Académique Documents
Professionnel Documents
Culture Documents
eth0
10.51.1.11/24
Int fa0/0/0
10.51.1.254/24
Int fa0/0
10.254.51.1/24
Int fa0/1
10.51.2.254/24
S51
stp
eth0
10.51.2.22/24
eth0
10.51.2.100/24
G51
essai-51
G51 chaud
10.51.2.4/24
D51
Les ACL permettent de filtrer les accs entre les diffrents rseaux ou de filtrer les accs au
routeur lui-mme. Elles peuvent tre appliques sur le trafic entrant ou sortant. Il y a deux
actions, soit le trafic est interdit, soit il est autoris.
Les ACLs sont prises en compte de faon squentielle, il faut donc placer les instructions les
plus prcises en premier et l'instruction la plus gnrique en dernier.
Il existe deux types d'ACL :
- standard qui filtre uniquement sur les adresses IP sources (numro compris entre 1 et 99)
- tendue qui filtre sur les adresses IP source et destination (numro compris entre 100 et
199)
WILLM Geoffrey & EMERY Olivier
LP aGSRi
Page 1
1 : Filtrages Basiques
Cahier des charges n1
On souhaite que seules les machines du rseau 10.51.1.0/24 puissent communiquer avec
l'extrieur du poste 51. Tout le reste est interdit.
Configuration du routeur :
routeur51(config)# access-list 100 permit ip 10.51.1.0 0.0.0.255 any
routeur51(config)# access-list 100 deny ip any any
routeur51(config)# access-list 101 deny ip any any
routeur51(config)# int fa0/0
routeur51(config)# ip access-group 101 in
routeur51(config)# ip access-group 100 out
Effectuons un "show ip access-lists" sur le routeur pour faire un tat des lieux de nos ACLs :
LP aGSRi
Page 2
En refaisant le mme test depuis la machine S51, on observe que nos paquets sont toujours
filtrs. Pourtant, cela ne devrait pas tre le cas puisque cette machine fait bien partie du
rseau 10.51.1.0.
Cela s'explique par le fait que nous avons uniquement autoriss les paquets du rseau
10.51.1.0 sortir mais pas entrer, nous ne pouvons donc pas recevoir la rponse de notre
ping.
Pour remdier cela, il suffit de rajouter une ligne autorisant les paquets rentrer puisque
pour l'instant tous les paquets entrant sont filtrs.
routeur51(config)# access-list 101 permit ip any 10.51.1.0 0.0.0.255
Il faut ensuite rappliquer les "access-group" pour que les modifications soient prises en
compte.
Pour vrifier que notre configuration fonctionne correctement, il suffit de refaire un ping de
S51 vers stp :
LP aGSRi
Page 3
LP aGSRi
Page 4
Effectuons un "show ip access-lists" sur le routeur pour faire un tat des lieux de nos ACLs :
L'ACL n100 autorise les machines du rseau 10.51.1.0/24 communiquer vers l'extrieur et
celles du rseau 10.51.2.0/24 accder stp.
L'ACL n101 va permettre le retour des paquets autoriss dans les rgles prcdentes.
L'ACL n102 autorise S51 rpondre aux machines du rseau 10.51.2.0/24.
L'ACL n103 autorise les machines du rseau 10.51.2.0/24 accder uniquement S51.
Maintenant, assurons nous que tout cela fonctionne correctement.
On va d'abord tester la connectivit entre la machine S51 (du rseau 10.51.1.0/24) et stp
(situe l'extrieur du rseau) l'aide de la commande ping pour s'assurer que les machines
du rseau 10.51.1.0/24 puissent bien communiquer avec l'extrieur :
On s'aperoit que les paquets provenant de D51 et destination de S51 sont directement
filtrs.
LP aGSRi
Page 5
La machine D51 peut aussi bien communiquer avec S51 qu'avec stp.
Toutes nos ACLs fonctionnent donc comme prvu.
LP aGSRi
Page 6
LP aGSRi
Page 7
On va d'abord tester la connectivit entre la machine S51 (du rseau 10.51.1.0/24) et stp
(situe l'extrieur du rseau) l'aide de la commande ping pour s'assurer que les machines
du rseau 10.51.1.0/24 puissent bien communiquer avec l'extrieur :
LP aGSRi
Page 8
On va aussi s'assurer que les machines du rseau 10.51.2.0/24 puissent accder au serveur
Web de S51 :
On va enfin vrifier que les machines d'adresse 1 127 du rseau 10.51.2.0/24 puissent
accder au serveur Web de S52 :
LP aGSRi
Page 9
Serveur stp
Serveur
Web
interne
Utilisateurs
Techniciens
Machine
voisine
Administrateur
HTTP, TCP
ps=80
pd>1023
established
HTTP, TCP
ps=80
pd>1023
established
DNS, UDP
ps=53
pd>1023
DNS, UDP
ps=53
pd>1023
HTTP, TCP
ps=80
pd>1023
established
Serveur stp
10.254.0.254
HTTP, TCP
ps>1023
pd=80
X
FTP, TCP
ps>1023
pd=1023
HTTP, TCP
ps=80
pd>1023
established
DNS, UDP
ps=53
pd>1023
LP aGSRi
DNS, UDP
ps=53
pd>1023
FTP, TCP
ps=20, 21
pd>1023
established
Page 10
Serveur Web
interne
10.51.1.11
Utilisateurs
10.51.1.0/24
Techniciens
10.51.2.0/24
HTTP, TCP
ps=80
pd>1023
established
HTTP, TCP
ps>1023
pd=80
DNS, UDP
ps>1023
pd=53
HTTP, TCP
ps>1023
pd=80
DNS, UDP
ps>1023
pd=53
HTTP, TCP
ps>1023
pd=80
HTTP, TCP
ps>1023
pd=80
HTTP, TCP
ps=80
pd>1023
established
HTTP, TCP
ps=80
pd>1023
established
HTTP, TCP
ps=80
pd>1023
established
HTTP, TCP
ps=80
pd>1023
established
SSH, TCP
ps=22
pd>1023
established
SSH, TCP
ps=22
pd>1023
established
FTP, TCP
ps>1023
pd=20, 21
Machine
voisine
10.52.2.22
Administrateur
10.51.2.22
HTTP, TCP
ps>1023
pd=80
DNS, UDP
ps>1023
pd=53
HTTP, TCP
ps>1023
pd=80
DNS, UDP
ps>1023
pd=53
HTTP, TCP
ps>1023
pd=80
SSH, TCP
ps>1023
pd=22
HTTP, TCP
ps>1023
pd=80
SSH, TCP
ps>1023
pd=22
LP aGSRi
Page 11
LP aGSRi
Page 12
Pour tester le bon fonctionnement de ces ACLs, nous allons tenter d'accder la page
d'accueil du serveur Web sur la machine S51 depuis une machine de l'extrieur.
# Aucune machine de l'extrieur n'a accs aux machines de l'entreprise
routeur51(config)# access-list 102 deny ip any any
# Seules les machines des ingnieurs/techniciens peuvent accder au serveur FTP de stp
routeur51(config)# access-list 100 permit tcp 10.51.2.0 0.0.0.255 gt 1023 10.254.0.254
0.0.0.0 eq 20
routeur51(config)# access-list 100 permit tcp 10.51.2.0 0.0.0.255 gt 1023 10.254.0.254
0.0.0.0 eq 21
routeur51(config)# access-list 101 permit tcp 10.254.0.254 0.0.0.0 eq 20 10.51.2.0 0.0.0.255
gt 1023 established
routeur51(config)# access-list 101 permit tcp 10.254.0.254 0.0.0.0 eq 21 10.51.2.0 0.0.0.255
gt 1023 established
Pour tester le bon fonctionnement de ces ACLs, nous ouvrons notre navigateur et mettons
l'adresse suivante : ftp://10.254.0.254
# La machine de l'administrateur peut accder au serveur par SSH
routeur51(config)# access-list 103 permit tcp 10.51.2.22 0.0.0.0 gt 1023 10.51.1.11 0.0.0.0
eq 22
routeur51(config)# access-list 102 permit tcp 10.51.1.11 0.0.0.0 eq 22 10.51.2.22 0.0.0.0
gt 1023 established
Pour tester le bon fonctionnement de ces ACLs, on se connecte depuis la machine
10.51.2.22 sur la machine 10.51.1.11 en tapant la commande ssh 10.51.1.11 dans le shell.
# Toutes les demandes d'accs au service Web sur tout l'Internet sont autorises
routeur51(config)# access-list 100 permit tcp 10.51.1.0 0.0.0.255 gt 1023 10.254.0.254
0.0.0.0 eq 80
routeur51(config)# access-list 101 permit tcp 10.254.0.254 0.0.0.0 eq 80 10.51.1.0 0.0.0.255
gt 1023 established
routeur51(config)# access-list 100 permit tcp 10.51.2.0 0.0.0.255 gt 1023 10.254.0.254
0.0.0.0 eq 80
routeur51(config)# access-list 101 permit tcp 10.254.0.254 0.0.0.0 eq 80 10.51.2.0 0.0.0.255
gt 1023 established
routeur51(config)# access-list 103 permit tcp 10.51.1.0 0.0.0.255 gt 1023 10.254.0.254
0.0.0.0 eq 80
routeur51(config)# access-list 102 permit tcp 10.254.0.254 0.0.0.0 eq 80 10.51.1.0 0.0.0.255
gt 1023 established
WILLM Geoffrey & EMERY Olivier
LP aGSRi
Page 13
Pour tester le bon fonctionnement de ces ACLs, nous ouvrons notre navigateur et mettons
l'adresse suivante : http://148.60.235.253 (machine reprsentant l'Internet).
# Interdiction de tous les autres flux
routeur51(config)# access-list 100 deny ip any any
routeur51(config)# access-list 101 deny ip any any
routeur51(config)# access-list 102 deny ip any any
routeur51(config)# access-list 103 deny ip any any
3 : Conclusion
Ce TP nous aura permis d'apprendre que la rgle la plus importante en matire de scurit
d'un rseau informatique est que tout ce qui n'est pas permis est interdit. Il faut donc
toujours commencer par tout interdire et ensuite, on autorise ce qui est ncessaire en
fonction de nos besoins.
On retiendra qu'une ACL se construit toujours de la manire suivante :
nACL, action effectuer (permit ou deny), protocole utilis, adresse source (ventuellement
suivi du numro de port) et enfin adresse de destination.
On retiendra aussi qu'il faut toujours placer les instructions les plus prcises en premier et
les plus gnriques en dernier.
Le cahier des charges ralis nous aura permis d'entrevoir le travail demand un
administrateur rseau devant grer la scurit et l'accs au rseau d'une entreprise.
LP aGSRi
Page 14