tp listes de contrôle d accès -...
TRANSCRIPT
04 Décembre 2014 TP – Listes de Contrôle d’Accès
1
Introduction :
Au travers de ce TP, nous allons apprendra à configurer des ACL pour contrôler le trafic sur notre
réseau. Les règles que nous pouvons appliquer peuvent être permissives ou restrictives.
Exercice SISR5 TP ACL 1 :
Config ACL Adresse IP
Source Autorisé ? Drop ?
Access-list 10 permit 192.168.122.128 0.0.0.63
192.168.122.198 Non Oui
Access-list 11 permit 192.168.2.64 0.0.0.31 192.168.2.25 Non Oui
Access-list 12 permit 192.168.225.32 0.0.0.31
192.168.225.32 N/A N/A
Access-list 13 permit 192.168.100.0 0.0.0.255
192.168.100.244 Oui Non
Access-list 14 deny 192.168.10.100 0.0.0.0 192.168.10.100 N/A N/A
Access-list 15 deny deny 192.168.1.1 N/A N/A
Access-list 16 remark deny 192.168.10.0 255.255.255.0
192.168.10.50 Non Oui
Ip access-list standard ACCES-BLOQUE deny 192.168.10.10 0.0.0.255
192.168.10.10 Non Oui
Ip access-list standard ACCES-INTERDIT deny 192.168.10.10 0.0.0.255
192.168.10.10 Non Oui
Ip access-list 17 permit 192.168.10.100 0.0.0.255
192.168.10.101 N/A N/A
04 Décembre 2014 TP – Listes de Contrôle d’Accès
2
Exercice SISR5 TP ACL 2 – Isoler un sous-réseau :
Voici notre réseau :
Voici la configuration de notre routeur :
04 Décembre 2014 TP – Listes de Contrôle d’Accès
3
Nous essayons de faire un ping vers l’autre PC :
Nous allons maintenant mettre notre ACL en place. Nous voulons empêcher tout trafic en
provenance du réseau 192.168.1.0/24 de pouvoir franchir le Routeur :
04 Décembre 2014 TP – Listes de Contrôle d’Accès
4
Nous vérifions que l’ACL s’applique bien :
Voici la partie de la configuration du routeur où nous voyons apparaitre notre ACL :
04 Décembre 2014 TP – Listes de Contrôle d’Accès
5
Exercice SISR5 TP ACL 3 – Refuser un hôte :
Voici notre réseau :
Voici la mise en place de notre ACL. Nous voulons que les hôtes du sous-réseau 192.168.2.0/24 ne
puissent pas communiquer avec la station 192.168.1.11/24 mais qu’ils puissent communiquer avec
tous les autres :
04 Décembre 2014 TP – Listes de Contrôle d’Accès
6
Nous essayons de faire un ping depuis notre machine du sous-réseau 192.168.2.0/24 :
Voici la configuration de notre routeur pour les ACL :
04 Décembre 2014 TP – Listes de Contrôle d’Accès
7
Exercice SISR5 TP ACL 4 – Sécuriser l’accès au terminal virtuel du routeur par ACL :
Voici notre réseau :
Nous allons créer une ACL pour qu’une seule machine (192.168.1.254) puisse se connecter via la
commande telnet au routeur :
04 Décembre 2014 TP – Listes de Contrôle d’Accès
8
Nous allons maintenant vérifier qu’avec la machine (192.168.1.254) nous arrivons à nous connecter
en telnet au routeur. Cela fonctionne :
Nous allons tester à partir d’une autre machine. Cela ne fonctionne pas, notre ACL s’applique bien :
Voici la configuration de notre routeur :
04 Décembre 2014 TP – Listes de Contrôle d’Accès
9
Exercice SISR5 TP ACL 5 – Interdire un port TCP :
Voici notre réseau :
Voici la configuration de notre routeur sans ACL :
04 Décembre 2014 TP – Listes de Contrôle d’Accès
10
Nous allons maintenant tenter de nous connecter en ftp depuis chacun des PC :
Nous créons maintenant notre ACL pour que les postes du sous-réseau 192.168.2.0/24 ne puissent
pas accéder en FTP au serveur mais qu’ils y accèdent en http :
04 Décembre 2014 TP – Listes de Contrôle d’Accès
11
Nous allons maintenant tester la connexion en FTP et en http :
04 Décembre 2014 TP – Listes de Contrôle d’Accès
12
Nous vérifions que nous accédons toujours depuis la machine du sous-réseau 192.168.1.0 :
Voici la configuration de notre routeur :
04 Décembre 2014 TP – Listes de Contrôle d’Accès
13
Exercice SISR5 TP ACL 6 – Trafic http :
Nous reprenons le réseau précédent. Nous allons configurer une nouvelle ACL pour que le sous-
réseau 192.168.1.0/24 ne puisse pas accéder au ftp par le trafic http :
Ne pas oublier la commande : access-list 102 permit ip any any après la commande : access-list 102
deny tcp 192.168.1.0 0.0.0.255 host 192.168.3.10 eq 80.
Si on ne met pas cela la connexion en FTP ne se fait plus.
04 Décembre 2014 TP – Listes de Contrôle d’Accès
14
Nous allons maintenant vérifier que le trafic http est bloqué et que le ftp fonctionne toujours :