port

NAT – Redirection de port

image

Maquettes :
Voici les maquettes pour vous aider à suivre ce tuto :
Maquette vierge ici
Maquette complète ici

Problématique :
Le PC1 du réseau bleu n’accède pas au serveur WEB cisco.fr du réseau jaune.
Les deux réseaux LAN possèdent le même adressage en 192.168.1.0/24

NOTE : Si PC1 ping l’adresse IP de CISCO.FR, le ping réussira, Pourquoi ? Parce qu’ils possèdent tous les 2 la même adresse IP. Donc le PC1 s’autopingera lui-même xD !! #Camarchemaiscamarchepas

Contexte :
Le routeur du réseau bleu et le routeur du réseau jaune sont déjà configurés avec du NAT overload.
– Le PC du réseau bleu peut pinger l’adresse IP publique du réseau jaune en 132.78.241.30.
– Le PC du réseau jaune peux pinger l’adresse IP publique du réseau bleu en 92.50.132.2

Un peu de théorie :
Dans un souci d’économie d’adresse IP, chaque réseau d’entreprise et chaque réseau domestique sont avec des adresses IP dites « privées » en 192.168.0.0, 172.16.0.0, 10.0.0.0 par exemple. Pour pouvoir faire communiquer les réseaux en adresses IP privée sur le WAN, il est indispensable de configurer le NAT overload. Mais de cette façon, il est impossible de faire communiquer un réseau privé avec un autre réseau privé via le WAN.

Objectif :
Dans notre cas, nous voulons juste rendre accessible notre serveur WEB cisco.fr via l’IP publique 132.78.241.30 de l’entreprise JAUNE.

Solution :
Pour cela, sur le routeur CISCO du réseau jaune, tapez les commandes suivantes :
Router>en
Router#conf t
Router(config)#ip nat inside source static tcp 192.168.1.2 80 132.78.241.30 80

Explications :
Nous voulons redirigez un serveur WEB, donc nous allons rediriger le protocole HTTP
Ip nat inside source statique: à cela indique une redirection permanente
TCP:
le protocole HTTP utilise le protocole TCP
192.168.1.2: on précise l’adresse IP du serveur WEB
80: cela correspond au serveur port WEB du serveur
132.78.241.30: on précise l’adresse IP publique
80: on précise le port qui sera redirigé

Dans notre TP, nous venons de redirigez le port 80 de l’adresse IP publique sur le port 80 de notre serveur. Pour tester la redirection, allez dans web browser du PC1 et taper l’adresse IP publique 132.78.241.30 de cisco.fr Vous devriez obtenir :

image

Dans le nuage Internet, j’ai configuré un serveur DNS avec l’adresse IP 8.8.8.8. Celui associe l’IP publique 132.78.241.30 au nom de domaine cisco.fr. l’IP dns étant déjà référencez sur le PC1, dans votre web browser vous pouvez taper le nom www.cisco.fr

image

!!! CISCO FOREVER !!!

Voici d’autres redirections possibles :
Rediriger un serveur en HTTPS
Router(config)#ip nat inside source static tcp 192.168.1.2 443 132.78.241.30 443

Rediriger un serveur DNS
Router(config)#ip nat inside source static udp 192.168.1.2 53 132.78.241.30 53

Rediriger un serveur FTP
Router(config)#ip nat inside source static tcp 192.168.1.2 21 132.78.241.30 21

Rediriger un serveur TFTP
Router(config)#ip nat inside source static udp 192.168.1.2 69 132.78.241.30 69

Rediriger un serveur DHCP
Router(config)#ip nat inside source static udp 192.168.1.2 67 132.78.241.30 67

Publicités

IP DHCP SNOOPING

Notre serveur DHCP subit régulièrement des attaques type DHCP Starvation (en français : famine) appelé aussi attaque DoS (Deny Of Service), vidant ainsi notre pool de toutes ses IP. De plus les postes clients récupèrent des informations IP différentes de celle proposé par notre serveur DHCP, nous pensons donc qu’il existe un DHCP rogue sur notre LAN.

image

Votre mission, si vous l’acceptez, sera de protéger notre serveur DHCP des attaques DoS et de l’identifier comme seul serveur DHCP sur le LAN, laissant les rogues ainsi impuissants. L’objectif ici n’est pas d’identifier le hackeur mais de protéger notre serveur DHCP

Maquette vierge ici
Maquette complète ici

La première étape sera de limiter les attaques DoS sur notre pauvre serveur DHCP. Une attaque de ce genre se traduit par une inondation de trame partant du hackeur vers le serveur. Ces trames sont créées de façon aléatoire avec des adresses mac sources différentes. Le hackeur n’a qu’à générer 254 requêtes avec 254 adresses mac sources différentes pour réussir son attaque.

Pour pallier à cette attaque nous devons implémenter de la sécurité de port sur les ports d’accès de nos switch1 et switch2 avec les commandes suivantes :

Switch>enable
Switch#conf t
Switch(config)#inter range fastethernet 0/2-24

Important : Nous sélectionnons toutes les interfaces de la 0/2 à 0/24 sauf la 0/1 car c’est une liaison inter-switch, il n’y a pas de sécurité à mettre sur ce port dans notre cas

Switch(config-if-range)#switchport mode access
Commande obligatoire pour forcer le mode access sur le port, auquel cas vous aurez un beau petit message d’erreur du genre :
Command rejected: FastEthernet0/2 is a dynamic port.

Switch(config-if-range)#switchport port-security
Cette commande indique que nous activons la sécurité sur le port

Switch(config-if-range)#switchport port-security maximum 5
Dans la sécurité à appliquer, nous configurons un maximum de 5 périphériques sur les interfaces, ce qui est déjà beaucoup.

Switch(config-if-range)#switchport port-security mac-address sticky
Et enfin nous configurons un apprentissage automatique des adresses mac par l’option sticky

Si une attaque est détectée par l’un des switch configuré, l’interface du switch s’éteindra automatiquement. A vous de réactiver l’interface avec la commande suivante :

Switch(config)#inter fastethernet 0/2
Switch(config-if)#no shutdown

A présent, passons la deuxième étape du tuto.

Actuellement nous avons juste empêché une attaque DoS. mais rien n’empêche un deuxième serveur DHCP de fonctionner sur le LAN. Dans la maquette packet tracer, le serveur en rouge appelé « DHCP HACK » distribue des IPs sur les PC2 et PC3. Voyons donc la configuration pour empêcher le serveur DHCP HACK de nuire sur le LAN.

Les commandes suivantes sont à réaliser sur switch1 et switch2
Switch>en
Switch#conf t
Switch(config)#ip dhcp snooping

Nous activons la sécurité du serveur DHCP.

Important : A présent plus aucune requête DHCP n’est autorisée sur le LAN. Si vous faites une demande d’adresse IP, vos PC obtiendront une adresse APIPA en 169.254.X.X/16

image

Switch(config)#ip dhcp snooping vlan 1
Nous activons la sécurité sur le VLAN1

Switch(config)#interface fastEthernet 0/1
Switch(config-if)#ip dhcp snooping trust

Nous sélectionnons l’interface 0/1, pour valider les requêtes DHCP uniquement sur ce port. Cela indique que toutes les requêtes DHCP venant de ce port sont fiables et donc autorisées à se diffuser sur les ports d’accès correspondant uniquement au VLAN1

Switch(config-if)#ip dhcp snooping limit rate 10
Pour sécuriser davantage notre serveur, nous limitons à 10 le nombre de requêtes DHCP à la seconde.

Notre Lan est à présent protégé contre les attaques DHCP mentionnées au début de cet article. Si nous le voulons nous pouvons nous arrêter là. Mais que faire si le Hackeur se branche sur le switch CŒUR de réseau comme ceci :

image

Voyons la configuration du switch CŒUR :
Switch#en
Switch#conf t
Switch(config)#ip dhcp snooping
Switch(config)#ip dhcp snooping vlan 1
Switch(config)#interface fastEthernet 0/3
Switch(config-if)#ip dhcp snooping trust

Jusque-là rien de bien surprenant, les commandes sont identiques à celles des switchs1 et switch2.

Important : Notez que notre switch est bien configuré, mais que les PC0, PC1, PC2 et PC3 ne reçoivent plus les baux DHCP du serveur. De plus vous avez un beau message d’alerte :

00:11:47: %DHCP_SNOOPING-5-DHCP_SNOOPING_NONZERO_GIADDR: DHCP_SNOOPING drop message with non-zero giaddr or option82 value on untrusted port, message type: DHCP DISCOVER, MAC sa: 00D0.BC9A.E341

En terme simple, toutes les requêtes du type DHCP discover arrivant sur les ports 0/2 et 0/3 du switch CŒUR sont non-fiable (untrusted) pour être transmises sur le LAN. Elles ne sont donc pas transmises vers le serveur DHCP.

Il faut référencer les interfaces 0/1 et 0/2 comme des interfaces trust dans le réseau.
Switch(config)#interface range fa 0/1-3
Switch(config-if-range)#ip dhcp snooping trust

Tout est bien qui finit bien, nos hôtes reçoivent les bonnes adresses IP et sont donc protégés des DHCP Rogue.

MISSION ACCOMPLIE
!!! CISCO FOREVER !!!