Scribd
Importer
94 vues5 pages

TP1 Acl

Le document décrit un TP sur la configuration des ACL pour sécuriser l'accès aux routeurs et réduire les attaques. Il présente une topologie réseau, des objectifs clairs, et des étapes détaillées pour vérifier la connectivité, configurer des ACL, et appliquer des règles de sécurité spécifiques. Les configurations incluent des commandes pour restreindre l'accès aux routeurs et gérer le trafic entrant et sortant sur les interfaces des routeurs.

Transféré par

wijdane
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd
94 vues5 pages

TP1 Acl

Le document décrit un TP sur la configuration des ACL pour sécuriser l'accès aux routeurs et réduire les attaques. Il présente une topologie réseau, des objectifs clairs, et des étapes détaillées pour vérifier la connectivité, configurer des ACL, et appliquer des règles de sécurité spécifiques. Les configurations incluent des commandes pour restreindre l'accès aux routeurs et gérer le trafic entrant et sortant sur les interfaces des routeurs.

Transféré par

wijdane
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd

TP 1 : Configurer les ACL pour réduire les attaques

Topologie :

Adressage :

Equipement Interface Adresse IP Masque Passerelle


G0/1 [Link] [Link] N/A
R1 S0/0/0 (DCE) [Link] [Link] N/A
S0/0/0 [Link] [Link] N/A
S0/0/1 (DCE) [Link] [Link] N/A
R2
Lo0 [Link] [Link] N/A
G0/1 [Link] [Link] N/A
R3 S0/0/1 [Link] [Link] N/A
PC-A NIC [Link] [Link] [Link]
PC-C NIC [Link] [Link] [Link]

Objectifs :
• Vérifier la connectivité des appareils.
• Utiliser les ACL pour garantir que l'accès à distance aux routeurs est disponible
uniquement à partir de la station de gestion PC-C.
• Configurer les ACL sur R1 et R3 pour réduire les attaques.
• Vérifier les fonctionnalités des ACL.

Scénario :
• L'accès aux routeurs R1, R2 et R3 ne doit être autorisé qu'à partir de la station de gestion
PC-C.
• PC-C est également utilisé pour tester la connectivité à PC-A, qui est un serveur
fournissant des services DNS, SMTP, FTP et HTTPS.
Le but est d’appliquer des ACL sur les routeurs pour réduire les menaces courantes en fonction
des adresses IP sources et destinations.
Les routeurs doivent être configurés avec les éléments suivants :
• Activer le mot de passe : ciscoenpa55
• Mot de passe pour la console : ciscoconpa55
• Nom d'utilisateur et mot de passe de connexion SSH : SSHadmin/ciscosshpa55
• Adressage IP
• Routage statique

Partie 1 : Vérifier la connectivité :

Étape 1 : Depuis le PC-A vérifier la connectivité à PC-C et R2.


• À partir de l’invite de commande, envoyez une requête ping au PC-C ([Link]).
• À partir de l'invite de commande, établissez une session SSH sur l’interface Lo0
([Link]) de R2 à l'aide du nom d'utilisateur SSHadmin et du mot de passe
ciscosshpa55. Une fois terminé, quitter la session SSH.
SERVER> ssh -l SSHadmin [Link]

Étape 2 : Depuis le PC-C vérifier la connectivité à PC-A et R2.


• À partir de l’invite de commande, envoyer une requête ping au PC-A ([Link]).
• À partir de l'invite de commande, établir une session SSH sur l’interface Lo0
([Link]) de R2 à l'aide du nom d'utilisateur SSHadmin et mot de passe
ciscosshpa55.

PC> ssh -l SSHadmin [Link]

• Ouvrir un navigateur Web sur le serveur PC-A ([Link]) pour afficher la page Web.

Partie 2 : Accès sécurisé aux routeurs :

Étape 1 : Configurer l'ACL 10 pour bloquer tout accès à distance aux routeurs, à
l'exception de PC-C.
• Utiliser la commande access-list pour créer une ACL numérotée sur R1, R2 et R3.
R1(config)# access-list 10 permit host [Link]
R2(config)# access-list 10 permit host [Link]
R3(config)# access-list 10 permit host [Link]

Étape 2 : Appliquer l’ACL 10 au trafic entrant sur les lignes VTY.


• Utiliser la commande access-class pour appliquer l’ACL au trafic entrant sur les lignes
VTY.
R1(config)# line vty 0 4
R1(config-line)# access-class 10 in

R2(config)#line vty 0 4
R2(config-line)# access-class 10 in

R3(config)# line vty 0 4


R3(config-line)# access-class 10 in
Étape 3 : Vérifier l'accès exclusif depuis la station de gestion PC-C.
• Établir une session SSH vers [Link] à partir de PC-C (cela devrait réussir).
PC> ssh –l SSHadmin [Link]

• Établir une session SSH vers [Link] à partir du PC-A (cela devrait échouer).
PC> ssh –l SSHadmin [Link]

Partie 3 : Créer une ACL numérotée 120 sur R1 :

Créer une ACL numérotée 120 avec les règles suivantes :


• Autoriser les hôtes externes à accéder aux services DNS, SMTP et FTP sur le serveur
PC-A.
• Refuser à tout hôte externe l'accès aux services HTTPS sur le serveur PC-A.
• Autoriser au PC-C d’accéder à R1 via SSH.

Remarque : Les résultats de la vérification n'afficheront pas une configuration correcte pour
l'ACL 120 tant qu’elle n’est pas modifiée dans la partie 4.

Étape 1 : Vérifier que le PC-C peut accéder au PC-A via HTTPS à l'aide du navigateur
Web.
Désactiver le HTTP et activer le HTTPS sur le serveur PC-A.

Étape 2 : Configurer l'ACL 120 pour autoriser et refuser le trafic spécifié.


Utiliser la commande access-list pour créer une ACL numérotée.

R1(config)# access-list 120 permit udp any host [Link] eq domain


R1(config)# access-list 120 permit tcp any host [Link] eq smtp
R1(config)# access-list 120 permit tcp any host [Link] eq ftp
R1(config)# access-list 120 deny tcp any host [Link] eq 443
R1(config)# access-list 120 permit tcp host [Link] host [Link] eq 22

Étape 3 : Appliquer l’ACL à l’interface S0/0/0.


Utiliser la commande ip access-group pour appliquer l’ACL au trafic entrant sur l'interface
S0/0/0.
R1(config)# interface se0/0/0
R1(config-if)# ip access-group 120 in

Étape 4 : Vérifier que le PC-C ne peut pas accéder au PC-A via HTTPS à l'aide du
navigateur Web.

Partie 4 : Modifier une ACL existante sur R1 :

Étape 1 : Vérifier que le PC-A ne peut pas envoyer une requête ping à l'interface Lo0 sur
le routeur R2.
Étape 2 : Apporter toutes les modifications nécessaires à l'ACL 120 pour autoriser et
refuser le trafic spécifié.
Autoriser les réponses ICMP (echo-reply) et les messages de destination inaccessibles
(unreachable) du réseau extérieur (par rapport à R1). Refuser tous les autres paquets ICMP
entrants. Autoriser le reste du trafic.

R1(config)# access-list 120 permit icmp any any echo-reply


R1(config)# access-list 120 permit icmp any any unreachable
R1(config)# access-list 120 deny icmp any any
R1(config)# access-list 120 permit ip any any

Étape 3 : Vérifier que le PC-A peut envoyer une requête ping à l'interface de boucle sur
R2.

Partie 5 : Créer une ACL numérotée 110 sur R3 :

Refuser tous les paquets sortants dont l’adresse source est hors de la plage d’adresses IP internes
sur R3.
Étape 1 : Configurer l'ACL 110 pour autoriser uniquement le trafic provenant du réseau
interne.
R3(config)#access-list 110 permit ip [Link] [Link] any

Étape 2 : Appliquer l’ACL à l’interface g0/1.


Utiliser la commande ip access-group pour appliquer l’ACL au trafic entrant sur l'interface
g0/1.
R3(config)# interface g0/1
R3(config-if)# ip access-group 110 in

Partie 6 : Créer une ACL numérotée 100 sur R3 :

Sur R3, bloquer tous les paquets contenant l'adresse IP source du pool d'adresses suivant :
RFC 1918, [Link]/8 et toute adresse IP de multidiffusion.
Vu que le PC-C est utilisé pour l'administration à distance, autorisez le trafic SSH du réseau
[Link]/8 à revenir vers le PC-C.

Étape 1 : Configurer l'ACL 100 pour bloquer tout le trafic spécifié en provenance du
réseau extérieur.
Il faut bloquer le trafic provenant de l’espace d'adressage interne s'il ne s'agit pas d'une adresse
RFC 1918. Dans ce cas, l’espace d'adressage interne fait partie de l'espace d'adressage RFC
1918.
R3(config)# access-list 100 permit tcp [Link] [Link] eq 22 host
[Link]
R3(config)# access-list 100 deny ip [Link] [Link] any
R3(config)# access-list 100 deny ip [Link] [Link] any
R3(config)# access-list 100 deny ip [Link] [Link] any
R3(config)# access-list 100 deny ip [Link] [Link] any
R3(config)# access-list 100 deny ip [Link] [Link] any
R3(config)# access-list 100 permit ip any any

Étape 2 : Appliquer l’ACL à l’interface se0/0/1.


Utilisez la commande ip access-group pour appliquer l’ACL au trafic entrant sur l'interface
se0/0/1.
R3(config)# interface se0/0/1
R3(config-if)# ip access-group 100 in

Étape 3 : Confirmer que le trafic spécifié entrant dans l’interface se0/0/1 est géré
correctement.
• À partir de l’invite de commande du PC-C, effectuer un ping sur le serveur PC-A. Les
réponses d'écho ICMP sont bloquées par l'ACL car elles proviennent de l'espace
d'adressage [Link]/16.
• Établir une session SSH vers [Link] à partir du PC-C (cela devrait réussir).

Vous aimerez peut-être aussi