Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
PPE Mission 3 mise en place du
VPN
BTS SIO option SISR
Elève : Bellugue Clément Période : deuxième année d’alternance
Environnement :
• Matériel : Cisco, routeur, stations de travail
Utilisateurs concernés par la situation
• Tous les services
Tâches réalisées :
• Configuration des interfaces des routeurs
• Mise en place du service SSH
• Mise en place du routage
• Mise en place d’IPsec
• Vérification du bon fonctionnement d’IPsec
Activités Résultats attendus/productions Vécu ou simulé Ou observé
A1.1.1 Analyse du cahier des charges d’un service à produire
Description des situations d’utilisation du service, précise et conforme au cahier des charges et respectant les normes de représentation appliquées par le prestataire informatique
Vécu
Portefeuille de compétences
Contexte professionnel
Stadium Company est une société qui s’occupe de l’administration et la gestion du stade. Il fait appel à
Networking Company pour mettre en place une solution d’infrastructure réseau.
Situation (mission) N° 3 :
Besoin : Mise en place d’une solution d’administration à distance et d’une interconnexion sécuriser
A.1.2.1 Élaboration et présentation d'un dossier de choix de solution technique
Proposition de plusieurs solutions pour l’interconnexion des différents sites : Telnet et SSH pour l’administration à distance et IPsec VPNSSL/TLS et OpenVPN pour l’interconnexion sécurisé des sites
Vécu
A.1.2.2 Rédaction des spécifications techniques de la solution retenue (adaptation d'une solution existante ou réalisation d'une nouvelle solution)
J’ai choisi la solution IPsec comme VPN car il permet la confidentialité grâce au cryptage ISAKMP, l’intégrité via l’échange de clé et l’authentification avec 3des. Et nous avons choisi SSH pour l’administration à distance car il est plus sécurisé grâce au cryptosystème RSA
Vécu
A.1.2.3 Évaluation des risques liés à l'utilisation d'un service
Le défaut à la mise en place d’IPsec est que le flux qui sera utiliser dans notre infrastructure sera seulement l’Unicast
Vécu
A.1.2.4 Détermination des tests nécessaires à la validation d'un service
Vérification du fonctionnement de SSH et IPsec en se connectant à distance via SSH avec l’installation de la signature lors de la connexion et vérification du cryptage des données entre les sites
Vécu
A.1.3.1 Test d'intégration et d'acceptation d'un service
Mise en place de l’interconnexions sécurisée des sites et vérification du bon fonctionnement des autres services de StadiumCompany
Vécu
A.1.3.4 Déploiement d'un service Mise en place de l’interconnexions sécurisé des sites et l’administration à distance dans StadiumCompany
Vécu
A.1.4.1 Participation à un projet Travail effectuer pour les projets de mise en place d’infrastructure de StadiumCompany
Vécu
A.3.1.1 Proposition d'une solution d'infrastructure
Proposition de la solution IPsec pour l’interconnexion des sites
Vécu
A.3.1.2 Maquettage et prototypage d'une solution d'infrastructure
Réalisation d’un schéma du réseau Vécu
A.3.1.3 Prise en compte du niveau de sécurité nécessaire à une infrastructure
Définition des avantages en termes de sécurité d’IPsec (Confidentialité, intégrité et authentification)
Vécu
A.3.2.1 Installation et configuration d'éléments d'infrastructure
Installation et configuration des routeurs de chaque sites
Vécu
A.3.3.1 Administration sur site ou à distance des éléments d'un réseau, de serveurs, de services et d'équipements terminaux
Mise en place du service d’administration à distance sécurisé via un cryptage RSA et une clé de 1024 bits grâce à SSH
Vécu
A.4.1.9 Rédaction d'une documentation technique
Rédaction de la documentation technique pour la mise en place des solutions pour cette mission
Vécu
A.5.1.2 Recueil d'informations sur une configuration et ses éléments
Recherche des différentes informations pour l’explication des solutions pour cette mission
Vécu
A.5.1.5 Évaluation d'un élément de configuration ou d'une configuration
Evaluation des solutions d’interconnexions des sites et d’administration à distance sécurisé et leur configuration pour StadiumCompany
Vécu
A.5.2.1 Exploitation des référentiels, normes et standards adoptés par le prestataire informatique
Configuration des solutions en respectant les normes de sécurité demander par StadiumCompany
Vécu
A.5.2.4 Étude d’une technologie, d'un composant, d'un outil ou d'une méthode
Etude de la solution d’interconnexion des sites en étudiant plusieurs solutions permettant la réalisation de cette solution
Vécu
Pour commencer, nous allons choisir les interfaces du routeur 1 sur lesquels nous allons rentrer les
différentes @IP
Une fois que nous avons selectionné les ports en question, nous devons rentrer les adresses IP,
mais avant sa, nous devons rentrer la commande EIGRP
*EIGRP = cette commande est une evolution direct de IGRP, cette commande nous permet de faire
du routage Interdomaine,
Les commandes suivantes vont nous permettre de modifier le nom du Routeur
Ainsi que déterminer les adresses sur les différentes interfaces
Cette fois-ci nous allons recommencer la configuration faite précédemment mais sur le Routeur 2
Avec la commande EIGRP
Afin de pouvoir faire comme sur la dernière copie d'écran nous allons devoir modifier le nom du
routeur 3 en R3 avec la commande suivante : « Hostname R3 »
Par la suite nous allons sélectionner les différentes interfaces et y rentrer leurs adresses.
Cette fois-ci nous allons recommencer la configuration faite précédemment mais sur le Routeur 2
Avec la commande EIGRP
Pour rappel cette commande nous permet de faire du routage inter domaine en rentrant les
différentes adresses que le routeur doit contacter
La copie d’écran suivante est un récapitulatif des interfaces configurées précédemment
Nous avons le détail de chaque interface avec les adresses IP attribué
Nous avons effectué la même commande cette fois-ci sur le R2
La commande à rentrer est à rentrer à la racine : Show IP interface brief
Nous avons effectué la même commande cette fois-ci sur le R3
La commande à rentrer est à rentrer à la racine : Show IP interface brief
La commande Crypto isakmp nous permet de mettre en place la tunnelisation plus couramment
appelé VPN « Virtual Private network »
La commande isakmp Policy 10 nous permet de modifier la taille de la police d’écriture
Définition des commandes suivantes :
Authentification pre-share : cette commande nous permet de crypter le traffic entre un réseau privé
et un réseau public.
Encryption 3des : norme de sécurité beaucoup plus sûr que la DES classique mis en place depuis 1977
La commande Crypto isakmp nous permet de donner une clé de sécurité au VPN
La commande lifetime seconds : La durée maximale avant que la retour tombe en erreur
Cette commande nous sert a mettre en place les access-list qui définissent les permissions
Cette commande nous permet de Configurer la crypto map qui va associer les access-list, ainsi que le traffic et la destination
Les commandes suivantes sont :
crypto map stade 10 ipsec-isakmp
set peer 200.200.200.6
set security-association lifetime seconds
match address 101 stade(config-crypto-map)#exit
Application de la crypto map sur l'interface de sortie
int fa0/1 stade(config-if)#crypto map stade
*Nov 9 10:44:03.555: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
exit
Le screen suivant nous donne le resumé des commande entrée ainsi que les résultats
Cette copie d’ecran nous donne également le global des commande rentrée tout au long du
paramétrage