# Cyber Sécurité - CISCO : 04/11/2019 : RENATO ## Rappel Réseau : plusieurs équipements informatiques connectés entre eux et qui communiquent. 1Byte = 1 Octet = 8 Bits ### OSI ISO : Oraganisation International de Standard a crée le modéle OSI composer de 7 couche avec plusieurs protocols  La couche application (HTTP) permet d'ouvrire une page internet, cette page est présenté grace a la couche présentation (HTML), la couche transporte (TCP/UDP) crée un lien pour permettre un communication tout cela est transporter grace a la couche réseau (IP) via la couche liaison et Physique (Ethernet) ### TCP/IP Le modéle OSI reste une référence mais le modéle TCP/IP est de plus en plus utilisé   ### LAN LAN BUS  Le problème avec le LAN BUS est la collision car tout le monde envoyez des paquet en même temps, la solution était le CSMA/CD avec un HUB. Ensuit le switch a était inventer, un équipement avec une table d'adresse ARP qui contient l'addresse IP et MAC de chaque machine sur son réseau. Mais une améliroation a était apporter grâce au VLAN pour ne pas surchager le réseau avec les communication broadcast. Spanning Tree Protocol : Permet de bloquer les tempétes de broadcast. ## CONFIG SWITCH ### Branchement 1.Brancher le switch sur le PC Physique en mode console 2.Acceder sur le gestionnaire de péripherique pour recuperer le port COM   3.Connecter sur votre router utilisant Putty  4.Reset le switch avec le bouton a l'avant ### Commande switch - enable (en) // permet de passer en mode privilégier - configuration terminal (conf t) // Passer en mode config terminal Changer le nom du switch - conf t - hostname "SW1"  Protéger l'accés de notre switch en console grâce a un mot de passe - line console 0 - password "Azerty1"  Protéger l'accés de notre switch en Privilégier grâce a un mot de passe - conf t - enable secret "cisco"   - wr // enregister les modification sur le ROM ### Manager un switch a distance Configurer une adresse IP : - conf t - int vlan 1 // vlan 1 est par défaut - ip address "192.168.1.10 255.255.255.0" - no shutdown // pour "allumer" l'interface  - show ip interface brief  Configurer le Telnet (switch) - conf t - line vty 0 15 - password "Azerty1" - login Config Telnet (PC) https://www.supinfo.com/articles/single/4089-comment-utiliser-telnet-windows-10 Config SSH - conf t - username Paul password Azerty1 - line vty 0 15 // nombre d'user peuvent ce loger - login local - transport input ssh - ip domain-name labo.fr - crypto key generate rsa : 1024 Crypter le mot de passe   ### VLAN Un VLAN est un domain de broadcaste et un sous réseau. Le VLAN est 1 est par crée par défaut sur un switch Crée un Vlan - conf t - vlan 2 // crée le vlan - name Employer // nommé le vlan - do write memory // memoriser le nom Ajouter une interface - conf t - int f0 // choisir l'interface - switchport mode access - switchport access vlan 2 // on choisi le vlan - do write memory Adressage IP : - 28 employés: 192.168.4.64/26 : 192.168.4.65 - 192.168.4.126 - 6 admin : 192.168.5.0/25 - 300 étudiant : 192.168.0.0/23 : 192.168.0.0 - 192.168.1.255 - 10 serveurs : 192.168.5.128/25 - wifi : 192.168.2.0/23 : 192.168.2.0 - 192.168.3.255 - caméra IP : 192.168.4.224/27 : 192.168.4.227 - 192.168 - TOIP(29) : 192.168.4.0/26 : 192.168.4.1 - 192.168.4.62 - 20Statique (imprimante) : 192.168.4.128/24 : 192.168.4.129 - 192.168.4.224 http://cric.grenoble.cnrs.fr/Administrateurs/Outils/CalculMasque/ Switch d'accés : switch délivrent le réseau directement à l'utilisateur final Switch de distribution : switch qui reli Switch coeur : ### VTP Les Vlan ne pouvent pas étre crée sur les VTP client mais uniquement sur les VTP Serveur qui serons répété sur les VTP clients VTP serveur - conf t - vtp mode server // mettre en mode server - vtp domain Medi // nom du domain - vtp password toto VTP client - conf t - vtp mode client - vtp domain Medi - vtp password toto ### TRUNK Mode trunk : switch - conf t - int f0/5 - switchport trunk encapsulation dot1Q - switchport mode trunk Mode trunk permet de faire passer plusieurs VLAN sur une seul interface ### Config routeur TRUNK Pour faire passer plusieur Vlan sur une seul interface - conf t - int g0/2 - no shuwdown // allumer l'interface - int g0/2.1 // crée une interface virtuelle - encapsulation dot1Q 2 - ip address 192.168.2.254 255.255.255.0 - int g0/2.2 - ip address 192.168.3.254 255.255.255.0 - encapsulation dot1Q 3 Cela permet de faire passer tout les vlan sur une seul interface physique du routeur grâce a des interface virtuelle mais cela utilise trop de bonde passante sur une seul interface ### Config SW niv3 - int vlan 2 - ip address 192.168.2.254 255.255.255.0 - int vlan 3 - ip address 192.168.3.254 255.255.255.0 - ip routing // permet l'inter vlan Cette commade nous permet de remplacer les routeurs par des switch de niv3 et faire de l'inter vlan ### ACL Filtrage ou classification ( couche 3 et 4) 3 type de ACL : Standard, Etendue et Nommé Standard : Basique et filitre en fonction de l'adresse source avec une numéro compris entre 1 à 99 ou 1300 à 1999 proche destination Etendue : Filtre en fonction de l'IP source et destination anisi que les ports TCP ou UDP avec une numéro compris entre 100 à 1199 ou 200 à 2699 proche source Nommé : Définir un nom a un ACL EXMEPLE Nous voulons donnée l'accès uniquement au réseau 192.168.12.0 a joindre le réseau 2.2.2.0(PC10) donc le ping des réseau 1.1.1.0(PC9) ne passerons pas  - Créer l'ACL Standard access list 1 permit 192.168.12.0 0.0.0.255 - Assigner a une interface int gi0/0 ip access-group 1 in - un ACL par direction - Placer les plus explicites en haut - ne pas oublier le "diny any" invisible a la fin  On veux donnée uniquement l'accées au PC du réseau 1.1.1.0 a joindre le serveur - Créer l'ACL Etendue access list 100 permit tcp 1.1.1.0 0.0.0.255 host 2.2.2.3 eq 80 - Assigner a une interface int gi0/1 ip access-group 100 out - un ACL par direction - Placer les plus explicites en haut - ne pas oublier le "diny any" invisible a la fin Après avoir crée le SSH sur le switch 10, on peux crée le ACL pour que uniquement le sous réseau 3.3.3.0 puisse le joindre. - Créer l'ACL Standard access-list 1 permit tcp 3.3.3.0 0.0.0.255 line vty 0 15 access-class 1 in ### routage statique  Nous allons crée des route statique sur le routeur R1 pour que le réseau 192.168.1.0 puisse communiquer avec les autres réseau. Nous indiquant au routeur 1 les réseau qu'il ne connais pas et par inferace il doit sortir ROUTEUR 1 : ip route 172.16.1.0 255.255.255.0 17.54.8.2 ip route 8.8.8.0 255.255.255.0 17.54.8.2 ### NAT statique NAT : Permet de rediriger les paquets qui arrive sur un IP public vers un IP privé. Nous allons indiquer au routeur 4 sur son interface public (g0/1) qui comporte une adresse IP public de rediriger les flux qui arrive vers l'ip privée int g0/1 ip nat outside // interface extérieur int g0/0 ip nat inside // intrface intérieur ip nat inside source 172.16.1.3 8.8.8.8 ip nat inside source 172.16.1.4 8.8.8.7 ### NAT Overload ou PAT Pemettre d'envoyer ou reçevoir sur le réseau public depuis l'interface g0/1 public int g0/0 // l'interface dans son propre réseau ip nat inside int g0/1 // interface qui n'est pas dans son réseau ip nat outside access-list 1 permit 192.168.1.0 0.0.0.252 ip nat inside source list 1 interface g0/1 overload ### routage dynamic 2 types de routeur avec plusieurs protocole  - Un AS est constitué de réseaux IP, de réseaux physiques (LAN ou WAN) et de routeurs. Il existe des routeurs de bordure qui permettent d’entrer et sortir de l’AS et des routeurs internes à l’AS. L’ensemble de ces réseaux et routeurs est administré par une même entité - Au sein de chaque AS on implémente des protocoles de routage qui permettent aux routeurs internes à l’AS et aux routeurs de bordure de l’AS de construire leurs tables de routage. Ces tables, bien sûr, ne connaissent que les réseaux IP internes à l’AS. Ces protocoles sont appelés des IGP : Interior Gateway Protocol. - Les routeurs de bordures des différentes AS sont interconnectés entre eux et échangent des informations sur le contenu des AS grâce à un protocole de routage. Ce protocole permet de contrôler parfaitement les informations transmises. Un AS n’aura donc pas forcément connaissance de tous les réseaux existants dans un AS voisin. Ces protocoles de routage sont appelés des EGP : Exterior Gateway Protocol.  ### Config OSPF  On déclare les routes qu'il ne connais pas Ospef 1 : processus 1 Area 0 : même zone pour tout le monde R1: router ospef 1 network 17.54.8.1 0.0.0.3 area 0 R2: router ospef 1 network 17.54.8.1 0.0.0.3 area 0 network 130.2.5.1 0.0.0.3 area 0