Bloquer mises à jour de routage sur un interface

Bloquer l'envoi des mises à jour de routage dynamique (rip-eigrp-ospf) sur un interface, pour plus de sécurité sur notre topologie.

 Règle :

• RIP 

Router(config)#router rip

Router(config-router)#passive-interface type-interface numéro-interface

 

• EIGRP

Router(config)#router eigrp numéro-système-autonome

Router(config-router)#passive-interface type-interface numéro-interface  

• OSPF 

Router(config)#router ospf process-id

Router(config-router)#passive-interface type-interface numéro-interface   

• Pour supprimer cette commande :

Router(config-router)#no passive-interface type-interface numéro-interface

 

 Exemple :

 

sur Spade
Spade>enable
Spade#configure terminal
Spade(config)#interface fastEthernet 0/0
Spade(config-if)#no shutdown
Spade(config-if)#ip address 172.16.1.1 255.255.255.0
Spade(config-if)#exit
Spade(config)#interface fastEthernet 1/0
Spade(config-if)#ip address 192.168.12.1 255.255.255.0
Spade(config-if)#no shutdown
Spade(config)#router eigrp 1
Spade(config-router)#network 192.168.12.0 0.0.0.255
Spade(config-router)#network 172.16.1.0 0.0.0.255
Spade(config-router)#passive-interface Fa 0/0
Spade(config-router)#exit

sur Hearts
Hearts>enable
Hearts#configure terminal
Hearts(config)#interface fastEthernet 0/0
Hearts(config-if)#no shutdown
Hearts(config-if)#ip address 192.168.12.2 255.255.255.0
Hearts(config-if)#exit
Hearts(config)#interface FastEthernet 1/0
Hearts(config-if)#no shutdown
Hearts(config-if)#ip address 192.168.23.2 255.255.255.0
Hearts(config-if)#exit
Hearts(config)#router eigrp 1
Hearts(config-router)#network 192.168.12.0 0.0.0.255
Hearts(config-router)#network 192.168.23.0 0.0.0.255
Hearts(config-router)#exit

sur Clubs
Clubs>enable
Clubs#configure terminal
Clubs(config)#interface fastEthernet 0/0
Clubs(config-if)#no shutdown
Clubs(config-if)#ip address 172.16.2.3 255.255.255.0
Clubs(config-if)#exit
Clubs(config)#interface fastEthernet 1/0
Clubs(config-if)#no shutdown
Clubs(config-if)#ip address 192.168.23.3 255.255.255.0
Clubs(config-if)#exit
Clubs(config)#router eigrp 1
Clubs(config-router)#network 172.16.2.0 0.0.0.255
Clubs(config-router)#network 192.168.23.0 0.0.0.255
Clubs(config-router)#passive-interface Fa 0/0
Clubs(config-router)#exit 

Route Statique Récapitulative

Route Statique Flottante est une route secondaire en cas de panne, la route statique flottante est configurée avec une distance administrative plus élevée que la route principale.

Exemples de Distance administrative par défaut

directement connectée : 0

routage Statique : 1

EIGRP : 90

IGRP : 100

OSPF : 110

RIP : 120

 Règle :

Router(config)#ip route @ip-Réseau Masque @ip-prochain-routeur­ Distance_metric

256> Distance_metric > Distance-metric de la route principale

 Exemple :

 R1:

R1(config)#interface fastEthernet 6/0
R1(config-if)#no shutdown 
R1(config-if)#ip address 192.168.1.1 255.255.255.0
R1(config-if)#exit
R1(config)#interface f0/0
R1(config-if)#no shutdown 
R1(config-if)#ip add 10.1.1.1 255.255.255.0
R1(config-if)#exit
R1(config)#interface f1/0
R1(config-if)#no shutdown
R1(config-if)#ip add 10.1.2.1 255.255.255.0
R1(config-if)#exit
R1(config)#ip route 192.168.2.0 255.255.255.0 10.1.1.2 
R1(config)#ip route 192.168.2.0 255.255.255.0 10.1.2.2 2
 R2:
R2(config)#interface fastEthernet 8/0
R2(config-if)#no shutdown 
R2(config-if)#ip add 192.168.2.1 255.255.255.0
R2(config-if)#exit
R2(config)#inter f0/0
R2(config-if)#no shutdown 
R2(config-if)#ip add 10.1.1.2 255.255.255.0
R2(config-if)#exit
R2(config)#interface f1/0
R2(config-if)#no shutdown 
R2(config-if)#ip address 10.1.3.1 255.255.255.0
R2(config-if)#exit
R2(config)#ip route 192.168.1.0 255.255.255.0 10.1.1.1
R2(config)#ip route 192.168.1.0 255.255.255.0 10.1.3.2 2

 TRI-prof:

TRI-prof(config)#interface f0/1
TRI-prof(config-if)#no shutdown 
TRI-prof(config-if)#ip add 10.1.2.2 255.255.255.0
TRI-prof(config-if)#exit
TRI-prof(config)#interface f0/0
TRI-prof(config-if)#no shutdown 
TRI-prof(config-if)#ip address 10.1.3.2 255.255.255.0
TRI-prof(config-if)#exit
TRI-prof(config)#ip route 192.168.1.0 255.255.255.0 10.1.2.1
TRI-prof(config)#ip route 192.168.2.0 255.255.255.0 10.1.3.1

Route Statique Récapitulative

Route Statique Récapitulative est une résumé des plusieurs route statique qui passer sur le même passerelle.

 Règle :

1) Pour calculer le masque de sous-réseau à récapituler, commencez par le bit le plus à gauche, allez vers la droite pour rechercher tous les bits correspondant de façon consécutive, jusqu'à trouver une colonne dont les bits ne correspondent pas, vous permettant ainsi d'identifier la limite de la récapitulation.

2) Comptez le nombre de bits correspondants à l'extrême gauche ; Ce nombre identifie le masque de sous-réseau pour la récapitulation.

3) Calculer l'adresse réseau récapitulative; maintenir les bits correspondant dans tous les adresse statique et les autres bits égale zéro.


 Exemple :

Routes Statique :

Router(connfig)#ip route 172.16.1.0 255.255.255.0 20.1.1.2 
Router(connfig)#ip route 172.16.2.0 255.255.255.0 20.1.1.2

Route Statique Récapitulative :
=> Router(connfig)#ip route 172.16.0.0 255.255.252.0 20.1.1.2

Sécurité des ports d'un switch cisco

La sécurité des interface d'un commutateur (switch) pour les violations physique des équipements réseaux, le commutateur est utilisé l'adresse mac pour filtrer les trames.

 Règle :

Switch(config)#interface type numéro

Activer la sécurité sur l'interface:

Switch(config-if)# switchport mode access

Switch(config-if)# switchport port-security

Sécurité statique: (Autoriser un Adresse MAC=aaaa.xxxx.eeee)

Switch(config-if)# switchport port-security mac-address aaaa.xxxx.eeee

Sécurité dynamique :

Autoriser la premier(s) adresse(s) MAC qui reçoit sur l'interface :

Switch(config-if)# switchport port-security mac-address sticky

définie le nombre d'adresse mac (par défaut=1) :

Switch(config-if)# switchport port-security maximum nombre

Déterminer le résultat de la violation :

-Fermeture de l'interface :

Switch(config-if)# switchport port-security violation shutdown

-bloque la trame :

Switch(config-if)# switchport port-security violation protect

-envoyé un message à SysLog et SNMP :

Switch(config-if)# switchport port-security violation restrict

Vérification :

Switch# show port-security interface type numéro

 Exemple :

TRI-prof(config)# interface f0/1 

TRI-prof(config-if)# switchport mode access 

TRI-prof(config-if)# switchport port-security 

TRI-prof(config-if)# switchport port-security mac-address 0030.A3E8.ECDD

TRI-prof(config-if)# exit

TRI-prof(config)# interface f0/2

TRI-prof(config-if)# switchport mode access 

TRI-prof(config-if)# switchport port-security 

TRI-prof(config-if)# switchport port-security violation protect 

TRI-prof(config-if)# switchport port-security maximum 3

TRI-prof(config-if)# switchport port-security mac-address sticky 

TRI-prof(config-if)# exit

Remarque : nombre des adresse mac est 3 ( S1 + PC2 + PC3)

Le concept de réseau privé virtuel

Le concept de réseau privé virtuel

Les réseaux locaux d'entreprise (LAN ou RLE) sont des réseaux internes à une organisation, c'est-à-dire que les liaisons
entre machines appartiennent à l'organisation. Ces réseaux sont de plus en plus reliés à Internet par l'intermédiaire d'un
système proxy (faisant souvent office de firewall pour des raisons de sécurité), c'est-à-dire une machine qui filtre les données
en provenance et à destination d'Internet afin de constituer un véritable garde-barrière.
Sur Internet, les liaisons sont beaucoup plus vulnérables car les données peuvent passer par des lignes susceptibles d'être
"écoutées". Ainsi, étant donné que certaines entreprises ne peuvent pas se permettre de relier deux réseaux locaux distants
par une ligne spécialisée, il est parfois nécessaire d'utiliser Internet comme support de transmission. On parle alors de
réseau privé virtuel (aussi appelé VPN, acronyme de Virtual Private Network) lorsque les données transitant sur Internet
sont sécurisées (c'est-à-dire cryptées). Ce réseau est dit virtuel car il relie deux réseaux "physiques" (réseaux locaux) par
une liaison Internet, et privé car seuls les ordinateurs des réseaux locaux faisant partie du VPN peuvent accéder aux données.
Les VPNs offrent l'évolutivité en terme de connectivité d'entreprise, déployé sur une infrastructure partagée avec les mêmes
critères d'efficacité est appréciable sur un réseau privé. Ces critères incluent la sécurité, la gestion des priorités, la fiabilité, et
la gestion bout en bout.
Un VPN peut-être déployé au-travers d'Internet o u construit sur un réseau IP, frame Relay, ATM d'un fournisseur de service.
Les VPNs basés sur IP peuvent naturellement étendre l'omniprésence des intranets au-delà d'une zone interconnectée
vers les agences distantes, les utilisateurs mobiles ou les télé travailleurs. De plus, ils peuvent étendre les extranets vers
des groupement d'intérêt économique en dehors de l'organisation, relier les partenaires clients et fournisseurs, améliorant
la satisfaction client, permettant de se différencier au niveau marché, et de réduire les coûts de transformation (manufacturage). 

Présentation

Présentation 

---

Qu’est-ce qu’un VPN ?

Les réseaux privés virtuels (VPN : Virtual Private Network) permettent à l’utilisateur de créer un chemin virtuel sécurisé entre
une source et une destination. Avec le développement d’Internet, il est intéressant de permettre ce processus de transfert de
données sécurisé et fiable. Grâce à un principe de tunnel (tunnelling) dont chaque extrémité est identifiée, les données
transitent après avoir été chiffrées.
Un des grands intérêts des VPN est de réaliser des réseaux privés à moindre coût. En chiffrant les données, tout se passe
exactement comme si la connexion se faisait en dehors d’Internet. Il faut par contre tenir compte de la toile, dans le sens
où aucune qualité de service n’est garantie. 

Les VPNs et les protocoles SLIP, PPP, PPTP, L2F, L2TP, LCP, IPSec, MPLS, NAT

   Philippe Roudel, Alain Maroc ENIC - TTV02

Sommaire 

Présentation VPN :Virtual Private Network   Qu’est-ce qu’un VPN ?   Le concept de réseau privé virtuel **   Les trois types de base de VPN   L'accès distant   L'Intranet   L'extranet   Comment marche un VPN ?   A quoi sert un VPN ?   Services des VPN   Qualité de Service   Sécurité   L'accès VPN pour l' entreprise   Rappels, historique   SLIP : Serial Line IP Protocol   Introduction   Caractéristiques   Protocole   Faiblesses   Remarques   CSLIP: Une amélioration de SLIP   PPP : Point-to-Point Protocol   Introduction   Format de la trame   Généralités   Les différentes phases d’une connexion   Le protocole de contrôle de liaison LCP   Informations complementaires sur LCP   Les protocoles de controle réseau NCP   IPCP - Description   PAP - Password Authentication Protocol   CHAP - Challenge-Handshake   Authentification du site distant   Remarque   Conclusion : SLIP ou PPP?   Les principaux protocôles de VPN   PPTP : Point to Point Tunnelling Protocol   Introduction   Cryptanalyse des extensions MS-CHAP   MS-CHAP Versions 1 et 2   Attaques par compatibilité arrière   Conclusions   L2F : Layer Two Forwarding de Cisco   L2TP : Layer Two Tunnelling Protocol de l'IETF   Concepts clés   Concentrateur d'accès LAC   Serveur réseau LNS   Avantages de L2TP   Tunneling Les différents types de tunnels  IPSec : IP Secure   Introduction   Principe du fonctionnement SA/SAD/SPD   Protocole AH (Authentication_Header)   Mode transport et mode tunnel   Protocole ESP (Encapsulating Security Protocol)   Limitation IPSec et NAT   Conclusions   Exemple : échange IPSec dans un tunnel L2TP **** Autres protocôles impactés par les VPNs   MPLS : Multi-Protocol Layer Switching   Définitions   Introduction   Routage et commutation de paquets   MPLS et ses composants   Qu’est-ce que MPLS ?   LSR et LER   FEC   Labels et association de labels   Label-Switched Paths LSP   Label Distribution Protocol LDP   NAT : Network Adress Translation   Les quatres types d'implémentations de NAT   NAPT (Network Address and Port Translation) / IP Masquerading   Translation d'adresses dynamique   Translation d'adresses statique   Redirection de port   Compatibilité et incompatibilité NAT  Exemple routeur CISCO 2500   Matrice de Compatibilité des protocoles VPN  FAQ : Foire Aux Questions   Q1: Qu'est-ce que la liste de distribution mail VPN? et comment y souscrire?  Q2: Qu'est-ce qu'un Réseau Privé Virtuel (VPN:Virtual Private Network)?  Q3: Quels sont les types de VPN? et quels sont leurs avantages et désavantages respectifs?  Q4: Qu'est-ce que PPTP? Est-ce une solution viable dans le cadre d'un VPN?  Q5: Qu'est-ce que IPsec? Quelles relations avec les VPN et les firewalls?  Q6: Comment IPSec travaille-t-il avec NAT (Network Address Translation)?  Q7: Comment savoir si un VPN d'accés distant  est la bonne solution pour mon organisation?  Q8: Comment puis-je vérifier qui utilise le VPN pour accéder à mon site?  Q9: Comment puis-je vérifier quels types de trafic réseau sont transmis dans mon VPN?  Q10: Dois-je terminé mon VPN sur mon firewall ou directement sur mon réseau privé?  Q11: En quoi l'utilisation du cryptage affecte les performances des connexions réseaux?  Q12: Qu'est-ce que l'authentification forte?  Q13: Quelle est l'importance de la longueur de la clé?Qu'est-ce qu'une attaque "force brute"?  Sites Web   Bibliographie   Annexes   Présentation PowerPoint   "Les VPNs"  "Le NAT "   "Radius"