ppe maison des ligues de lorraine (m2l) projet titan · elle regroupe les armoires contenant la...
TRANSCRIPT
L.THIEBAUX 2015
PPE Maison des ligues de Lorraine (M2L) Projet Titan Par Loïc THIEBAUX
L.THIEBAUX 2015
Table des matières 1. Descriptif de l’existant ..................................................................................................................... 4
1.1 Câblage .................................................................................................................................... 4
1.2 WiFi .......................................................................................................................................... 4
1.3 Brassage ................................................................................................................................... 5
1.4 Réseaux ................................................................................................................................... 5
1.5 Serveurs ................................................................................................................................... 5
Répartition réseaux ................................................................................................................................. 5
Mission 1 : Création de la maquette reproduisant la topologie existante de la M2L sous Packet Tracer
de façon fonctionnelle ............................................................................................................................. 7
Mission 2 : Configuration basique de l’ensemble des équipements d’interconnexion et mise en place
d’un serveur NTP ..................................................................................................................................... 8
Tâche 1 : Configuration basique des éléments ................................................................................... 8
Tâche 2 : Installation d’un serveur NTP et synchronisation .............................................................. 10
Qu’est ce qu’un serveur NTP ? ...................................................................................................... 10
Mise en place d’un serveur NTP sous Linux .................................................................................. 10
Sur la machine cliente ................................................................................................................... 11
Connexion depuis un switch .......................................................................................................... 11
Mission 3 : Mise en place d’une solution de sauvegarde/restauration via TFTP .................................. 12
Tâche 1 : Installation et configuration d’un serveur TFTP ................................................................. 12
Qu’est ce qu’un serveur TFTP ? ..................................................................................................... 12
Installation et configuration du Debian ......................................................................................... 12
Mise à jour de Debian ................................................................................................................... 17
Installation de TFTP ....................................................................................................................... 18
Tester le service TFTP .................................................................................................................... 19
Tâche 2 : Connexion sur un TFTP avec les équipements Cisco ......................................................... 25
Mission 4 : Installation et configuration d’un serveur Syslog ............................................................... 27
Tâche 1 : Installation et configuration d’un serveur Syslog .............................................................. 27
Installation du service Syslog ......................................................................................................... 27
Tâche 2 : Configuration des équipements Cisco ............................................................................... 29
Mission 5 : Mise en place d’ACL afin de sécuriser le routeur de la M2L ............................................... 30
Mise en place des ACL ....................................................................................................................... 30
Qu’est ce que les ACL ?.................................................................................................................. 30
Définir une ACL .............................................................................................................................. 30
Assigner une ACL à un port ........................................................................................................... 31
Tâche 1 : Mise en place de l’ACL 101 ................................................................................................ 31
L.THIEBAUX 2015
Analyse .......................................................................................................................................... 31
Mise en place ................................................................................................................................. 31
Tâche 2 : Mise en place de l’ACL 110 ................................................................................................ 32
Analyse .......................................................................................................................................... 32
Mise en place ................................................................................................................................. 32
Mission 6 : Mise en place de Vlan de niveau 1 et du VTP ..................................................................... 33
Tâche 1 : Mise en place de Vlan de niveau 1 .................................................................................... 33
L.THIEBAUX 2015
1. Descriptif de l’existant
1.1 Câblage Les ligues ont pour obligation de s’équiper par elle-même.
Les services tels que l’administration ou la salle multimédia sont déjà équipés.
Il y a aussi un service d’impression disponible pour toutes les ligues.
Les ligues sont réparties dans les étages de deux bâtiments : Le A et le C.
Le bâtiment A est plus vieux que le C et sa connectique y est différente.
Les bâtiments B et D n’accueillent aucune ligue, ce sont des rez de chaussée.
Bâtiment A :
Chaque bureau possède 3 prises Ethernet (Catégorie 5) et 1 prise téléphonique standard
Bâtiment C :
Chaque bureau possède 3 prises Ethernet (Catégorie 6) pour les postes et la téléphonie IP
Chaque étage possède une salle de réunion. On en trouve également dans les rez de chaussée.
Salle de réunion :
1 prise Ethernet pour un accès réseau (Catégorie 5 ou 6 selon le bâtiment)
La M2L possède une salle de formation avec 24 postes et un pour le formateur
Salle de formation :
24 prises Ethernet pour les stagiaires, 1 prise Ethernet pour le formateur et 1 prise Ethernet pour
l’imprimante réseau
Le rez de chaussée comporte également un amphithéâtre, la salle de reprographie et les bureaux de
l’administration
Amphithéâtre :
4 prises Ethernet (Catégorie 5) et 1 prise Ethernet pour la régie
Reprographie :
4 prises Ethernet (Catégorie 6)
Administration :
27 prises Ethernet (Catégorie 6)
1.2 WiFi La M2L possède également une connection WiFi pour ses visiteurs. Il y a des bornes WiFi à tous les
étages ainsi qu’au rez-de-chaussée de la manière suivante :
3 bornes WiFi au rez-de-chaussée
1 borne WiFi par étage de bâtiment
L.THIEBAUX 2015
1.3 Brassage La disposition des baies diffère selon les bâtiments
Bâtiment A :
Chaque étage a 1 armoire. 20 prises Ethernet vers les bureaux, 1 prise Ethernet vers la salle de
réunion et 1 prise Ethernet pour la borne WiFi
Chaque armoire est relié à une armoire dans le bâtiment B
Bâtiment C :
Tout est centralisé au centre du 2ème étage.
Il y a donc 1 armoire avec 4 switchs (avec chacun 48 ports). 32 prises Ethernet par étage pour un
total de 128 prises Ethernet
L’armoire est relié à une armoire dans le bâtiment B.
Bâtiment B :
L’armoire principale est au rez-de-chaussée du bâtiment B
Elle regroupe les armoires contenant la DMZ, avec un switch pour celle-ci. Il y a également 2 switchs
24 ports sur lesquels sont connectés les équipements du rez-de-chaussée.
Il y a également un routeur.
Enfin on trouve l’accès à internet, la téléphonie standard et la téléphonie IP
1.4 Réseaux Il existe 3 réseaux différents :
- Le réseau commun aux ligues et à l’administration
- La DMZ
- Le réseau internet et sa connexion
1.5 Serveurs Serveur FTP, Annuaire et DHCP
Serveur d’impression et anti-virus
Serveur NAS
Dans la DMZ :
Serveur Web
Serveur de messagerie SMTP
Serveur de configuration
Répartition réseaux - Un réseau par ligue
- Un réseau pour l’administration
- Un réseau pour la reprographie
- Un réseau pour la salle de formation
- Un réseau pour les écrans du rez-de-chaussée
- Un réseau pour la DMZ
- Un réseau pour l’administration des switchs
L.THIEBAUX 2015
Ce qui donne :
24 réseaux pour les ligues
1 réseau public
1 réseau pour les écrans
1 réseau pour la DMZ
1 réseau pour les serveurs
1 réseau pour l’administration
2 réseaux pour les salles de réunion des bâtiments A et C
On a pour règle dans le PPE d’utiliser les adressages suivant :
10.54.0.0/24 pour la DMZ
172.16.0.0/16 pour le reste du matériel
L.THIEBAUX 2015
Missions : Mission 1 : Création de la maquette reproduisant la topologie
existante de la M2L sous Packet Tracer de façon fonctionnelle Le schéma suivant représente la M2L avant modification.
Le suivant est le schéma final et épuré
L.THIEBAUX 2015
Mission 2 : Configuration basique de l’ensemble des équipements
d’interconnexion et mise en place d’un serveur NTP
Tâche 1 : Configuration basique des éléments Les noms donnés dépendent du matériel et du bâtiment. Pour une meilleur lecture les noms ont
cette syntaxe :
Batiment<A-D>Etage<1-4>(PC<1-10>)
Par exemple un switch au premier étage du bâtiment C aura comme nom : BatimentCEtage1
Le 4ème poste au 2ème étage du bâtiment A aura le nom suivant : BatimentAEtage2PC4
Pour configurer les postes fixes en client NTP il suffit d’aller dans la page dédiée (Windows) ou avec
un paquet adéquat (Linux)
Dans le cas des switchs Cisco on a la procédure suivante :
Switch > enable
Switch # conf t
Switch (config) # ntp server <adresse_du_ntp>
Switch (config) # clock timezone cet 1
Switch (config) # clock summer-time cest recurring last Sun Mar 3:00 last Sun Oct 3:00
Définition du serveur, puis on ajoute le fuseau horaire et enfin le changement de l’heure d’été.
Évidemment on vérifie après
Switch # show clock
Ensuite on défini la banière sur tout les switch avec la commande :
Switch (config) # banner motd <message_de_la_bannière>
Suite à cela on créé les mot de passe.
Les mots de passe sont affichés dans le fichier de configuration sans protection. On peut activer le
hachage des mots de passe
Switch (config) # service password-encryption
On commence par le mot de passe du mode console
Switch (config) # line con 0
Switch (config-line) # password <mot_de_passe_console>
Switch (config-line) # login
Switch (config-line) # exit
Puis le mot de passe privilégié (enable)
Switch (config) # enable secret <mot_de_passe_privilégié>
Enfin pour l’administration SSH il faut avoir défini un nom et un domaine
Switch (config) # hostname <nom_du_switch>
Switch (config) # ip domain-name <nom_du_domaine_DNS>
L.THIEBAUX 2015
Une fois ceci fait on peut se lancer dans le SSH.
On créé d’abord une clé RSA et on active SSH
Switch (config) # crypto key generate rsa (1024 bits)
Switch (config) # ip ssh verson 2
Le nom sera <nom_du_switch>.<nom_du_domaine_DNS>
On ajoute aussi des options pour sécuriser le mode SSH. On peut gérer la déconnexion automatique,
le nombre d’essai de mot de passe ou simplement enregistrer les connexions.
Switch (config) # ip ssh time-out 60 (en secondes)
Switch (config) # ip ssh aunthentication-retries 3
Switch (config) # ip ssh logging events
On va également désactiver la connexion Telnet
Switch (config) # line vty 0 15
Switch (config-line) # login local
Switch (config-line) # transport input ssh
Et on ajoute un mot de passe pour l’admin
Switch (config) # username admin secret <mot_de_passe_administrateur>
On se connecte depuis un PC avec Putty ou avec l’invite de commande.
Dans l’invite de commande on utilise la commande suivante :
PC > ssh -l <nom_d_utilisateur> <adresse_IP_du_Switch>
Il suffit ensuite de suivre les instructions sur l’écran.
L.THIEBAUX 2015
Tâche 2 : Installation d’un serveur NTP et synchronisation
Qu’est ce qu’un serveur NTP ? Un serveur NTP permet de régler l’heure et la date des machines clientes par rapport à celles du
serveur. Le protocole se fait sur le port 123.
On peut soit utiliser le paquet ntp ou ntpdate.
Pour un serveur de strate 3 la précision sera au niveau de la dizaine de milli-seconde.
On peut se connecter soit aux horloges atomiques des satellites GPS, à une horloge radio publique
(tel que celle de France Inter), à une horloge radio d’émetteurs spécialisés ou à un serveur NTP
publique.
On va plutôt rester sur le dernier cas.
Un réseau de serveur NTP se fait en strate.
La première, la strate primaire, contient les serveurs qui sont connectés directement aux références
données par les GPS ou les émissions radios.
La seconde strate se connecte à la strate 1 par le protocole NTP.
Dans un réseau privé il est préférable de se relier aux serveurs publics de strate 2, ce qui fait de notre
serveur un strate 3.
Pour des soucis de continuité de service, et aussi d’exactitude il est préférable de se connecter à au
moins 3 serveurs NTP.
Mise en place d’un serveur NTP sous Linux Installation du paquet ntp
/!\ Passer en Super utilisateur
Avant tout téléchargement mieux vaut mettre à jour sa liste de paquets
apt-get update
Ensuite on télécharge le paquet ntp (Il faut le cd d’installation dans le lecteur)
apt-get install ntp
Allumer et éteindre le service ntp
Pour démarrer le service ntp on utilise la commande
/etc/init.d/ntp start
Pour arrêter le service ntp on utilise la commande suivante
/etc/init.d/ntp stop
Configuration du serveur ntp
La configuration se fait dans le fichier ntp.conf
cd etc
nano ntp.conf
Dans ce fichier on retrouve les 4 serveurs auquels notre serveur NTP est connecté. Ils sont
normalement de strate 2. On peut évidemment les remplacer ou en ajouter à la suite
L.THIEBAUX 2015
server 0.ubuntu.pool.ntp.org
server 1.ubuntu.pool.ntp.org
…
Plus bas dans le fichier on a la ligne restrict qui permet de bloquer certaines plages IP. On peut donc
gérer qui se synchronise à notre serveur.
Pour limiter au réseau 192.168.30.0/24 on entrera :
restrict 192.168.74.0 mask 255.255.255.0
Pour autoriser toutes les connexions on entre :
restrict 0.0.0.0 mask 0.0.0.0
Enfin pour diffuser au réseau on utilise le broadcast suivi de l’adresse de broadcast de notre réseau :
broadcast 192.168.74.255
Il faut bien décommenter cette ligne pour assurer le partage sur le réseau
Redémarrage du serveur ntp
Une fois la configuration terminée il suffit de relancer tout les services ntp par le biais d’un
redémarrage
/etc/init.d/ntp restart
Sur la machine cliente Pour configurer le choix du ntp stratum 3 il faut aller dans la barre des tâches
Cliquer sur l’heure en bas à droite > Modifier les paramètres de la date et de l’heure > Temps
Internet > Modifier les paramètres
Il faut ensuite entrer l’adresse IP de notre serveur
192.168.74.23
Il arrive que la synchronisation ne se fait pas.
Dans certains cas le client ping le serveur ntp mais le ntp ne peux pas atteidnre le client. Cela vient du
firewall de Windows.
Panneau de configuration > Pare-feu windows > Activer ou désactiver le pare-feu Windows
L’apparition du message « Erreur de la synchronisation de Windows avec 192.168.74.23 » n’est pas
expliqué, mais windows se synchronise (normalement) au NTP sous Linux.
Connexion depuis un switch Pour se connecter au serveur ntp depuis un switch on utilise la commande suivante :
Switch (config) # ntp server <adresse_ip_serveur_ntp>
L.THIEBAUX 2015
Mission 3 : Mise en place d’une solution de sauvegarde/restauration
via TFTP
Tâche 1 : Installation et configuration d’un serveur TFTP
Qu’est ce qu’un serveur TFTP ? Le TFTP (Trivial File Transfer Protocol) fonctionne en UDP ce qui implique que client et serveur
s’occupent d’une possible perte de paquets. Il fonctionne sur le port 69.
A l’inverse du FTP, le TFTP ne gère pas de liste des fichiers, pas de chiffrement ou pas
d’authentification. Il faut donc connaitre le nom du fichier désiré.
C’est pour ces diverses absences qu’on préfère le FTP, sauf dans certains cas comme la configuration
des équipements réseaux ou pour démarrer un PC sur une carte réseau.
Installation et configuration du Debian On prend un Debian le plus à jour possible.
Une fois l’installation terminée on va configurer les différents points nécessaires au bon
fonctionnement du serveur.
On s’assure que le fichier sources.list soit bien rempli afin de récupérer tous les paquets. ce fichier se
trouve dans etc/apt
cd
cd /etc/apt
nano sources.list
[Le premier cd n’est pas nécessaire, il renvoi à la racine]
Pour nos listes on va utiliser les suivantes :
L.THIEBAUX 2015
deb http://ftp.fr.debian.org/debian stable main contrib deb-
src http://ftp.fr.debian.org/debian stable main contrib
deb http://security.debian.org/ wheezy/updates main contrib deb-
src http://security.debian.org/ wheezy/updates main contrib
deb http://http.debian.net/debian wheezy-updates main deb-
src http://http.debian.net/debian wheezy-updates main On
garde aussi les listes déjà présentent (La seconde et la troisième
ci-dessus sont souvent intégrées dans sources.list)
On sauvegarde les fichiers (Ctrl + O) avant de quitter (Ctrl + X)
On configure ensuite la connexion internet, dans un premier temps dans le fichier interfaces qui se
trouve dans etc/network, puis dans le fichier resolv.conf dans etc
cd
cd /etc/network
nano interfaces
Les deux dernières lignes peuvent être abrégée en une :
nano /etc/network/interfaces
Dans ce fichier on configure address, netmask, network et gateway.
Dans mon cas on trouve une carte de VMware Workstation en .250.XXX)
# Configuration adresse statique
auto eth0
L.THIEBAUX 2015
iface eth0 inet static
address XXX.XXX.XXX.XXX
netmask XXX.XXX.XXX.XXX
gateway XXX.XXX.XXX.XXX
network XXX.XXX.XXX.XXX
Ensuite on se rend dans resolv.conf pour définir le DNS
cd
cd /etc
nano resolv.conf
On a une seule ligne à créer ici
nameserver XXX.XXX.XXX.XXX
Dans le cas de VMWare on a comme DNS la passerelle (gateway) de notre carte.
L.THIEBAUX 2015
Maintenant que tout est configuré on peut redémarrer le service networking et finir avec un ping de
google pour s’assurer de la connexion internet.
service networking restart
ping www.google.fr
Erreurs possibles :
- La deuxième ligne dans interfaces
- Ecrire address avec deux « d »
L.THIEBAUX 2015
- Une erreur entre network, netmask et gateway
L.THIEBAUX 2015
Mise à jour de Debian Avant de se lancer vraiment dans GLPI et les paquets on va s’assurer que tout est à jour dans Debian.
Pour ça on a besoin de seulement deux commandes
cd /etc
apt-get update
Une fois l’update terminée on fait l’upgrade
apt-get upgrade
L’upgrade peut prendre du temps si le système est rarement mit à jour
Dans le cas d’une VM il est conseillé de faire un Snapshot
L.THIEBAUX 2015
Installation de TFTP On télécharge un paquet pour le service TFTP :
apt-get install tftpd-hpa
On modifie ensuite le fichier tftpd-hpa dans le dossier /etc/default
cd /etc/default
nano tftpd-hpa
La deuxième ligne est le chemin menant aux dossiers de boot et de sauvegarde.
La troisième est l’adresse du serveur suivi de son port d’écoute. On en déduit donc que le service FTP
tourne sur le port 69, en UDP plus précisément.
Le modifier n’est pas vraiment nécessaire, le plus souvent on modifie le chemin de la ligne 2.
On va d’ailleurs aller utiliser ce dossier /srv/tftp
cd /srv/tftp
Il va falloir créer les dossiers qui nous intéressent. Pour cela voilà une liste de ceux qui pourrait vous
servir :
Voilà à quoi doit ressembler votre fichier de base :
L.THIEBAUX 2015
mkdir {openbsd,freebsd,netbsd}
mkdir -p linux/{debian,ubuntu,rhel,centos,fedora,suse}
mkdir -p firmwares/{linksys,cisco,soekris,pata,sata,ipmi,nic}
ls –l
ls -l linux/
ls -l firmwares/
Les mosts entre crochets sont les choix que vous avez.
Dans cet exemple je ne créé que les dossiers « openbsd », « debian » et « cisco ».
Tester le service TFTP Pour tester notre service on installe l’utilitaire sur une autre machine.
apt-get install tftp
Pour vous connecter il suffit d’entrer la commande suivante :
tftp <adresse_du_serveur_tftpd>
tftp > status
La deuxième ligne vous permettra de verifier si vous êtes connectez
L.THIEBAUX 2015
L’image ci-dessus liste également toutes les commandes disponibles lorsqu’on est connecté par
TFTP.
Maintenant que l’on peut se connecter au serveur il faudrait vérifier que l’on peut y télécharger des
fichiers ou en envoyer.
Pour vérifier où vont vos fichiers commencez par envoyer un fichier.
L.THIEBAUX 2015
Attention le lien peut changer avec les améliorations de openbsd
Ce fichier est téléchargé sur le serveur TFTP dans le fichier correspondant.
Le fichier suivant est téléchargé sur le client
wget http://ftp.openbsd.org/pub/OpenBSD/5.6/i386/bsd.rd
Pour les transferts de fichiers il faut utiliser la syntaxe suivante :
tftp > get openbsd/pxeboot
tftp > put /tmp/bsd.rd openbsd/bsd.rd
Le « get » fonctionne à merveille. Mais le « put » n’a pas l’air de fonctionner.
Il s’avère qu’en TFTP on ne peut pas envoyer un fichier si celui-ci n’existe pas déjà sur le serveur.
Par exemple si vous avez le fichier « envoi » sur votre machine cliente, et bien pour l’envoyer sur le
serveur il faut créer le même fichier (de nom seulement) dans le dossier cherché.
Ici on a créé le fichier « confcisco » dans le dossier /srv/tftp/firmware/cisco avec la commande
« touch ». Il est alors vide.
L.THIEBAUX 2015
Sur la machine cliente on a créé le fichier « tftp » dans le dossier /tmp. Dans ce dossier on créé le
fichier « confcisco ».
Ce fichier contient une ligne : « ceci est un fichier de configuration cisco »
On va maintenant se connecter au tftp et envoyer ce fichier.
tftp <adresse_du_serveur_tftp>
tftp > put <chemin_de_votre_fichier_sur_le_client>/<nom_du_fichier> <chemin_d’arrivée
_sur_le_serveur>/<nom_du_fichier>
L.THIEBAUX 2015
Une erreur apparait. Elle est assez claire. Nous n’avons pas accès au fichier, enfin nous n’avons pas
les droits.
Pour cela on retourne sur le serveur et on modifie les droits d’accès de tout les dossiers de /srv/tftp
cd /srv
chmod 777 –R tftp
Le « -R » applique la récursivité, donc applique les changements de droits aux dossiers contenus dans
« tftp »
L.THIEBAUX 2015
On a donné tout les droits à nos dossiers et fichiers inclus dedans.
Attention, mettre « 777 » n’est pas très sécurisé.
On peut réessayer d’envoyer le fichier « confcisco »
L.THIEBAUX 2015
Notre fichier semble s’être envoyer sans encombre. On va quand même vérifier que la ligne
contenue dans le fichier « confcisco » est bien arrivée sur le serveur.
La ligne s’affiche correctement. Le service TFTP est donc opérationnel.
Erreurs possibles :
- Droits d’accès aux fichiers (chmod) mal configuré
- Erreur dans la syntaxe dans l’utilitaire TFTP
- Erreur dans les chemins des fichiers
Tâche 2 : Connexion sur un TFTP avec les équipements Cisco Le service TFTP permet de sauvegarder et de faire des backups des configurations.
Il faut avoir évidemment un serveur TFTP fonctionnel auquel les équipements peuvent accéder.
Avant de pouvoir faire la connection il faut être en mode privilégié
Swirch > enable
On peut maintenant vérifier la connexion au TFTP
Switch # ping <adresse_du_tftp>
Pour copier la configuration actuelle sur le TFTP il faut lancer la commande suivante
Switch # copy running-config tftp:
Address or name of remote host [] ? <adresse_du_tftp>
Destination file name [] ? <nom_du_fichier_désiré>
L.THIEBAUX 2015
Pour récupérer la configuration sur le serveur après une possible modification on utilise la
commande suivante :
Switch # copy tftp: running-config
Address or name of remote host [] ? <adresse_du_tftp>
Source filename ? <nom_sur_le_tftp>
Destination filename ? <nom_sur_le_switch>
L.THIEBAUX 2015
Mission 4 : Installation et configuration d’un serveur Syslog
Tâche 1 : Installation et configuration d’un serveur Syslog
Installation du service Syslog Sur le serveur
Il est assez fréquent que le service Rsyslog soit déjà présent sur une machine debian.
Dans le cas où il n’est pas déjà installé il va falloir passer par le site officiel.
wget http://www.rsyslog.com/download/
tar –xzf <nom_du_fichier>
Un fichier du même nom que le fichier téléchargé sera créer
cd <nom_du_dossier>
./configure –prefixe=/usr
sudo make
sudo make install
Et rsyslog est installé.
Vous pouvez vérifier sa présence simplement par un :
service rsyslog status
On va utiliser un fichier de configuration. Celui-ci se trouve dans /etc
cd /etc
nano rsyslog.conf
L.THIEBAUX 2015
Sur la machine serveur on va commencer par décommenter les lignes 17 et 18 qui sont les suivantes :
17 $ModLoad imudp
18 $UDPServerRun 514
Ces deux lignes assurent la réception de paquet UDP sur le port 514.
Ensuite on ajoute trois lignes en bas de document
$template TmplAuth, ‘’/var/log/%HOSTNAME%/%PROGRAMNAME%.log’’
authpriv.* ?TmplAuth
*.info,mail.none,authpriv.none,cron.none ?TmplMsg
On créé un fichier avec des valeurs globales, elles prendront des noms différents en fonction de ce
qui intervient.
Dans ce même fichier de configuration on a tout les chemins de logs qui seront créés.
Ils pointent tous vers /var/log mais peuvent être modifiés si nécessaire.
Pour finir sur la machine serveur on autorise l’entrée de données UDP sur le port 514. Il serait bête
d’avoir un serveur qui ne fonctionne pas juste pour ça.
iptables –A INPUT -m state --state NEW -m udp -p udp --dport 514 –j ACCEPT
Une fois ces étapes terminées on relance le service rsyslog
service rsyslog restart
Sur les machines clientes
Ici encore on s’assure qu’on a bien rsyslog d’installé.
Encore une fois on va dans notre fichier de configuration
nano /etc/rsyslog.conf
On n’ajoute qu’une seule ligne dans ce fichier sans toucher au reste. Ici aussi on la place en fin de
fichier
*.* <adresse_ip_serveur_syslog> : 514
Vous pouvez remplacer l’adresse ip par « nom du serveur + nom de domaine ».
Redémarrez le service rsyslog puis redémarrez la machine pour avoir des premiers logs afin de
vérifier les modifications
Sur le serveur vous trouverez des données prouvant que cela fonctionne.
Rendez vous dans le fichier auth.log
cd /var/log
nano auth.log
Si il y a bien des logs venant de votre machine cliente c’est que tout est bon dans le transit des logs.
L.THIEBAUX 2015
Tâche 2 : Configuration des équipements Cisco La configuration de la connexion à un serveur Syslog est assez simple.
On choisi d’abord le degré d’informations allant de emergencies(=0) à debugging(=7). Prendre une
valeur inférieur à 3 serait risqué puisqu’on pourrait rater des informations. Pour éviter tout
problèmes on va prendre debugging
Switch (config) # logging trap ? (liste les différents degrés)
Switch (config) # logging trap debugging
Vient ensuite la configuration de la connexion
Switch (config) # logging facility <etiquette>
Switch (config) # logging <adresse_serveur_syslog>
L’étiquette est le nom sous lequel sera répertorié le switch dans les logs.
Il est également possible de voir les logs directement sur le matériel :
Switch # sh log
L.THIEBAUX 2015
Mission 5 : Mise en place d’ACL afin de sécuriser le routeur de la M2L La M2L possède un routeur dans le bâtiment B qui gère le passage entre les ligues, la DMZ et le
réseau internet public. Il est donc normal de le sécuriser et ainsi protéger les utilisateurs de la M2L.
Mise en place des ACL
Qu’est ce que les ACL ? Les Access Control List (ACL) sont des listes de critères définient par l’administrateur pour filtrer les
paquets.
On peut ainsi filtrer des paquets IP passant dans un routeur en fonction de l’expéditeur, de la
destination ou encore le type de paquet.
On rencontre deux types d’ACL : Standard et Etendue
Le fonctionnement des ACL est simple :
- Vérification du paquet par rapport au premier critère
- Si il répond au critère, l’action associée est réalisée
- Sinon il est comparé au critère suivant et ainsi de suite
- Si aucun critère ne correspond l’action deny est automatique
Toutes les informations que traitent les ACL se trouvent dans les en tête des paquets.
Pour pouvoir définir des plages d’adresses ou une adresse IP précise on utilise des masques.
Ces masques permettent de désigner quelle portion de l’adresse doit être vérifiée.
Par exemple un masque « 0.0.255.255 » revient à dire « ne vérifie que les deux premiers octets »
Dernier exemple : « deny 10.1.3.0 0.0.0.255 » équivaut à « refuser toutes les IP commençant par
10.1.3 »
Définir une ACL Les ACL standards sont un peu restreintes mais leur syntaxe est la suivante :
Router (config) # access-list <chiffre> [deny|permit] <ip_source> <masque_ip_source>
Le <chiffre> pour une ACL standard doit être compris entre 1 et 99 ou 1300 et 1999
Le reste parle de lui-même
Pour la suite on va utiliser des ACL étendues.
Les ACL étendues sont plus détaillées. On peut filtrer par rapport au type de paquets, par rapport à
l’adresse d’émission ou encore l’adresse de destination.
La syntaxe est la suivante :
Router (config) # <chiffre> [deny | permit] <protocole> <ip_source> <masque_ip_source>
<ip_destination> <masque_ip_destination>
Le chiffre d’une ACL étendues est compris entre 100 et 199 ou 2000 et 2699
Pour avoir une liste des protocoles on entre la commande :
Router (config) # <chiffre [deny | permit] ?
Cependant on va utiliser un type d’ACL étendues un peu spécial : les ACL nommées.
L.THIEBAUX 2015
La mise en place change un peu. On définit d’abord l’ACL, ce qui nous fait rentrer dedans et là on
définit les règles, dans l’ordre.
Router (config) # ip access-list extended <nom>
Le nom peut très bien être un chiffre qui répond aux mêmes règles qu’une ACL étendue normale.
Une fois dans l’ACL on définit les règles.
Router (config-ext-nacl)# [deny | permit] <protocole> <ip_source> <masque_ip_source>
<ip_destination> <masque_ip_destination>
La suppression d’une ACL se fait simplement en précédant d’un « no » la ligne voulu
Assigner une ACL à un port L’ACL étant créée on peut l’appliquer à un port. Une ACL peut évidemment être assignée à plusieurs
ports.
Router (config) # int <interface>
Router (config-if) # ip access-group <nom / chiffre> [in | out]
Le « in » et « out » concerne quand vérifier. Si on veut étudier les paquets entrants on utilise le « in »
et pour les sortants le « out »
Tâche 1 : Mise en place de l’ACL 101
Analyse « Seul le trafic venant de 172.16.0.0/16 peut entrer dans l’interface du routeur coté LAN »
Il faudra donc surveiller tous les paquets en vérifiant les deux premiers octets de l’adresse et du côté
LAN (côté des ligues)
« Seul le trafic venant de 10.54.0.0/24 peut entrer dans l’interface du routeur coté DMZ. »
Il faudra donc surveiller tous les paquets en vérifiant les trois premiers octets de l’adresse et du côté
DMZ
« Seul le trafic venant de 172.16.0.0/16 ou de 10.54.0.0/24 peut sortir par l’interface du routeur coté
internet. »
Il faut appliquer les mêmes règles qu’avant mais à la sortie du port
Mise en place Router (config) # ip access-list extended 101
Router (config-ext-nacl) # permit ip 172.16.0.0 0.0.255.255 any
Router (config-ext-nacl) # permit ip 10.54.0.0 0.0.0.255 any
Router (config-ext-nacl) # deny any any
Même si les ACL font un « deny » automatiquement si aucune règle ne correspond, on créé une règle
qui va tout bloquer.
On l’applique aux ports :
Router (config) # int gigabitEthernet 0/0 (côté DMZ)
Router (config-if) # ip access-group 101 in
Router (config-if) # ex
Router (config) # int gigabitEthernet 0/1 (côté LAN)
Router (config-if) # ip access group 101 in
Router (config-if) # ex
L.THIEBAUX 2015
Il ne reste plus que le port vers le réseau internet public
Router (config) # int gigabitEthernet 0/2 (côté web)
Router (config-if) # ip access group 101 out
Router (config-if) # ex
Lorsque qu’un PC rencontre une restriction avec un ping avec comme mention « hôte inatteignable »
Tâche 2 : Mise en place de l’ACL 110
Analyse « Bloquer le trafic venant de 127.0.0.0 »
On va juste vérifier l’adresse et si elle correspond la requête sera supprimée
« Bloquer les redirections ICMP »
Bloquer toutes les redirections ICMP revient à bloquer tout le protocole. On va donc retirer les
messages d’erreurs tel que « hôte inatteignable » ou même un simple ping.
Si on veut les garder il faudra spécifier les options de filtrage
Mise en place Router (config) # ip access-list extended 110
Router (config-ext-nacl) # deny ip 127.0.0.0 0.255.255.255 any
Router (config-ext-nacl) # deny icmp any any redirect
Ce « redirect » n’est même pas nécessaire puisque ce qui le précède fait exactement la même chose
mais il arrive sur certains routeurs qu’on puisse le rencontrer.
Dans le cas où on voudrait garder les pings on ajoute les lignes suivantes entre les deux précédentes.
Router (config-ext-nacl) # permit icmp any any echo (ping)
Router (config-ext-nacl) # permit icmp any any echo-reply (réponse)
Puis on applique l’ACL aux ports
L.THIEBAUX 2015
Mission 6 : Mise en place de Vlan de niveau 1 et du VTP
Tâche 1 : Mise en place de Vlan de niveau 1 Pour rappel le Vlan 1 est celui par défaut, on va donc commencer à partir de 2.
La mission ne demande la création que de 4 vlans. Deux pour des ligues et deux autres pour des
salles de réunions.
Cependant j’ai préféré supposer la création de tous les vlans.
Etant donné qu’il y a 24 ligues les salles de réunions commenceront à 26.
On va donc créer les vlans 2 et 3 pour les deux premières ligues et les 26 et 27 pour les salles de
réunions.
Création des vlans Pour l’instant le protocole VTP n’est pas activé, il faut donc créer les vlans un à un sur tous les switchs
Router (config) # vlan <nombre>
Router (config-vlan) # name <nom_du_vlan>
Attribuer un nom n’est pas nécessaire. Un nom générique sera créé selon le modèle
« VLAN<nombre> »
Router (config) # vlan 2
Router (config-vlan) # name ligue1
Router (config-vlan) # ex
Router (config) # vlan 3
Router (config-vlan) # name ligue2
Router (config-vlan) # ex
Router (config) # vlan 26
Router (config-vlan) # name reuBatA
Router (config-vlan) # ex
Router (config) # vlan 27
Router (config-vlan) # name reuBatC
Router (config-vlan) # ex
Il faut maintenant prendre en compte la répartition des bureaux. Dans notre cas les ligues sont
séparées en deux groupes, un par bâtiment.
6 postes de la Ligue 1 sont dans le bâtiment A et 4 dans le bâtiment C. La ligue 2 vient remplir ces
étages avec 4 postes dans le bâtiment A et 6 dans le C. Voici les assignations par ports
Port Vlan Ligue
FA 0/1 2 1
FA 0/2 2 1
FA 0/3 2 1
FA 0/4 2 1
FA 0/5 2 1
FA 0/6 2 1
FA 0/7 3 2
FA 0/8 3 2
FA 0/9 3 2
FA 0/10 3 2
L.THIEBAUX 2015
Ce à quoi on ajoute la salle de réunion sur le port 11 et dans le vlan 26 nous donnant l’intégralité de
l’assignation pour le premier étage du bâtiment A.
Pour le bâtiment C on a le tableau inverse
Port Vlan Ligue
FA 0/1 2 1
FA 0/2 2 1
FA 0/3 2 1
FA 0/4 2 1
FA 0/5 3 2
FA 0/6 3 2
FA 0/7 3 2
FA 0/8 3 2
FA 0/9 3 2
FA 0/10 3 2
Avec le port 11 dans le vlan 27
Les lignes qui suivent sont celles pour le bâtiment A
Switch (config) # int fa 0/11
Switch (config-if) # switchport mode access
Switch (config-if) # switchport access vlan 26
Switch (config-if) # ex
Switch (config) # int range fa0/1-6
Switch (config-if-range) # switchport mode access
Switch (config-if-range) # switchport access vlan 2
Switch (config-if-range) # ex
Switch (config) # int range fa 0/7-10
Switch (config-if-range) # switchport mode access
Switch (config-if-range) # switchport access vlan 3
Switch (config-if-range) # ex
Il restera à faire la même chose sur le switch du bâtiment C.
Cependant il faut que toutes les liaisons entre ces deux switchs soient en mode trunk pour permettre
le passage de tous les vlans.
Pour l’instant seuls le port 20 est relié au reste de la M2L, il faut donc le passer en mode trunk
Switch (config) # int fa 0/20
Switch (config-if) # switchport mode trunk
Switch (config-if) # switchport trunk allowed vlan all
On peut choisir les vlans qui passent mais dans notre cas on les laisse tous, même si seuls les vlans 2,
3 et 26 (pour le bâtiment A) sont sensés emprunter ce chemin.
Tâche 2 : Mise en place du protocole VTP Le VTP est un protocole qui transite entre les switchs. Il a pour but de modifier les bases de données
des Vlan en fonction des modifications apportées à un Switch serveur. Ces modifications sont
envoyées aux switchs clients. Enfin des switchs peuvent transmettre ces informations sans les
appliquer, ce sont des machines transparentes.
L.THIEBAUX 2015
Le sujet ne donnant pas d’information à ce propos on passe deux des quatre switchs dans l’armoire
du bâtiment B en mode serveur et tous les autres en clients.
Il faut également donner un nom de domaine pour le protocole VTP. Ici ce sera m2l.vtp.com
Switch (config) # vtp domain m2l.vtp.com
Switch (config) # vtp mode server
Switch (config) # vtp version 2
On peut également ajouter un mot de passe, mais avec le ssh activé on a déjà un mot de passe.
Sur les machines clientes on remplace la deuxième ligne par celle-ci
Switch (config) # vtp mode client
Désormais toute modifications apportés aux vlans dans l’un des switchs server modifiera les switchs
clients
Tâche 3 : Mise en place du routage inter-Vlan La création de Vlan empêche la communication entre tous les postes, pour l’instant seul les paquets
destinés à un poste dans le même Vlan trouvent leur destinataire.
Cependant avec notre routeur on peut faire communiquer ces vlans par le biais de sous interfaces.
Il faut donc d’abord créer les sous interfaces puis les configurer
Router (config) # int gigabitEthernet 0/1.2
Router (config-subif) # encapsulation dot1Q 2
Router (config-subif) # ip address <gateway_des_postes_du_Vlan2>
La deuxième ligne permet à la sous interface de reconnaitre l’en-tête du Vlan
Ensuite on donne une adresse IP à la sous interface pour pouvoir communiquer avec les postes du
Vlan.
Toute les sous interfaces doivent être du côté LAN pour communiquer entre elles.
On peut ensuite réappliquer les ACL sur ces nouvelles interfaces.
Une fois les interfaces et les vlans configurés il est possible de lancer un ping (sauf si l’ACL 110 le
supprime) entre deux machines de vlans différents.