45
Mission 3 – Equipe C Auteur : DAUDÉ Benoît Plan d’adressage : 172.16.33.0/24 Poste Administrateur réseau : o Nom de la machine : BCE3L03S05P05 o Adresse IP Physique : 172.16.33.105 o Adresse IP 1 er VM : 172.16.33.115 o Adresse IP 2 eme VM : 172.16.33.125 o Masque : 255.255.255.0 Poste Chef de Projet : o Nom de la machine : BCE3L03S05P06 o Adresse IP Physique : 172.16.33.106 o Adresse IP 1 er VM : 172.16.33.126 o Adresse IP 2 eme VM : 172.16.33.126 o Masque : 255.255.255.0 Poste Gestionnaire serveur : o Nom de la machine : BCE3L03S05P07 o Adresse IP Physique : 172.16.33.107 o Adresse IP 1 er VM : 172.16.33.157 o Adresse IP 2 eme VM : 172.16.33.167 o Masque : 255.255.255.0 Poste Utilisateur : o Nom de la machine : BCE3L03S05P08 o Adresse IP Physique : 172.16.33.108 o Adresse IP 1 er VM : 172.16.33.118 o Adresse IP 2 eme VM : 172.16.33.128 o Masque : 255.255.255.0 [document.docx] - 21/06/2022 Page 1 / 45

NOM : _________________________ Web viewCisco livre un logiciel appelé Cisco Config Maker qui permet de faire la configuration du matériel. Tout faire manuellement ... Pour copier

  • Upload
    buihanh

  • View
    216

  • Download
    0

Embed Size (px)

Citation preview

Page 1: NOM : _________________________ Web viewCisco livre un logiciel appelé Cisco Config Maker qui permet de faire la configuration du matériel. Tout faire manuellement ... Pour copier

Mission 3 – Equipe CAuteur : DAUDÉ Benoît

Plan d’adressage : 172.16.33.0/24

Poste Administrateur réseau :o Nom de la machine : BCE3L03S05P05o Adresse IP Physique : 172.16.33.105o Adresse IP 1er VM : 172.16.33.115o Adresse IP 2eme VM : 172.16.33.125o Masque : 255.255.255.0

Poste Chef de Projet :o Nom de la machine : BCE3L03S05P06o Adresse IP Physique : 172.16.33.106o Adresse IP 1er VM : 172.16.33.126o Adresse IP 2eme VM : 172.16.33.126o Masque : 255.255.255.0

Poste Gestionnaire serveur : o Nom de la machine : BCE3L03S05P07o Adresse IP Physique : 172.16.33.107o Adresse IP 1er VM : 172.16.33.157o Adresse IP 2eme VM : 172.16.33.167o Masque : 255.255.255.0

Poste Utilisateur :o Nom de la machine : BCE3L03S05P08o Adresse IP Physique : 172.16.33.108o Adresse IP 1er VM : 172.16.33.118o Adresse IP 2eme VM : 172.16.33.128o Masque : 255.255.255.0

[document.docx] - 05/05/2023Page 1 / 33

Page 2: NOM : _________________________ Web viewCisco livre un logiciel appelé Cisco Config Maker qui permet de faire la configuration du matériel. Tout faire manuellement ... Pour copier

Mission 3 – Equipe CAuteur : DAUDÉ Benoît

Tableau d'affectation des ports des matériels d'interconnexion et les liens de brassage

Numéro de port du Switch 1 Lien de brassage1 RC22 Réservé pour liaisons montantes vers baie générale3 Réservé pour liaisons entre Switch d'une même baie4 Réservé pour liaisons entre Switch d'une même baie5 Réservé pour liaisons entre Switch et routeur d'une même baie6 Réservé pour liaisons entre Switch et routeur d'une même baie7 Non affecté8 Non affecté9 SRC1 (Vlan 33)10 SRC2 (Vlan 33)11 SRC3 (Vlan 33)12 SRC4 (Vlan 33)13 SRC5 (Vlan 33)14 SRC6 (Vlan 33)15 SRC7 (Vlan 33)16 SRC8 (Vlan 33)17 Non assigné18 Non assigné19 Non assigné20 Non assigné21 Non assigné22 Non assigné23 Non assigné24 Réservé pour Vlan Management

[document.docx] - 05/05/2023Page 2 / 33

Page 3: NOM : _________________________ Web viewCisco livre un logiciel appelé Cisco Config Maker qui permet de faire la configuration du matériel. Tout faire manuellement ... Pour copier

Mission 3 – Equipe CAuteur : DAUDÉ Benoît

Configuration du matériel d’interconnexion

Deux fichiers de configuration sont présents sur les matériels d’interconnexion (routeur, switch)

- Le fichier running-config: correspond à la configuration utilisé quand lerouteur fonctionne

- Le fichier startup-config: la configuration qui est lu lors du démarrage dumatériel

Au démarrage, si le fichier startup-configuration est inexistant (lorsd'une première installation par exemple)

Quatre possibilités peuvent être utilisées pour le créer :

- Auto Install

Si aucun fichier de configuration valide n'est trouvé lors du démarrage du matériel, dans la NVRAM, un processus d'Auto Install est disponible.

- Setup

- Application de configuration

Cisco livre un logiciel appelé Cisco Config Maker qui permet de faire la configuration du matériel.

- Tout faire manuellement

Types de fichiers de configuration

- Fichier spécifique pour un matérielContient la configuration complète du nouveau matérielGénéralement, fichier ayant pour nom hostname-confg ou hostname.cfg

- Fichier de configuration par défautGénéralement, fichier ayant pour nom router-confg, router.cfg ou bienciscortr.cfg

- Fichier de configuration qui vous permet de spécifier une adresse IP ou un nompour le matériel sur le réseauGénéralement, fichier ayant pour nom network-confg ou cisconet.cfg

- Attention au système utilisé par le serveur TFTPSous Dos, les noms de fichier doivent être au format 8.3. Par convention, ilse termine par cfgEn général, AutoInstall essaie de télécharger les fichiers dans l'ordresuivant : network-confg, cisconet.cfg, router-confg, router.cfg, ciscortr.cfg

[document.docx] - 05/05/2023Page 3 / 33

Page 4: NOM : _________________________ Web viewCisco livre un logiciel appelé Cisco Config Maker qui permet de faire la configuration du matériel. Tout faire manuellement ... Pour copier

Mission 3 – Equipe CAuteur : DAUDÉ Benoît

Sauvegarde

Copier-coller

Il est possible de faire un Copier-coller depuis ou vers HyperTerminal. Cela permet de sauvegarder une configuration dans un fichier texte.Pour restaurer une configuration, il faut d’abord se placer en mode de configuration globale

Router> enableRouter# configure terminalRouter(config)# A cet endroit, « collez » votre fichier texte

Utilisation d’un serveur tftp

Le serveur TFTP permet de sauvegarder/restaurer un fichier de configuration mais aussi un IOS complet pour une mise à jour ou suite à un crash.L’utilisation de TFTP n’est possible que si le routeur communique avec l’ordinateur par IP.

1. Télécharger et installer Solarwinds TFTP2. Dans TFTP Server, configurer le répertoire de travail du serveur.3. Relever l’adresse IP de votre ordinateur.4. Sauvegarder la configuration courante :

Router# copy run tftp

5. Et répondre aux questions (adresse du serveur TFTP et nom du fichier)

Le principe est le même depuis le serveur TFTP vers le routeur (ou commutateur). Pour être complet, si on utilise des Vlans sur le routeur, il ne faut pas oublier de sauvegarder le fichier vlan.dat qui contient toute la configuration de ceux-ci. En cas de restauration sur un autre routeur si vous ne copier pas la base de Vlan il faudra la recréer manuellement pour que tout marche correctement. Généralement ce fichier est enregistré sur la mémoire flash du routeur. 

Pour vérifier la présence du fichier vlan.dat, taper la commande suivante :

GSB#show flash

Pour sauvegarder ce fichier, taper la commande suivante :

GSB# copy flash:/vlan.dat tftp

Tout comme la configuration, indiquer l’adresse de votre serveur TFTP ainsi que le nom du fichier à sauvegarder. Il est conseillé de modifier le nom car s’il y a plusieurs routeurs à sauvegarder le fichier va être écrasé.

[document.docx] - 05/05/2023Page 4 / 33

Page 5: NOM : _________________________ Web viewCisco livre un logiciel appelé Cisco Config Maker qui permet de faire la configuration du matériel. Tout faire manuellement ... Pour copier

Mission 3 – Equipe CAuteur : DAUDÉ Benoît

Restauration

Restauration via le serveur tftp

Pour copier un fichier de configuration d’un serveur TFTP vers le routeur, il suffit juste de configurer une interface Ethernet avec une adresse situé sur le même réseau que le serveur TFTP. Ensuite, on tape copy tftp startup-config.

On indique l’adresse du serveur TFTP et le nom du fichier de configuration.

La configuration est donc copier dans la mémoire NVRAM ; il faut ensuite la recopier dans la mémoire de travail du routeur : copy startup-config running-config.

Restauration d’usine

Pour réinitialiser les paramètres d’usine, il faut aller sur l’hyper-terminal et aller en mode privilégié avec la commande configure terminal. Ensuite taper les commandes

- Erase startup-config pour supprimer la configuration de la NVRAM.- Reload pour redémarrer

Récapitulatif des commandes

Ces commandes sont à exécuter en mode configure terminal.

Commande descriptioncopy running-config startup-config Sauvegarde la configuration courante en NVRAMcopy running-config tftp Sauvegarde la configuration courante vers un serveur TFTPcopy startup-config tftp Sauvegarde la configuration située en NVRAM vers un serveur TFT

copy tftp startup-config Charge un fichier de configuration d'un serveur TFTP en NVRAMcopy tftp running-config Charge un fichier de configuration d'un serveur TFTP dans la configuration couranteerase startup-config Efface la configuration de la NVRAM

Sites : http://fr.scribd.com/doc/7595208/Commandes-Cisco

http://routeur.clemanet.com/syslog-snmp-ntp-routeur-cisco.php

[document.docx] - 05/05/2023Page 5 / 33

Page 6: NOM : _________________________ Web viewCisco livre un logiciel appelé Cisco Config Maker qui permet de faire la configuration du matériel. Tout faire manuellement ... Pour copier

Mission 3 – Equipe CAuteur : DAUDÉ Benoît

Type de VLAN à mettre en œuvre.

Il existe plusieurs types de VLAN, en fonction de leurs méthodes de travail, nous pouvons les associer à une couche particulière du modèle OSI :

VLAN de niveau 1 : couche physique VLAN de niveau 2 : couche liaison VLAN de niveau 2 : couche réseau

VLAN de niveau 1   : Le VLAN de niveau 1 correspond à l’association de chaque ports d’un Switch à un VLAN.Dans ce type de VLAN :

Le port détermine le VLAN auquel appartient les postes associés. Il n’y a pas de traitement "lourd" pour chaque trame dans le processus de routage.

Ce type de VLAN comporte les inconvénients suivants : Un brassage est nécessaire en cas de déplacement géographique des postes. Nécessite de modifier les VLAN en cas d’ajout de retrait d’utilisateurs. Ne permet pas de traiter les switchs cascadés.

VLAN de niveau 2   : Dans ce type de VLAN l’adresse MAC de la carte réseau du poste détermine à quel VLAN elle appartient.Cela offre une grande souplesse et permet d’avoir des postes sur un même port du switch et pourtant appartenant à des VLAN différents. Cela permet alors d’autoriser des switchs en cascades sur le switch configuré en VLAN. Le switch VLAN fera alors le routage sans problème puisque la lecture de l’adresse MAC de la trame lui donnera le numéro de VLAN associé.En cas de mouvement des postes, aucune reconfiguration n’est requise, le switch VLAN saura toujours associer l’adresse MAC de la carte réseau au bon VLAN.Le seul désavantage à ce type de VLAN est la nécessité de maintenir un fichier de correspondance entre adresse MAC et VLAN, le switch l’ayant créé lors de sa configuration, il suffit de l’exporter. Tout changement de carte réseau sur un des postes nécessite un changement identique sur son association VLAN.

[document.docx] - 05/05/2023Page 6 / 33

Page 7: NOM : _________________________ Web viewCisco livre un logiciel appelé Cisco Config Maker qui permet de faire la configuration du matériel. Tout faire manuellement ... Pour copier

Mission 3 – Equipe CAuteur : DAUDÉ Benoît

VLAN de niveau 3   : Il s’agit du niveau de VLAN "par défaut", en effet, au niveau 3, c’est l’adresse IP de la station qui détermine le VLAN auquel elle appartient. On associera un VLAN à une plage d’adresse.Avec les VLAN de niveau 3, la configuration est facile car on se trouve au niveau IP, donc pas de configuration matérielle tels que les ports ou adresses MAC.Le niveau 3 est adapté au réseau complexe et aux entreprises possédant de nombreux portables avec ou sans fils. On peut, au sein d’un même réseau IP, définir des groupes de postes appartenant à des différents VLAN et ça de manière complètement transparente sans multiplier le nombre de sous réseaux à gérer.

Dans le réseau de la Maison des Ligues, nous mettrons en place des VLANs de niveau 1. En effet, au niveau 1, c’est les ports du switch qui détermine le VLAN auquel elle appartient. Plus précisément, on associera un VLAN en fonction des ports où l’on va se connecter. Le VLAN par port offre une facilité de configuration.

Commandes pour la création de VLAN

Commandes Description switch# vlan « name » Création d’un VLANNo vlan « name » Suppression d’un VLANShow vlan Affiche les VLANSswitch(config)#interface fa<interface-number> affectation sur un portswitch(config)#interface range fa... affectation sur un ensemble de portsswitch(config-if)#switchport mode access passe en mode de configuration de l'interfaceswitch(config-if)# switchport access vlan<number-name>

active le vlan sur le ou les interfaces

[document.docx] - 05/05/2023Page 7 / 33

Page 8: NOM : _________________________ Web viewCisco livre un logiciel appelé Cisco Config Maker qui permet de faire la configuration du matériel. Tout faire manuellement ... Pour copier

Mission 3 – Equipe CAuteur : DAUDÉ Benoît

1) Les différents modes d’accès possibles aux matériels d’interconnexion

Un routeur peut se configurer de diverses façons :

- Par un terminal via un port série ou une interface réseau Ethernet- Par un chargement d’une configuration à l’aide du protocole TFTP (Trivial FTP)- Par un programme d’administration à l’aide du protocole SNMP (Simple Network Management Protocol)- En utilisant un serveur http interne au routeur

Un switch peut se configurer avec un port console

2) Commande base pour sécuriser les modes d’accès

I) Pour le routeurDans un premier temps il faut sécuriser l’accès physique au routeur (s’il se trouve dans une baie la fermer à clef)Pour un routeur on peut sécuriser les types d’accès par une politique de mot de passe. Il faut utiliser des mots de passe fort.Le routeur étant en service, il convient de définir une politique des accès et d'exploitation. Cette politique doit contenir des éléments sur la mise à jour de l'IOS, les droits et niveaux d'accès (parser view),Attention: certaines versions de l'IOS Cisco disposent des commandes permettant de retrouver un mot de passe à partir de la chaine hexadécimale représentant ce mot de passe dans le fichier de configuration.

A- Sécurisation des accès et mots de passe

1- Désactiver le service de réinitialisation des mots de passe

Dans certains cas, il peut être nécessaire de désactiver le service qui permet de réinitialiser les mots de passe sur un routeur. Il est important de noter ici que cette désactivation peut avoir des conséquences graves, par exemple, l'obligation de revenir à la configuration par défaut de base (usine) du routeur.R1 (config) # no service passwords-recoveryEn cas de perte de mot de passe, il sera impossible de réinitialiser le mot de passe du super utilisateur.Cette commande fait partie des commandes cachées de l'IOS Cisco. À utiliser uniquement si vous n'avez pas une garantie suffisante au niveau de la maîtrise de l'accès physique de votre routeur.

2- Configurer la longueur minimale d’un mot de passe

R1 (config)# security passwords min-length 10Le routeur n'acceptera pas les mots de passe de moins de 10 caractères.

[document.docx] - 05/05/2023Page 8 / 33

Page 9: NOM : _________________________ Web viewCisco livre un logiciel appelé Cisco Config Maker qui permet de faire la configuration du matériel. Tout faire manuellement ... Pour copier

Mission 3 – Equipe CAuteur : DAUDÉ Benoît

3- Limiter le nombre de tentatives de connexions échouées

Afin d'éviter les attaques par dictionnaire et par force brute sur les mots de passe, il faut limiter le nombre de tentatives de connexions sans succès sur votre routeur.R1 (config) # security authentication failure rate 4 logAu bout de 4 tentatives de connexion sans succès en moins d'une minute, les informations seront enregistrées dans le journal des évènements.R1 (config)# login block-for 60 attempts 4 within 10Au bout de 4 tentatives de connexion sans succès dans un intervalle de 10 seconde, une autre tentativene sera possible qu'après 60 secondes, car le routeur restera silencieux pendant cette période.

Pendant cette période, il sera impossible de se connecter sur le routeur. Ce qui pourrait affecter lesAdministrateurs du routeur ayant les droits. Pour éviter cela, il faudra créer une ACL qui permet auxAdministrateurs de se connecter pendant cette période de silence (quiet-mode).R1 (config) # ip access-list standard login-permit-admR1 (config-std-nac) # permit 172.16.20.0 0.0.0.255R1 (config)# exitR1 (config)# login quiet-mode access-class login-permit-adm

4- Empêcher les ouvertures de sessions sur les lignes (auxiliaires et virtuelles)

// Ligne auxiliaireR1 (config)# line aux 0R1 (config-line)# no passwordR1 (config-line)# loginR1 (config-line)# exit

// Lignes virtuelleR1 (config) # line vty 0 4R1 (config-line) # no passwordR1 (config-line) # loginR1 (config-line) # exit

5- Autoriser juste les accès distants en SSH (le Telnet n'étant pas sécurisé)

R1 (config) # line vty 0 4R1 (config-line) # no transport inputR1 (config-line) # transport input sshR1 (config-line) # exit

6- Désactiver tous les services, protocoles et comptes inutilesR1 (config)# no service finger // exemple du service fingerR1 (config)# no cdp run // exemple du protocole CDP

[document.docx] - 05/05/2023Page 9 / 33

Page 10: NOM : _________________________ Web viewCisco livre un logiciel appelé Cisco Config Maker qui permet de faire la configuration du matériel. Tout faire manuellement ... Pour copier

Mission 3 – Equipe CAuteur : DAUDÉ Benoît

B- Verrouiller le routeur à l’aide de Cisco “autosecure”

“Autosecure” est une commande créée par Cisco pour faciliter l'activation et la désactivation des services sur un routeur Cisco. Elle fonctionne en deux modes:

Le mode interactif: demande à l'utilisateur avec des options pour activer et désactiver les services et les autres fonctions de sécurité

Le mode non interactif: exécute automatiquement la commande Cisco Autosecure avec les paramètres par défaut recommandés Cisco

Ottawa# auto secure

En raison du nombre de commandes CLI nécessaires à désactiver manuellement les services dans le but de rendre le routeur plus sûr, Cisco a introduit la fonction Autosecure de la version majeure 12.3 et ultérieur 12,3 T.Autosecure C'est une bonne commande pour les clients sans opérations spéciales de sécurité des applications, car elle leur permet de sécuriser rapidement leur réseau sans connaissance approfondie de toutes les fonctionnalités de Cisco IOS.

La commande est disponible pour la gamme Cisco 800, 1700, 2600, 3600, 3700, 7200, et 7500 routeurs des gammes.

II) Pour le switch

On peut sécuriser le switch par un mot de passe.L'accès au mode Privileged doit être sécurisé par un mot de passe host (config)# enable password mot_de_passe ou enable mot_de_passe.

On peut sécuriser l’accès des ports. Pour éviter que n'importe qui se connecte sur les ports d'un switch, il est possible de faire un contrôle sur les adresses MAC des machines connectées sur chaque port.

Pour activer cette sécurité sur l'interface concernée :

Switch (config-if) # switchport mode accessSwitch (config-if) # switchport port-security

On peut envisager plusieurs politiques de sécurité. Soit on bloque définitivement le port lors d'une usurpation d'adresse MAC :Switch (config-if)# switchport port-security violation shutdown

Soit on bloque toutes les trames avec des adresses MAC non connu et on laisse passer les autresSwitch (config-if)# switchport port-security violation protectSoit un message dans le syslog et via SNMP sont envoyés. De plus le compteur du nombre de violation est incrémenté.Switch (config-if)# switchport port-security violation restrictPour réactiver un port désactivé automatiquement, suite à un problème de sécurité faire un shutdown suivi d'un no shutdown

[document.docx] - 05/05/2023Page 10 / 33

Page 11: NOM : _________________________ Web viewCisco livre un logiciel appelé Cisco Config Maker qui permet de faire la configuration du matériel. Tout faire manuellement ... Pour copier

Mission 3 – Equipe CAuteur : DAUDÉ Benoît

Pour visualiser la politique de sécurité d'une interface :Switch# show port-security interface...

Pour visualiser les adresses MAC connues sur les ports :Switch# show port-security address

[document.docx] - 05/05/2023Page 11 / 33

Page 12: NOM : _________________________ Web viewCisco livre un logiciel appelé Cisco Config Maker qui permet de faire la configuration du matériel. Tout faire manuellement ... Pour copier

Mission 3 – Equipe CAuteur : DAUDÉ Benoît

Installation d’un serveur de temps sur votre réseau

Dans un système d'information moderne, la synchronisation des machines sur une horloge commune est un pré-requis pour de nombreuses actions comme l'analyse des logs ou la supervision système et réseau. Si vos machines sont directement connectées à Internet alors il n'y a pas de problème car les distributions GNU/Linux, Windows et Mac OS X embarquent des mécanismes pour se mettre automatiquement à l'heure en se synchronisant sur des serveurs publics (par exemple 0.debian.pool.ntp.org sur une Debian Squeeze). Si ce n'est pas le cas et que vos machines sont isolées et/ou bien filtrées lors de leurs accès à Internet, il peut être intéressant d'installer un serveur de temps local sur une de vos machines.

Nous allons donc dans ce billet installer un serveur de temps NTP sur une machine sous Debian 6 (Squeeze).

Le protocole NTP

J'invoque le bon génie Wikipédia: "Le Protocole d'Heure Réseau (Network Time Protocol ou NTP) est un protocole qui permet de synchroniser, via un réseau informatique, l'horloge locale d'ordinateurs sur une référence d'heure."

La référence en question sera donc, dans notre cas, la machine ou nous allons installer puis configurer notre serveur NTP.

Le protocole NTP utilise le port UDP/123 pour effectuer les requêtes sur le réseau. Notre serveur sera donc en écoute sur le port UDP 123 (si vous avez un Firewall, il faudra bien entendu le configurer pour autoriser les requêtes sur ce port).

Installation du serveur NTP

On commence par installer les paquets nécessaires dans une console root:

[cc lang="bash"]

apt-get install ntp ntpdate

[/cc]

La première chose à faire est de mettre le serveur à la bonne heure (quitte à avoir une référence, autant qu'elle soit juste...).

Pour cela deux solutions:

si votre machine à accès à Internet, utiliser la commande "ntpdate-debian" qui va synchroniser votre machine sur le serveur NTP Debian.

si votre machine n'a pas accès à Internet, alors téléphoner à l'horloge parlante (numéro payant: 3699) puis configurer l'heure système avec la commande "date". Par exemple "date -s 16:56:23".

[document.docx] - 05/05/2023Page 12 / 33

Page 13: NOM : _________________________ Web viewCisco livre un logiciel appelé Cisco Config Maker qui permet de faire la configuration du matériel. Tout faire manuellement ... Pour copier

Mission 3 – Equipe CAuteur : DAUDÉ Benoît

On édite ensuite le fichier /etc/ntp.conf:

[cc lang="bash"]

# /etc/ntp.conf, configuration for ntpd; see ntp.conf (5) for help

driftfile /var/lib/ntp/ntp.drift

# Enable this if you want statistics to be logged.

#statsdir /var/log/ntpstats/

statistics loopstats peerstats clockstats

filegen loopstats file loopstats type day enable

filegen peerstats file peerstats type day enable

filegen clockstats file clockstats type day enable

# You do need to talk to an NTP server or two (or three).

#server ntp.your-provider.example

# http://www.pool.ntp.org/zone/fr

server 0.fr.pool.ntp.org

server 1.fr.pool.ntp.org

server 2.fr.pool.ntp.org

server 3.fr.pool.ntp.org

# pool.ntp.org maps to about 1000 low-stratum NTP servers. Your server will

# pick a different set every time it starts up. Please consider joining the

# pool: <http://www.pool.ntp.org/join.html>

# Access control configuration; see /usr/share/doc/ntp-doc/html/accopt.html for

# details. The web page <http://support.ntp.org/bin/view/Support/AccessRestrictions>

# might also be helpful.

[document.docx] - 05/05/2023Page 13 / 33

Page 14: NOM : _________________________ Web viewCisco livre un logiciel appelé Cisco Config Maker qui permet de faire la configuration du matériel. Tout faire manuellement ... Pour copier

Mission 3 – Equipe CAuteur : DAUDÉ Benoît

# Note that "restrict" applies to both servers and clients, so a configuration

# that might be intended to block requests from certain clients could also end

# up blocking replies from your own upstream servers.

# By default, exchange time with everybody, but don't allow configuration.

restrict -4 default kod notrap nomodify nopeer noquery

restrict -6 default kod notrap nomodify nopeer noquery

# Local users may interrogate the ntp server more closely.

restrict 127.0.0.1

restrict ::1

# Clients from this (example!) subnet have unlimited access, but only if

# cryptographically authenticated.

#restrict 192.168.123.0 mask 255.255.255.0 notrust

# My server is a public server

restrict 0.0.0.0 mask 0.0.0.0

# If you want to provide time to your local subnet, change the next line.

# (Again, the address is an example only.)

broadcast 192.168.123.255

# If you want to listen to time broadcasts on your local subnet, de-comment the

# next lines. Please do this only if you trust everybody on the network!

#disable auth

#broadcastclient

[/cc]

[document.docx] - 05/05/2023Page 14 / 33

Page 15: NOM : _________________________ Web viewCisco livre un logiciel appelé Cisco Config Maker qui permet de faire la configuration du matériel. Tout faire manuellement ... Pour copier

Mission 3 – Equipe CAuteur : DAUDÉ Benoît

Les informations intéressantes sont les suivantes:

server 0.fr.pool.ntp.org

server 1.fr.pool.ntp.org

server 2.fr.pool.ntp.org

server 3.fr.pool.ntp.org

Permet de configurer les serveurs maîtres sur lesquels votre machine va essayer de se synchroniser pour rester à l'heure. Il faut bien sûr que votre machine est accès à Internet sur le port UDP/123.

restrict 0.0.0.0 mask 0.0.0.0

On rend notre serveur public, toutes les machines ayant un accès réseau (encore une fois sur le port UDP/123) pourront se synchroniser à partir de votre serveur. Il est bien sûr possible de limiter ce droit aux seules machines de vos réseaux.

broadcast 192.168.0.255

(optionnel) Diffuse le temps sur l'adresse de broadcast de votre réseau (par exemple 192.168.0.0/24).

On relance ensuite le serveur pour que la configuration soit prise en compte:

[cc lang="bash"]

# /etc/init.d/ntp restart

Stopping NTP server: ntpd.

Starting NTP server: ntpd.

[/cc]

[document.docx] - 05/05/2023Page 15 / 33

Page 16: NOM : _________________________ Web viewCisco livre un logiciel appelé Cisco Config Maker qui permet de faire la configuration du matériel. Tout faire manuellement ... Pour copier

Mission 3 – Equipe CAuteur : DAUDÉ Benoît

Synchroniser vos machines avec votre serveur NTP

La configuration des clients est relativement simple car souvent inclus dans les "wizards" d'installations. Il suffit de préciser l'adresse IP ou le nom de votre machine hébergeant le serveur NTP comme serveur de temps.

Sur un client Debian 6 existant, il faut installer le package suivant (en root):

[cc lang="bash"]

apt-get install ntpdate

[/cc]

Puis lancer la commande suivante (si votre serveur de temps est hébergé sur la machine 192.168.0.100):

[cc lang="bash"]

ntpdate -dv 192.168.0.100

[/cc]

Conclusion

Le protocole NTP étant normalisé, il est bien sur possible de synchroniser toutes vos machines (Linux, BSD, Windows, OS X...) sur votre nouveau serveur de temps.

[document.docx] - 05/05/2023Page 16 / 33

Page 17: NOM : _________________________ Web viewCisco livre un logiciel appelé Cisco Config Maker qui permet de faire la configuration du matériel. Tout faire manuellement ... Pour copier

Mission 3 – Equipe CAuteur : DAUDÉ Benoît

Installer un serveur TFTP pour vos Cisco :

Un rapide billet pour rappeler les étapes nécessaires à la mise en place d'un serveur TFTP sur un système GNU/Linux (Debian Squeeze) afin de sauvegarder les configurations de vos routeurs Cisco.

Installation du serveur TFTPD

On utilise le paquet tftpd qui se trouve dans les dépôts Debian (commande à saisir dans un terminal root ou en utilisant la commande sudo):

apt-get install tftpd

On doit ensuite créer le répertoire ou seront stockés les fichiers des configurations Cisco (/srv/tftp dans mon cas).

mkdir /srv/tftpchmod -R 777 /srv/tftpchown -R nobody /srv/tftp

Si vous choisissez un autre répertoire que /srv/tftp, il faut:

1. éditer le fichier de configuration /etc/inetd.conf et changer le répertoire de la ligne commençant par tftp

2. Redémarrer le serveur TFTP avec la commande /etc/init.d/open-inetd restart

Création du fichier de configuration vide

TFTP est un protocole de communication de bas niveau. Il ne met pas en place de mécanisme d'authentification. La création du fichier de configuration vide doit donc se faire à partir du serveur (il est possible de changer ce comportement et ainsi de permettre au client, c'est à dire au routeur Cisco, de créer lui même le fichier mais je ne le conseille pas pour des questions de sécurité).

On va donc créer un fichier vide nommé cisco-rtr-01-confg:

touch /srv/tftp/cisco-rtr-01-confgchmod -R 777 /srv/tftp

chown -R nobody /srv/tftp

[document.docx] - 05/05/2023Page 17 / 33

Page 18: NOM : _________________________ Web viewCisco livre un logiciel appelé Cisco Config Maker qui permet de faire la configuration du matériel. Tout faire manuellement ... Pour copier

Mission 3 – Equipe CAuteur : DAUDÉ Benoît

Sauvegarde de la configuration depuis le routeur Cisco

On en vient enfin au vif du sujet: c'est à dire la sauvegarde de la configuration (IOS running) de notre Cisco sur le serveur TFTP.

12345

# copy run tftp:Address or name of remote host []? 192.168.0.100Destination filename [yourname-confg]? cisco-rtr-01-confg!!1292 bytes copied in 0.380 secs (3400 bytes/sec)

Il faut bien sûr remplacer l'adresse 192.168.0.100 par l'adresse IP (ou le nom) de votre machine Debian ou vous avez installés TFTP.

[document.docx] - 05/05/2023Page 18 / 33

# copy run tftp:Address or name of remote hosDestination f ilename [yourname-!!

Page 19: NOM : _________________________ Web viewCisco livre un logiciel appelé Cisco Config Maker qui permet de faire la configuration du matériel. Tout faire manuellement ... Pour copier

Mission 3 – Equipe CAuteur : DAUDÉ Benoît

Installation serveur Web sous Windows server 2008 R2

Présentation

Internet Information Server (IIS) est le serveur Web fourni par Microsoft avec Windows Server. Avec Windows Server 2008, la version de IIS nativement fournie est la version 7.0. Par rapport à la version IIS 6.0 qui était celle livrée avec Windows Server 2003, elle bénéficie d’une architecture entièrement revue. Désormais, toutes les fonctionnalités proposées par IIS sont proposées sous la forme de modules enfichables (plug-ins) activables et désactivables par simple configuration, permettant ainsi l’extension des possibilités du serveur.

De nombreux modules additionnels sont proposés par Microsoft ainsi que par des éditeurs tiers, ou encore sont créés par des communautés d’utilisateurs et de développeurs. Les modules complémentaires les plus courants traitent de sujets tels que: le développement (ASP, ASP.NET, CGI etc.), les diagnostics, les fonctionnalités de serveur FTP, ou encore d’autres modules relatifs au monitoring, aux performances et à l’administration.

Tous ces modules sont administrables de façon unifiée au travers de la console d’administration. Cette version propose une administration simplifiée pouvant être accessible depuis l’extérieur (via Internet, en dehors du réseau local) via HTTP ou HTTPS pour une gestion à distance. Ceci peut se révéler être particulièrement utile lorsque le serveur n’est pas hébergé « chez soi » mais chez un hébergeur tiers, auquel cas on ne peut y accéder que par son adresse IP publique.

Au-delà de ASP.NET, qui est la technologie de programmation côté serveur proposée par Microsoft pour réaliser des sites et des applications Web, les autres plate-formes et langages tels que Java, PHP ou Ruby peuvent aussi être mis en production sur Windows Server.

IIS intègre en natif des outils pour monitorer le bon fonctionnement de vos applications et diagnostiquer des problèmes éventuels. Pour les administrateurs, IIS intègre trois modes d’administration :

- via un fichier XML

- via la console MMC offrant une administration épurée,

- via un accès web (pouvant être sécurisé en HTTPS) pour une administration à distance.

[document.docx] - 05/05/2023Page 19 / 33

Page 20: NOM : _________________________ Web viewCisco livre un logiciel appelé Cisco Config Maker qui permet de faire la configuration du matériel. Tout faire manuellement ... Pour copier

Mission 3 – Equipe CAuteur : DAUDÉ Benoît

Installer et configurer IIS

Il faut commencer par Ajouter des rôles puis cocher Serveur Web (IIS). Cette fenêtre apparaît :

Il faut donc cliquer sur le bouton Ajouter les

fonctionnalités requises. Lisez attentivement les informations qui apparaissent à l’étape suivante. Puis cliquez sur Suivant. Il faut souvent cocher Développement d’applications pour que le site puisse gérer toute la programmation .NET liée aux sites Web dynamiques (avec des requêtes sur une base de données). Dans la partie Sécurité, cochez les 2 options ci-dessous pour un site intranet auquel ne pourront se connecter que des utilisateurs déjà répertoriés dans l’Active Directory :

[document.docx] - 05/05/2023Page 20 / 33

Page 21: NOM : _________________________ Web viewCisco livre un logiciel appelé Cisco Config Maker qui permet de faire la configuration du matériel. Tout faire manuellement ... Pour copier

Mission 3 – Equipe CAuteur : DAUDÉ Benoît

On peut avec IIS gérer plusieurs centaines de sites personnels. Les ressources les plus utilisées pour des sites Web sont le disque dur et la carte réseau. Le processeur et la mémoire vive ne sont pas trop sollicités sauf si de nombreuses pages php et bases de données sont exploitées. Sinon, on peut facilement gérer jusqu’à un millier de sites Web HTML Depuis un navigateur comme Internet Explorer, on peut ouvrir la page qui se trouve en local dans C:\inetpub\wwwroot et qui s’appelle iisstart.htm. La page Web suivante apparaît alors :

[document.docx] - 05/05/2023Page 21 / 33

Page 22: NOM : _________________________ Web viewCisco livre un logiciel appelé Cisco Config Maker qui permet de faire la configuration du matériel. Tout faire manuellement ... Pour copier

Mission 3 – Equipe CAuteur : DAUDÉ Benoît

Pour rendre accessible un site Web déjà créé, il suffit de le placer dans un sous-dossier de wwwroot. Le dossier qui héberge le site Web n’est pas obligatoirement dans C:\inetpub\wwwroot mais c’est conseillé pour retrouver rapidement tous nos sites Web.

Clic droit depuis Sites puis Ajouter un site Web… et créez le dossier dans wwwroot.

Reprenez le même libellé que le Nom du site

(www.intranet.fr dans notre exemple). La partie Liaison permet de créer le lien DNS entre l’emplacement du site, son protocole (http ou https), l’Adresse IP attribuée pour son adresse IP publique et le nom du site Web (Nom de l’hôte). Il suffit de pointer le A RECORD dans le serveur DNS sur l’adresse IP du site Web (adresse privée pour notre site intranet).

[document.docx] - 05/05/2023Page 22 / 33

Page 23: NOM : _________________________ Web viewCisco livre un logiciel appelé Cisco Config Maker qui permet de faire la configuration du matériel. Tout faire manuellement ... Pour copier

Mission 3 – Equipe CAuteur : DAUDÉ Benoît

Pour cela, on va dans le Gestionnaire de serveur, on se place sur le serveur DNS déjà créé puis depuis les Zones de recherche directes, on fait un clic droit pour choisir Nouvelle zone.

On choisit Zone principale, puis Vers tous les serveurs DNS de cette forêt et comme Nom de la zone, on

indique le nom de domaine de notre site Web.A l’étape suivante, on conserve la 1ère possibilité par défaut pour les mises à jour dynamiques. Puis on clique sur Terminer. On double clique maintenant sur www.intranet.fr (voir ci-dessous) pour ajouter une ligne dans le fichier de définition DNS de notre serveur qui pointera sur l’adresse IP fixe du serveur Web (IIS).

[document.docx] - 05/05/2023Page 23 / 33

Page 24: NOM : _________________________ Web viewCisco livre un logiciel appelé Cisco Config Maker qui permet de faire la configuration du matériel. Tout faire manuellement ... Pour copier

Mission 3 – Equipe CAuteur : DAUDÉ Benoît

On clique droit sur un fond blanc pour choisir Nouvel hôte (A ou AAAA)

On ajoute l’Adresse IP du serveur IIS et on clique sur Ajouter un hôte.

Une fois que le message est apparu, on peut cliquer sur le bouton Terminer. Tapez l’URL http://www.intranet.fr/ (si vous avez pensé à désactiver au préalable la carte réseau qui donne au serveur IIS l’accès à Internet) ou encore http://127.0.0.1/www.intranet.fr/.

[document.docx] - 05/05/2023Page 24 / 33

Page 25: NOM : _________________________ Web viewCisco livre un logiciel appelé Cisco Config Maker qui permet de faire la configuration du matériel. Tout faire manuellement ... Pour copier

Mission 3 – Equipe CAuteur : DAUDÉ Benoît

Authentification

Il existe plusieurs systèmes d'authentification pour protéger un répertoire de IIS :

– Authentification anonyme (par défaut) : Pas de mot de passe demandé pour accéder àune ressource .– Méthode basique (http basic) : Demande un login et un mot de passe à l'utilisateur.Cette authentification passe en clair (codé en hexadécimal) sur le réseau.– Méthode Digest (http digest) : Utilise la méthode du mot de passe parchallenge/réponse.– Méthode Windows : Utilise un mot de passe par challenge/réponse et s'authentifie avecle serveur Kerberos de Active Directory ou avec NTLM.

Ici, nous avons choisit l'authentification de base requiert que les utilisateurs fournissent un nom d'utilisateur et un mot de passe valides pour accéder au contenu. Cette méthode d'authentification ne nécessite pas de navigateur spécifique ; tous les principaux navigateurs la prennent en charge. L'authentification de base fonctionne également sur les pare-feu et les serveurs proxy. Pour ces raisons, cette méthode constitue un bon choix lorsque vous souhaitez restreindre l'accès à une partie seulement du contenu d'un serveur.

1) Ouvrez le Gestionnaire des services Internet (IIS) 2) Dans Affichage des fonctionnalités, double-cliquez sur Authentification.3) Dans la page Authentification, sélectionnez Authentification de base.4) Dans le volet Actions, cliquez sur Activer pour utiliser l'authentification de base avec les paramètres

par défaut.5) De manière facultative, dans le volet Actions, cliquez sur Modifier pour taper le domaine par défaut

et le domaine. 6) Dans la boîte de dialogue Modifier les paramètres d'authentification de base, dans la zone

Domaine par défaut, tapez le domaine par défaut ou laissez cette zone vide. Les utilisateurs qui ne fournissent pas de domaine lorsqu'ils se connectent à votre site sont authentifiés par rapport à ce domaine.

7) Dans la zone Domaine, tapez un domaine ou laissez cette zone vide. Vous pouvez généralement utiliser la même valeur pour le nom du domaine que celle utilisée pour le domaine par défaut.

8) Cliquez sur OK pour fermer la boîte de dialogue Modifier les paramètres d'authentification de base.

[document.docx] - 05/05/2023Page 25 / 33

Page 26: NOM : _________________________ Web viewCisco livre un logiciel appelé Cisco Config Maker qui permet de faire la configuration du matériel. Tout faire manuellement ... Pour copier

Mission 3 – Equipe CAuteur : DAUDÉ Benoît

Pour aller plus loin

Gérer une stratégie de sauvegarde

Windows Server 2008 intègre nativement un outil puissant pour sauvegarder et restaurer le système. Lancez le « Gestionnaire de serveur » depuis la barre de tâches ou depuis les « Outils d’administration ». Sélectionnez le nœud « fonctionnalité » dans le menu de navigation de gauche, puis cliquez sur le lien « Ajouter des fonctionnalités » dans la page centrale. Dans la liste des fonctionnalités disponibles, cochez la fonctionnalité « Utilitaire de sauvegarde de Windows Server » puis cliquez sur « Suivant » et enfin sur « Installer ».

Sauvegarder le système

1) Lancez l’outil de sauvegarde, « Démarrer > Outils d’administration > Sauvegarde de Windows Server ». 2) Pour lancer une sauvegarde unique, cliquez sur le lien à droite « Sauvegarde Unique ». L’assistant de

sauvegarde apparait à l’écran. Appuyez une première fois sur « Suivant » puis sélectionnez le type de sauvegarde puis choisir « complète »

3) Indiquez ensuite le type de destination : volume local (ce volume ne devra donc pas être inclus dans la sauvegarde) ou partage réseau (avec les droits nécessaires)

4) Laissez les options qui suivent par défaut, puis sur la fenêtre récapitulative, lancez la sauvegarde. 5) Une console de suivi vous permet de suivre l’évolution de la sauvegarde ainsi que l’espace qu’occupe

cette dernière.6) Une fois l’opération terminée, naviguez depuis l’explorateur Windows jusqu’à l’emplacement que vous

avez spécifié lors du paramétrage, vous trouverez un dossier « WindowsImageBackup » contenant les fichiers de sauvegarde.

[document.docx] - 05/05/2023Page 26 / 33

Page 27: NOM : _________________________ Web viewCisco livre un logiciel appelé Cisco Config Maker qui permet de faire la configuration du matériel. Tout faire manuellement ... Pour copier

Mission 3 – Equipe CAuteur : DAUDÉ Benoît

Restaurer certains fichiers / dossiers

1) Lancez l’outil de sauvegarde, « Démarrer > Outils d’administration > Sauvegarde de Windows Server ». 2) Cliquez sur le lien à droite « Récupérer ». Sélectionnez quel serveur vous souhaitez restaurer (ici, nous

restaurons le serveur local), puis cliquez sur « Suivant ». Choisissez enfin la date de la sauvegarde à utiliser (les dates en gras indiquent la présence d’une sauvegarde) et cliquez sur « Suivant » (capture suivante).

3) Définissez ensuite le type de restauration : - partielle (uniquement certains fichiers et dossiers), - par volume4) Choisissez ici la restauration partielle de fichiers / dossiers.5) Naviguez ensuite jusqu’au dossier que vous souhaitez récupérer.6) Cliquez sur « Suivant ». Laissez les options qui suivent par défaut, puis lancez la récupération dans la fenêtre

récapitulative.

Restaurer le système

Vous pouvez restaurer des volumes complets. Dès le lancement de l’assistant de restauration (« Récupérer » depuis l’outil de sauvegarde), sélectionnez « Volumes ». L’assistant vous demandera alors quel volume vous souhaitez restaurer. Il est également possible de restaurer son serveur au moment du démarrage mais il faudra avoir au préalable gravé les fichiers de sauvegarde sur un disque ou les avoir copiés sur un support amovible de type USB.Redémarrez votre serveur en insérant le DVD d’installation de Windows 2008 Server. Commencez une nouvelle installation, mais sur l’écran suivant, choisissez «Réparer l’ordinateur »

[document.docx] - 05/05/2023Page 27 / 33

Page 28: NOM : _________________________ Web viewCisco livre un logiciel appelé Cisco Config Maker qui permet de faire la configuration du matériel. Tout faire manuellement ... Pour copier

Mission 3 – Equipe CAuteur : DAUDÉ Benoît

Installation d'un Système de Gestion de Base de Données

Pour la mise en place d'un Système de Gestion de Base de Données, il nous faudra installer un serveur web: Apache, MySQL et PHP (LAMP). Pour répondre aux contraintes financières, nous avons choisit une licence Open Source provenant du monde Linux: Ubuntu.

LAMP est un acronyme désignant un ensemble de logiciels libres permettant de construire des serveurs de sites web. L'acronyme original se réfère aux logiciels suivants :« Linux », le système d'exploitation ( GNU/Linux )« Apache », le serveur Web« MySQL », le serveur de base de données« PHP » le langage de script

Qu’est-ce que Apache ?

Apache est l’utilitaire principale pour votre serveur web, c’est là que se trouverons toutes les pages du site, c’est la partie serveur web de LAMP. Apache est un logiciel libre et un des logiciels les plus utilisé en tant que serveur web. Nous utiliserons la version 2 du logiciel.

Qu’est-ce que MySQL ?

MySQL est un serveur de bases de données relationnelles SQL développé dans un souci de performances élevées en lecture, ce qui signifie qu'il est davantage orienté vers le service de données déjà en place que vers celui de mises à jour fréquentes et fortement sécurisées. Il est multi-thread et multi-utilisateur.

Qu’est-ce que PHP ?

PHP est un langage de programmation utilisé pour créer des pages web dynamique. Nous utiliserons la version 5 comprise dans LAMP.

[document.docx] - 05/05/2023Page 28 / 33

Page 29: NOM : _________________________ Web viewCisco livre un logiciel appelé Cisco Config Maker qui permet de faire la configuration du matériel. Tout faire manuellement ... Pour copier

Mission 3 – Equipe CAuteur : DAUDÉ Benoît

Nous allons maintenant installer LAMP pour cela nous allons utiliser le terminal Linux qui est très simple d’utilisation et permet une installation rapide. Ouvrez le terminal en cliquant sur le bouton principal en haut à gauche et recherchez terminal.

Pour se connecter en Administrateur. Taper la commande : sudo su

Le mot de passe est celui configuré lors de l’installation du système. Si vous êtes bien connecté le prompt doit changer en "root#"

Pour installer LAMP, taper la commende : apt-get install lamp-server^Confirmer. L’installation se fait automatiquement

[document.docx] - 05/05/2023Page 29 / 33

Page 30: NOM : _________________________ Web viewCisco livre un logiciel appelé Cisco Config Maker qui permet de faire la configuration du matériel. Tout faire manuellement ... Pour copier

Mission 3 – Equipe CAuteur : DAUDÉ Benoît

                               

Un mot de passe pour MySQL sera demandé.

LAMP server sur Ubuntu

Afin de verifier si le serveur c’est correctement installé, ouvrer votre navigateur et taper l’adresse : http://127.0.0.1 un message validera que le serveur à bien était installé.

[document.docx] - 05/05/2023Page 30 / 33

Page 31: NOM : _________________________ Web viewCisco livre un logiciel appelé Cisco Config Maker qui permet de faire la configuration du matériel. Tout faire manuellement ... Pour copier

Mission 3 – Equipe CAuteur : DAUDÉ Benoît

Pour utiliser MySQL, installer PHPmyadmin afin de gérer la base de données dans votre navigateur. Taper la commande suivante : apt-get install phpmyadmin

Choisir apache2

Choisir un mot de passe pour phpmyadmin et l’installation est terminée. Pour vérifier son fonctionnement en allant dans votre navigateur, taper http:/ /127.0.0.1/phpmyadmin

[document.docx] - 05/05/2023Page 31 / 33

Page 32: NOM : _________________________ Web viewCisco livre un logiciel appelé Cisco Config Maker qui permet de faire la configuration du matériel. Tout faire manuellement ... Pour copier

Mission 3 – Equipe CAuteur : DAUDÉ Benoît

Documentation sur les accèsBase de données :Id, Login (Nomligue.Nom), Nom, Prénom, Motdepasse, Nomdeligue

Table relationnel

[document.docx] - 05/05/2023Page 32 / 33

Page 33: NOM : _________________________ Web viewCisco livre un logiciel appelé Cisco Config Maker qui permet de faire la configuration du matériel. Tout faire manuellement ... Pour copier

Mission 3 – Equipe CAuteur : DAUDÉ Benoît

Droits attribuésChaque utilisateur devra se voir attribuer des privilèges parmi ces classes.Le tableau suivant liste les types d'utilisateurs qui devraient être habilités pour chaque classe de privilège :

Classes de privilèges Types de compteaccès au contenu de l'information Utilisateurgestion du schéma de la base de données Administrateurgestion des privilèges utilisateurs Administrateurgestion des paramètres systèmes Administrateur

[document.docx] - 05/05/2023Page 33 / 33