BARBAROUX BTS SIO SISR 1 Julie

BARBAROUX BTS SIO SISR 1

Julie

Travaux pratiques : configuration des fonctions de sécurité des commutateurs

Pour le début de mon TP j’ai décidé de ne pas suive la totalité de la configuration du routeur , j’ai

seulement changer ou amélioré les chose que j’estimé utile au bon fonctionnement de mon TP.

Étape 3 : Configurez les paramètres de base sur S1.

Après avoir fait les modifications, je configure l'adresse IP de l'interface de gestion du VLAN 99,

comme indiqué dans la table d'adressage, puis je l’active.

Grace a la commande « sh vlan » je verifie l’etat du Vlan99

On constate alors qu’il est actif

J’attribue les ports F0/5 et F0/6 au VLAN 99 sur le commutateur.

Avec la commande « sh ip int br » je vérifie l’état du protocole de VLAN99

On peut alors constater que le protocole affichés de l'interface VLAN 99 est « Up » et « up »

Étape 4 : Vérifiez la connectivité entre les périphériques.

J’exécute une série de ping afin de constater la bonne connectivité entre le pc le routeur et le

switch :

De pc-a vers la passerelle de R1 :

De pc-a vers le switch S1 (c1) dans mon cas :

De mon switch vers la passerelle de R1 :

À partir de PC-A, j’ouvre un navigateur Web et accéde à http://172.16.99.11

A ce moment la tu tp je décide de renommer mon C1 en S1 pour ne pas me perdre dans les

explication.

Partie 3 : Configuration et vérification de l'accès SSH sur S1

Étape 1 : Configurez l'accès SSH sur S1.

Je crée aussi un nom de domaine sécurisé ainsi de l’entré de transport et la clef de chiffrement

RSA :

J’utilise la commande sh ip ssh :

Quelle version de SSH le commutateur utilise-t-il ? le commutateur utilise la version 1.99

Combien de tentatives d'authentification SSH permet-il ? SSH permet 3 tentative

Quelle est la valeur par défaut du délai d'attente de SSH ? le délai d’attente par défaut est de 120

secondes

Étape 2 : Modifiez la configuration de SSH sur S1.

Je commence par modifier la configuration de SSH par défaut.

Combien de tentatives d'authentification SSH permet-il ? Le serveur ssh permet 2 tentatives

d’authentification.

Quelle est la valeur du délai d'attente de SSH ? la valeur du délai d’attente de ssh est de 75 secondes

Étape 3 : Vérifiez la configuration de SSH sur S1.

À l'aide d'un logiciel client SSH sur PC-A j’ouvre une connexion SSH avec S1.

On constate alors que la connexion marche.

Partie 4 : Configuration et vérification des fonctions de sécurité sur S1

Étape 1 : Configurez les fonctions de sécurité générales sur S1.

Je commence par configurer une bannière MOTD

J’exécute ensuite la commande « sh ip int br »

On constate alors que le port F0/5 ET F0/6 sont up aussi bien leur statuts que leur protocole

Suite à ça j’arrête tous les ports physiques non utilisé grâce a la commande « int rang »

Je re exécute la commande « sh ip int br »

On constate que les ports F0/1 à F0/4 sont « administratively down » .

J’exécute ensuite la commande sh ip server status :

Quel est l'état du serveur HTTP ? le serveur ssh est Activé

Quel port de serveur utilise-t-il ? il utilise le port 80

Quel est l'état du serveur sécurisé HTTP ? le serveur http est Activé

Quel port de serveur sécurisé utilise-t-il ? Il utilise le port 443

Je désactive le service HTTP en cours d'exécution sur S1.

On constate alors qu’on ne peut plus joindre « http://172.16.99.11

Étape 2 : Configurez et vérifiez la sécurité des ports sur S1.

À partir de l'interface en ligne de commande de R1, j’exécute la commande show interface g0/1 et

je note l'adresse MAC de l'interface.

J’exécute une commande « show mac address-table »

On peut alors constater l’adresse MAC de F0/5 etF0/6 :

Adresse MAC de F0/5

Adresse MAC de F0/6 :

Je passe en mode de configuration d'interface pour le port qui se connecte à R1 puis j’arrête le port

et active la sécurité des ports sur F0/5.

J’active ensuite le port du commutateur.

Je vérifie la sécurité des ports sur l'interface F0/5 de S1 en exécutant une commande « show port-

security interfac ».

Sur R1, j’envoie une requête ping à PC-A pour vérifier la connectivité.

On constate que cette fois le ping marche

Je vais maintenant violer la sécurité en modifiant l'adresse MAC sur l'interface du routeur. Pour

cela je passe en mode de configuration d'interface pour G0/1 et je l’arrete.

Je configure une nouvelle adresse MAC pour l'interface, en utilisant aaaa.bbbb.cccc comme adresse.

Puis sur R1, j’envoie une requête ping à PC-A.

On peut constater que le ping ne marche pas.

Sur le commutateur, Je vérifie la sécurité des ports à l'aide de la commande « sh port-security. »

On constate alors que F0/5 est SHUTDOWN a cause du viol de sécurité fais auparavant

Je fais aussi la commande sh port-security interface f0/5.

On constate que le compteur de violation de sécurité a été activé et est maintenant a 1 et que la

source est la MAC aaaa.bbbb.cccc. Le port est maintenant shutdown

Ainsi que la commande sh int f0/5

Puis je refais la commande sh port-security en ajoutant « adresse » à la fin

Sur le routeur, j’arrête l'interface G0/1, puis je supprime l'adresse MAC codée en dur du routeur,

puis je réactive l'interface G0/1.

À partir de R1, je renvoie à nouveau une requête ping à PC-A à l'adresse 172.16.99.3.

On constate que la requête ping n’aboutit pas.

J’exécute la commande show interface f0/5 afin de déterminer la cause de l'échec de la requête

ping

La requête ping n’a pas pu aboutir à cause du protocole down (err-disabled) il faut manuellement

réactiver f0/5.

J’efface donc l'état « Error Disabled » de F0/5 sur S1.

Pour effacer cet êta j’éteins f0/5 puis je le relance.

J’exécute la commande show interface f0/5 sur S1 afin de vérifier que F0/5 n'est plus en mode «

Error Disabled ».

On peut alors constater que F0/5 est maintenant connecté (up)

À partir de l'invite de commande de R1, je renvoie à nouveau une requête ping à PC-A.

On peut alors constater que le ping fonctionne car le VLAN99 F0/5 est réactivé

Commande sh run de mon routeur :

R1#sh run

Building configuration...

Current configuration : 1699 bytes

version 15.1

service timestamps debug datetime msec

service timestamps log datetime msec

service password-encryption

!

hostname R1

!

enable secret 4 VYlArd0J6s2X4dZwZ42oTpLQ5Zog8wZDgZKHMP2SHEw

no ip domain lookup

!

interface GigabitEthernet0/0

description vers PCB

no ip address

shutdown

duplex auto

speed auto

!

interface GigabitEthernet0/1

description vers SWITCH

ip address 172.16.99.1 255.255.255.0

duplex auto

speed auto

!

interface Serial0/0/0

description Link to R1

no ip address

shutdown

no fair-queue

clock rate 2000000

!

interface Serial0/0/1

no ip address

shutdown

clock rate 2000000

ip forward-protocol nd

!

no ip http server

no ip http secure-server

line con 0

exec-timeout 5 0

password 7 094F471A1A0A141D051C053938

logging synchronous

login

line aux 0

line 2

no activation-character

no exec

transport preferred none

transport input all

transport output pad telnet rlogin lapb-ta mop udptn v120 ssh

stopbits 1

line vty 0 4

exec-timeout 5 0

password 7 05080F1C2243581D0015160118

logging synchronous

login local

transport input ssh

end

Commande sh run de S1 :

S1#sh run

Building configuration...

Current configuration : 4586 bytes

! Last configuration change at 03:26:36 UTC Mon Mar 1 1993

version 15.2

no service pad

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

!

hostname S1

!

enable secret 5 $1$voVA$sIaZBCHYWvxmfNCOAhNCY.

username admin privilege 15 secret 5 $1$OhRj$ep.mCaeNedps1fK1.l69X1

ip domain-name CCNA-lab.com

!

crypto pki trustpoint TP-self-signed-2929648896

enrollment selfsigned

subject-name cn=IOS-Self-Signed-Certificate-2929648896

revocation-check none

rsakeypair TP-self-signed-2929648896

!

crypto pki certificate chain TP-self-signed-2929648896

certificate self-signed 01

3082022B 30820194 A0030201 02020101 300D0609 2A864886 F70D0101 05050030

31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274

69666963 6174652D 32393239 36343838 3936301E 170D3933 30333031 30303031

30345A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649

4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D32 39323936

!

spanning-tree mode rapid-pvst

spanning-tree extend system-id

!

vlan internal allocation policy ascending

!

interface FastEthernet0/1

switchport access vlan 99

shutdown

!



shutdown

!



shutdown

!



shutdown

!



switchport mode access

switchport port-security mac-address 4403.a708.8829

switchport port-security

Documents

BARBAROUX BTS SIO SISR 1 Julie