Il est possible aussi de configurer l?adresse IP et le masque de sous-réseau (cliquez pour cela sur le bouton FastEthernet en-dessous du bouton INTERFACE). Gestion de la  sécurité routeur (mesures de sécurité de bases), 2. Etude des techniques d?attaques réseaux ………………………………………………..37, 5.1      Le sniffing des mots de passe et des paquets ………………………………………...37, 5.2      L'usurpation d'adresse IP …………………………………………………………… 38, 5.3      Les scanners  …………………………………………………………………………39, 5.4      Attaque de type " Deny of  Service " ………………………………………………...39 Chapitre 3 : Politique de sécurité ………………………………………………………….42, 1. Examen de la configuration  courante du routeur hypothèse  et de vérifier que la pénétration à la fois le routeur et ACL  évacuation ont un mot-clef log  après chaque infirmer la  déclaration. Remarque : la numérotation du rapport commence par l’introduction, c’est la page numéro 1 . Il y a deux types d'accès : –         L'accès local implique une connexion  directe à un port de console sur le routeur avec un terminal ou un ordinateur portable. ), les services et comptes  inutiles à désactiver, les types d'accès autorisés, la politique de sauvegarde de la configuration, etc... . Le sigle TCP/IP désigne un protocole de communication utilisé sur Internet. Les routeurs et leurs rôles le réseau des PME : Les routeurs peuvent jouer un rôle dans la garantie de réseaux. –    Comptes système ou utilisateurs non sécurisés : les données des comptes. », La commande « aaa authentication login »permet de référer à un ensemble de défini précédemment TACACS + serveurs. Un rapport de stage est unique et reflète votre expérience dans une entreprise donnée. Jean François Pillou. La commande « logging Ip » Active la journalisation des messages système à un, La commande « logging trap » Afin de limiter les messages enregistrés sur les serveurs syslog fonction de la gravité, utilisez la commande trap enregistrement en mode de configuration globale. Rapport de Stage de deuxième Année BTS SIO par CALICI Adem Avantages et inconvénients de PRTG : PRTG créer en 1994 par la société PAESSLER est une solution de supervision de réseau en temps réel. Le port de console est un port de gestion permettant un accès hors réseau à un routeur. La MIB (Management Information base) est la base de données des informations de gestion maintenue par l'agent, auprès de laquelle le manager va venir pour s'informer. d'examiner  dans une optique sécuritaire l'infrastructure du réseau local. La commande Access-List simplifiée n'autorise que le réseau d?adresse10.0.0.0/24. (1) : OID: c’est la suite d’entiers qui désigne de manière non ambiguë un objet SNMP. À l'exception de l'extérieur ou NIPRN et pairs. Limiter l?accès par Telnet. Sans système d?exploitation, le matériel est inopérant. –     Niveau de privilège 15 = privilégiés (invite routeur #), le niveau après la mise en activer le mode. §  Identifier les failles  des routeurs CISCO, §  Mettre en place les procédures de sécurité  selon les check-lists de  DISA, (Defense Information Systems Agency) pour prévenir ces attaques. antivirus) permettant  de sécuriser l?infrastructure réseau. Ceci devrait générer une suractivité pour l?hôte sniffeur et donc 50 accroître ses temps de réponses. access-list 3 permit 192.168.1.10 log access-list 3 permit 192.168.1.11 log access-list 3 deny any line vty 0 4 access-class 3 in, Les administrateurs routeur assurer l'accès de gestion in-band pour le routeur est limitée à SSH. Le présent projet, était une opportunité pour aborder de près le domaine le plus important de nos jours, celui de la sécurité des Systèmes d?Information(SI). La figure suivante présente les différentes couches du modèle TCP /IP ainsi que quelques protocoles utilisés par chaque couche. Cette attaque  consiste à envoyer un paquet TCP SYN (qui débute les connexions) très rapidement, de sorte que le routeur attaqué s?attend à compléter un grand nombre de connexion sur le port spécifié, ce qui épuise ses ressources et affecte les connexions légitimes. router bgp 100  neighbor external-peers peer-group  neighbor 171.69.232.90 remote-as 200  neighbor 171.69.232.90 peer-group external-peers  neighbor 171.69.232.100 remote-as 300  neighbor 171.69.232.100 peer-group external-peers  neighbor 171.69.232.90 password xxxxxxxxxx, neighbor 171.69.232.100 password xxxxxxxxxx. Ce service peut révéler à une personne mal intentionnée et non autorisée des informations sur les utilisateurs connectés. Les lignes de configuration d'un routeur sont les suivantes. Ce chapitre nous a donné l?occasion de présenter le cadre du stage et d'exposer  les enjeux de la sécurité informatique. Un hackeur peut envoyer un message « Destination unreachable  » vers une machine, la machine ne peut donc plus communiquer avec d?autres postes sur le réseau. Renvoi d'AVP (Attribute Value Pair) par le serveur Request Response, envoi d'autres AVP. SSH fournit une authentification par mot de passe plus résistante que celle de Telnet et emploie un chiffrement lors du transport des données de la session. Spécification du type d?interface et du numéro de port de l?interface. interface FastEthernet 0/0 description link to our network ip address 199.36.90.1 255.255.255.0 ip access-group 107 in, access-list 107 permit icmp 199.36.90.0 0.0.255.255 any echo access-list 107 permit icmp 199.36.90.0 0.0.255.255 any parameter-problem access-list 107 permit icmp 199.36.90.0 0.0.255.255  any source-quench access-list 107 deny icmp any any log, Mise en place des réseaux LAN interconnectés en PDF, Rapport TP2 WiFi CSMA/CA & Packet Racer en Pdf, TP Protocole reseaux sur Packet Tracer en PDF, Cours interconnexion de périmètres réseaux en PDF, Enoncé Du TP6 Reseaux (Commande Reseaux) en PDF. Il peut donc s?avérer nécessaire d?acquérir, d?installer et de configurer un logiciel de client SSH pour votre ordinateur. . Les serveurs collectent l'information et se chargent de créer les journaux. Figure 20 : Test la pile de protocoles TCP/IP locale, Après avoir appris à utiliser des commandes et des utilitaires pour vérifier la configuration d?un hôte, vous allez maintenant aborder des commandes permettant de vérifier les interfaces des périphériques intermédiaires. Examen de la configuration courante du routeur hypothèse et de vérifier que les deux du routeur d'entrée et de sortie ACL sont basés sur une nier par la politique par défaut. Cisco IOS fournit aux périphériques les services réseau suivants : § fonctions de routage et de commutation de base, § accès fiable et sécurisé aux ressources en réseau, § évolutivité du réseau. Un routeur peut être configuré à partir des sources externes suivantes : § Ligne console : Accès primaire, à utiliser si aucun autre accès de configuration n?est. §  Afficher des information et statistiques sur une interface: show interfaces nom_interface sh interfaces nom_interface sh int nom_interface. Si la machine ne répond pas il se peut que l'on ne puisse pas communiquer avec elle (c?est le principe de la commande Ping). –     Faut-il un contrat de maintenance ? Ce document a été mis à jour le 19/11/2009 La lecture de la liste s?arrête alors. §  La confidentialité : demande que l'information sur le système ne puisse être  lue que par les personnes autorisées. Même si le plan type ou les consignes de votre établissement sont identiques, chaque rapport de stage … cette liste (Il faut être en mode de configuration), Les plus utilisées sont les <100-199> IP Extended Access List, car ce sont souvent des paquets IP qui transitent, notamment sur l'internet. En outre, il est préférable d?utiliser le port de console plutôt que le port AUX pour le dépannage, car il affiche par défaut les messages de démarrage, de débogage et d?erreur du routeur. Cela peut présenter un risque de sécurité, il est conseillé de le désactiver. Vous pouvez enregistrer/archiver les fichiers de configuration dans un document texte. §  se tenir informé des mises à jour des OS et les correctifs des failles . Figure15 : Configuration du nom d?hôte IOS. En outre, les protocoles de la couche d'accès au réseau mappent les adresses IP avec les adresses matérielles physiques et encapsulent les paquets IP dans des trames. À l'exception d?Echo Reply (type 0), Temps dépassé (type 11), et Destination unreachable (type 3), le filtre d'entrée permet de bloquer tous les messages ICMP. Etant donné que la plupart des entreprises déploient des équipements réseaux de marque CISCO, les routeurs de cette marque ont été  la cible de plusieurs attaques basées sur l?exploitation frauduleuse des  protocoles réseaux, ainsi que les failles liées à leurs configurations. Le présent projet a pour but de définir l?ensemble des attaques ciblant les  routeurs  CISCO  en vue de déceler leurs vulnérabilités pour les corriger en appliquant les règles de sécurité recommandées. La configuration doit être au : Access-List 107 permit TCP any 10.0.0.0 255.255.255.0, 3.3.3 Contre l’utilisation Frauduleuse du protocole ICMP. . Inter network operating System IOS…………………………………………………. Ces dernières exploitent les vulnérabilités dans les protocoles réseau. ip tcp intercept list 107 access-list 107 permit tcp any < wildcard mask>. Il est aise d'échafauder sur le papier des configurations de systèmes d'information. Par . L'intérêt de Syslog est donc de centraliser les journaux d'événements, permettant de repérer plus rapidement et efficacement les défaillances d'ordinateurs présents sur un réseau. L?infrastructure  réseau, qui présente le périmètre du Système d?Information, est considérée comme la première cible des pirates. Il est ainsi possible d?effectuer des requêtes TCP ou UDP personnalisées sur un port de destination quelconque. Les ACL permettent de désigner des groupes d'adresses grâce à l'utilisation d'un masque générique. Il  convient donc de définir une politique de journalisation. Ce rapport se terminera par une conclusion de ce stage, comment je l’ai ressenti, une explication des différents problèmes rencontrés et un bilan personnel. Le principal protocole de cette couche est le protocole IP. Un attaquant peut donc récupérer facilement des informations qui peuvent lui faciliter une attaque ultérieure. 3 LEXEMPLE DE NQE NETWORK QUEUING ENVIRONNEMENT.RAPPORT DE STAGE. §   Aspect pratique des recommandations de sécurité: La liste des listes des considérations de sécurité de nombreux, qui ne peut être pratique, car elle pourrait nuire aux performances du réseau. paramètres par défaut peuvent générer des failles de sécurité. Comme par exemple accéder à un périphérique réseau (routeur, Switch..) pour mettre à jour sa configuration  à distance. Les deux principaux modes d?exécution sont : - le mode utilisateur, -       le mode privilégié. Les méthodes les plus répandues utilisent : §  le port de console, § le protocole Telnet ou SSH, § le port AUX. Ce rapport est  organisé conformément au plan suivant : Le premier chapitre inclut le cadre du projet et un ensemble de concepts théoriques liés à la sécurité des réseaux. Dans ce chapitre, nous avons  appris comment  accéder aux modes et aux procédures de configuration de base d?un routeur Cisco. Un routeur étant un équipement sensible, il est important de le surveiller afin d'avoir une idée sur ses différentes activités (trafic, connexion, etc.). § Vulnérabilité des équipements réseaux : Les différents types d?équipements réseau tels que les routeurs, les firewalls et switchs ont des faiblesses de sécurité qui doivent faire l?objet d?une détection et d?une  protection. Access-List 101 permit IP 10.0.10.0 10.0.10.254 any. Un hôte doté d?un client Telnet peut accéder aux sessions vty en cours d?exécution sur le périphérique Cisco. En effet, elles sont envoyées sur tous les PC connectés mais sont ignorées par tous, excepté le PC auquel elles sont destinées. –      Protéger l?intégrité des données acheminées on acheminant le trafic avec un protocole de routage, ou en se référant à une table de routage statique. La couverture, rigide, doit comporter vos nom et prénoms, le titre du rapport de stage, la période de stage, l’année universitaire, les références de l’établissement d’accueil et celles relatives à l’université et à votre formation ainsi que les noms de vos tuteurs (Université et établissement d’accueil). Après avoir effectuer ce travail il était nécessaire de créer Et cliquez sur OK. § Spécifiez l’interface de connexion de l’ordinateur. Après les listes sont construites, elles peuvent être appliquées soit à l'arrivée ou le trafic sortant sur une interface. Elle s'exécute en mode Privilégié. Par exemple, des informations comme des adresses IP et Ethernet, le contenu des tables de routage, des statistiques sur le trafic, seront disponibles. Nous avons également beaucoup appris  les notions de la sécurité réseau, ce qui m?a permis de  comprendre les techniques utilisées par les pirates  et la façon de s?en protégés. Le Syslog se compose d'une partie cliente et d'une partie serveur. Rapport de stage maintenance informatique pdf - Blogge . Les administrateurs  routeur utilise le protocole TCP Intercepte commande pour protéger les serveurs  contre les attaques  TCP SYN flood de tout un réseau extérieur. Ce protocole expose les utilisateurs au « déni de service ». Les locaux techniques sont des points essentiels du reseau local, sans lesquels il ne peut fonctionner correctement. La machine ne peut alors plus communiquer. access-list 10 permit host 7.7.7.5 snmp-server community xxxxxxxxx ro 10. Nous avons examiné de prés la sécurité des routeurs CISCO qui présentent la colonne vertébrale de l?infrastructure réseaux de POLYGONE ou tout autre entreprise déployant ce type de routeur, en vu de satisfaire le besoin de la société en matière de sécurité des équipements réseaux. Cette technique est utilisée dans les attaques de type Smurf. La session SSH chiffre toutes les communications entre le client et le périphérique IOS. ftp-server enable ip rcmd rcp-enable ip rcmd rsh-enable, line vty 0 4 transport input rlogin telnet, Notifications ICMP inaccessible, les    réponses    masquent, et les    redirections ne    sont    pas. 15, 2. copy startup-config running-config copy start run, 4.6.6  Annulation d’une commande particulière. Les attaques par déni de service sont destinées à refuser des services à des hôtes légitimes qui tentent d?établir des connexions. Interfaces handicapées pour un routeur Cisco auront le "shutdown" commande en vertu de la déclaration d'interface, interface Ethernet1 no ip address no ip directed-broadcast, Les administrateurs  routeur feront en sorte que le routeur ne permet que des séances de gestion dans la bande provenant d'adresses IP autorisées à partir du réseau interne. ), mais aussi tous les buffers utilisés par les cartes d?entrée. Introduction Générale……………………………………………..………………………..1, Chapitre1 : Présentation du cadre du projet et généralités sur la sécurité des réseaux...3, 1. À la différence des connexions console, les sessions Telnet requièrent des services réseau actifs sur le périphérique. Elles sont, pour la plupart, à effectuer à partir du mode de configuration d'interface. Au bout d'un moment, le noyau les détruit. . on a une stratégie de  sécurité dans. C?est pourquoi il existe une menace sérieuse pour les personnes qui se connectent sur des ordinateurs distants, où les mots de passe apparaissent en clair dans la trame. Il s?agit d?une technologie centrale qui s?étend à pratiquement tous les produits Cisco. § Ligne auxiliaire : Accès à distance via une liaison RTC et modems interposés. Note: Tous les filtres doivent être appliqués aux interfaces appropriées sur une direction d'arrivée. Cette commande appliquée sur chaque interface indique que le routeur ne doit ni générer, ni accepter de paquets ICMP Redirect. Un client TELNET est qualifié d'hôte local. Il y a un certain nombre de façons de fournir la sécurité  physique aux équipements. Pour préparer le démarrage initial et la configuration du routeur, un ordinateur exécutant un logiciel d?émulation de terminal est connecté au port de console du périphérique. L?échange en trois étapes débute lorsque le premier hôte envoie un paquet de synchronisation (SYN). FTP, RCP et RSH sont désactivés par défaut. POLYGONE est un acteur dans le domaine de l'intégration de réseau, de la. Une fois le routeur acquis, il convient de définir une politique de mise en œuvre. Le système d?exploitation, comme celui d?un quelconque ordinateur, facilite l?exploitation de base des composants matériels du périphérique. Les réseaux connectés par un routeur intérieur partagent souvent la même politique  de sécurité  et le niveau de confiance  entre eux est d'habitude haut. A présent, la prochaine fois qu'un utilisateur tentera de se connecter en mode utilisateur privilégié, un mot de passe vous sera demandé. 3.3.5 Sécurisation des protocoles de routage § Exigence: Authentification MD5 voisin doit être mis en œuvre pour tous les protocoles de routage avec tous les routeurs par les pairs au sein même ou entre systèmes autonomes (AS). La croissance accélérée de ces  réseaux qui sont aujourd'hui de plus en plus ouverts sur Internet, est à priori bénéfique, pose néanmoins un problème majeur : il en découle un nombre croissant d?attaques qui peuvent aboutir à de graves conséquences professionnelles et financières en menaçant  l'intégrité, la confidentialité et la disponibilité de l?information. Home » » rapport de stage réseau informatique rapport de stage réseau informatique. §   Une mémoire FLASH, également une mémoire non volatile sur laquelle on stocke la version courante de l?IOS du routeur. Il ya 16 niveaux de privilèges  possibles qui peuvent être spécifiées pour les utilisateurs dans la configuration du routeur. §  Étape 4. §  Utilisateur normal: Aucune commande à effectuer, c'est dans ce mode que commence une session. Il est recommandé de placer le périphérique dans une pièce ou une armoire fermée à clé pour interdire l?accès physique. Pour spécifier le numéro de port, il est possible d?ajouter un nombre à exemple rotary 50 changera le port d'écoute à 3050. Pour revenir les hôtes exploitation à distance au niveau par défaut. Les périphériques Cisco IOS disposent d?un processus serveur Telnet qui est lancé dès le démarrage du périphérique. Un exemple d'un compte local est illustré dans l'exemple ci-dessous. interfaceFastEthernet 0/0description  NIPRNet link ip address 199.36.92.1 255.255.255.252 ip access-group 101 in. La commande Access-Class 10  active l'Access-List 10 sur les vty 0 à 4. Bootp est un protocole permettant à une machine de booter sur le réseau. Activation de l?interface. Pour des raisons de sécurité, IOS exige l?emploi d?un mot de passe dans la session Telnet en guise de méthode d?authentification minimale. On filtre ainsi les classes d?adresses IP autorisées à accéder au routeur, tout en limitant les temps de connexion au routeur sans activité. Une politique de mots de passe doit être  définie et appliquée pour éviter leur compromission. . À la différence d?une mémoire morte, toutefois, la mémoire Flash permet de modifier ou de recouvrir son contenu s?il y a lieu. Mon maître de stage étant [po ste du maître de stage], j’ai pu apprendre dans d’excellentes conditions [décrire ici les grandes missions du maître de stage] Problématique et objectifs du rapport [Analyse sectorielle] Ce stage a donc été une opportunité pour moi de percevoir comment une entreprise dans un Dans l?environnement ILC, le mode dans lequel vous travaillez est reconnaissable à son invite de commandes unique. §  Attribution d'un adresse IP à une interface: ip address @IP masque § Activation de l'interface: 4.6.4 Commandes d’enregistrement de la configuration courante, Ces commandes permettent de sauvegarder la configuration actuelle pour la réappliquer automatiquement en cas de redémarrage du routeur. La figure ci-dessous montre un aperçu général  de Packet Tracer. Connectez un câble console sur le port console du routeur et branchez l'autre extrémité au port COM 1 du PC en utilisant un adaptateur DB-9 ou DB-25. En pratique, tous les ordinateurs sauf le destinataire du message vont s?apercevoir que le message ne leur est pas destiné et vont donc l?ignorer. Une fois en mode de configuration globale, Il suffit de taper une seule commande pour appliquer un mot de passe: r1 (config) # enable password mot_de_passe. § L?adresse destination : il n?intercepte que les paquets ayant l?adresse destination du routeur pour garantir que le trafic susceptible de contenir le mot de passe est  destiné au routeur. Les routeurs Cisco émettent des requêtes TFTP à intervalles réguliers pour vérifier l?intégrité de leur configuration. Le scénario d'une telle attaque est le suivant : –      la machine attaquante envoie une requête Ping à un ou plusieurs serveurs de diffusion en falsifiant l'adresse IP source (adresse à laquelle le serveur doit. Listes d'accès sont des outils puissants pour contrôler l'accès vers et à partir de deux segments de  réseau. §   Une carte mère qui est en général intégrée au châssis. Rapport de stage de 16 pages en informatique : Rapport de stage : développeur Web. Figure 1 : schéma du réseau de la société POLYGONE. Figure 31 : schéma d?un réseau avec serveur Taccas, Les commandes suivant est pour configurer un client Tacacs (le routeur), Pour fonctionner, le service AAA doit être activé sur le routeur avec la commande suivante: « aaa new-model. Packet Tracer est un logiciel permettant de construire un réseau physique virtuel et de simuler le comportement des protocoles réseaux sur ce réseau. §  Les messages ou unités d?information qui transitent d?un périphérique à un autre. La porte console, sur un routeur, est configurée comme une interface     DTE (Data Terminal Equipment). Les exigences de la sécurité des réseaux……………………………….….……………... 6, 5. Il est également possible d'influer sur le comportement d'une machine en écrivant des données dans la base d'information(MIB) du périphérique (fonction SET). IOS est l'acronyme de "Inter networks Operating System", soit, pour les anglophobes, "Système  d'exploitation pour l'interconnexion de réseaux .Ce système est administrable en lignes de    commandes, propres aux équipements de Cisco Systems. sécurisés avec les techniques les plus Sophistiquées matière de « firewalls » et de contrôles d'accès, mais il est fréquent qu'un audit sérieux révèle encore de nombreuses insuffisances, notamment sur le plan physique (accès aux équipements, continuité de fonctionnement). La couche transport fournit une connexion logique entre les hôtes source et de destination. Les fichiers de configuration, quant à eux, contiennent les commandes du logiciel Cisco IOS utilisées pour personnaliser les fonctionnalités d?un périphérique Cisco. . Les protocoles de transport segmentent et rassemblent les données envoyées par des applications de couche supérieure, entre les deux points d'extrémité. Son rôle est de fragmenter le message à transmettre de manière à pouvoir le faire passer sur la couche internet. Une personne mal intentionnée pourrait utiliser les informations fournies par CDP pour parvenir à ses fins. Pour activer le Telnet, il vous suffit juste d'appliquer un mot de passe à la ligne: r1 (config-line) # password mot_de_passe r1 (config-line) # login r1 (config-line) # exit, Il est recommandé d?utiliser des mots de passe différents pour chacun de ces niveaux d?accès. Vous pouvez également utiliser TACACS pour granularité encore plus au niveau du commandement. Un routeur Backbone ou un routeur extérieur est celui qui transmet le trafic entre les différents sites d?une entreprise. Le routeur ne peut donc pas communiquer via un réseau. Dans l?ordre de haut en bas, les principaux modes sont les suivants : -    autres modes de configuration spécifiques. Le logiciel de client SSH n?est pas fourni par défaut sur tous les systèmes d?exploitation.