Conception Sécurisation LAN - VF

Télécharger au format pdf ou txt
Télécharger au format pdf ou txt
Vous êtes sur la page 1sur 42

Préface

Les systèmes d’informations font aujourd’hui partie intégrante de toute organisation. Elles se
révèlent inéluctables dans l’optimisation du service offert en termes de performance mais aussi
et surtout de sécurité.
Il se révèle dès lors nécessaire de disposer d’un environnement de test distinct de celui en
production. Cela permet de se perfectionner de manière continue en implémentant ou déployant
de nouveaux outils ou services. Il y va ainsi pour la supervision, le monitoring ou l’analyse des
logs pour tout ce qui concernerait incidents d’exploitation ou de sécurité dans le réseau.
De ce fait, plusieurs plateformes sont disponibles, parmi lesquelles GNS3 pour lequel nous
optons pour les raisons suivantes :

 Il est open source


 Il simule les interfaces réseaux
 Il émule les équipements réseaux (routeurs, switchs…)
 Il virtualise les serveurs grâce à d’autres logiciels tels que Virtualbox ou Vmware
 Il intègre dans sa version VM une option pour émuler des firewalls
Cette panoplie d’instruments nous permet de reproduire à l’identique des infrastructures
réseaux complexes.
D’autres plateformes sont aussi disponibles avec tout de même des facteurs à prendre en
compte :
 Packet Tracer (niveau académique, pour les novices)
 VIRL (typiquement Cisco, payant par abonnement)
 ENSP (typiquement Huawei, en version simulateur)
 EVE-NG (version pro payante)

 Télécharger maintenant GNS3 par https://gns3.com puis procéder à son installation


Merci de consulter la documentation sur le site pour plus amples détails.
Plusieurs méthodes d’installation sont possibles mais pour ce stage, veiller à l’installer en mode
standalone.

1. Contexte
Les évolutions croissantes des usages des SI en entreprise impliquent nécessairement une plus
grande ouverture à l’internet. C’est ainsi que les administrateurs réseaux sont de plus en plus
confrontés à diverses menaces pesant sur leurs infrastructures. Les vulnérabilités s’accroissent
et se diversifient. Ce changement affecte aussi bien les entreprises que les particuliers.
En effet, les entreprises souhaitent améliorer leurs rendements en utilisant de nouvelles
pratiques. En contrepartie, elles doivent prendre conscience du risque dont leurs systèmes
s’exposent.
La démocratisation de l’accès à Internet, le développement rapide des TIC, les applications
mobiles, le cloud computing, la Big Data, l’IA, la dématérialisation des processus métiers, la
convergence entre l’informatique, les télécommunications et l’audiovisuel, l’utilisation des
réseaux sociaux, les profondes mutations sociétales…
Tout ceci a entrainé une masse critique de données à organiser au sein du SI.
2. Préparation et prise en main

Le téléchargement nécessite la création d’un compte utilisateur !!!


Ajouter les OS fournis dans le dossier « Logiciels » disponible sur le Bureau de votre post
Finir l’installation.

Donner un nom au nouveau projet qui va être créer.

 Remplissez par les initiales de vos prénoms et noms.


Ouvrir « Preferences… » pour consulter les paramètres de la plateforme installée.
Ajouter l’OS d’un routeur. Il s’agira pour nous du modèle de routeur C7200.
 Par défaut, le modèle de routeur proposé est le C1700.
Adapter-le au modèle C7200.
Renommer et basculer vers la plateforme C7200.
Dérouler puis ajouter deux interfaces FastEthernet.
Exécuter « idle-pc » pour éviter une éventuelle surutilisation des ressources du processeur de
votre poste physique.
Valider pour confirmer l’ajout.
Procéder à l’ajout des switches une fois le routeur ajouté.
Il s’agira du modèle C2691 pour les commutateurs de niveau2 et C3745 pour ceux de
niveau3.
Choisir l’image suivante pour le switch L2  c2691-adventerprisek9_sna-mz.124-13b.image
 Cocher la case pour émuler le switch de niveau 2.
Choisir l’image suivante pour le switch L3  c3745-adventerprisek9-mz.124-18.image
 Cocher la case pour émuler le switch de niveau 3.
 Afficher les deux switches que vous venez de rajouter ?

Passer maintenant à la mise en place de l’architecture multicouche préalablement élaborée.

3. Architecture, design et nomenclature


Mettre en place deux switches L2 et trois switches L3.
Procéder à l’interconnexion des équipements.

 Veiller à connecter à partir des interfaces FastEthernet1/0 !!!

Les interfaces FastEthernet0/0 et 0/1 sont de niveau 3 !!!


 Connecter les ports en vis-à-vis entre chaque switch.
Procéder à la nomenclature des commutateurs.
Les switchs cœur L3 seront appelés BACKBONE et les L2 seront ACCESS.
Démarrer maintenant tous les nœuds.
 Les switchs n’assurant pas les mêmes fonctions, distinguons alors leurs symboles.

Faire un clic droit puis changer le symbole des L2.


Dérouler à Classic, remplir le Filtre à « eth » et choisir le symbole qui apparaît.
Votre réseau LAN est maintenant en place.

Passer maintenant à l’administration et à la mise en service des équipements du réseau.


4. Plan d’adressage et segmentation
Le tableau suivant constituera la base documentaire quant aux adresses IP pour la suite du
TP :

Adresse sous Adresse de


Equipements/N°Vlan Emplacement/Service Passerelle Masque
Réseau Broadcast
1er Etage
ACCESS_01
(QG/SIEGE)

100 RH

200 Agents_Filaire

300 Visiteurs_Wifi

400 Téléphonie

500 Management
2ème Etage
ACCESS_02
(Site_distant_01)
100 RH

200 Agents_Filaire

300 Visiteurs_Wifi

400 Téléphonie

500 Management
3ème Etage
ACCESS_03
(Site_distant_02)
100 RH

200 Agents_Filaire

300 Visiteurs_Wifi

400 Téléphonie

500 Management
Liaisons d’ interco
(découpage en /30 ou
/29)
500 LAN

--- WAN

… … … … … …

5. Conception LAN
Cette zone simule la partie interne à la structure. Elle est organisée en couches de niveau 2 et
3. La partie accès sera constituée des switches de niveau 2 (L2) et la partie cœur ou backbone
des switches de niveau 3 (L3).
Les switches L2 sont ceux qui font face aux utilisateurs finaux.
Accéder aux équipements en mode console (CLI).
Faire un clic droit pour y accéder puis effectuer les étapes de configurations comme décrites
plus-bas :
 Naviguer à travers le commutateur
 Configurer les paramètres de gestion pour chaque commutateur
 Procéder à la création des Vlans
 Procéder à la création des interfaces relatives à chaque Vlan
 Assigner les adresses IP en se conformant au plan d’adressage retenu
 Configurer les types de ports connectés
 Activer les ports
 Mettre en place la redondance par le protocole HSRP
 Configurer le service DHCP
 Configurer le protocole STP pour éviter les boucles

Une fois les services mis en place, votre LAN est maintenant prêt à l’exploitation.

 Mais avant, faire les tests d’analyse et de diagnostic de bon fonctionnement du


réseau
Faire un clic droit sur une des liaisons reliant le BACKBONE_01 à l’un des switches d’accès,
il est possible d’accéder à « Wireshark », outil d’analyse de protocoles très populaire.

6. Mise en place WAN


Cette zone simule la partie interco vers votre FAI donc l’accès à Internet.
Le nœud Cloud1 est bridgé au port Ethernet de votre PC physique.

 Vous remarquerez que cela nécessitera d’être connecté au filaire.

L’étape suivante est la configuration du routeur d’interco.


Faire un clic droit pour accéder à la console pour effectuer les étapes de configurations
comme illustrées ci-après :
 Configurer les ports selon le plan d’adressage
 Configurer l’interface f1/0 en mode dhcp
 Configurer le nat en mode overload
 Configurer la route par défaut avec pour passerelle celle de votre machine
physique

Vous obtenez ce message d’information montrant l’adresse allouée à l’interface :


Vérifier que vous pinguer bien la passerelle qui correspond à celle de la machine physique :

A cela, s’ajoute la configuration des paramètres DNS :

Vérifier que vous joignez et résolvez bien google.com

Passer maintenant à la configuration du firewall

Il nous est maintenant possible d’accéder grâce au navigateur de la machine virtuelle à ajouter

 A noter que la VM a préalablement été créée sur VirtualBox

Accéder à la VM puis vérifier l’adresse assignée telle que décrite plus haut.

Vérifier puis tester l’accès :


Ouvrir un navigateur puis accéder à Internet :

Tester la connectivité du routeur :

 Tester l’accès à Internet en pinguant les serveurs DNS de google !!!


 Pourquoi la résolution DNS est-elle possible pour le routeur ???

7. Solution de protection réseau : comprendre les failles


natives relatives au fonctionnement du réseau

7.1 Concepts et notions importantes de sécurité réseaux


Tout élément pouvant porter atteinte à la confidentialité, à l’intégrité ou encore à la disponibilité
des systèmes d’informations constitue une menace voire un risque pouvant affecter le bon
fonctionnement d’un réseau.

 Système d’information : Ensemble de ressources destinées à collecter, classifier,


stocker, gérer, diffuser les informations au sein d’une organisation. Il doit faciliter la
mission de l’organisation.

 Menace : Menace est une cause potentielle d'incident, qui peut résulter en un dommage
au système ou à l'organisation (selon la norme de sécurité des systèmes d'information
ISO/CEI 27000). C’est donc la cause potentielle d’un incident, qui pourrait entraîner
des dommages sur un actif (primordiaux et supports) si cette menace se concrétise. Il
peut pour ainsi dire donc s’agir d’un code malveillant, de la perte de service, de
personnes extérieures ou stagiaires malveillants ou malintentionnés.
 Risque : Evaluation du danger selon sa probabilité et son impact. Un risque représente
la possibilité que se produise un événement qui aura un impact sur la réalisation des
objectifs.

 Vulnérabilité (Exploit) : Vulnérabilité est une faiblesse au niveau d’un actif. On peut
la retrouver au niveau de la conception, de la réalisation, de l’installation, de la
configuration ou encore dans l’utilisation du bien.

 Attaque : Action malveillante destinée à porter atteinte à la sécurité du SI. Une attaque
représente la concrétisation d’une menace, et nécessite l’exploitation d’une
vulnérabilité.

7.2 Catégorisation des vulnérabilités réseaux

7.3 Déroulement et fonctionnement des attaques réseaux

7.4 Cas de figures potentiellement vulnérables et conseils

Vous aimerez peut-être aussi