Messages récents

Pages: [1] 2 3 ... 10
1
Windows en général / Windows 2008 R2 - GPO fond d'ecran
« Dernier message par OnKleBen le septembre 18, 2018, 04:43:07 pm »
Pour définir un fond d’écran sur GPO :

Configuration utilisateur
//Modèles d'administration
////Bureau
//////Bureau
////////Papier peint du Bureau

------------------------------------------------------------


2
Windows en général / Windows 2008 R2 - Restreindre l'accès à un poste
« Dernier message par OnKleBen le septembre 18, 2018, 04:18:04 pm »
Petit mémo pour restreindre l'accès des utilisateurs à un ordinateur. Par exemple, le PC Client06A ne doit pouvoir être accessible que par l'utilisateur compta1 et les administrateurs.

On a vu ICI comment empêcher un utilisateur de se logger sur des machines non autorisées, on va voir ici comment spécifier quels utilisateurs peuvent utiliser telle ou telle machine. En d'autres termes, rendre un poste nominatif.

Cela se passe par GPO. On va donc d'abord créer une Unité d'Organisation dédiée à Client06A, puis on va associer à cette OU une GPO qui permet de spécifier les utilisateurs autorisés.

-------------------

Dans l'Active Directory, créer une OU Client06A. Pour cela faire un clique droit sur le domaine puis Nouveau / Unité d'organisation :



->Puis on nomme notre OU, ici Client06A :



-------------------

Dans l'AD, localiser la machine Client06A puis la déplacer dans l'OU du même nom. Pour cela, clique droit sur la machine puis Déplacer :



->On sélectionne l'OU Client06A puis Ok.



-------------------

On va maintenant créer la GPO pour l'associer à notre OU.

Dans la console de Gestion de stratégie de groupe, dérouler le domaine puis clique droit sur Objets de stratégies de groupe et Nouveau :



->Nommons la Client06A pour garder une certaine organisation, puis Ok :



-------------------

Dans le volet de gauche, clique droit sur la GPO Client06A puis Modifier :



-------------------

Dans la console Editeur de gestion des stratégies de groupe, accéder à la règle Configuration ordinateur / Paramètres Windows / Paramètres de sécurité / Stratégies locales / Attribution des droits utilisateur / Permettre l'ouverture d'une session locale, et double-cliquer sur la règle.



-------------------

Dans les propriétés de la règle, cocher Définir ces paramètres de stratégie, puis Ajouter un utilisateur ou groupe :



-------------------

Dans la boite d'ajout, entrer un nom d'utilisateur, ici compta1 puis Ok. On peut aussi parcourir l'annuaire du domaine avec le bouton Parcourir.



->Recommencer et ajouter le groupe Administrateurs, c'est obligatoire.

-------------------

On peut fermer l'éditeur de stratégie de groupe.

Dans la console Gestion de stratégie de groupe, faire un clique droit sur l'OU Client06A puis Lier un objet de stratégie de groupe existant :



-------------------

Penser à sélectionner le bon domaine puis sélectionner la GPO Client06A puis Ok :



-------------------

La manipulation est terminée. Après un redémarrage de Client06A, le seul utilisateur qui puisse se logger est compta1.

------------------------------------------------------------

3
Windows en général / Windows 2008 R2 - Définir des horaires d'accès
« Dernier message par OnKleBen le septembre 18, 2018, 11:35:38 am »
Pour qu'un utilisateur ne puisse ouvrir une session que pendant un créneau horaire autorisé, on peut lui définir des horaires d'accès. De cette façon, hors de sa plage horaire, l'utilisateur ne pourra simplement pas ouvrir de session sur le domaine. En revanche, dans le cas où sa session est ouverte pendant que sa plage horaire se termine, il ne sera pas "éjecté" pour autant, il faut le savoir. La règle interdit l'ouverture de session mais ne ferme pas une session en cours.

-----------------------------

Dans l'Active Directory, clique-droit sur l'utilisateur puis Propriétés :



-----------------------------

Dans l'onglet Compte, cliquer sur Horaires d'accès :



-----------------------------

Dans le tableau, définir les horaires d'accès puis cliquer Ok.



->Ici l'utilisateur Compta1 peut ouvrir une session du Lundi au Vendredi de 8h à 17h.

------------------------------------------------------------

4
Windows en général / Windows 2008 R2 - Assigner un ou plusieurs postes à un utilisateur
« Dernier message par OnKleBen le septembre 18, 2018, 11:15:15 am »
Petit mémo pour autoriser un utilisateur à ouvrir une session sur un ou plusieurs postes spécifiques. De cette façon l'utilisateur ne pourra pas ouvrir de session ailleurs que sur les postes autorisés.

-----------------------------


Dans l'annuaire Active Directory, faire un clique droit sur l'utilisateur puis Propriétés.




-----------------------------


Dans l'onglet Compte, cliquer sur Se connecter à :




-----------------------------


Cliquer sur Les ordinateurs suivants et dans le champs Nom de l'ordinateur, taper le nom de l'ordi autorisé puis cliquer sur Ajouter. Ajouter autant de machines que souhaité. Puis cliquer Ok.




-----------------------------


->Cliquer Appliquer et Ok et l'utilisateur ne pourra ouvrir de session que sur l'ordinateur Client06A.


------------------------------------------------------------

5
Windows en général / Windows 2008 R2 - Types et etendues de groupes AD
« Dernier message par OnKleBen le septembre 18, 2018, 10:45:06 am »
Lorsque l'on crée un groupe dans Active Directory, on doit définir le type et l'étendue du groupe. Voici un petit mémo pour se remémorer la définition de ces paramètres.


Le type Sécurité :

Il permet de créer des groupes d'objets qui seront utilisés dans un contexte de sécurité. On pourra y appliquer des Stratégies de groupe (GPO) ou les utiliser pour spécifier des permissions sur des partages. Chaque groupe de sécurité créé se voit donc assiocier un SID.


Le type Distribution :

Les groupes de distribution n'ont pas de SID et ne peuvent pas servir dans un contexte de sécurité. Ils serviront pour créer des listes de diffusion comme, par exemple, dans le contexte d'un service de messagerie e-mail.

------------------------------

Les étendues agissent dans le contexte des forêts de domaines. Elles permettent de définir l'origine des objets qu'il y aura dans le groupe, et quelle portée aura ce groupe.


L'étendue Domaine local :

Un groupe Domaine local pourra contenir des groupes et utilisateurs de touts les domaine.
Il pourra cependant être utilisé pour les contrôles d'accès seulement sur le domaine où il est créé.


L'étendue Globale :

Un groupe à étendue Globale peut contenir des groupes et utilisateurs de son propre domaine seulement.
En revanche il pourra être utilisé pour les contrôles d'accès sur n'importe quel autre domaine.


L'étendue Universelle :

Un groupe à étendue Universelle peut contenir des objets venant de tous les domaines et peut s'utiliser sur tous les domaines.


------------------------------------------------------------

6
Windows en général / Profils itinérants et dossier personnel sous Windows 2008 R2
« Dernier message par OnKleBen le septembre 17, 2018, 09:53:26 am »
On va voir comment créer un modèle d'utilisateur dont le profil sera itinérant, c'est à dire que les dossiers du profil utilisateur seront conservés sur le serveur et que l'utilisateur pourra ouvrir une session sur n'importe quel ordi du domaine et retrouver ses fichiers. Un modèle d'utilisateur est en fait un utilisateur normal que l'on copiera plus tard pour copier ses paramètres.

On va configurer également un dossier de partage dédié à l'utilisateur, et qui se montera en lecteur réseau lors de ses ouvertures de session. On appliquera un quota sur ce dossier afin que son contenu soit limitée à 1Go.

-----------------------------------

-D'abord, on va créer un partage qui servira à stocker les profils. Créez le dossier Profils sur votre stockage réseau, puis dans les propriétés du dossier, cliquez sur Partage Avancé. Nommez le partage Profils$, le dollar sert à cacher le dossier sur le réseau. Dans les autorisations, mettez Contrôle total pour Tout le monde :




->Faites pareil pour le dossier Perso, mais n'oubliez pas d'aller dans les permissions NTFS et de supprimer le groupe Tout le monde , sinon les dossiers personnels prochainement créés vont prendre la même permission. On autorise donc la permission de partage en contrôle total pour Tout le monde, mais pas la permission NTFS car elle va se répliquer sur les dossiers enfants.



-----------------------------------

Dans l'Active Directory, créer un nouvel utilisateur puis aller dans ses propriétés. Dans l'onglet Profil on va définir l'emplacement des profils itinérants, puis l'emplacement du dossier Perso et indiquer qu'on veut que ce dernier se monte en lecteur réseau sur la lettre Z:. La variable $USERNAME$ indique le dossier portera le nom de l'utilisateur.



->Dès lors que vous appliquerez ces paramètres, le dossier Perso va se créer. En revanche le dossier de profil se créera lors de la première ouverture de session. Appliquer puis Ok.

-----------------------------------

Côté utilisateur c'est terminé. La prochaine fois que vous voudrez créer un utilisateur avec les mêmes paramètres, il vous suffira de copier ce modèle. A ce moment là on vous demandera un nom d'utilisateur et un mot de passe, et les paramètres de votre modèle seront copiés.

-----------------------------------

On va maintenant limiter le contenu des dossiers Perso à 1 Go.

Dans la console Gestionnaire de serveur, faites un clique-droit sur le rôle Service de fichier puis cliquez Ajouter des services de rôle :



-----------------------------------

Dans la liste de rôles sélectionner Gestion de ressources du serveur de fichiers. Suivant.



-----------------------------------

On indique que l'on souhaite gérer l'espace de notre partition DATA. Adaptez en fonction de votre propre cas de figure évidemment.



-----------------------------------

Il faut définir l'emplacement où les rapports seront enregistrés. Ce rapports apparaissent pour prévenir quand les seuils sont atteints.

On peut spécifier des adresses mail pour recevoir les rapports, en spécifiant bien sûr un serveur SMTP.



-----------------------------------

->Finissez l'installation du service...

-----------------------------------

Allez chercher le service dans les Outils d'administration / Gestionnaire de ressources du serveur de fichiers :



-----------------------------------

On crée d'abord un modèle de quota :



-----------------------------------

On lui donne un nom, ici Limite de 1Go, on définit la valeur du quota, ici 1000 Mo. Dans l'option seuil, si vous cliquez sur Ajouter, vous pouvez établir des paramètres de notification en fonction de seuils atteints (email, journal des évenements ..).



-----------------------------------

->Cliquez Ok, le modèle de Quota est créé. On va pouvoir le placer sur un dossier.

-----------------------------------

Dans le Gestionnaire de ressources du serveur de fichiers, cliquez sur Quota puis Créer un quota.



-----------------------------------

Cliquer sur Parcourir pour définir sur quel dossier s'appliquera le quota, puis sélectionnez la racine du partage puis Ok :



-----------------------------------

Revenu dans la première fenêtre, Cliquez sur Appliquer automatiquement le modèle..., de cette façon le quota s'appliquera non pas sur le dossier Perso en lui-même mais sur les sous dossiers qui seront prochainement créés dedans.

Ensuite, dans le menu déroulant sélectionnez le modèle nommé Limite de 1Go que l'on a créé avant.



-----------------------------------

Le quota est créé pour tout les futurs dossiers de partage des utilisateurs.



-----------------------------------

Tentez d'ouvrir une session avec votre utilisateur modèle, et constatez les répertoires présents dans Perso et Profils :





Les dossiers de partage et de profils sont bien présents. Le nom de dossier de profil de l'utilsateur contient V2, c'est normal vous n'y pouvez rien.

-----------------------------------

Dans la session de l'utilisateur, vous devriez retrouver le lecteur réseau :



-----------------------------------


Maintenant, à chaque fois que vous voudrez créer un nouvel utilisateur basé sur le même modèle, dans l'AD, vous n'aurez qu'à faire un clique droit sur votre utilisateur modèle, puis Copier. Il vous sera alors tout de même demandé de choisir un nom et un mot de passe.



-----------------------------------

On a donc créé un modèle utilisateur qui a un profil itinérant et qui a un dossier de partage limité à 1Go d'espace.

------------------------------------------------------------

7
Windows en général / Windows 10 - Retrouver l'ancienne visionneuse d'images
« Dernier message par OnKleBen le septembre 11, 2018, 01:45:42 pm »
Le logiciel Photos qui fait partie de Windows 10, celui qui se lance lorsque vous ouvrez une image, peut parfois être très lent.

Où est passé la simple et efficace visionneuse que l'on trouvait sous Windows 7 ?

Bien elle est pas loin, suffit de la réactiver grâce à ce fichier de base de registre :

Télécharger le fichier reg

*Si le contenu du fichier s'affiche dans votre navigateur au lieu de se télécharger, faites un clique-droit sur le lien puis Enregistrer la cible du lien sous...


Ensuite vous devrez changer le programme par défaut associé à l'affichage d'image (clique-droit / ouvrir avec...)



------------------------------------------------------------

8
Le réseau / Créer des ACL sous Cisco - Access Control Lists (IOS 15.1)
« Dernier message par OnKleBen le septembre 04, 2018, 04:54:03 pm »
On va voir quelques exemple basiques sur la création de permissions ACL. Rien de bien méchant, juste de quoi garder un peu en tête le fonctionnement.

*Ceci n'est pas un cours mais plutôt un gros mémo pour quelqu'un qui sait déjà ce qu'est une ACL. Si vous n'êtes pas familier avec le principe, ce n'est sûrement pas le meilleur endroit où commencer..


Les ACL sont des listes de règles de filtrage de paquets (couche 3 et 4) qui permettent de contrôler le trafic sur un réseau. Ces listes analysent les IP, les ports et les protocoles des paquets. Elle se placent au niveau des interfaces des périphériques réseau, et peuvent filtrer ce qui entre ou sort par cette interface.


-------------------------------------------------------------------------

Bon, OK, y'a un sommaire quand même  ;D


-Quelque règles importantes

-Les types d'ACL

-Les numeros d'ACL

-Les masques génériques

-L'implicite deny all

-Les opérandes

-Vérifier les ACL existantes

-Modifier ACL existantes

-Exemple 1 : L'ACL étendue

-Exemple 2 : L'ACL nommée et étendue

-Exemple 3 : L'ACL standard

-Exemple 3 bis : étendue - par IP de réseau

-------------------------------------------------------------------------


->Quelques règles importantes :


Les ACL sont des listes, les règles sont lues du haut vers le bas. Il faut faire attention car si deux règles agissent sur un même contexte, c'est de toute façon la première qui sera prise en compte et la deuxième sera ignorée. Voyons un exemple d'ACL qui pose problème :

10 permit 192.168.0.0 0.0.255.255 (6 match(es))
20 permit 172.16.0.0 0.0.255.255
30 deny host 192.168.100.1

-Il faut savoir que les ACL analysent chaque paquet. Un paquet arrive, la source et destination sont analysées puis les règles sont lues de haut en bas jusqu'à ce qu'une règle donne la consigne pour ce paquet. Le paquet étant déclaré traité, les autres règles ne sont même pas lues ! Puis on passe au paquet suivant, et la procédure recommence. Il ne peut y avoir qu'une règle appliquée par paquet.

Dans l'exemple, la première règle autorise le réseau 192.168.0.0, et la troisième règle veut interdire l'accès à une IP faisant partie de ce réseau. Quand un paquet viendra de ce réseau, l'ACL va l'analyser, voir la source, et lire les règles de haut en bas et bim, paquet accepté ! La règle numero 30 ne sera jamais efficace en fin de compte. Cette ACL est mal configurée.

-On constate aussi que chaque ligne possède un identifiant (10, 20, 30), cela nous permet de spécifier la position souhaitée pour la nouvelle ACL.

-->On peut modifier les ACL déjà existantes, on peut aussi créer l'ACL, puis entrer dans sa configuration puis enfin taper les règles que l'on souhaite. Vous pouvez voir ça dans le chapitre
Modifier ACL existantes.

-Les listes d'ACL s'associent aux interfaces réseau des périphériques. Chaque interface ne peut se voir attribuée qu'une seule ACL.


-------------------------------------


->Les types d'ACL :


Il y a trois types d'ACL que l'on peut choisir en fonction de la situation :


-Les ACL standards : elles ne permettent pas de spécifier grand chose. Avec les standards, on spécifie une adresse source qui sera rejeté ou autorisée et rien d'autre. Bien entendu cette adresse peut être un hôte tout autant qu'un réseau entier. Tout les protocoles seront alors acceptés ou refusés, c'est tout ou rien. Rien de très précis alors.

-Les ACL étendues : avec celles-ci, on peut aller plus loin qu'avec les standards. Par exemple, on peut spécifier une adresse de destination autant qu'une adresse source. Spécifier un protocole de transport (TCP, UDP, ICMP...) ou d'application (HTTP, FTP...).

-Les ACL nommées : celles-ci peuvent très bien être standards ou étendues, cependant on peut les gérer en leur donnant des noms voila tout. Cela peut permettre de s'organiser.


-------------------------------------


->Les numéros d'ACL :


Les types d'ACL sont rangés dans des plages de numéros, sauf les ACL nommées :





*Bien sûr, on ne se souviendra que des Standards et des Étendues, les protocoles IPX et AppleTalk étant probablement morts et enterrés  ::)


-------------------------------------


->Les masques génériques :


Quand on veut spécifier une IP de réseau dans les ACL, il faut y associer un masque. Un masque de sous-réseau me direz vous ? Pas tout à fait malheureusement, car il faut bien une petite complexité dans un protocole sinon c'est pas drôle !

Le masque générique permet de spécifier plusieurs sous-réseaux contigus avec un seul masque  :o

-Commençons simple, si je veux travailler une ACL sur le réseau :

192.168.50.0 255.255.255.0

Ce sera très simple, je n'aurais qu'à inverser le masque qui deviendra donc 0.0.0.255.

-Ou encore :

172.16.0.0 255.255.0.0

Le masque deviendra 0.0.255.255.

On comprend en fait que dans les ACL le masque pointe les bits d'hôtes, le masque de sous-réseau devient en qq sorte un masque d'hôte.

-Là où ça se complique légèrement, c'est si on veut bloquer des sous-réseaux contigus. Admettons que je veuille travailler une ACL sur les sous-réseaux :

192.168.50.0 à 192.168.75.0

Dans ce cas, je vais devoir faire un calcul, mais seulement sur les octets qui sont différents. Ici, 50 et 75.

->Je les traduis en binaires :




50 = 32+16+1    = 0 0 1 1 0 0 1 0
75 = 64+8+2+1  = 0 1 0 0 1 0 1 1

->ensuite, je fais la différence entre ces deux nombres binaires, et tout ce qui est identique devient un 0, et tout ce qui est différente devient un 1. Donc :

0 0 1 1 0 0 1 0
0 1 0 0 1 0 1 1

->Devient :

0 1 1 1 1 0 0 1

->Je retraduis ne décimal :




64 + 32 + 16 +8 + 1 = 121

->Mon masque deviendra donc 0.0.121.255


-------------------------------------


->La règle implicite deny any :


Il y a une règle implicite à la fin de chaque liste ACL que l'on crée, cette règle c'est deny any, ce qui signifie refuser tout. Il faut donc y pallier si vous ne voulez pas tout bloquer dès que vous créez une ACL. Par exemple, si vous bloquez l'accès d'un PC vers un réseau, vous devrez spécifier explicitement que les autres PC ont accès.


-------------------------------------


->Les opérandes :


-Il s'agit de paramètres de comparaison. Ils vont servir quand on voudra spécifier des ports à autoriser ou interdire. Par exemple, si j'ai besoin d'interdire la connexion à tous les ports supérieurs à 10000, j'utiliserais un opérande.

Lt = Lower than = plus petit que
Gt = greater than = plus grand que
Eq = equal = égal à
Neq = non equal = différent de
Established = permet d'agir sur les accusés de réception TCP (bit ACK)


-------------------------------------


->Vérifier les ACL existantes :


R1#show access-lists

->Affichera les ACL déjà créées. Constatez l'identifiant au début de chaque ligne. Il permet de modifier l'ACL après création.


-------------------------------------


->Modifier ACL existantes :


On peut entrer dans un mode de configuration d'une ACL. Par exemple, si j'ai créé une ACL standard, je peux aller la modifier.

-Par exemple, je créer mon ACL :

R1(config)#access-list 10 deny host 110.10.10.1


-J'affiche mes ACL :

R1#show access-lists

Standard IP access list 10
    10 deny host 110.10.10.1



-Je retrouve bien mon ACL standard, j'accède à sa configuration :

R1(config)#ip access-list standard 10 : pour y entrer.

R1(config-std-nacl)# Je suis maintenant dans la config de l'ACL.


-Je peux ajouter une ligne, et même la placer au dessus de ma ligne 10 si je le souhaite :

R1(config-std-nacl)#5 permit 192.168.0.0 0.0.0.255 : le chiffre 5 indique cette règle sera placée avant la ligne 10.


-Voyons le résultat :

R1#show access-lists

Standard IP access list 10
    5 permit 192.168.0.0 0.0.0.255
    10 deny host 110.10.10.1



-Je peux aussi supprimer une ligne :

R1(config-std-nacl)#no 10 : La ligne 10 est supprimée.


-------------------------------


-Exemple N°1 / ACL étendues :





Télécharger le fichier Packet Tracer ici. Dans ce fichier, l'exemple numéro un est déjà appliqué et fonctionnel. Vous pouvez afficher les commandes utilisées dans les périphériques.


-Objectif : Empêcher PC0 de pouvoir envoyer des ping dans le réseau 180.0.0.0.


->Pour cela, on va créer une ACL étendue car on veut bloquer un protocole précis, l'ICMP, vu que les requêtes d'echo en font partie. De plus seules les étendues vont nous permettre de déclarer une adresse de destination.

-Étant donné que l'ACL dispose d'une destination, on pourra la placer au plus près de la source, c'est à dire à la plus proche interface de routeur. Sur le schéma, la plus proche de PC0 est G0/0 sur R1. De cette façon on sauvegarde une bande passante qui n'aurait été utilisée que par un paquet qui aurait fini rejeté à la fin de son trajet. Bande passante gaspillée donc.


----------------------------------


-Je vais donc m'attaquer à R1, créer la liste ACL étendue, et la dédier à l'interface G0/0.


----------------------------------


-Création de la liste :


R1(config)#access-list 100 deny icmp host 110.10.10.1 180.0.0.0 0.255.255.255

->Explication de la commande :

access-list 100 : indique que l'on créer l'ACL numéro 100, ce qui implique qu'il s'agit d'une ACL étendue (rappelez-vous, les numéros d'ACL).

deny icmp : indique que l'on refuse tout le protocole icmp (deny ou permit pour autoriser)

host 110.10.10.1 : indique que cette règle s'applique à l'IP source 110.10.10.1. En fait si on veut spécifier un hôte en particulier, je dois ajouter l'option host. Voyez la suite d'ailleurs :

180.0.0.0 0.255.255.255 : indique que la règle s'applique à destination du réseau 180.0.0.0 / 255.0.0.0 (n'oubliez pas que c'est un masque générique qu'il faut mettre dans la commande.)

*On verra un ou deux autres exemples plus tard pour varier un peu cette commande.


-Ne pas oublier que par défaut, la fin de cette ACL contient implicitement la commande deny any ! Il faut donc faire qq chose sinon notre règle va tout bloquer :

R1(config)#access-list 100 permit ip any any : voila, grâce à cette commande, tout le monde à accès à tout, sauf bien sûr l'hôte spécifié dans la commande précédente.


----------------------------------


La liste ACL est créée, il ne reste qu'à la dédier à une interface, et préciser s'il s'agit d'une règle d'entrée ou de sortie. Je considère bien sûr que le réseau est déjà configuré ici.


R1(config)#interface g0/0 : je sélectionne l'interface.

R1(config-if)#ip access-group 100 in : cette comme indique que l'on place l'ACL numéro 100 sur cette interface, et le paramètre in indique que tout le trafic entrant par cette interface sera contrôlé.


----------------------------------


-->Essayez maintenant de pinguer un PC du réseau 180.0.0.0 depuis le PC0 : impossible !


Si vous avez bien fait votre boulot, PC1 peut toujours le faire en revanche.


----------------------------------


-Exemple N°2 / ACL Nommée-étendue:


L'ACL nommée, permet de donner un nom a une ACL. On se réfère donc à l'ACL par son nom et plus par un numero. Cela implique que lors de sa création, on doit spécifier s'il s'agit d'une standard ou d'une étendue.


-Toujours sur la même topologie, on me demande une nouvelle règle :





Télécharger ici le fichier Packet Tracer déjà configuré. Cela peut être utile pour explorer la configuration des périphériques.


-Il ne faut pas que PC2 puisse accéder au serveur WEB. Petite subtilité, on en me demande pas de bloquer complètement l'accès au serveur, mais seulement au protocole HTTP.

-On aura donc une ACL qui devra contenir une ip d'hôte source, une ip d'hôte destination, et un protocole bien précis. Pas le choix, il faut utiliser une ACL étendue.

-Pour pousser le vice un peu, on va même utiliser une ACL nommée, et étendue. Les nommées se présentent un peu différemment, c'est donc important de le voir.

-Comme notre ACL disposera d'une destination, on pourra la placer au plus proche de la source, ici PC2. Sur le trajet de PC2 au Serveur, la plus proche interface de routeur est G0/0 sur R2.


----------------------------------


-Tout d'abord, on crée l'ACL avec un nom :

R2(config)#ip access-list extended PC2-HTTP

-->Ici on crée donc une ACL étendue (extended), nommée PC2-HTTP. Le nom est purement indicatif. Constatez qu'on ne spécifie pas de numero, c'est pourquoi on doit préciser si c'est une standard ou une étendue.


-On crée notre règle :

R2(config-ext-nacl)#deny tcp host 180.10.10.1 host 220.10.10.1 eq www

->Déjà constaté que le prompt à changé : R2(config-ext-nacl)# / On se trouve dans l'invite de configuration de l'ACL nommée.

-->Ici, on interdit (deny) un protocole porté par tcp, depuis l'adresse source 180.10.10.1 vers l'adresse de destination 220.10.10.1. Le paramètre eq est un opérande qui veut dire égal, et www vient en complément de eq. Donc toutes les requêtes tcp avec du http encapsulé, et sur le port 80 (www) seront interdites. En fait les paramaètre eq www viennent en complément du paramètre tcp. Aprés eq on aurait pu mettre un numéro de port.


-Maintenant, on a interdit les requêtes HTTP mais pas HTTPS, car le paramètre www ne concerne que HTTP sur le port 80, rien de plus. Il faut donc rajouter un paramètre dans l'ACL :

R2(config-ext-nacl)#deny tcp host 180.10.10.1 host 220.10.10.1 eq 443

->Le port 443 est le port HTTPS par défaut. Il faut s'assurer que le serveur est configuré de cette façon évidemment.


-Puis on autorise toutes les autres connexions, car n'oublions pas la directive implicite deny any à la fin de chaque ACL :

R2(config-ext-nacl)#permit ip any any


-Il n'y a plus qu'a dédier notre ACL à l'interface g0/0 de R2, et spécifier qu'on veut que ce soit le trafic entrant qui soit examiné :

R2(config)#interface g0/0

R2(config-if)#ip access-list extended PC2-HTTP in




-->PC2 ne peut plus accéder au serveur Web ! En revanche, il peut toujours accéder aux autres services proposés par le serveur, comme le FTP. Vous pouvez testez il est présent dans fichier Packet Tracer.


----------------------------------


-Exemple N°3 / ACL Standard :





Téléchargez le fichier Packet Tracer déjà configuré si vous voulez, vous pourrez explorer les commandes entrées pour cet exercice.


-Un nouveau réseau 192.168.0.0/24 à été installé, mais il ne doit pas accéder au réseau 220.0.0.0/8. Je pars du principe que les réseaux et routages sont déjà configurés puisque ce n'est pas le sujet ici.

-Comme on ne nous demande pas de spécifier de protocole, je peux utiliser une ACL standard. En réalité, vu que l'on a une destination spécifiée, on aurait mieux fait d'utiliser une étendue mais il faut qu'on voit l'ACL standard donc pourquoi pas, ça marchera quand même.

-L'ACL standard va se baser sur une IP source. Il faut donc la mettre au plus près de la destination. En effet je ne vais pas refuser les IP provenant du réseau 192.168.0.0 au niveau de R3 sinon ils ne pourraient accéder à aucun autre réseau ! Ni au niveau de R1 sinon le réseau 192.168.0.0 n'accèdera plus au réseau 180.0.0.0, ce qui n'est pas le but. Je suis donc bien obligé de poser ma règle au niveau de R2.


-J'entre donc sur R2 :


-J'ai peut-être déjà des ACL sur ce routeur, et je fais attention de ne pas mettre le bazar ! Je vérifie donc les ACL déjà existantes :

R2#show access-lists : Je demande d'afficher les ACL existantes puis j'analyse le résultat :

Extended IP access list PC2-HTTP
    10 deny tcp host 180.10.10.1 host 220.10.10.1 eq www (11 match(es))
    20 deny tcp host 180.10.10.1 host 220.10.10.1 eq 443 (34 match(es))
    30 permit ip any any (22 match(es))

->Ok, Il y a une ACL étendue et nommée. Je veux créer une nouvelle ACL standard, elle aura le numero 1, elle s'ajoutera donc simplement à celle déjà existante. Et puis, rien ne se contredit entre les deux donc ça va.


-Je crée ma nouvelle ACL :

R2(config)#access-list 1 deny 192.168.0.0 0.0.0.255 : L'ACL numéro 1 (donc standard) rejettera tout ce qui vient du réseau 192.168.0.0/24.

*Pour agir sur un hôte et non sur un réseau, il faut ajouter le paramètre host juste avant l'IP, et dans ce cas, le masque n'est pas nécessaire.


-N'oublions pas le fameux deny any implicite en fin de chaque ACL. Oui, même si G0/0 possède une ACL qui contient permit ip any any, il faut quand même le re-spécifier sur chaque ACL :

R2(config)#access-list 1 permit any : vu que les ACL standards ne gèrent pas de protocole ni de destination, cette commande devient plus courte.


-Puis on associe notre ACL à l'interface G0/0 :

R2(config)#interface g0/0

R2(config-if)#ip access-group 1 in : On indique donc au routeur qu'il doit lire les paquets qui entrent (in) par G0/0, et appliquer l'ACL, donc filtrer les paquets.


*On aurait pu aussi mettre la règle sur G0/1 de R2, de cette façon :

R2(config)#interface g0/1

R2(config-if)#ip access-group 1 out : tout les paquet qui sortent par G0/1 seront filtrés.

*Mais il est plus intéressant dans ce cas précis de bloquer ces paquets à l'entrée de R2 pour optimiser son activité processeur.



-->C'est fait, le réseau 192.168.0.0/24 n'a plus accès au réseau 220.0.0.0/8, mais accède toujours aux autres.
 

MAIS ! Car il y a un mais...On aurait pu remplir la demande numéro 3 en utilisant une ACL étendue également. Et on va le faire pour voir la syntaxe d'une ACL avec Réseau de source et réseau de destination. RDV dans l'Exemple N°3bis

----------------------------------


-Exemple N°3bis / Étendue - Par IP réseau  :

On va revoir le même exercice, mais le résoudre d'une autre façon. Comme je disais, pour l'exemple 3, on aurait pu, et même on aurait mieux fait d'utiliser une ACL étendue...

Je rappelle le principe : on veut empêcher le réseau 192.168.0.0/24 d’accéder au réseau 220.0.0.0/8.





Téléchargez le fichier Packet Tracer, avec les config déjà effectuée !


-Cette fois on va créer une ACL étendue et la dédier à l'interface G0/1 de R3. De cette façon, les paquets ne parcourront pas le réseau jusqu'à R2 avant d'être rejetés, ce qui économise de la bande passante.


-On entre sur R3, puis on crée l'ACL :

R3(config)#access-list 100 deny ip 192.168.0.0 0.0.0.255 220.0.0.0 0.255.255.255 : Je refuse donc tout trafic IP en provenance de 192.168.0.0/24 vers 220.0.0.0/8

R3(config)#access-list 100 permit ip any any : j'autorise le reste à passer.


-J'associe l'interface G0/1 à l'ACL 100 :

R3(config)#interface g0/1

R3(config-if)#ip access-group 100 in


-->A partir de là c'est bon le réseau 192.168.0.0/24 n'accède plus au réseau 220.0.0.0/8.


*Et pour encore plus de sécurité, il peut être intéressant d'interdire l'accès de 220.0.0.0/8 vers 192.168.0.0/24, au niveau de R2 ! Après tout mettre des ACL de bout en bout ne pose pas de problème.


----------------------------------


Je pense avoir bien fait le tour des bases pour commencer à bidouiller sérieusement les ACL et cloisonner votre réseau. Bien prendre note des manipulation effectuées sur son réseau car sinon bonne chance pour s'en rappeler  ;D



------------------------------------------------------------



9
Le réseau / Créer PAT - ou surcharge de NAT - sous Cisco (IOS 15.1)
« Dernier message par OnKleBen le septembre 04, 2018, 10:24:09 am »
Le Port Address Translation, ou surcharge de NAT, ou NAT Overload, permet de traduire beaucoup d'IP du réseau local en une IP publique (ou plusieurs). Au contraire des NAT statiques et dynamiques dont le nombre de sessions simultanées se limitent au nombre d'IP publiques disponibles.

Avec le PAT, toutes les IP qui sortent du réseau le feront avec la même IP. Par contre, chaque session se verra attribuer un numero de port (TCP ou UDP, couche 4, de transport). Si vous envoyez une requête vers un serveur Internet, votre IP privée sera donc flanquée d'un numero désignant que cette session vous appartient et le routeur vous la retournera correctement. Le numero de port agit comme un identifiant qui indique que cette session a été initiée par telle ou telle ip du réseau local.

Je rappelle que dans cet exemple, on va "NATER" nos IP privées en IP publiques, mais que le NAT/PAT peut très bien impliquer seulement des IP privées à l'intérieur d'un réseau local.

Nous allons voir ici comment mettre en place la surcharge de NAT à l'aide d'un routeur Cisco, et avec à notre disposition un pool d'adresses IP Publiques. Dans une configuration où nous n'aurions qu'une seule IP Publique à NATER, ce n'est pas bien différent, nous le verrons ici aussi.

-------------------------------------

-Un petit schéma de topologie pour aider à la reflexion :





-Dans cette histoire, le but est d'activer le PAT au niveau de R2, afin que tous les PC du réseau local (de PC1 à PC9), sortent sur Internet en utilisant un pool d'IP Publiques associées à des ports TCP et UDP.

-On considère que le serveur est sur Internet, car même si dans ce schéma tout est routé et tout se pingue, ça revient au même.

-Nous n'avons donc rien à faire sur R1 puisqu'il ne sert qu'à router les trois réseaux locaux. Tout se passera donc au niveau de R2.

-Notre pool d'IP Publiques contient deux IP : de 223.255.255.1 à 223.255.255.2.

-Vous pouvez télécharger le fichier Packet Tracer histoire de faire vos propres simulations de requêtes et ainsi vous assurer que les IP sont bien traduites :

Télécharger le fichier Packet Tracer

-------------------------------------


-On prend donc la main sur R2 :


-->On défini le pool d'adresses publiques qui sera utilisé.

R2(config)#ip nat pool PAT-POOL 223.255.255.1 223.255.255.2 netmask 255.255.255.252 : le nom PAT-POOL est choisi par moi-même, notez bien le nom que vous choisissez car il servira pour lier une ACL.

*ATTENTION : Dans le cas où vous n'avez qu'une seule IP publique à NATER, vous n'avez pas besoin de taper cette commande qui sert seulement à créer un POOL.

-------------------------------------

-->On créer une liste ACL qui autorisera seulement nos trois réseaux à passer par le NAT.

R2(config)#access-list 1 permit 192.168.10.0 0.0.0.255 : La donnée 0.0.0.255 représente le masque de sous réseau 255.255.255.0. Pour les ACL on donne en fait les bits d'hôtes, c'est comme ça. Un masque en 24 bits ne laisse que 8 bits d'hôtes, soit 0.0.0.255. Le masque semble donc inversé.

R2(config)#access-list 1 permit 192.168.20.0 0.0.0.255 : on fait donc la même chose pour chaque réseau local.

R2(config)#access-list 1 permit 192.168.30.0 0.0.0.255

*ATTENTION : Même dans le cas où vous n'avez qu'une seul IP publique à NATER, vous devez entrer ces commandes puisque vous aurez besoin de cette liste ACL.

-------------------------------------

-->Puis on paufine la règle NAT en y associant l'ACL et en activant la surcharge NAT.

R2(config)#ip nat inside source list 1 pool PAT-POOL overload : on indique donc que l'on souhaite utiliser la liste ACL numero 1, sur le pool PAT-POOL, et que le NAT doit être en mode overload, autrement dit surcharge, ou PAT.

*ATTENTION : Si vous n'avez qu'une seule IP Publique à NATER, la manipulation est un peu différente, en effet cette dernière commande implique un POOL, il faut donc taper autre chose dans ce cas :


-Si je n'avais qu'une seule IP Publique, je devrais configurer l'interface externe du routeur et lui donner cette IP.

-Par exemple, je possède l'IP publique 209.165.45.1/8.

-Je vais configurer l'interface G0/0 de R2 pour qu'elle possède cette IP.


R2(config)#interface g0/0 : je sélectionne l'interface.

R2(config-if)#ip addr 209.165.45.1 255.0.0.0 : je lui assigne mon unique IP publique avec son masque.


-Puis j'entre la règle de NAT :


R2(config)#ip nat source list 1 interface g0/0 overload : On crée la règle NAT en mode overload et qui est basée sur l'IP unique de l'interface G0/0.


*Les dernières commandes sont à exécuter, que vous ayez une ou plusieurs IP publiques.

-------------------------------------

-->Puis on spécifie quelles interfaces du routeur sont à l’intérieur et à l’extérieur :

R2(config)#interface s0/0/0 : on sélectionne l'interface.

R2(config-if)#ip nat inside : on spécifie qu'elle est interne à notre réseau privé.


R2(config)#interface g0/0 : on sélectionne l'interface.

R2(config-if)#ip nat outside : on spécifie qu'elle est externe à notre réseau privé.

-------------------------------------


-->La surcharge NAT est configurée !

-------------------------------------

-Pour en avoir le cœur net, voyons le résultat d'une simulation :





-L'enveloppe bleue est un PING envoyé à partir de PC1 qui possède l'adresse source 192.168.10.10.

-L'IP de destination du paquet est celle du serveur Internet 209.165.45.2.

-Le paquet a traversé le réseau local, toujours en possédant 192.168.10.10 comme IP source.

-Comme on peut le voir dans le cadre rouge, en arrivant dans R2 (In Layers), le paquet avait l'IP source 192.168.10.10.

-Comme on peut le voir dans le cadre rouge, en sortant de R2 (Out Layers), le paquet aura l'IP Source 223.255.255.1.


*Vous constatez probablement qu'aucun port n'est attribué à notre paquet, la couche de transport n'entre pas en jeu (Layer 4). C'est parce qu'il s'agit ici d'un PING, le PING fait partie du protocole ICMP qui n'utilise pas la couche transport, donc pas de port attribué. Il faut savoir que cela est une situation bien spécifique à ICMP (et probablement d'autres protocoles). Avec une requête HTTP, le paquet aurait un numero de port source et de destination. A la place, le Ping possède un numéro de séquence dans sa trame.

->Faites la simulation dans Packet Tracer, en utilisant une requête HTTP au lieu d'une ICMP. Envoyez une requête HTTP simultanément depuis PC1 et PC2 vers le Serveur, vous constaterez que leurs ports seront différent.

-------------------------------------


Je vous invite à utiliser le simulateur dans Packet Tracer si vous voulez vous familiarisez avec le processus.


------------------------------------------------------------

10
Le réseau / Créer NAT Dynamique sous Cisco (IOS 15.1)
« Dernier message par OnKleBen le septembre 03, 2018, 04:51:41 pm »
Le NAT dynamique permet de traduire dynamiquement les adresse IP internes en IP externes. La différence avec le NAT statique est qu'on va pouvoir désigner un pool d'IP externes qui serviront alternativement en fonction de leur disponibilité. Par exemple, votre entreprise possède 10 IP publiques et les Ordis de votre réseau local utiliseront ces 10 adresses pour sortir sur Internet. Le premier PC demandant une connexion utilisera la première IP, et ainsi de suite. Si toutes les IP sont en cours d'utilisation, la prochaine machine qui essaiera d'initier une session quelconque vers l’extérieur devra attendre qu'une IP du pool se libère.


---------------------------------


Un petit schéma aide toujours un peu :




-Sur ce petit réseau, qui bien sûr n'existe qu'à titre démonstratif, on va faire en sorte que PC1, PC2 et PC3 voient leur IP transformée en passant par R2.

-Nous disposons d'un pool de 14 IP publiques allant de 200.150.50.1 à 200.150.50.14

-Nous allons donc créer une règle de NAT dynamique sur R2 pour que chaque PC du réseau local transite sur Internet avec une des ces IP publique.

-Cette règle NAT sera régie par une liste ACL qui permettra l'accès aux trois réseaux des trois PC. De cette façon, seules les IP de ces réseaux seront traduites par le NAT.

*Ce réseau comprend en fait trois vlans mais il sont routés au niveau de R1 et importent peu pour l'expérience, sachant que pour R2, il s'agit de simples réseaux.


-->Vous pouvez télécharger le fichier Packet Tracer si vous voulez :

Fichier Packet Tracer

---------------------------------


-On entre donc sur R2 :

R2(config)#ip nat pool nom_du_pool 200.150.50.1 200.150.50.12 netmask 255.255.255.240 : On entre donc la première adresse du pool suivie de la dernière. Ce pool contient 14 IP j'ai donc choisi un netmask approprié (28 bits). Donnez absolument un nom à votre pool, car ce nom nous sera utile pour lier une ACL.

---------------------------------

-On crée l'ACL qui permettra d'autoriser nos trois réseaux :

R2(config)#access-list 1 permit 172.16.10.0 0.0.0.255 : Dans la liste ACL numero 1, j'ajoute le reseau 172.16.10.0. On constate que le masque est à l'envers ! Et oui, en réalité sur mon schéma le masque lié à ce réseau et en 24 bits donc 255.255.255.0, tandis que dans les ACL, il faut tout bonnement l'inverser, en quelques sortes. Ne me demandez pas pourquoi, mais un masque 255.255.255.0 devient alors 0.0.0.255 dans une liste ACL. Ne vous trompez pas !


-On ajoute également les deux autres réseaux dans la même liste ACL :

R2(config)#access-list 1 permit 172.16.20.0 0.0.0.255

R2(config)#access-list 1 permit 172.16.30.0 0.0.0.255

---------------------------------

-On relie notre règle NAT à notre liste ACL :


R2(config)#ip nat inside source list 1 pool nom_du_pool : Renseignez bien le nom du pool choisi dans la regle nat

---------------------------------

-On indique les interfaces interne et externe :

-Toujours sur R2, l'interface s0/0/0 est l'interface internet et g0/0 l'interface externe. Les IP des interfaces sont déjà configurées ici (voir schéma), seul le paramètre de NAT nous intéresse.

R2(config)#interface s0/0/0 : on sélectionne l'interface S0/0/0.

R2(config-if)#ip nat inside : on spécifie que c'est l'interface interne.


R2(config)#interface s0/0/0 : on sélectionne l'interface G0/0.

R2(config-if)#ip nat outside : on spécifie que c'est l'interface externe.


---------------------------------


-La configuration NAT est terminée.


------------------------------------------------------------

Pages: [1] 2 3 ... 10