Add commands for projet architecture sécurisés

2023-02-24 15:24:13 +01:00 · 2023-02-24 15:24:13 +01:00 · 91833580cf
commit 91833580cf
parent 563f21ad7e
1 changed files with 44 additions and 0 deletions
--- a/architectures-infrastructures-entreprise/projet/main.tex
+++ b/architectures-infrastructures-entreprise/projet/main.tex
@ -135,9 +135,53 @@ Il faut fournir~:

    \item Configurer le DHCP snooping sur les switchs.

+        Le serveur DHCP étant sur un réseau séparé des postes, il faut tout d'abord activer le DHCP relay sur le routeur~:
+
+        \begin{lstlisting}[gobble=12]
+            Router(config)# interface fastEthernet 0/1.20
+            Router(config-subif)# ip helper-address 192.168.2.1
+            Router(config-subif)# exit
+            Router(config)# interface fastEthernet 0/1.30
+            Router(config-subif)# ip helper-address 192.168.2.1
+            Router(config-subif)# exit
+        \end{lstlisting}
+
+        Sur les switchs S2 et S3, on ajoute alors le DHCP snooping~:
+
+        \begin{lstlisting}[gobble=12]
+            S2(config)# ip dhcp snooping vlan 20
+            S2(config)# ip dhcp snooping vlan 30
+            S2(config)# interface fastEthernet 0/6
+            S2(config-if)# ip dhcp snooping trust
+
+            S3(config)# ip dhcp snooping
+            S3(config)# interface fastEthernet 0/2
+            S3(config-if)# ip dhcp snooping trust
+        \end{lstlisting}
+
    \item Configurer le pare-feu pour protéger le réseau interne des menaces externes.
        Configurer le pare-feu pour autoriser le trafic entre les VLAN et bloquer le trafic en provenance d'Internet (sauf pour la DMZ).

+        \begin{lstlisting}[gobble=12]
+            access-list ALLOW_VLAN20 permit tcp 192.168.20.0 0.0.0.255
+            access-list ALLOW_VLAN20 permit udp 192.168.20.0 0.0.0.255
+
+            access-list ALLOW_VLAN30 permit tcp 192.168.30.0 0.0.0.255
+            access-list ALLOW_VLAN30 permit udp 192.168.30.0 0.0.0.255
+
+            access-list BLOCK_INTERNET deny ip any 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255
+            access-list BLOCK_INTERNET permit ip any 192.168.4.0 0.0.0.255
+
+            interface vlan20
+            ip access-group ALLOW_VLAN20 in
+
+            interface vlan30
+            ip access-group ALLOW_VLAN30 in
+
+            interface se1
+            ip access-group BLOCK_INTERNET in
+        \end{lstlisting}
+
    \item Créer un tunnel VPN IPSec entre les deux routeurs (entre les sites distants).
        Pour cette partie, il faut faire un petit travail de recherche et présenter la notion de VPN IPSec et les étapes clés de son fonctionnement.