Professional Documents
Culture Documents
Partie 1:
Adresse Source et Adresse de Destination Port Source et Port de destination Protocole Applicatif
filtrent le trafic rseau en commandant aux interfaces d'un routeur d'acheminer ou de bloquer des paquets routs
Un routeur examine chaque paquet afin de dterminer s'il doit l'acheminer ou l'abandonner
3
condition
Comment les paquets entrent-ils par les interfaces d'arrive ? Comment sont-ils relays par le
routeur ?
Si aucune des instructions ne correspond au paquet, une instruction implicite " deny any " interdisant l'accs est impose
7
Il convient d'identifier chaque liste de protocole en lui attribuant un numro unique Router{config}#access-list numro-liste-accs {permit|deny} {conditions-de-test) Router(config-if) # {protocole} access-group numro-liste-daccs 10
Un bit 0 de masque gnrique signifie " vrifier la valeur du bit correspondant " un bit 1 signifie " ne pas vrifier (ignorer) la valeur du bit correspondant "
11
les 0 et les 1 du masque de sousrseau dterminent les portions rseau, sous-rseau et hte de l'adresse IP correspondante
La commande any
n'importe quelle adresse IP, tapez 0.0.0.0, puis pour indiquer que la vrification doit ignorer (c.--d. autoriser sans vrifier) toute valeur, tapez les bits de masque gnrique correspondants pour cette adresse, qui seraient tous des 1 (c.--d. 255.255.255.255).
Router(config)# access-list 1 permit 0.0.0.0 255.255.255.255 vous pouvez utiliser ceci : Router(config)# access-list 1 permit any
13
La commande host
Exemple : vous souhaitiez prciser qu'une adresse hte IP sera refuse par une vrification de liste de contrle d'accs :
14
15
Exemple :
La commande ip access-group associe une liste de contrle d'accs existante une interface Router(config-if)#ip access-group numro-liste-d'accs {in | out}
16
Exemple 1 de configuration
17
Exemple 2 de configuration
18
Exemple 3 de configuration
liste de contrle d'accs est conue pour bloquer le trafic d'un sousrseau particulier, 172.16.4.0, et permettre l'acheminement de tout autre trafic
19
Elles peuvent galement vrifier des protocoles et des numros de port particuliers, ainsi que d'autres paramtres
20
21
est :
Router(config)# access-list numro-liste-d'accs {permit | deny} protocol source [source-mask] destination [destination-mask] operator
operand] [established]
La commande ip access-group lie une liste de contrle d'accs tendue existante une interface.
une seule liste de contrle d'accs est permise par interface, par direction et par protocole. Le format de cette commande est le suivant :
Router(config-if)# ip access-group numro-liste-d'accs {in | out}
22
23
Exemple 1 de configuration
24
Exemple 2 de configuration
interface
25
Les listes de contrle d'accs doivent tre utilises dans les routeurs
pare-feu, lesquels sont souvent placs entre le rseau interne et un rseau externe, tel qu'Internet Le routeur pare-feu fournit un point d'isolation qui protge l'ensemble de la structure du rseau interne Vous pouvez galement utiliser les listes de contrle d'accs sur un routeur situ entre deux sections du rseau pour contrler le trafic entrant ou sortant d'une section particulire du rseau interne Pour tirer parti des avantages des listes de contrle d'accs en matire de scurit, vous devez au moins configurer des listes de contrle d'accs sur les routeurs priphriques situs aux frontires du rseau
27
Partie 2:
28
Introduction
29
Toutefois, tous les segments font toujours partie d'un mme domaine de
broadcast
tous les nuds de tous les segments peuvent voir un broadcast d'un nud situ sur un segment
Les units ou les utilisateurs d'un VLAN peuvent tre regroups par fonction,
service, application, etc., et ce, quel que soit le segment physique o ils se
trouvent
30
32
33
couche 3.
Les LAN virtuels fournissent une mthode de contrle des broadcasts de rseau.
L'administrateur rseau affecte les utilisateurs un LAN virtuel. Les LAN virtuels peuvent amliorer la scurit des rseaux en
elle fournit des mcanismes permettant l'interoprabilit entre les composants du systme backbone.
35
Le backbone sert
habituellement de point de convergence pour les volumes
de trafic importants
Il transporte galement les informations VLAN et l'identification de l'utilisateur final entre les commutateurs, les routeurs et les serveurs directement connects
36
Chaque commutateur est en mesure de prendre les dcisions relatives au filtrage et l'acheminement par trame, en fonction des paramtres VLAN dfinis par les administrateurs rseau.
Le commutateur peut aussi communiquer ces informations d'autres commutateurs et routeurs du rseau.
Les mthodes les plus utilises pour regrouper logiquement des utilisateurs en LAN virtuels distincts sont le filtrage de trames et l'identification de trames (tiquetage de trames).
37
Selon l'ensemble de rgles dfinies par l'administrateur, ces techniques dterminent l'endroit o la trame doit tre envoye, filtre ou diffuse
39
Il fournit une solution plus volutive pour le dploiement de LAN virtuels l'chelle d'un campus
L'identificateur est interprt et examin par chaque commutateur avant tout broadcast ou transmission d'autres commutateurs, routeurs ou quipements de station d'extrmit
40
l'identificateur avant de
transmettre la trame la station d'extrmit cible
traitement ou d'administration
peu levs
41
Les LAN virtuels axs sur le port Les LAN virtuels statiques Les LAN virtuels dynamiques
42
VLAN statiques
configurations VLAN
attribues jusqu' ce que vous les changiez
44
VLAN dynamiques
Plus le groupe VLAN est rduit, plus le nombre d'utilisateurs touchs par le trafic de broadcasts l'intrieur du groupe est petit
46
elle restreint le nombre d'utilisateurs dans un groupe VLAN, elle configure tous les ports non utiliss et les affecte un LAN virtuel faible niveau de service par dfaut. Elle limite laccs du trafic quau VLAN correspondant la source du trafic
47
Chaque Vlan logique est considr comme un pont physique spar VLANs peuvent recouvrir plusieurs switchs Les liaisons dagrgation de type trunk portent le trafic pour plusieurs VLANS.
Switch A Fast Ethernet Trunk Switch B
Vlan Rouge
Vlan Bleu
Vlan vert
Vlan Rouge
Vlan Bleu
Vlan vert
48
La cration dun VLAN sur un commutateur est une tche trs simple
et directe : Switch#vlan database Switch(vlan)#vlan numro_vlan name nom_vlan Switch(vlan)#exit
49
Switch#vlan database
Switch(vlan)#no vlan 300
50
vous devez crer un VLAN sur le commutateur assigner ensuite cette adhsion de port sur le commutateur
Dans le IOS de Cisco, un port niveau 2 est dfinie comme switchport Un switchport peut tre membre dun seul VLAN ou configur comme une agrgation ( trunk ) pour porter le trafic sur plusieurs VLANS. ISL (propritaire de Cisco) et IEEE 802.1Q sont deux mthodes diffrentes pour mettre en uvre un identificateur VLAN dans une trame communique entre plusieurs switch en mode trunk.
51
52
La norme IEEE802.1Q
53
La norme IEEE802.1Q
Serveur : ceux qui sont configurs manuellement et propagent linformation aux autres switch (synchronisation). Client : ceux qui reoivent et r-envoient les nouvelles configs Vlan du switch serveur et affectent leurs valeurs Transparent : reoivent et r-envoient les nouvelles configs Vlan du switch serveur et naffectent pas leurs valeurs
56
La configuration par dfaut de VTP VTP domain name: None VTP mode: Server VTP password: None VTP pruning: Disabled VTP trap: Disabled
58
Partie 3:
59
Cette authentification est indpendante d'autres authentifications vers des systmes d'exploitation ou applications
60
Scuriser un rseau filaire ou sans-fil Pour interdire les postes inconnus Pour placer les postes connus a des endroits spcifiques du rseau (vlan) de faon dynamique.
61
Savoir qui se connecte sur quelle prise Eviter une utilisation illicite du rseau par des inconnus Affecter les machines sur des rseaux virtuels (cloisonnement)
Obligatoire pour intgrer le rseau filaire cest--dire que les machines sans-fil travaillent comme les machines filaires
Affecter une machine sur le mme vlan que lorsquelle se connecte sur le rseau filaire. Authentification + cryptage Ncessit de grer un primtre arien, flou, incontrlable.
62
Autoriser quoi ?
64
65
Protocoles dauthentification ?
66
67
68
L'intrt de l'architecture de EAP est de pouvoir utiliser divers mcanismes d'authentification sans que l'quipement rseau (NAS) aient besoin de les connatre.
EAP/TLS :
EAP/PEAP ou EAP/TTLS :
le client est authentifi par un login/mot de passe. Le serveur peut tre authentifi par son certificat.
70
Protocoles dauthentification
71
Protocole Radius
Authentification : Qui me parle ? Authorization :Quelle autorisation je lui accorde ? Accounting : Que fait-il ?
72
73
74
Authentificateur
Lorsque le client NAS envoi un paquet access-request il inclut un authentificateur appel request-authenticator qui est une squence alatoire. Le serveur rpond par un paquet access-accept ou accept-reject ou accept-challenge avec un response-authenticator compos avec les informations contenues dans le paquet access-request, le request authenticator et un secret partag avec le NAS et le tout crypt MD5. Le NAS est alors en mesure de vrifier que le serveur qui rpond est biencelui qu'il a contact.
75
Les transactions RADIUS ont pour but de vhiculer des attributs et leur
valeur entre le client NAS et le serveur. Ces attributs et leur valeur sont appels paires attribut-valeur (AVP= attribut-value pair) Ces attributs permettent au client de communiquer des informations au serveur (password, MAC adresse) et au serveur de communiquer les paramtres des autorisations qu'il dlivre (vlan) ou bien demander des
informations complmentaires.
76
77
La version de TLS Un challenge (nombre alatoire) Un identifiant de session La liste des algorithmes de chiffrement supports par le client
Son certificat et sa cl publique Demande au client denvoyer son certificat Un challenge Un identifiant de session calcul partir de celui du client. Choisit un algorithme de chiffrement en fonction de ceux connus par le client
78