Institut numerique

PARTIE 2 : Etude et configuration des routeurs Cisco

I. Introduction

Dans ce chapitre, nous allons décrire les procédures à suivre pour connecter et configurer les ordinateurs, les routeurs formant un réseau local Ethernet. Nous allons présenter les procédures de configuration de base des périphériques réseau Cisco. Ces procédures requièrent l’utilisation du système d’exploitation Cisco Inter network Operating System (IOS) et des fichiers de configuration connexes pour les périphériques intermédiaires. Il est essentiel que les administrateurs et les techniciens réseau comprennent le processus de configuration avec IOS. L’organisation de ce chapitre est la suivante : dans la première partie la définition le rôle du système d’exploitation Inter network Operating System (IOS), la deuxième partie présente les Vulnérabilités de routeur Cisco, enfin étudier le techniques d’attaques réseaux.

II-1) Rappel sur un routeur

Un routeur est un élément intermédiaire dans un réseau informatique assurant le routage des paquets. Un routeur est chargé de recevoir sur une interface des données sous forme de paquets et de les renvoyer sur une autre en utilisant le meilleur chemin possible. Selon l’adresse destination et l’information contenue dans sa table de routage.

1.1 Architecture des routeurs Cisco

Tous Les routeurs Cisco ont une architecture interne qui peut être représenté par :

Figure 5 : Architecture interne d’un routeur Cisco

Ils contiennent tous :

– Une mémoire NVRam pour Ram non Volatile et sur laquelle l’administrateur va stocker la configuration qu’il aura mise dans le routeur. Elle contient également la configuration de l’IOS,
– Une carte mère qui est en général intégrée au châssis,
– Une CPU qui est un microprocesseur Motorola avec un BIOS spécial nommé ” I.O.S. «pours Internetwork Operating System,
– Une mémoire RAM principale contenant le logiciel IOS, c‟est dans laquelle tout sera exécuté un peu à la manière d’un simple ordinateur,
– Une mémoire FLASH, également une mémoire non volatile sur laquelle on stocke la version courante de l’IOS du routeur,
– Une mémoire ROM non volatile et qui, quant à elle, contient les instructions de démarrage (bootstrap) et est utilisée pour des opérations de maintenance difficiles de routages, ARP, etc.), mais aussi tous les buffers utilisés par les cartes d’entrée.

II-2) Vulnérabilité des routeurs

Vu le rôle important qu’assure le routeur pour garantir les réseaux, il est nécessaire d’examiner de proche cet équipement pour découvrir ses vulnérabilités dans le but de limiter les menaces qui peuvent se présenter.

Les vulnérabilités d’un routeur peuvent se présenter dans :

– La configuration

Un routeur est semblable à beaucoup d’ordinateurs dans lesquels il y a beaucoup de services permis par défaut. Beaucoup de ces services sont inutiles et peuvent être utilisés par un attaquant pour la collecte d’informations ou pour l’exploitation. Comme les services SNMP. Parfois aussi les noms des utilisateurs et les mots de passe sont laissés par défaut.

II-3) Le rôle du système d’exploitation Inter network Operating System (IOS)

À l’instar d’un ordinateur personnel, un routeur ou un commutateur ne peut pas fonctionner sans système d’exploitation. Sans système d’exploitation, le matériel est inopérant. Cisco IOS est le logiciel système des périphériques Cisco. Il s’agit d’une technologie centrale qui s’étend à pratiquement tous les produits Cisco. Cisco IOS est exécuté par la plupart des périphériques Cisco, quels que soient leur taille et leur type. Ce logiciel est par exemple utilisé pour des routeurs, des commutateurs de réseau local, des petits points d’accès sans fil, des grands routeurs dotés de douzaines d’interfaces et bien d’autres périphériques.

Figure 6 : Cisco IOS (Inter network Operating System)

II-4) Méthodes d’accès à Cisco IOS :

Il y a plusieurs moyens d’accéder à l’environnement ILC. Les méthodes les plus répandues utilisent :

– le port de console,
– le protocole Telnet ou SSH,
– le port AUX.

Figure 7 : Vue arrière du routeur Cisco : Les ports d’accès

– Port de console

Il est possible d’accéder à l’environnement ILC par une session console, également appelée ligne CTY. La console connecte directement un ordinateur ou un terminal au port de console du routeur ou du commutateur via une liaison série lente. Le port de console est un port de gestion permettant un accès hors réseau à un routeur. Le port de console est accessible même si aucun service réseau n’a été configuré sur le périphérique. Le port de console est souvent utilisé pour accéder à un périphérique avant que les services réseau ne soient lancés ou lorsqu’ils sont défaillants.

La console s’utilise en particulier dans les circonstances suivantes :

– configuration initiale du périphérique réseau,
– procédures de reprise après sinistre et dépannage lorsque l’accès distant est impossible,
– procédures de récupération des mots de passe.

Lorsqu’un routeur est mis en service pour la première fois, ses paramètres réseau n’ont pas été configurés. Le routeur ne peut donc pas communiquer via un réseau. Pour préparer le démarrage initial et la configuration du routeur, un ordinateur exécutant un logiciel d’émulation de terminal est connecté au port de console du périphérique. Ainsi, il est possible d’entrer au clavier de l’ordinateur connecté les commandes de configuration du routeur. S’il est impossible d’accéder à distance à un routeur pendant qu’il fonctionne, une connexion à son port de console peut permettre à un ordinateur de déterminer l’état du périphérique. Par défaut, la console transmet les messages de démarrage, de débogage et d’erreur du périphérique.

Pour de nombreux périphériques IOS, l’accès console ne requiert par défaut aucune forme de sécurité. Il convient toutefois de configurer un mot de passe pour la console afin d’empêcher l’accès non autorisé au périphérique. En cas de perte du mot de passe, un jeu de procédures spéciales permet d’accéder aux périphériques sans mot de passe. Il est recommandé de placer le périphérique dans une pièce ou une armoire fermée à clé pour interdire l’accès physique.

– Telnet et SSH

Une autre méthode d’accès distant à une session ILC consiste à établir une connexion Telnet avec le routeur. À la différence des connexions console, les sessions Telnet requièrent des services réseau actifs sur le périphérique. Le périphérique réseau doit avoir au moins une interface active configurée avec une adresse de couche 3, par exemple une adresse IPv4. Les périphériques Cisco IOS disposent d’un processus serveur Telnet qui est lancé dès le démarrage du périphérique. IOS contient également un client Telnet. Un hôte doté d’un client Telnet peut accéder aux sessions vty en cours d’exécution sur le périphérique Cisco. Pour des raisons de sécurité, IOS exige l’emploi d’un mot de passe dans la session Telnet en guise de méthode d’authentification minimale.

Le protocole Secure Shell (SSH) permet un accès distant plus sécurisé aux périphériques. À l’instar de Telnet, ce protocole fournit la structure d’une ouverture de session à distance, mais il utilise des services réseau plus sécurisés.

SSH fournit une authentification par mot de passe plus résistante que celle de Telnet et emploie un chiffrement lors du transport des données de la session. La session SSH chiffre toutes les communications entre le client et le périphérique IOS. Ceci préserve la confidentialité de l’ID d’utilisateur, du mot de passe et des détails de la session de gestion. Il est conseillé de toujours utiliser SSH à la place de Telnet dans la mesure du possible. La plupart des versions récentes de Cisco IOS contiennent un serveur SSH. Dans certains périphériques, ce service est activé par défaut. D’autres périphériques requièrent une activation du serveur SSH.

Les périphériques IOS incluent également un client SSH permettant d’établir des sessions SSH avec d’autres périphériques. De même, vous pouvez utiliser un ordinateur distant doté d’un client SSH pour démarrer une session ILC sécurisée. Le logiciel de client SSH n’est pas fourni par défaut sur tous les systèmes d’exploitation. Il peut donc s’avérer nécessaire d’acquérir, d’installer et de configurer un logiciel de client SSH pour votre ordinateur.

– Port AUX

Une autre façon d’ouvrir une session ILC à distance consiste à établir une connexion téléphonique commutée à travers un modem connecté au port AUX du routeur. À l’instar de la connexion console, cette méthode ne requiert ni la configuration, ni la disponibilité de services réseau sur le périphérique.

Le port AUX peut également s’utiliser localement, comme le port de console, avec une connexion directe à un ordinateur exécutant un programme d’émulation de terminal. Le port de console est requis pour la configuration du routeur, mais les routeurs ne possèdent pas tous un port AUX. En outre, il est préférable d’utiliser le port de console plutôt que le port AUX pour le dépannage, car il affiche par défaut les messages de démarrage, de débogage et d’erreur du routeur.

En général, le port AUX ne s’utilise localement à la place du port de console qu’en cas de problèmes liés au port de console, par exemple lorsque vous ignorez certains paramètres de la console.

II-5) Configuration de base d’un routeur Cisco :

La configuration de base d’un routeur Cisco (et des autres aussi) se fait en général via la porte console. La porte console, sur un routeur, est configurée comme une interface DTE (Data Terminal Equipment). Les lignes de configuration d’un routeur sont les suivantes.

Figure 8 : lignes configuration routeur

II-5.1) commande de Bases

Pour la configuration d’un router Cisco on parvient à suivre les étapes suivantes :

Etape1 : Mise en place du matériel nécessaire

– Un routeur Cisco
– Deux ordinateurs (symbolisant les réseaux)
– Le câble “Console” fourni avec le routeur

Schéma de base du montage

Figure 9: Schéma de base du montage

II-5.2) Les différents modes d’utilisateur

. Mode Utilisateur: Permet de consulter toutes les informations liées au routeur sans pouvoir les modifier. Le Shell est le suivant:

– Router >

. Utilisateur privilégié: Permet de visualiser l’état du routeur et d’importer/exporter des images d’IOS. Le Shell est le suivant:
Router #
. Mode de configuration globale: Permet d’utiliser les commandes de configuration générale du routeur. Le Shell est le suivant:
Router (config) #
. Mode de configuration d’interfaces: Permet d’utiliser des commandes de configuration des interfaces (Adresses IP, masque, etc.). Le Shell est le suivant:
Router (config-if) #
. Mode de configuration de ligne: Permet de configurer une ligne (exemple: accès au routeur par Telnet). Le Shell est le suivant:
Router (config-line) #

II-6. Cas Pratique

II-6.1). Cas Pratique : Configuration de l’architecture de notre système Réseau

Figure 10 : Architecture de notre système

II.6.2). Configuration statique de router Cisco avec le packet tracer

Dans cette première architecture le plan d’adressage statique est comme suit :
Adresse réseau : 192 .168 .1.0/24

1. Router Maria :

Int Fa0/0
IP address : 191.168.1.1
Mask : 255.255.255.0
Int Fa0/1
IP addess : 172.123.1.1/16
Les hotes:
PC1 test: 192.168.1.5/24
PC2 test: 192.168.1.6/24
PC2 test: 192.168.1.7/24

2. Router Burgo :

Int Fa0/0
IP address : 192.168.1.1/24
Mask : 255.255.255.0
Int Fa0/1
IP address : 172.123.1.1/16
PC2 test: 192.168.1.2/24
PC2 test: 192.168.1.3/24
PC2 test: 192.168.1.4/2

Figure 11. Configuration de Notre architecture:

II.6.3). Figure 12 : La commande pour prendre un router à distance « Telnet »

II.6.4). Configuration du Serveur DHCP « Domain host control Protocol »

Apres la configuration du « DHCP » dans les deux router les hôtes reçoit des nouvelles adresses attribuées par le serveur DHCP

1. Le Router Maria :

Pool: « LAN » Pool « ULD »
Network: 192.168.1.0
Default-router: 192.168.1.254
Le PC1: 192.168.1.2
Mask: 255.255.255.0
Le PC2: 192.168.1.3
Mask: 255.255.255.0
Le PC3: 192.168.1.6
Mask: 255.255.255.0

2. Router Burgo :

Network: 192.168.1.0
Default-router: 192.168.1.254
Le PC1: 192.168.1.4
Mask: 255.255.255.0
Le PC2:192.168.1.5
Mask : 255.255.255.0
Le PC3: 192.168.1.4
Mask: 255.255.255.0

NB : le default Gateway pour le pc devient l’adresse attribué au Default-router

II.6.4). Configuration du DHCP avec l’exclusion d’adresse

L’exclusion des adresses est faite comme suite :

– Le Router Maria

Exclusion de 192.168.1.1 à 192.168.1.11 d’où les hôtes seront attribuent par des adresse à partir de 192.168.1.12 ………………..254

– Le Router Burgo

Exclusion de 192.168.1.1 à 192.168.1.12 d’où les hôtes seront attribuent par des adresse à partir de 192.168.1.13…………. 254

Page suivante : PARTIE 3 : Etude et Implémentation de Smoothwall

Retour au menu : ETUDE ET MISE EN PLACE D’UNE SOLUTION DE FIREWALL AVEC SMOOTHWALL