Scribd
Importer
28 vues9 pages

Sécuriser le réseau avec les ACLs

Transféré par

mohammed meznagui
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PPTX, PDF, TXT ou lisez en ligne sur Scribd
28 vues9 pages

Sécuriser le réseau avec les ACLs

Transféré par

mohammed meznagui
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PPTX, PDF, TXT ou lisez en ligne sur Scribd

Contrarier les menaces et les attaques

avec les ACLs (listes de contrôle


d’accès)

1
Application des ACLs aux
interfaces du routeur

– Inbound (in): données arrivent vers


interface du routeur
– Outbound (out): données sortent de
l’interface du routeur
2
Filtrage du trafic

– ACLs peuvent être utilisées pour filtrer le trafic


entrant et sortant du routeur et du firewall.
– ACLs peuvent être utilisées pour désactiver et
limiter les services, les ports, et les protocols.

3
Contrarier le IP Spoofing :
Inbound

R2(config)#access-list 150 deny ip 10.2.1.0 0.0.0.255 any log


R2(config)#access-list 150 deny ip 127.0.0.0 0.255.255.255 any log
R2(config)#access-list 150 deny ip 10.0.0.0 0.255.255.255 any log
R2(config)#access-list 150 deny ip 172.16.0.0 0.15.255.255 any log
R2(config)#access-list 150 deny ip 192.168.0.0 0.0.255.255 any log
R2(config)#access-list 150 deny ip 224.0.0.0 15.255.255.255 any log
R2(config)#access-list 150 deny ip host 255.255.255.255 any log
R2(config)#access-list 150 permit ip any 10.2.1.0 0.0.0.255
R2(config)#interface e0/0
R2(config-if)#ip access-group 150 in
R2(config-if)#exit

4
Contrarier le IP Spoofing :
outbound

R2(config)#access-list 105 permit ip 10.2.1.0 0.0.0.255 any


R2(config)#access-list 105 deny ip any any log
R2(config)#interface e0/1
R2(config-if)#ip access-group 105 in
R2(config-if)#exit

5
Contrarier une attaque DoS TCP
SYN :
bloquer l’accès externe

R2(config)#access-list 109 permit tcp any 10.2.1.0 0.0.0.255 established


R2(config)#access-list 109 deny ip any any log
R2(config)#interface e0/0
R2(config-if)#ip access-group 109 in
R2(config-if)#exit

6
Contrarier une attaque DoS
Smurf

R2(config)#access-list 111 deny ip any host 10.2.1.255 log


R2(config)#access-list 111 permit ip any 10.2.1.0 0.0.0.255 log
R2(config)#access-list 112 deny ip any host 10.1.1.255 log
R2(config)#access-list 112 permit ip any 10.1.1.0 0.0.0.255 log
R2(config)#interface e0/0
R2(config-if)#ip access-group 111 in
R2(config-if)#end
R2(config)#interface e0/1
R2(config-if)#ip access-group 112 in
R2(config-if)#exit

7
Filtrer les messages ICMP
entrants : inbound

R2(config)#access-list 112 deny icmp any any echo log


R2(config)#access-list 112 deny icmp any any redirect log
R2(config)#access-list 112 deny icmp any any mask-request log
R2(config)#access-list 112 permit icmp any 10.2.1.0 0.0.0.255
R2(config)#interface e0/0
R2(config-if)#ip access-group 112 in
R2(config-if)#exit

8
Filtrer les messages ICMP
sortants : outbound

R2(config)#access-list 114 permit icmp 10.2.1.0 0.0.0.255 any echo


R2(config)#access-list 114 permit icmp 10.2.1.0 0.0.0.255 any parameter-
problem
R2(config)#access-list 114 permit icmp 10.2.1.0 0.0.0.255 any packet-
too-big
R2(config)#access-list 114 permit icmp 10.2.1.0 0.0.0.255 any source-
quench
R2(config)#access-list 114 deny icmp any any log
R2(config)#interface e0/1
R2(config-if)#ip access-group 114 in
R2(config-if)#exit

Vous aimerez peut-être aussi