explicitement autorisés peuvent «remonter» les niveaux de confiance RE16

FireWall : niveaux de confiance Internet DMZ Réseau interne RE16

FireWall : translation d’adresse NAT Comme certains routeurs, le FireWall utilise le NAT : cette technique permet de « cacher » des adresses, généralement privées derrière d’autres adresses publiques elle permet de donner une idée totalement fausse de l’architecture du réseau, vu de l’extérieur toutes les translations doivent être explicites, même pour les adresses qui ne doivent pas changer (translations blanches) Cette technique oblige toutes les communications à passer par le FireWall (initialisation, transmission et relâchement) Le FireWall peut ainsi vérifier « à la volée » que tous les paquets échangés sont conformes au dialogue RE16

FireWall : translation d’adresse NAT 192.204.0.20 192.204.0.20 192.204.0.20 192.204.0.21 RE16

FireWall : translation de ports En plus de la translation d’adresses, un FireWall est susceptible de translater les ports : les communications sortantes sont toutes translatées vers la même adresse IP (quelle que soit la source) elles se verront attribuer un port client différent Cela permet de cacher de nombreux clients (voire tout un réseau) derrière une seule adresse ! L’exploration de l’architecture du réseau devient alors impossible RE16

FireWall : translation de ports

FireWall : ACLs Elles doivent être utilisées pour autoriser le trafic utile de l’extérieur vers la DMZ, et éventuellement de la DMZ vers l’intérieur Le fonctionnement est le même que pour un routeur RE16

FireWall : exemple d’ACL

Firewall : exemple d’ACL

FireWall : serveur AAA A Authentication : détermine qui est le client A Authorization : détermine ce que le client a la droit de faire A Accounting : enregistre ce que le client a fait Cette procédure est facultative Elle utilise un serveur d’authentification externe au FireWall comme CSACS, TACACS+, Radius RE16

FireWall : serveur AAA RE16

Conclusion Routeur Firewall Position dans le réseau En interne A l’interface intérieur/extérieur Routage Décliner l’architecture en réseaux / sous-réseaux Relier Internet, DMZ et réseau interne Filtrage Interdire les actions inutiles Se prémunir des attaques et autres… Translation Facultative Obligatoire ! Accès distant Possible, mais souvent compliqué Facile et très sécurisé IDS Possible, mais peu performant Très performant RE16