3.11.1 – Packet Tracer – Exploration de la sécurité du réseau
Objectifs
Partie 1: Explorer les réseaux
Partie 2 : Mettre en œuvre les mesures de sécurité
Contexte/scénario
Dans cette activité en mode PTPM (Packet Tracer Physical Mode), vous allez explorer et mettre en œuvre plusieurs procédures de sécurité à différents endroits de la ville de Greenville, en Caroline du Nord. Sont inclus des réseaux dans un centre de données, un FAI, un Coffee Shop et un Home.
Le centre de données est approvisionné pour la sécurité environnementale et physique. Il y a aussi un logiciel inclus pour maintenir le contrôle d’accès. Vous allez installer un détecteur de fumée de l’Internet des objets (IoT).
Le Coffee Shop offre un accès sans fil gratuit à ses clients. Vous allez mettre en place un VPN pour sécuriser le trafic.
La maison comprend un bureau, une chambre d’étudiant et un salon. Vous allez configurer deux réseaux locaux sans fil (WLAN) domestiques pour exiger l’authentification pour deux types d’utilisateurs différents: les membres de la famille et les invités. Ces réseaux seront également configurés avec le filtrage des adresses MAC pour restreindre l’accès.
Remarque: Cet exercice n’est pas noté. Cependant, vous utiliserez diverses méthodes pour vérifier les configurations que vous implémentez.
Instructions
Partie 1: Explorer les réseaux
Dans cette partie, vous allez explorer les réseaux dans le Data Center, FAI, Coffee Shop et maison.
Étape 1: Explorer Greenville.
L’activité s’ouvre sur une vision de la Caroline du Nord, aux États-Unis. Toutes les tâches de cette activité se déroulent à Greenville. Cliquez sur Greenville pour accéder à la vision de la ville. Il y a quatre emplacements à explorer: Data Center, FAI, Homeet Coffee Shop.
Étape 2: Explorez les chambres du Data Center.
a. Il y a deux salles et une variété d’appareils à explorer, y compris une salle de serveurs, un POP, un serveur IoT, deux points d’accès, un ordinateur portable et plusieurs appareils IoT connectés au réseau.
b. Cliquez sur Salle de serveur du Data Center. Notez que la majorité des périphériques sont des serveurs. Dans un Data Center réel, il y aurait des centaines de racks remplis de serveurs. Les commutateurs relient les serveurs avec des connexions redondantes. Un routeur fournit une connectivité au POP, qui se connecte ensuite au FAI.
Quel est le nom du routeur qui est situé dans ce placard de câblage?
Le routeur est DC1_R1.
c. Naviguez d’un niveau jusqu’au Data Center.
Étape 3: Examinez les périphériques dans le POP du Data Center.
a. Cliquez sur le bouton POP du Data Center. Quel type de câble est utilisé pour connecter le DC_Edge-RTR1 au FAI?
Ils sont reliés par fibre.
Quel appareil effectue la traduction d’adresses privées de Data Center en adresses publiques?
Le DC_Edge-Rtr1 fait du NAT.
b. Cliquez sur DC_Edge-RTR1 > CLI. Utilisez la commande show access-lists pour afficher la liste de contrôle d’accès. Cette liste d’accès autorise uniquement le trafic spécifique vers le data center. Dans cette simulation, le trafic HTTP, HTTPS, IPsec et FTP sont autorisés. Tout autre trafic est bloqué.
c. Étudier les interfaces. Quelle interface et dans quelle direction cette liste d’accès est-elle appliquée?
Entrant sur g0/0/0
Remarque: Les commandes access-list de cette simulation sont limitées. Sur un routeur en périphérie réelle, les listes d’accès seraient beaucoup plus complexes et encore plus restrictives pour protéger tous les périphériques réseau et les données du Data Center.
Étape 4: Examinez les périphériques IoT configurés pour se connecter au serveur IoT DC.
a. Accédez au centre de données. Dans la salle POP du Data Center, cliquez sur l’ordinateur portable sur le bureau, puis sur Bureau > Navigateur Web.
a. Entrez l’adresse IP 172.31.0.2, qui est le serveur IoT DC.
b. Pour le nom d’utilisateur et le mot de passe, saisissiez admin et ciscorocks.
c. Quels sont les dispositifs actuellement utilisés pour protéger l’équipement réseau du data center contre les facteurs environnementaux et la sécurité physique?
Pour la protection de l’environnement, le centre de données dispose de moniteurs IoT pour l’humidité, la température et la climatisation. Pour la sécurité physique, il y a des portes surveillées et des sirènes.
d. Dans la liste des périphériques IoT, cliquez sur Moniteur d’humidité pour le développer. Quel est le niveau d’humidité actuel?
Les réponses varieront mais seront d’environ 75 %
Étape 5: Enquêtez sur la porte surveillée et la sirène.
a. Dans la liste des périphériques IoT, cliquez sur Door pour le développer. Notez que l’indicateur Ouvrir est rouge. Cela signifie que la porte est fermée.
a. Dans la liste des périphériques IoT, cliquez sur Siren. Notez que l’indicateur On est rouge. Cela signifie que la sirène n’est pas activée.
b. Gardez la fenêtre du Navigateur Web en vue et localisez la sirène à côté de la porte dans le POP du Data Center.
c. Pour ouvrir la porte, cliquez sur Déverrouiller dans la liste des périphériques IoT, puis maintenez la touche ALT enfoncée et cliquez à gauche sur la porte. Quand la porte s’ouvre, la sirène devient rouge.
d. Dans la fenêtre Navigateur Web, l’indicateur Ouvrir est devenu vert, ce qui signifie que la porte est ouverte. L’indicateur Siren On est également vert, ce qui signifie que la sirène s’éteint. Fermez à nouveau la porte en maintenant la touche ALT enfoncée et en cliquant avec le bouton gauche sur la porte.
e. Dans la fenêtre du navigateur Web , sous Porte, cliquez sur Verrouiller. Essayez d’ouvrir à nouveau la porte en maintenant la touche ALT enfoncée et en cliquant avec le bouton gauche sur la porte. La porte devrait s’ouvrir.
Étape 6: Enquêtez sur le thermostat.
a. Dans la liste des périphériques IoT, cliquez sur Thermostat pour développer les fonctionnalités et les paramètres disponibles. A quelle température le climatiseur s’allumera-t-il?
20 C.
a. Dans le Data Center, cliquez sur Thermostat > Config, puis Wireless0 sous INTERFACE. Quelle est l’adresse IP du Thermostat?
Les réponses peuvent varier car elles sont fournies par DHC, mais elles seront comprises entre 172.31.0.05 et 172.31.0.20.
b. Sur le portable DC_Laptop, Fermez le navigateur web, si nécessaire. Cliquez sur Invite de commandes et envoyez une requête ping sur le thermostat. La requête ping devrait aboutir.
Étape 7: Explorez les réseaux FAI, Coffee Shopet Home .
a. Accédez au FAI. Le fournisseur de services Internet contient deux routeurs, un serveur DNS et un routeur Central Office qui connecte le Coffee Shop et Home à Internet.
a. Accédez au Coffee Shop. Comment les clients se connectent au réseau Coffee Shop?
Sans fil ou WLAN
b. Quel type de média est utilisé pour connecter le café à Internet?
Câble coaxial
c. Quels appareils sont utilisés pour créer le réseau Coffee Shop ? Cliquez sur l’ armoire de câblage pour afficher les périphériques supplémentaires.
Les appareils comprennent un routeur, un modem câble, un contrôleur LAN sans fil et 2 points d’accès.
d. Cliquez sur chaque ordinateur portable dans le Coffee Shop. Cliquez sur l’onglet Config , puis sur l’interface Wireless0 sous INTERFACE. Quelles sont les adresses IP qu’ils ont?
Les réponses peuvent varier car DHCP est utilisé.192.168.0.11, 192.168.0.12
e. Accédez au réseau Home. Vous allez configurer le réseau plus tard dans cette activité. Examinez les périphériques du réseau. Comment le Home se connecte-t-il au FAI?
Le réseau domestique se connectera au FAI par câble car il y a un modem câble comme l’un des appareils.
f. Quels appareils nécessitent une connectivité au sein de la maison?
un routeur domestique, 2 ordinateurs portables et deux PC câblés
Partie 2: Mettre en œuvre les mesures de sécurité
Dans cette partie, vous configurez la sécurité sans fil pour le détecteur de fumée dans le Data Center, un réseau privé virtuel (VPN) dans le Coffee Shopet deux réseaux sans fil dans Home.
Étape 1: Configurez un détecteur de fumée IoT dans le Data Center.
a. Revenez au centre de données. Cliquez sur le détecteur de fumée sur le mur de la salle serveur du Data Center, puis cliquez sur l’onglet Config . Terminer la configuration:
1. Modifiez le nom complet sur Détecteur de fumée DC1.
2. Dans la section Gateway/DNS IPv4, activez DHCP.
3. Dans la section Serveur IoT, modifiez le serveur distant pour avoir l’adresse IP 172.31.0.2. Le nom d’utilisateur est admin, est le mot de passe ciscorocks.
a. Cliquez sur Wireless0 sous INTERFACE et effectuez les configurations suivantes:
1. Modifiez le SSID en DC_WLAN.
2. Changez le type d’authentification en WPA2-PSK et saisissez dans le champ de phrase secrète le mot ciscorocks.
3. Revenir à Paramètres. Dans la section Serveur IoT, cliquez sur Se connecter. Le serveur d’enregistrement met à jour la passerelle par défaut et l’adresse IP du détecteur de fumée via DHCP.
Remarque: le bouton Connexion devient Actualiser une fois que vous avez réussi à vous connecter.
b. Fermez le détecteur de fumée DC1, puis cliquez sur l’ordinateur portable dans le POP du centre de données. Si vous avez fermé le navigateur Web précédemment, reouvrez-le maintenant et authentifiez-vous auprès du serveur IoT à l’adresse 172.3.1.0.2 avec le nom d’utilisateur admin et le mot de passe ciscorocks.
c. Notez que le détecteur de fumée DC1 est maintenant ajouté à la liste des périphériques IoT. Cliquez sur Détecteur de fumée DC1 dans le navigateur Web. L’indicateur d’alarme doit être rouge, ce qui signifie que l’alarme n’est pas activée.
Étape 2: Créez un VPN sur un ordinateur portable dans le Coffee Shop pour sécuriser le trafic.
Le Wi-Fi gratuit dans les entreprises comme le café est généralement “ouvert”, ce qui signifie qu’il n’y a pas de confidentialité et que le trafic peut être facilement capté. Pour éviter ce problème, vous allez utiliser un client VPN sur l’un des ordinateurs portables pour vous connecter à un serveur FTP dans le centre de données. Le tunnel créé par le VPN crypte toutes les données transférées entre l’ordinateur portable et le serveur. Le routeur périphérique du data center est déjà configuré pour le VPN.
a. Accédez au Coffee Shop, puis cliquez sur l’ ordinateur portable VPN.
b. Cliquez sur Bureau > Invite de commandes et entrez la commande ipconfig . Quelle est l’adresse IP attribuée à cet ordinateur portable?
192.168.0.12
a. Pour accélérer la convergence dans Packet Tracer, ping le serveur VPN fourni par le DC_Edge-RTR1 à 10.0.0.2.
b. Fermez la fenêtre d’invite de commandes ,et puis cliquez sur VPN. Entrez la configuration suivante :
Nom de Groupe: REMOTE
Clé de Groupe: CISCO
IP de l’hôte (IP du serveur): 10.0.0.2
Nom d’utilisateur: VPN
Mot de passe: ciscorocks
c. Cliquez sur Connexion. Cliquez sur OK au message VPN est connecté. Si vous rencontrez des problèmes, assurez-vous que votre configuration est correcte et que vous avez précédemment réussi à pinger 10.0.0.2. La fenêtre Configuration du VPN affiche désormais l’ adresse IP du client. Quelle est l’adresse IP utilisée?
La réponse variera, mais elle sera comprise entre 172.18.1.150 et 200.
d. Accédez au data center, puis cliquez sur POP du data center > DC_Edge-RTR1.
e. Cliquez sur l’onglet CLI. En mode d’execution privilégié, saisissez la commande show crypto isakmp sa pour afficher les associations de sécurité IPsec actives. Quel état est répertorié dans la sortie de la commande?
ACTIVE
f. Quelle adresse IP de destination est répertoriée dans la sortie? Pouvez-vous déterminer à quel périphérique cette adresse IP appartient?
10.1.0.11 qui est l’adresse IP de l’interface Internet du routeur Coffee Shop G0/0
g. Pour tester le VPN, revenez sur l’ ordinateur portable VPN. Dans la fenêtre Invite de commandes, entrez la commande ftp 172.19.0.3 pour vous connecter au serveur FTP dans le data center. Lorsque vous y êtes invité, saisissez le nom d’utilisateur remote et le mot de passe ciscorocks.
Remarque: Si la connexion échoue, vérifiez que le VPN est toujours connecté.
C:\ > ftp 172.19.0.3 Trying to connect...172.19.0.3 Connected to 172.19.0.3 220- Welcome to PT Ftp server Username: remote 331- Username ok, need password Password: ciscorocks 230- Logged in (passive mode On) ftp>
h. À l’invite ftp>, saisissez la commande dir pour voir les fichiers stockés sur le serveur FTP. Quel est le nom du fichier répertorié?
PTsecurity.txt
i. Entrez la commande get filename, remplaçant filename par le nom du fichier à télécharger sur l’ordinateur portable.
ftp> get PTsecurity.txt
Reading file PTsecurity.txt from 172.19.0.3:
File transfer in progress…
[Transfer complete – 92 bytes]
92 bytes copied in 0.019 secs (4842 bytes/sec)
ftp>j. Entrez la commande quit pour quitter votre session FTP.
k. Pour afficher le contenu du fichier, fermez la fenêtre d’ invite de commandes et ouvrez l’ éditeur de texte.
l. Cliquez sur Fichier > Ouvrir. Cliquez sur le fichier téléchargé, puis cliquez sur Ouvrir. Quel est le premier mot dans le message?
Toutes nos félicitations!
m. Dans le Coffee Shop, cliquez sur l’autre ordinateur portable, puis cliquez sur Bureau > Invite de commandes. Tentative de ping sur le serveur FTP à 172.19.0.3. A-t-elle abouti? Les élèves doivent justifier la réponse.
Le ping ne devrait pas réussir car cet ordinateur portable n’a pas de VPN configuré et le routeur de périphérie dans le DC est configuré avec une ACL qui refuse les pings.
n. Sur un équipement réel, vous avez besoin d’un service VPN et leur logiciel client VPN chargé sur l’ordinateur portable. Utilisez Internet pour rechercher différents services/applications VPN disponibles pour ordinateurs portables, tablettes et smartphones. Quels sont trois exemples de services/applications VPN que vous pourriez utiliser sur un réseau sans fil ouvert pour protéger vos données?
Les réponses varieront. Des exemples d’applications VPN sont CyberGhost, IPVanish et NordVPN.
Étape 3: Configurez des WLAN sécurisés dans le réseau domestique.
Pour le réseau domestique, vous allez effectuer la configuration sans fil initiale, créer des réseaux distincts pour le bureau à domicile et les invités, sécuriser chaque réseau avec une authentification forte et inclure le filtrage des adresses MAC.
a. Accédez à l’écran d’accueil. Enquêtez sur le câblage. Notez que les deux PC, l’un dans le bureau à domicile et l’autre dans la chambre, utilisent une connexion filaire. L’ordinateur portable dans le bureau utilisera le bureau à domicile WLAN et ordinateur portable dans le salon utilisera le WLAN invité.
b. Utilisez l’outil Zoom (ou la molette du milieu de la souris Ctrl +) pour effectuer un zoom avant sur le bureau à domicile.
c. Cliquez sur le routeur Home Gateway(Passerelle domestique). C’est l’appareil de gauche posé sur l’étagère derrière le bureau. Puis cliquez sur l’onglet GUI (Interface graphique utilisateur). Le routeur utilise DHCP pour recevoir automatiquement l’adressage IP de l’ISP.
d. Dans la section Network Setup , configurez le paramètre suivant :
IP Address: 192.168.0.254
Subnet Mask: 255.255.255.0
DHCP: Enabled
Start IP Address: 192.168.0.10
Maximum number of Users: 25
Static DNS 1: 10.2.0.125
e. Faites défiler l’écran jusqu’au bas de la page, puis cliquez sur Save Settings.
f. Faites défiler la page vers le haut et cliquez sur Sans fil. Dans le sous-menu Paramètres sans fil de base, configurez HomeNet comme SSID pour chacun des réseaux WLAN et désactivez toutes les diffusions SSID.
g. Faites défiler l’écran jusqu’au bas de la page, puis cliquez sur Save Settings.
h. Faites défiler l’écran vers le haut et cliquez sur le sous-menu Sécurité sans fil . Configurez les paramètres suivants pour les trois WLAN.
Mode de sécurité : WPA2 Personnel
Encryption: AES
Phrase secrète: ciscorocks
i. Faites défiler l’écran jusqu’au bas de la page, puis cliquez sur Save Settings.
j. Faites défiler la page vers le haut et cliquez sur le sous-menu Réseau invité. Configurez les paramètres suivants pour les trois WLAN :
Activer le profil invité
Nom de réseau (SSID): GuestNet
Activer la diffusion SSID
Mode de sécurité : WPA2 Personnel
Encryption: AES
Phrase secrète: guestpass
k. Faites défiler l’écran jusqu’au bas de la page, puis cliquez sur Save Settings.
a. Faites défiler l’écran vers le haut et cliquez sur le sous-menu Filtre MAC sans fil. Autoriser l’adresse MAC de l’ordinateur portable dans le bureau à domicile, qui est 00:01:42:2 B:9E:9D. Assurez-vous d’autoriser l’adresse MAC pour les trois WLAN. Il y a un menu déroulant en haut à côté de Wireless Port où vous pouvez passer de 2,4G à 5G (1) et 5G (2).
b. Faites défiler l’écran jusqu’au bas de la page, puis cliquez sur Save Settings.
c. Dans le Home Office, cliquez sur l’ordinateur portable sur la table devant le canapé, puis cliquez sur l’onglet Config . Configurez les paramètres sans fil nécessaires pour accéder au WLAN HomeNet.
d. Cliquez sur l’onglet Desktop, puis sur Web Browser (Navigateur). Entrez l’URL www.ptsecurity.com et cliquez sur OK. L’affichage de la page Web peut prendre quelques secondes. Si un message de délai d’attente de demande s’affiche, cliquez à nouveau sur Accéder.
e. Revenez au Home et effectuez un zoom avant sur le salon. Cliquez sur l’ ordinateur portable invité, puis sur Wireless0 sous la section INTERFACE . Configurez les paramètres sans fil nécessaires pour accéder au WLAN GuestNet. Sous Configuration IP, assurez-vous que DHCP est sélectionné. L’ordinateur portable a-t-il reçu l’adresse IP du routeur domestique? Les élèves doivent justifier la réponse.
L’ordinateur portable invité ne peut pas se connecter au réseau car le routeur domestique a été configuré pour filtrer en fonction des adresses MAC. Le filtre d’adresse MAC ne contient pas l’adresse MAC de l’ordinateur portable invité.
f. Revenez à l’onglet GUI du routeur domestique et corrigez le problème.
L’étudiant doit corriger le problème en ajoutant l’adresse MAC de l’ordinateur portable invité (00:01:63:E9:92:60) au filtre d’adresse MAC sans fil sur le routeur domestique et essayer de se reconnecter au GuestNet. Cela devrait réussir.
g. Revenez à l’ ordinateur portable invité. Dans la section Wireless0 > Configuration IP, vous devriez maintenant voir l’adressage IP à partir du pool que vous avez configuré précédemment sur le routeur domestique. Sinon, basculez entre DHCP et Static pour actualiser les requêtes DHCP.
h. Cliquez sur Bureau > Invite de commandes et effectuez un ping sur le serveur DNS dans le fournisseur de services Internet à la section 10.2.0.125 pour tester l’accès aux périphériques externes. La requête ping devrait aboutir.
i. Testez l’accès à tout autre appareil du réseau domestique. Les requêtes ping ont-elles abouti? Les élèves doivent justifier la réponse.
Les pings devraient échouer. Ce réseau invité a été configuré pour ne pas autoriser les invités à accéder aux ressources locales. Conseil : vérifiez les paramètres du HomeRouter1 pour le réseau sans fil/invité.
j. Fermez la fenêtre d’ invite de commande et cliquez sur Navigateur Web. Testez l’accès à www.ptsecurity.com. L’accès devrait être aboutir.
Remarques générales
a. Énumérez toutes les différentes approches de sécurité qui ont été utilisées dans cette situation.
Les réponses et l’ordre varieront.
– Positionnement des appareils IoT tels que les alarmes incendie, les thermostats, les humidificateurs et les climatiseurs dans le centre de données pour protéger les appareils et les données des problèmes environnementaux.
– Protéger l’accès au Data Center en utilisant des capteurs de verrouillage de porte et des sirènes.
– Créer un VPN dans une situation où le Wi-Fi gratuit est ouvert à tous. Ce VPN crypte et sécurise toutes les données qui utilisent la technologie de tunnellisation.
– Créer un réseau d’invités dans la maison afin que les invités aient accès à des sites externes mais pas à des informations privilégiées.
– Créer à la fois le réseau domestique et le réseau invité avec une authentification forte afin de limiter l’accès aux propriétaires et à leurs invités.
– Établir un filtrage de l’accès aux réseaux sans fil basé sur les adresses MAC afin qu’il limite l’accès à des appareils spécifiques connus.
– Utiliser des listes d’accès pour filtrer l’accès aux réseaux du Data Center.
b. Dans une situation où l’équipement réel est utilisé, énumérez d’autres suggestions qui pourraient être ajoutées à ce scénario pour le rendre plus sûr.
Les réponses et l’ordre varieront.
– Utiliser des dispositifs biométriques tels que des scanners d’empreintes digitales ou rétiniens pour entrer dans des zones sécurisées au sein du centre de données.
– Utilisez des mots de passe et des phrases de passe plus forts pour accéder aux réseaux et aux appareils. Les mots de passe forts doivent comporter plus de 8 caractères, y compris des lettres majuscules et minuscules, des chiffres et des caractères spéciaux.
– Ajoutez un VPN pour le réseau HomeNet afin de protéger toutes les données du propriétaire voyageant vers l’extérieur.
– Installez des liens redondants entre le centre de données et le FAI afin qu’il n’y ait pas un seul point de défaillance.
– Créer un deuxième Datacenter de secours en cas de perturbation extrême du service.
