Scribd
Importer
820 vues4 pages

TD - ACL Avec Correction

Le document décrit deux exercices sur les ACL étendues. Le premier exercice explique le rôle de lignes d'une ACL existante. Le deuxième exercice présente un cahier des charges réseau et demande de proposer deux ACLs répondant aux besoins décrits, une côté Internet et une côté réseau interne.

Transféré par

SamiaBelhaj
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats DOCX, PDF, TXT ou lisez en ligne sur Scribd
820 vues4 pages

TD - ACL Avec Correction

Le document décrit deux exercices sur les ACL étendues. Le premier exercice explique le rôle de lignes d'une ACL existante. Le deuxième exercice présente un cahier des charges réseau et demande de proposer deux ACLs répondant aux besoins décrits, une côté Internet et une côté réseau interne.

Transféré par

SamiaBelhaj
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats DOCX, PDF, TXT ou lisez en ligne sur Scribd

Sécurité des réseaux ISIMA

Listes de Contrôle d’Accès


 
Exercice 1 ACLs étendues

La configuration du routeur périphérique est la suivante :

access-list 100 permit tcp any host 200.1.1.14 eq 80 (1)

access-list 100 permit udp any host 200.1.1.13 eq 53 (2)

access-list 100 permit tcp any host 200.1.1.12 eq 25 (3)

access-list 100 permit tcp any eq 25 host 200.1.1.12 established

access-list 100 permit tcp any host 200.1.1.11 eq 21 (4)

access-list 100 permit tcp any host 200.1.1.11 eq 20 (5)

access-list 100 permit tcp any eq 80 200.0.2.0 0.0.0.255 established (6)

access-list 100 permit udp any eq 53 200.0.2.0 0.0.0.255 (7)

access-list 100 deny ip any any (8)

interface Ethernet1

ip access-group 100 in

1. Expliquez le rôle de chacune des lignes

Exercice 2 ACLs étendues

3IRS H. Ben Elhadj


Sécurité des réseaux ISIMA

Le cahier des charges est le suivant :

 les internautes doivent avoir accès au serveur WEB 200.1.1.11


 les internautes doivent avoir accès au serveur SMTP 200.1.1.10
 le serveur SMTP 200.1.1.10 de la DMZ doit pouvoir transmettre des emails au serveur
SMTP interne 200.1.2.10, mais seul ce trafic doit être autorisé de la DMZ vers le réseau
interne
 les utilisateurs internes doivent pouvoir envoyer des requêtes DNS
 les utilisateurs internes doivent avoir accès aux deux serveurs de la DMZ
 les utilisateurs internes doivent avoir accès aux services TCP de l’Internet

1. Proposez la rédaction de deux ACLs qui permettent d’obtenir exactement ce fonctionnement :


 une côté Internet en entrée
 une en entrée du réseau interne

Réponses

3IRS H. Ben Elhadj


Sécurité des réseaux ISIMA

Exercice 1 :

(1) N’importe qui peut atteindre le port TCP 80 du serveur web 200.1.1.14
(2) N’importe qui peut atteindre le port UDP 53 du serveur DNS 200.1.1.13
(3) La première commande autorise n’importe qui à envoyer un email sur le port TCP 25 du serveur SMTP
200.1.1.12.
La deuxième commande autorise le serveur SMTP interne à envoyer des email à l’extérieur et à recevoir
les réponses

(4) N’importe qui peut atteindre le port TCP 21 du serveur FTP 200.1.1.11
(5) Permet aux internautes d’utiliser le port FTP DATA (20) du serveur FTP 200.1.1.11.
Remarque : on autorise les connexions sur le port 20, sans vérifier qu’il y a une connexion de contrôle
sur le port 21 qui lui correspond. C’est un risque pour la sécurité. Pour éviter cela, il faudrait utiliser le
CBAC.

(6) Autorise les réponses des serveurs WWW externes. L’option established oblige le routeur à tenir compte
des informations de session de TCP.
(7) Autorise les réponses des serveurs DNS externes
(8) Facultatif, permet de voir le nombre de fois que cette ligne est utilisée en faisant show ip access-list 100

Exercice 2 :

Il faut 2 ACLs : une côté Internet en entrée, une en entrée du réseau interne

access-list 100 deny ip any 200.1.2.10 0.0.0.1

(1) on interdit tout le trafic Internet d’atteindre le serveur email interne et le serveur d’authentification ;
lien avec (5) et (6)
access-list 100 permit tcp any host 200.1.1.11 eq 80

(2) accès au serveur WEB


access-list 100 permit tcp any host 200.1.1.10 eq 25

(3) accès au serveur SMTP


access-list 100 permit tcp any eq 25 host 200.1.1.10 established

(4) autorisation des réponses aux mails envoyés par 200.1.1.10 aux serveurs emails externes
access-list 100 permit tcp any 200.1.2.0 0.0.0.255 established
(5) on laisse passer les réponses aux requêtes des utilisateurs internes (sauf à destination du serveur mail
interne et du serveur d’authentification, bloquées par (1))
access-list 100 permit udp any eq 53 200.1.2.0 0.0.0.255

(6) autorise les réponses DNS cers les utilisateurs internes (utile car DNS utilise UDP et n’est donc pas
concerné par (5))
access-list 100 deny ip any any

3IRS H. Ben Elhadj


Sécurité des réseaux ISIMA
interface ethernet 1

ip access-group 100 in

access-list 101 deny ip any host 200.1.2.11

(7) rien ne passe vers le serveur d’authentification


access-list 101 permit tcp any 200.1.2.0 0.0.0.255 established

(8) on laisse passer les réponses aux requêtes des utilisateurs internes, utile car on coupe le trafic qui
pourrait venir de la DMZ
access-list 101 permit udp any eq 53 200.1.2.0 0.0.0.255
(9) on autorise les réponses DNS
access-list 101 permit tcp host 200.1.1.10 host 200.1.2.10 eq 25

(10) autorise le serveur SMTP externe à accéder au serveur SMTP interne


access-list 101 permit tcp host 200.1.1.10 eq 25 host 200.1.2.10 established

(11) autorise le serveur SMTP externe à répondre au serveur SMTP interne


access-list 101 deny ip any any

interface ethernet 0

ip access-group 101 out

3IRS H. Ben Elhadj

Vous aimerez peut-être aussi