Cyber Sécurité - CISCO : 10/12/2019 : RENATO

# Cyber Sécurité - CISCO : 10/12/2019 : RENATO ### spanning tree Le spanning tree permet d'éviter que le trame tourne en boucle. 1- Election du root => BID : Priority + MAC show spanning tree permet de voir la priority et la MAC ![](https://i.imgur.com/WhTtnHH.png) 2- Choix du Root Port sur les switchs non root 3- Choix des designated port sur chaque segement ![](https://i.imgur.com/h8QLn9C.png) 10Mbps = 100 100Mbps = 19 100Mbps = 4 ![](https://i.imgur.com/tedjoV6.png) BPDU Guard : permet de configuer une interface pour pas qu'il recois les BPDU #int f0/1 #spanning tree plugant enable #spanning tree guard rant Sécuriser un porte du switch : permet a un port d'apprendre juste 5 adresse MAC #int f0/2 #switchport port-security #- - - -- - - - -- - - - - maximun 5 #- - - - - - - -- - - - -- violation shutdow // permet d'eteindre le port #- - - - - - - -- - - - -- violation protect // #- - - - - - - -- - - - -- violation restrict ### Architecture sécuriser Il est possible d'installer le serveur Web dans notre LAN et non dans la DMZ grace au Reverse Proxy ![](https://i.imgur.com/YySF361.png) On peux faire de même pour le serveur mail avec un Relai SMTP/Anti virus/Anti spam dans la DMZ ![](https://i.imgur.com/V3DvJkz.png) Un firewall doit étre configuré en 3 étape : - Filtrage avec des ACL - NAT - Stateful (pour permet a une requête qui sorti du LAN de revenir Il y a les FW Cisco ASA qui est une ancienne génération puis il y a les DµFW ASA-X ![](https://i.imgur.com/XcGnMyI.png) #### INTERFACE ASA Configurer interface ASA en 3type , outside(0), inside(100), DMZ(1-99): #int f0/1 #nameif outside #security-level 0 #ip address 8.8.8.1 255.255.255.0 #### PAT object network VLAN4 subnet 192.168.2.0 255.255.255.0 nat(inside,outside) dynamic interface #### NAT STATIC object network web_private host 10.1.1.8 nat(dmz,outside) static 8.8.8.8 object network web_public host 8.8.8.8 nat (outside,dmz) static 10.1.1.8 #### ACCESS-LIST access-list "nom_du_liste" permit udp host 192.168.6.10 any eq 53 access-list "nom_du_liste" permit tcp 192.168.2.0 255.255.255.0 any eq 443 #### interface virtuel HSRP Comment créer une interface virtuelle entre deux routeur pour permerttre de créer une redondance en cas de coupure. Routeur 3 #ip add 192.168.1.253 255.255.255.0 #standby 100 ip 192.168.1.254 // definir l'IP virtuelle #standby 100 preempt Routeur 4 #ip add 192.168.1.252 255.255.255.0 #standby 100 ip 192.168.1.254 // definir l'IP virtuelle #standby 100 preempt 110 // definir la prioriter #standby 100 preempt ![](https://i.imgur.com/aoCKAVt.png)