Embed Size (px)
Citation preview
SIO/SISR Mission 8 PPE
LMD 1
CONTEXTE GSB - MISSION NUMERO HUIT
CONFIGURER UN ACCES DISTANT SECURISE A UNE RESSOURCE
LOCALE DE GSB
Préambule
GSB veut donner un accès distant sécurisé aux ordinateurs locaux de leurs collaborateurs
nomades.
Ainsi ceux-ci pourront facilement, quel que soit l'endroit où ils se trouvent accéder à toutes
leurs ressources locales.
Vous êtes chargés d'élaborer le prototype de la solution.
Le prototype sera considéré comme valide si un poste distant peut ouvrir un bureau distant
sur le poste local et que vous démontrez que cet échange est sécurisé dans un tunnel VPN.
Objectifs de la 8ème
mission
Il y a 3 grandes étapes dans la mission :
mise en place de l'infrastructure actifs et adressage du prototype
mise en place des services (serveur VPN, client VPN, bureau à distance)
validation (tests de fonctionnement, compréhension des mécanismes mis en œuvre,
analyse de trames montrant le tunnel)
Le prototype est simplifié par rapport à la réalité et au plan d’adressage de GSB. Ainsi par
exemple le serveur VPN fait aussi office de serveur AD et restera dans le VLAN Serveurs,
alors qu’un serveur VPN se trouve généralement dans une DMZ ; un serveur AD ne devrait
pas s’y trouver.
Compte rendu : Un compte rendu sous Word montrant les différentes étapes commentées
(imprime-écran), les tests de validation, et répondant de façon argumentée aux dernières
questions doit être rédigées il doit intégrer les analyses de trames commentées.
SIO/SISR Mission 8 PPE
LMD 2
Schéma du prototype
Matériel nécessaire :
2 switchs 3750 préconfigurés (voir script en annexe).
2 routeurs (1841 et 2911)
1 câble croisé ou un hub entre les 2 routeurs
6 PC sous Windows seven
1 Serveur 2008 R2 (serveur VPN et AD) dans la ferme. VLAN et connexions :
Salle A o Un commutateur d’accès préconfiguré connecté au port serveur o les postes ne sont pas placés dans les VLAN o le routeur InterVlan est connecté au port trunk de l’équipe (voir script) o la liaison inter-routeur doit être gérée. o Le poste analyseur est connecté au port monitoré de l’équipe (voir script)
Salle B o Un commutateur d’accès préconfiguré connecté au port serveur o les postes Admin et Tests sont placés dans le VLAN Admin o Le poste analyseur est connecté au port monitoré de l’équipe (voir script)
Ferme de serveurs o Un serveur 2008 R2 (serveur VPN et AD)
Adressage :
Respecter le plan d’adressage des VLAN pour les postes et les routeurs
La connexion inter-routeur se fera sur le réseau 88.88.88.0/30
Routeur internet 88.88.88.2
Routeur inter vlan 88.88.88.1
Poste d’accès distant 200.100.40.10/24 Routeur Internet 200.100.40.254/24
Serveur AD/VPN : 172.16.X.53 /16 (x= n° de groupe)
SIO/SISR Mission 8 PPE
LMD 3
Travail à faire
1. Mise en place de l'infrastructure actifs et adressage salle A
Le commutateur d’accès est configuré par l’équipe technique profs.
Sur le routeur inter-vlan, il faut déclarer les interfaces mais aussi le NAT/PAT et la
redirection vers le serveur VPN (port 1723).
Sur le routeur Internet, il faut déclarer les règles de filtrage qui empêchent le routage des
adresses privées.
Il faut configurer le client VPN.
Voir les différentes annexes.
2. Mise en place des services (serveur VPN, client VPN, bureau à distance) salle B
Il y a 2 choses à faire :
configurer le serveur VPN
configurer le poste offrant le bureau à distance
Voir les différentes annexes.
3. Validations (tests de fonctionnement, compréhension des mécanismes mis en œuvre,
analyse de trames montrant le tunnel)
Pour capturer les différents échanges dans le réseau local, il faut placer des analyseurs de
trames sur les ports monitorés correspondant aux équipes (voir script).
Les éléments suivants permettent de valider la solution
Vérification dhcp VPN l’adresse du poste distant doit être donnée par le serveur VPN dans
le plan d'adressage de ce serveur.
Vérification accès poste local (Vlan 1x et 3x) à partir du poste distant On « ping » sur les 2
postes du réseau local (PC admin et PC test VPN) et aussi sur le serveur. On observe dans
l'échange que le « ping » vers le poste dans l'Intranet est bien relayé par le serveur VPN
Ouverture bureau distant On lance un « ping » à partir du bureau distant du poste test
VPN ouvert sur le poste distant vers le serveur ou vers le poste admin. Réfléchissez à ce
qu’implique cet échange. Que capture-t-on?
SIO/SISR Mission 8 PPE
LMD 4
Mais il faut aussi comprendre ce qui se passe, en répondant aux questions suivantes :
Pourquoi le poste distant doit-il obtenir une adresse dans le réseau du serveur VPN et non
dans le réseau du poste bureau Distant ?
Sur quelle liaison l'échange est-t-il "tunnelisé" ?
Quels sont les 2 extrémités du tunnel ?
Quels sont les protocoles au dessus D'IP utilisés pour la connexion VPN puis pour le tunnel
VPN ?
Quel est le poste qui communique directement avec le poste Bureau Distant ?
Dans l'échange Client distant/bureau distant quelle est la partie tunnelisée et la partie non
tunnelisée ?
Quel sont les 2 fonctions principales du serveur VPN ?
SIO/SISR Mission 8 PPE
LMD 5
ANNEXES
Configuration du serveur VPN
Il s'agit d'un serveur 2008R2. Pour pouvoir installer les stratégies d'accès réseau, il faut qu'il
soit contrôleur de domaine.
Utilisez le serveur AD 2008R2 dont vous disposez.
Attention dans les écrans suivants, le serveur s'appelle W8SISR5LAB il fait partie du
domaine SISR5.org.
Son adresse IP est pour vous 172.16.X.53 ici, mais dans les copies d’écran l’adresse est
172.16.100.10.
Modifier systématiquement 100 par X et .10 par .53.
Travail à faire :
Il faut installer le rôle prenant en charge le service de connexion VPN (rappel : Il faut que
l'AD soit installée pour accéder à ce rôle) c’est un problème de sécurité puisque on doit
choisir entre mettre l’AD dans la DMZ ou mettre le serveur VPN dans le Vlan serveurs
ce que nous avons fait ici.
Une fois le rôle installé, il faut le configurer et le démarrer
SIO/SISR Mission 8 PPE
LMD 6
On choisit bien entendu VPN
Attention à ce que le service démarre bien.
Il faut maintenant accéder aux propriétés du service
SIO/SISR Mission 8 PPE
LMD 7
Sur l'onglet IPV4 on va définir une plage d'adresses pour donner des adresses aux clients VPN
autorisés à se connecter.
Les autres propriétés sont intéressantes à observer. Notamment on voit que les accès distants
sont gérés par des ports virtuels auxquels sont associés des protocoles.
SIO/SISR Mission 8 PPE
LMD 8
2 types de port nous intéressent SSTP et PPTP (Secure Socket Tunneling Protocol et Point To
Point Tunneling Protocol).
Il faut maintenant créer dans l'AD un utilisateur qui se connectera à distance (utivpn/utivpn)
Et l'autoriser à se connecter à distance
SIO/SISR Mission 8 PPE
LMD 9
Configuration du client VPN
Choisir "configurer une nouvelle connexion ou un nouveau réseau puis "connexion à votre
espace de travail"
Choisir "Utiliser ma connexion Internet (VPN)"
Choisir "Je configurerai une connexion Internet ultérieurement".
SIO/SISR Mission 8 PPE
LMD 10
On donne l'adresse publique du routeur et un nom à la connexion
On donne l'identifiant de l'utilisateur qui a les droits de connexion distante.
On constate maintenant la présence d'une nouvelle connexion (géré encore une fois par un
port virtuel).
On peut observer les propriétés de cette connexion. On voit
d'ailleurs que le protocole sera choisi automatiquement entre
les bouts du VPN.
88.88.88.1
SIO/SISR Mission 8 PPE
LMD 11
On se connecte
On constate avec ipconfig que la connexion a reçu une adresse IP dans la plage prévue
(attention la capture suivante a été fait après différents tests c'est pourquoi on a 202).
Et que cette adresse lui permet de communiquer avec le réseau 172.16.100.0/24
Coté serveur VPN on doit voir l'utilisateur connecté
SIO/SISR Mission 8 PPE
LMD 12
Configuration du bureau distant sur le poste dans l'Intranet
On paramètre maintenant le poste qui offre son bureau distant. Il faut sélectionner "N'autoriser
…". Attention se poste doit être intégré à l'AD.
On sélectionne l'utilisateur "utivpn" ce qui nécessite une authentification administrateur
On doit obtenir le résultat suivant :
Tes de connexion : On peut maintenant ouvrir un bureau distant à partir du client VPN.
SIO/SISR Mission 8 PPE
LMD 13
Observations
Sur le serveur VPN
Quand un poste est connecté au VPN on va trouver cela (attention ici changement d'adresse
car capture fait à un autre moment) après un ipconfig
Et si on affiche la table de routage, on note le routage vers un poste précis (masque
255.255.255.255)
Notons au passage l'adresse MAC de la carte du serveur car elle sera importante dans nos
analyses de trames.
SIO/SISR Mission 8 PPE
LMD 14
SCRIPT commutateur d’accès
#profs
conf t
vlan 309
name GSB15-9-Serveurs
vlan 409
name GSB15-9-DMZ
vlan 19
name GSB15-9-ResauxSystemes
end
conf t
int range fa1/0/37 - 38
switchport mode access
switchport access vlan 309
exit
int range fa1/0/38 - 40
switchport mode access
switchport access vlan 409
exit
int range fa1/0/41 - 42
switchport mode access
switchport access vlan 19
end
#trunk acccès Ferme
conf t
int fa 1/0/48
switchport trunk encapsulation dot1q
switchport mode trunk
end
#trunk routeur par équipe
conf t
int fa 1/0/31 - 36
switchport trunk encapsulation dot1q
switchport mode trunk
end
#monitor session par equipe
conf
monitor session 1 source interface fa
1/0/31
monitor session 1 destination interface
fa 1/0/41 encapsulation replicate
monitor session 2 source interface fa
1/0/32
monitor session 2 destination interface
fa 1/0/42 encapsulation replicate
monitor session 3 source interface fa
1/0/33
monitor session 3 destination interface
fa 1/0/43 encapsulation replicate
monitor session 4 source interface fa
1/0/34
monitor session 4 destination interface
fa 1/0/44 encapsulation replicate
monitor session 5 source interface fa
1/0/35
monitor session 5 destination interface
fa 1/0/45 encapsulation replicate
monitor session 6 source interface fa
1/0/36
monitor session 6 destination interface
fa 1/0/46 encapsulation replicate
end
#equipe 1
conf t
vlan 11
name GSB1_RESEAUX_SYSTEMES
exit
vlan 301
name GSB1_SERVEURS
exit
vlan 401
name GSB1_DMZ
exit
int range fa1/0/1 - 2
switchport mode access
switchport access vlan 301
exit
int range fa1/0/3 - 4
switchport mode access
switchport access vlan 401
exit
int range fa1/0/5 - 6
switchport mode access
switchport access vlan 11
exit
#equipe 2
conf t
vlan 302
name GSB2_SERVEURS
vlan 402
name GSB2_DMZ
vlan 12
name GSB2_RESEAUX_SYSTEMES
exit
int range fa 1/0/7 - 12
switchport mode access
exit
int range fa 1/0/7 - 8
switchport access vlan 302
exit
int range fa 1/0/9 - 10
switchport access vlan 402
exit
int range fa 1/0/11 - 12
switchport access vlan 12
exit
#equipe 3
conf t
vlan 303
name GSB3_SERVEURS
vlan 403
name GSB3_DMZ
vlan 13
name GSB3_RESEAUX_SYSTEMES
exit
int range fa 1/0/13 - 18
switchport mode access
exit
int range fa 1/0/13 - 14
switchport access vlan 303
exit
int range fa 1/0/15 - 16
switchport access vlan 403
exit
int range fa 1/0/17 - 18
switchport access vlan 13
exit
#equipe 4
conf t
vlan 404
name GSB4-DMZ
vlan 304
name GSB4-SERVEURS
vlan 14
name GSB4-RESEAU-SYSTEME
in range fa1/0/19 - 20
sw mode access
sw access vlan 404
in range fa1/0/21 - 22
sw mode access
sw access vlan 304
in range fa1/0/23 - 24
sw mode access
sw access vlan 14
#equipe 5
conf t
vlan 305
name GSB5_SERVEURS
int range fa1/0/25 - 26
switchport mode access
switchport access vlan 305
ex
vlan 405
name GSB5_DMZ
int range fa1/0/27 - 28
switchport mode access
switchport access vlan 405
ex
vlan 15
name GSB5_RESEAUX_SYSTEMES
int range fa1/0/29 - 30
switchport mode access
switchport access vlan 15
end
#equipe6
conf t
vlan 306
name GB6-SERVEURS
vlan 406
name GB6-DMZ
vlan 16
name GB6-RESEAUX_SYSTEMES
int range fa1/0/33 - 34
switchport mode access
switchport access vlan 406
int range fa1/0/31 - 32
switchport mode access
switchport access vlan 306
int range fa1/0/35 - 36
switchport mode access
switchport access vlan 16
