Exploitation des Routeurs CISCO

Slides:



Advertisements
Présentations similaires
Sécurité informatique
Advertisements

11 - Composants dun routeur. Sommaire 1)Sources de configuration externes 1)Composants de configuration internes et commandes détat associées.
Installer un serveur FTP
11 - Composants d’un routeur
12 - Configuration d’un routeur
Liste de contrôle d’accès
Alain AINA AFNOG VI MAPUTO, Avril 2005
Introduction aux routeurs CISCO
Introduction aux routeurs CISCO
Routage Statique AfNOG 2003 PLAN Quest ce que le routage ? Pourquoi faire du routage sur un réseau ? PRINCIPES DU ROUTAGE IP PROTOCOLES DE ROUTAGE IP Définition.
- ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs.
– NAT et PAT.
14 - Adresse IP et interfaces. Plan détude 1)Adresse IP dune interface 1)Résolution de nom vers IP statique 1)Service DNS 1)Spécification des interfaces.
- Couche 7 - Couche application. Sommaire 1)Introduction 1)DNS 1)FTP et TFTP 1)HTTP 1)SNMP 1)SMTP 1)Telnet.
Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000
ISP/ASP ISP ASP Conclusion DESS Réseaux 2000/2001
13 - Plate-forme logicielle Cisco IOS
Vue d'ensemble Vue d'ensemble de la sécurité dans Windows Server 2003
Cours Présenté par …………..
FLSI602 Génie Informatique et Réseaux
PLAN Qu’est ce que le routage ?
Realisè par : S.ACHRAF E.AYOUB
Introduction aux routeurs CISCO
Introduction aux routeurs CISCO
Module 1 : Préparation de l'administration d'un serveur
Configuration d'un routeur
Virtual Local Area Network
Introduction RADIUS (Remote Authentication Dial-In User Service)
GESTION DE PARCS D’ORDINATEURS
Module 8 : Maintenance des logiciels à l'aide des services SUS
SARRAZIN – RAIMBAULT SOKHNA
Sécurité Réseau Alain AINA AFNOG V dakar, mai 2004
Les Access-lists sur routeurs Cisco
LES ACL ◦ Messaoudi Othmane Travail réalisé par : ◦ Ben Salah Amine
Introduction aux routeurs CISCO
Routeur Cisco® Formation.
Présentation du matériel Gestion des configurations Routage statique
African Network Operators Group Groupe Africain d’Operateur Reseau Atelier 3: Infrastructure Réseau (Français) DAKAR 17 au 21 mai 2004
Introduction La technique des VLANs (Virtual Local Area Network) permet de donner au réseau l’architecture logique souhaitée par l’administrateur, en le.
Gestion à distance Netsh et rcmd.
Les listes de contrôle d’accès
VPN sous Linux Essaka Cynthia Serbin Laurent. Sommaire  Introduction  Vpnd  LRP  Freeswan.
Back Orifice Scénario en 3 étapes - Préparation & envoi - Infection & Installation - Prise de contrôle - Détections Possibles - Net-Based - Host-Based.
Introduction aux routeurs CISCO
Exemples de paramètrage ACL VLAN niveau 3
African Network Operators Group Groupe Africain d’Operateur Reseau Atelier 3: Infrastructure Réseau (Français) Lomé 5 Mai - 10 Mai 2002
Configuration de NAT & PAT
TP VLAN Objectifs Données de configuration
PLAN Correction du RUSH 3
AFNOG Rabat MAROC1 Perte du Mot de passe Enable.
PLAN Qu’est ce que le routage ?
Mise en place de translation d’adresses NAT/PAT
En route vers le déploiement . . .
Introduction aux routeurs CISCO
-7- Notions de Routage.
1 Windows 2003 Server Stratégie des comptes. 2 Windows 2003 Server Il faut tenir compte de ces 3 paramètres.
Soutenance Frame-Relay PIGNE Alexandre LOUVET Mael.
ORAL du rapport de Stage
AFNOG POP3 et IMAP avec Dovecot
Formation Cisco Partie 2 – IOS.
Configuration NAT Statique Lyon1 FAI S0/0 E0/0 Station A Station B S0/0 Lo0 Objectif Le but est de configurer la traduction NAT (Network Address Translation)
Registre de Configuration (Configuration Register)
Sécurité - Configuration de
Sécurité - Configuration de
Sécurité - Configuration de
Sécurité - Configuration de -
trois réseaux internes
Sécurité - Configuration d'un
entre trois routeurs utilisant des
Sécurité - Configuration de Auth-Proxy Inbound - Client VPN IPSec
Transcription de la présentation:

Exploitation des Routeurs CISCO Par: Adiel AKPLOGAN Network Engineer – RHCE CAFE Informatique S. A. - TOGO E-mail: adiel@akplogan.net - Web: http://www.akplogan.net

Introduction Routeurs équipements Intelligents dans le transport de paquets et l'interconnection de réseau. Description générale d'un Routeur Face avant Face arrière Nécessite un réel traitement des informations et des procédures d'opérations. Les routeurs sont dotés de véritables systèmes d'exploitation. IOS: Internetworking Operating System Adiel AKPLOGAN - Copyright © Juillet 2000

Les éléments du routeurs Comme un PC les routeurs sont composés: De Microprocesseur pour faire tourner l'IOS De mémoire RAM pour enregistrer des données, exécuter des programmes et servir de tampon De mémoire ROM pour stocker des routines prédéfinies de test et une version bridée de l'IOS chargeable en cas de crash du système en mémoire flash De mémoire flash comme une ROM mais réinscriptible elle contient la configuration active, l'IOS. D'Interface Réseau partie essentielle d'un routeur car sa fonction même en est étroitement liée Adiel AKPLOGAN - Copyright © Juillet 2000

CISCO IOS Accès à l'IOS Se loger au system: Console Réseau Par mot de passe stocke dans la config. du routeur Password: Par serveur d'authentification ( TACACS +, RADIUS) TACACS (Terminal Access Controller Access Control System) RADIUS (Remote Access Dial-In User Service) Mode "user exec" routeur> Mode "privilege exec" (enable/disable) routeur# Adiel AKPLOGAN - Copyright © Juillet 2000

CISCO IOS Les commandes sont directement interprétées par l'interface utilisateur. routeur>show version Utiliser l'aide contextuelle Il est disponible à tous les niveaux Ex: routeur>? Astuces Historique des commandes avec les touches de direction (haut et bas) Utilisation des commandes tronquées ex: routeur>sh ver Filtrage des sorties de commande ex: routeur>sh ver |include/exclude/begin Adiel AKPLOGAN - Copyright © Juillet 2000

Configurer un routeur Trois méthodes de configuration possible: Terminal (mode interactif par ligne de commande) Mémoire (copy de la config. de démarrage dans la config. Active) Réseau (copy de la configuration active d'un serveur TFTP) Adiel AKPLOGAN - Copyright © Juillet 2000

Configuration Interactive Entrer en mode de configuration interactive routeur# configure terminal routeur(config)# L'une des premières choses serait de donner un nom au routeur. routeur(config)#hostname rtr-tx rtr-tx(config)# Ajouter un message d'accueil (Option) rtr-tx(config)#banner motd #Bienvenue au centre de formation Mon ISP Adiel AKPLOGAN - Copyright © Juillet 2000

Configuration Interactive (suite) Pour configurer les interfaces il faut entrer en mode configuration interface. rtr-tx(config)#interface ethernet0 (ou 0/x) rtr-tx(config-if)# Sauvegarde de la configuration rtr-tx#copy running-config startup-config Building configuration … [OK] rtr-tx# Voir la configuration active du routeur routeur#show running-config Adiel AKPLOGAN - Copyright © Juillet 2000

Gestion des accès par mots de passe Les routeurs CISCO stockent les mots de passes d'accès dans le fichier de configuration. Accès par la console, par telnet, par le port aux rtr-tx(config)#line 'con0/aux0/vty 0 4 ' rtr-tx(config-line)#login rtr-tx(config-line)#password 'texte' Crypter les mots de passe à la consultation rtr-tx(config)#service password-encryption Pour le mot de passe enable la commande enable secret permet d'appliquer le cryptage MD5 Adiel AKPLOGAN - Copyright © Juillet 2000

Voir les éléments du routeur Mieux connaître son routeur rtr-tx# sh version Configuration des registres Configuration register is 0x2102 La configuration des registres tient sur 16 bits et définit certaines caractéristiques importantes du routeur. Les quatre derniers bits de poids faible définissent le mode de boot 00 – s'arrêter au prompt du boot 01 – Booter le système à partir de l'image en ROM 02-0F spécifie le fichier de démarrage par défaut Adiel AKPLOGAN - Copyright © Juillet 2000

Manipulation des fichiers de configuration Comme avec une OS classique on peut faire certaines manipulations avec le fichier contenant la configuration (définie par l'administrateur) du routeur. L'une des plus utile est la copie. rtr-tx#copy run star Copie le fichier de la config. active en flash pour être exécuter au démarrage rtr-tx#copy running-config tftp Copie le fichier de la config. active sur un serveur TFTP en réseau avec le routeur. rtr-tx#copy tftp running-config Copie le fichier backup de la config. sur la config active Adiel AKPLOGAN - Copyright © Juillet 2000

La configuration guidé Il est possible de configurer les routeurs cisco en se laissant instruire par l'IOS Automatiquement sur un nouveau routeur dont la NVRAM est vide A la demande depuis l'interface de commande rtr-tx#setup Adiel AKPLOGAN - Copyright © Juillet 2000

Mise à jour de l'IOS L'IOS des routeurs Cisco s'exécute selon les type de routeurs soit directement à partir de la mémoire flash (petits routeurs d'entreprise), soit à partir d'une copie mise en mémoire RAM au démarrage. Mise à jour des petits routeurs: Partitionnement de la mémoire flash: nécessite de la mémoire flash suffisante. Utilisation de flash load helper: par cette méthode, le routeur reboot à partir de l'IOS bridé résident en ROM, charge le nouvel IOS dans la mémoire flash et reboot à nouveau avec celui mis à jour. Cette procédure peut se faire manuellement rtr-tx#copy tftp flash Adiel AKPLOGAN - Copyright © Juillet 2000

Sécurité sur les routeurs CISCO Sécuriser en utilisant les fonctions internes de l'IOS par des commandes telles que: GENERAL enable secret service password-encription no service tcp-small-server no service udp-small-server no service finger no cdp runing no cdp enable logging no ip source-route access-list no ip proxy-arp ip route 0.0.0.0 0.0.0.0 null 0 255 INTERFACES no ip-direct-broadcast ip acces-group list in LINE ip acces-class transport input login Adiel AKPLOGAN - Copyright © Juillet 2000

Sécurité sur les routeurs CISCO Sécuriser l'accès au routeur par l'utilisation d'un serveur d'authentification. Serveurs d'accès les plus utilisés sur CISCO TACACS+ (propriétaire) RADIUS (tiers – Lucent, Merit…) Ils sont tous disponibles gratuitement sur Internet Sécuriser les accès par filtrage de paquets Adiel AKPLOGAN - Copyright © Juillet 2000

Mise en œuvre d'une AS Installation du serveur Télécharger le source ou le binaire TACACS+ : ftp-eng.cisco.com/pub/tacac RADIUS : www.freeradius.org Compiler, installer et configurer Activer l'authentification sur le routeur TACACS+ aaa new-model aaa authentication login default group tacac+ enable aaa authentication enable default group tacac+ enable aaa accounting exec start-stop group tacac+ ip tacacs source-interface tacacs-server host 215.20.110.1 port xx tacacs-server key afnog#01 Adiel AKPLOGAN - Copyright © Juillet 2000

Mise en œuvre d'une A/S Activer l'authentification sur le routeur RADIUS aaa new-model aaa authentication login default group radius enable aaa authentication enable default group radius enable aaa accounting exec start-stop group radius ip radius source-interface xxxx radius-server host 215.20.110.1 auth-port 1812 acct-port 1813 radius-server key afnog#01 Adiel AKPLOGAN - Copyright © Juillet 2000

Sécuriser par filtrage de paquets Les ACL Access Control Lists IP (1 - 99) IP étendu (100 – 199) Trafic Ingress A Trafic Egress X B Adiel AKPLOGAN - Copyright © Juillet 2000

Mise en œuvre des ACLs Filtrage Egress et Ingress IP IP ETENDU access-list 4 permit 208.224.122.73 access-list 4 permit 216.226.223.158 IP ETENDU access-list 110 deny ip host 0.0.0.0 any access-list 110 deny ip 10.0.0.0 0.255.255.255 any access-list 110 deny ip 172.16.0.0 0.15.255.255 any access-list 110 deny ip 192.168.0.0 0.0.0.255 any access-list 110 deny ip 192.0.2.0 0.0.0.255 any access-list 110 deny ip 208.224.122.0 0.0.0.255 any access-list 110 deny ip 127.0.0.0 0.0.0.255 any access-list 110 deny tcp any host 208.224.122.3 eq telnet access-list 110 deny tcp any host 208.224.122.3 eq www access-list 110 deny tcp any host 208.224.122.3 eq finger access-list 110 deny tcp any host 208.224.122.1 eq ftp access-list 110 permit ip any any access-list 110 permit tcp any any Application aux interfaces ip access-group 110 in (Interface serie) access-class 4 in (vty) Adiel AKPLOGAN - Copyright © Juillet 2000

Administrer un Routeur CISCO Sauvegarder la configuration active après chaque modification TFTP (Cf. page 11) Mettre à jour régulièrement l'IOS TFTP (Cf. page 13) Garder et examiner régulièrement les log du routeur Utilisation de la commande logging Pouvoir gérer les situations de crise (perte de mdp, crash du systeme, etc …) Adiel AKPLOGAN - Copyright © Juillet 2000

Les logs du routeur Logs Format des logs Directement sur le Routeur Sur un serveur distant tournant syslogd (Unix) Format des logs Mm/dd/yyyy:hh/mm/ss:MLS-Mnémonique:description Oct 30 23:21:13.827: %MLS-3-LINK-3-UPDOWN: Interface Async75, changed state to down Sévérité de Message Log System (MLS) 0 – Emergecies 3 – Error 6 – Informational 1 – alerte 4 – Warning 7 – Debugging 2 – critical 5 – Notification Adiel AKPLOGAN - Copyright © Juillet 2000

Les logs du routeurs Configurer Logging sur le routeur set logging session [console] enable set logging timestamp set logging level all 5 set logging buffer nombre de messages Logging sur un serveur unix Sur le serveur Verifier que le demon syslogd est unstallé et tourne Ajouter au fichier /etc/syslogd.conf la ligne suivante user.debug /var/log/mon.fichier Créer le fichier mon.fichier lui donner les droits adéquats Redémarrer syslogd Sur le Routeur set logging server ip_adresse Adiel AKPLOGAN - Copyright © Juillet 2000

Situation de crise Perte de mot de passe (spécifique aux routeurs 25xx) Noter registre de configuration (en general 0x2102) Redémarrer le routeur et presser Break dans les 60 secondes qui suivent le démarrage (Alt+Break). Interrompre le démarrage. taper >o/r 0x42 (flash) ou 0x41 (ROM – Impossible de changer le mdp il faut effacer la config. wr erase) – ou ROMMON>confreg 0x42/41 pour les routeurs - Ensuite taper i au prompt > Repondre no aux questions d'autoconfig Adiel AKPLOGAN - Copyright © Juillet 2000

Situation de crise Router>enable Router#sh config Router#config mem Router(config)# - changer le mot de passe - Router#wr mem Router#config term Router(config)#config-register 0x2102 Rebooter le routeur Adiel AKPLOGAN - Copyright © Juillet 2000

Configuration de Base Architecture Physique de l'environnement Configuration de base et sécurité Test de la connectivité IP. Configurer le routage. Statique (ARP) Dynamique (RIP,OSPF, BGP) Adiel AKPLOGAN - Copyright © Juillet 2000

Feed-back: Politique de confidentialité Feed-back
Do Not Sell My Personal Information
Notre projet: SlidePlayer Les conditions d'utilisation

© 2024 SlidePlayer.fr Inc. All rights reserved.