TuxWin - Cisco

VLAN

Pierre — Fri, 14 Sep 2007 16:15:00 +0200

Petit exemple de mise en place de VLAN

Définition

Un VLAN (Virtual Local Area Network ou Virtual LAN, en français Réseau Local Virtuel) est un réseau local regroupant un ensemble de machines de façon logique et non physique.

En effet dans un réseau local la communication entre les différentes machines est régie par l'architecture physique. Grâce aux réseaux virtuels (VLANs) il est possible de s'affranchir des limitations de l'architecture physique (contraintes géographiques, contraintes d'adressage, ...) en définissant une segmentation logique (logicielle) basée sur un regroupement de machines grâce à des critères (adresses MAC, numéros de port, protocole, etc.).

Plusieurs types de VLAN sont définis, selon le critère de commutation et le niveau auquel il s'effectue :

Un VLAN de niveau 1 (aussi appelés VLAN par port, en anglais Port-Based VLAN) définit un réseau virtuel en fonction des ports de raccordement sur le commutateur ; .26.104.3

Un VLAN de niveau 2 (également appelé VLAN MAC, VLAN par adresse IEEE ou en anglais MAC Address-Based VLAN) consiste à définir un réseau virtuel en fonction des adresses MAC des stations. Ce type de VLAN est beaucoup plus souple que le VLAN par port car le réseau est indépendant de la localisation de la station ;

Un VLAN de niveau 3 :

on distingue plusieurs types de VLAN de niveau 3 :

Le VLAN par sous-réseau (en anglais Network Address-Based VLAN) associe des sous-réseaux selon l'adresse IP source des datagrammes. Ce type de solution apporte une grande souplesse dans la mesure où la configuration des commutateurs se modifient automatiquement en cas de déplacement d'une station. En contrepartie une légère dégradation de performances peut se faire sentir dans la mesure où les informations contenues dans les paquets doivent être analysées plus finement.

Le VLAN par protocole (en anglais Protocol-Based VLAN) permet de créer un réseau virtuel par type de protocole (par exemple TCP/IP, IPX, AppleTalk, etc.), regroupant ainsi toutes les machines utilisant le même protocole au sein d'un même réseau.

Le VLAN permet de définir un nouveau réseau au-dessus du réseau physique et à ce titre offre les avantages suivants :

Plus de souplesse pour l'administration et les modifications du réseau car toute l'architecture peut être modifiée par simple paramètrage des commutateurs
Gain en sécurité car les informations sont encapsulées dans un niveau supplémentaire et éventuellement analysées
Réduction de la diffusion du traffic sur le réseau

Mise en place

Commençons par mettre en place nos vlan dans notre configuration.
Pour cela il nous faut nous connecter sur le commutateur grâce au port console et s’identifier en mode « enable » (utilisateur privilégié).

Créons notre premier vlan qui va correspondre au réseau du service informatique :

switch_test#vlan database
switch_test (vlan)#vlan 2 name informatique
VLAN 2 added:
Name: informatique

créons ensuite notre deuxième vlan pour le réseau de la direction

switch_test#vlan database
switch_test (vlan)#vlan 3 name direction
VLAN 3 added:
Name: direction

Attribution des ports aux différents vlan

Une fois nos vlan créés il nous faut attribuer les ports correspondants aux différents services sur les vlan.

Pour le port 1 du commutateur qui sera sur le réseau du service informatique :

switch_test#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
switch_test(config)#interface Fa0/1
switch_test(config-if)#switchport access vlan 2

Pour le port 2 du commutateur qui sera sur le réseau de la direction :

switch_test#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
switch_test(config)#interface Fa0/2
switch_test(config-if)#switchport access vlan 3

Attribution d’une ip au commutateur

Pour permettre l’accès en telnet sur le commutateur nous allons lui attribuer une adresse ip accessible depuis réseau informatique :

switch_test#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
switch_test(config)#interface vlan 2
switch_test(config-subif)#ip address 10.26.104.253 255.255.255.0

Définissons ensuite cette interface comme l’interface principale du commutateur :

switch_test#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
switch_test(config)#interface vlan 2
switch_test(config-subif)#management

Mise en place de la liste d’accès

Nous devons n’autoriser l’accès par telnet que depuis l’adresse ip du responsable informatique.
Pour cela nous allons créer une access list :
switch_test#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
switch_test(config)#access-list 1 permit 10.26.104.32
switch_test(config)#access-list 1 deny any
Cette access list aura pour effet de n’accepter que l’utilisateur de l’ip 10.26.104.32.

Appliquons maintenant cette access list sur les sessions telnet :
switch_test#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
switch_test(config)#line vty 0 4
switch_test(config-line)#access-class 1 in

Sauvegarde de la configuration

Pour s’assurer de toujours être en mesure de répliquer la configuration du commutateur en cas d’erreur ou de dysfonctionnement de celui – ci, nous allons sauvegarder la configuration actuelle sur un serveur tftp.
Nous pouvons maintenant procéder à la sauvegarde de la configuration :
switch_test#copy flash:config.text tftp://10.26.104.2/sauvegarde.text
Address or name of remote host 10.26.104.2? 10.26.104.2
Destination filename sauvegarde.text? sauvegarde.text
1899 bytes copied in 0.598 secs

Vérification à l’aide de test

Nous pouvons maintenant vérifier notre configuration a l’aide de plusieurs tests.
Plaçons nous, sur une station du réseau de direction et faisons un ping sur le réseau informatique :

C:\>ping 10.26.104.31
Pinging 10.26.104.31 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 10.26.104.31:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

Le réseau informatique est bien inaccessible depuis le réseau de direction
Effectuons le même test depuis le réseau informatique vers le réseau de direction :
root@unix /# ping 10.26.104.11
PING 10.26.104.11 (10.26.104.11) 56(84) bytes of data.
10.26.104.11 ping statistics
173 packets transmitted, 0 received, 100% packet loss, time 172037ms

Test de l’accès en telnet au commutateur

Testons la sécurité de l’accès en telnet sur le commutateur.

Effectuons un essai de connexion en telnet via un poste du réseau informatique.

C:\>telnet 10.26.104.253
Connecting To 10.26.104.253...
Could not open a connection to host on port 23 : Connect failed

Effectuons ce même test depuis la station du responsable informatique qui est autorisé à se connecter dans l’access list :

root@unix /# telnet 10.26.104.54
Trying 10.26.104.54...
Connected to 10.26.104.54.
Escape character is '^]'.
User Access Verification
Password:
switch_test>

Le poste du responsable informatique est donc le seul à pouvoir se connecter sur le commutateur en telnet.
Les deux vlan ne peuvent donc pas communiquer. Seul les personnes dont les postes sont branchés sur des ports, où les vlan attribués correspondent, pourront communiquer entre eux. Le responsable informatique est la seule personne à avoir un accès sur le commutateur.

Commandes Show de Cisco

Pierre — Thu, 23 Aug 2007 17:27:00 +0200

Voici quelques commandes show de Cisco

La commande show est tres efficace pour le monitoring et le dépannage La commande show est tres efficace pour le monitoring et le dépannage. Vous pouvez l'utiliser pour executer toute une série de fonctions :

Monitoring du routeur pendant l'installation et pendant sa production
Isolation des problèmes d'interface, de média ou d'application
Determiner la charge du réseau
Determiner l'état des serveurs, client ou encore des routeurs voisins

Les commandes suivantes présentent les usages les plus courants de la commande show :

show access-lists
affiche les listes de controles d'accès configurés sur le routeur ainsi que les interfaces auxquelles elles se rapportent

show buffers
affiche l'état du tampon du routeur

show clock
affiche les paramêtres horaires du routeur

show <interface>
affiche différentes statistiques pour l'interface concernée comme par exemple le type de média raccordé

show net static
affiche les routes statiques configurées

show flash
affiche la version de lIOS utilisés par le roueur ainsi que que ma quantoté de mémoire flash utilisée

show flash all
affiche la quantité de mémoire flash utilisée

show interfaces
affiche les statisques ainsi que les caractéristiques de toutes les interfaces du routeur

show interfaces accounting
affiche un aperçu des protocoles voyagant au travers des interfaces

show ip arp
affiche la table arp du routeur

show ip OSPF <interface>
affiche le statut d'ospf sur l'interface concernée

show ip route
affiche la table de routage IP

show IPX interfaces
affiche l'état des interfaces IPX ainsi que leur adresse MAC

show ip protocols
affiche les information de routage

show ip traffic
affiche les statistique de traffic passant par le routeur

show ipx servers
affiche les serveurs que le routeur connait

show line
affiche les lignes actives du routeur

show log
affiche les logs du routeur ( il convient d'activer les logs au préalable)

show memory
affiche l'état de la mémoire du routeur

show running-config
affiche la configuration stockée en RAM, utilisée par le routeur en fonctionnement

show startup-config
affiche la configuration stockée en NVRAM, utilisée par le routeur au démarrage

show tcp
affiche les connections TCP

show version
affiche le uptime du routeur, la version de l'IPS, la séquence de boot ainsi que les caractéristiques physiques du routeur

Il existe un nombre incroyables d'autres options pour la commande show, pour les connaîtres, utilisez l'aide du routeur en tapant la commande : "show ?".

Il est important de rappeller que les options disponibles différent en fonction du mode ou l'utilisateur se trouve.

Calcul du temps de transfert d'un fichier

Pierre — Wed, 18 Jul 2007 15:28:00 +0200

Petite formule pour calculer le temps de transfert d'un fichier en connaissant le débit ou la bande passante

L’utilisation de la formule délai de transfert = taille de fichier / bande passante (D=T/BP) permet à l’administrateur du réseau d’évaluer plusieurs facteurs déterminants de la performance du réseau. Si l’on connaît la taille de fichier type pour une application donnée, il suffit de diviser la taille de fichier par la bande passante réseau pour obtenir une estimation du délai de temps de transfert le plus court pour le fichier.

Deux points importants doivent être pris en compte lors de ce calcul.

Le résultat n’est qu’une estimation, parce que la taille du fichier n’inclut pas la surcharge due à l’encapsulation.
On obtiendra un résultat pour un cas de figure idéal, or la bande passante disponible n’est presque jamais au maximum théorique de ses capacités pour le type de réseau.

Il est possible d’obtenir une estimation plus précise en posant le débit plutôt que la bande passante dans l’équation. Bien que le calcul du transfert de données soit assez simple, il faut veiller à utiliser les mêmes unités dans toute l’équation. En d’autres termes, si la bande passante est exprimée en mégabits par seconde (Mbits/s), la taille du fichier doit être elle aussi en mégabits, et pas en méga-octets (Mo). Étant donné que les tailles de fichier sont presque toujours exprimées en méga-octets, vous devrez multiplier par huit le nombre de méga-octets pour obtenir la valeur en mégabits.

Calcul :

D=T/BP

D=T/P

BP=Bande passant théorique maximale de la liaison "la plus lente entre l'hôte source et celui de destination (bits/seconde)

T=Taille du fichier en bits

D=Durée du transfert des fichiers (secondes)

P=Débit effectif au moment du transfert (bits/seconde)

1 kilo octet (Ko) vaut 2 puissance 10 soit 1.024 octets ou byte et 8.192 bits,

1 Méga octet (Mo) vaut 2 puissance 20 octets soit 1.048.576 octets

1 Giga octet (Go) vaut 2 puissance 30 octets soit 1.073.741.824 octets

Dhcp Snooping

Pierre — Wed, 11 Jul 2007 17:06:00 +0200

Petit tuto pour la mise en place d'un dhcp snooping avec rappel sur le protocole DHCP

1. Introduction

Le protocole DHCP permet de fournir dynamiquement une configuration réseau à un ordinateur, dont par exemple une adresse IP pour lui permettre de communiquer sur le réseau. Cependant il est possible qu’une personne mal intentionnée puisse exécuter sur son ordinateur un serveur DHCP afin de distribuer aux utilisateurs des configurations réseaux spécifiques qui serviront à des fins malicieuses. Pour palier à ces problèmes de sécurité, Cisco a mis en place une solution permettant de déterminer au sein des équipements les plus proches des utilisateurs (commutateurs) les serveurs qui sont seulement autorisés à diffuser des configurations DHCP au sein du réseau. Cette solution nommée « DHCP Snooping » vous sera présentée à travers cet article en vous présentant tout d’abord la théorie puis les commandes vous permettant d’implémenter cette solution au sein d’un réseau.

2. Rappels sur le protocole DHCP

Un ordinateur peut obtenir une configuration réseau de manière dynamique à l’aide d’un serveur DHCP qui pourra lui fournir une adresse IP, un masque de sous-réseaux, les adresses des serveurs DNS à utiliser ainsi que l’adresse IP de la passerelle par défaut. L’obtention de cette configuration se fait en 4 étapes, comme indiqué sur le schéma ci-dessous :

La première étape consiste à envoyer une requête DHCP Discover (Broadcast) sur le réseau. De cette manière tous les serveurs DHCP sur le réseau pourront être informés qu’un utilisateur cherche à obtenir une configuration réseau. Lorsqu’un serveur DHCP reçoit cette requête il propose une configuration à l’ordinateur ayant envoyé cette requête (appelé poste client ou encore client DHCP). Ceci est fait grâce à la requête DHCP Offer (Broadcast ou unicast suivant les serveurs). La troisième étape consiste à informer tous les serveurs DHCP présents sur le réseau du poste client (il peut très bien y en avoir qu’un seul) quel serveur DHCP le client a choisi. Le poste client envoie donc une requête DHCP Request (Broadcast) pour les avertir. La dernière étape consiste à confirmer au poste client que le serveur DHCP lui ayant proposé une configuration a bien pris en compte sa demande. Cette confirmation est faite grâce à l’envoi d’une requête DHCP ACK (Unicast). A ce stade, le poste client est désormais configuré correctement pour pouvoir communiquer sur le réseau.

3. Réseau sans DHCP Snooping

Certaines requêtes DHCP étant envoyées en broadcast (à tout le monde) sur le réseau, il est possible pour une personne mal intentionnée d’utiliser son propre serveur DHCP afin de diffuser des configurations malicieuses. En effet, cela est possible en laissant le serveur DHCP pirate répondre plus rapidement aux requêtes DHCP que le serveur DHCP présent sur le réseau, offrant ainsi aux utilisateurs des configurations prédéfinies et destinées à des actions malicieuses (voir schéma ci-dessous).

Le problème est que le serveur DHCP pirate peut définir comme passerelle par défaut sa propre adresse IP dans les configurations réseaux qu’il fournira aux clients DHCP. Cela signifie que chaque personne sur le réseau fera transiter ses données en passant par le serveur DHCP pirate au lieu de la passerelle par défaut initialement prévue par l’administrateur réseau. Le serveur DHCP pirate n’aura donc plus qu’à rediriger tout le flux d’informations provenant des utilisateurs vers la passerelle et vice versa (technique du man-in-the-middle) et pourra librement détourner des informations confidentielles ou des mots de passe d’utilisateurs. Il est primordial, lorsque vous souhaitez garantir une sécurité optimale au sein de votre réseau de se prémunir de ce genre d’attaques. C’est la raison pour laquelle le DHCP Snooping a été conçu.

4. Réseau avec DHCP Snooping

Le principe de fonctionnement du DHCP Snooping est simple. Etant donné que les requêtes DHCP Offer et DHCP ACK peuvent provenir uniquement des serveurs DHCP, il suffit donc de déterminer sur les commutateurs (switchs) les ports autorisés à diffuser ces requêtes. De cette manière, seuls les ports configurés comme étant des ports de confiance (trusted port), pourrons renvoyer aux postes clients des configurations réseaux.

Comme vous pouvez le voir sur le schéma ci-dessus, toute requête DHCP Offer ou DHCP ACK provenant d’un port qui n’est pas de confiance (untrusted port) se verra supprimée par le commutateur auquel est relié ce serveur. Le DHCP Snooping permet donc de renforcer considérablement la sécurité d’un réseau en lui permettant de se prémunir des attaques nécessitant l’utilisation d’un serveur DHCP pirate.

5. Commandes associées

Pour activer le DHCP Snooping sur un commutateur il faut tout d’abord utiliser la commande : « ip dhcp snooping ».

Ensuite il faut définir les VLAN qui vont devoir être pris en compte par le DHCP Snooping grâce à la commande : « ip dhcp snooping vlan numéro_vlan (numéro_vlan) »

Il faut ensuite activer l’option 82 du protocole DHCP car le DHCP Snooping en a besoin pour fonctionner. Pour cela il faut utiliser la commande : « ip dhcp snooping information option ».

Pour finir, il ne reste plus qu’à définir les interfaces qui seront dites de confiance (par défaut aucune interface n’est de confiance) et définir un nombre maximum de requêtes DHCP par seconde qui peuvent être envoyées sur un port.

Ceci va être possible grâce aux commandes : « ip dhcp snooping trust » et « ip dhcp snooping limit rate nombre ».

Voici un exemple de configuration d’un commutateur utilisant le DHCP Snooping et ayant définit l’interface fastethernet 0/0 comme étant de confiance :

Switch(config) ip dhcp snooping
Switch(config) ip dhcp snooping vlan 3 15
Switch(config) ip dhcp snooping information option
Switch(config) interface fastethernet0/0
Switch(config-if) ip dhcp snooping trust
Switch(config-if) ip dhcp snooping limit rate 50

6. Conclusion

Les attaques utilisant des serveurs DHCP pirates sont encore bien trop fréquentes et faciles à mettre en œuvre à l’heure actuelle. C’est pourquoi il devient inévitable pour un administrateur souhaitant apporter un minimum de sécurité à travers son réseau, d’utiliser le DHCP Snooping au sein de celui-ci.