Acl

ACL
Etude d'un systme de filtrage

L'objectif de ce TP est d'tudier l'implmentation du filtrage statique sur les routeurs CISCO
(par les adresses IP et les numros de ports) l'aide d'ACL (Access Control List).
Mise en place du rseau

Schma du rseau :
eth0
10.51.1.11/24
Int fa0/0/0
10.51.1.254/24
Int fa0/0
10.254.51.1/24
Int fa0/1
10.51.2.254/24
S51
stp
eth0
10.51.2.22/24
eth0
10.51.2.100/24
G51
essai-51
G51 chaud
10.51.2.4/24
D51
Les ACL permettent de filtrer les accs entre les diffrents rseaux ou de filtrer les accs au
routeur lui-mme. Elles peuvent tre appliques sur le trafic entrant ou sortant. Il y a deux
actions, soit le trafic est interdit, soit il est autoris.
Les ACLs sont prises en compte de faon squentielle, il faut donc placer les instructions les
plus prcises en premier et l'instruction la plus gnrique en dernier.
Il existe deux types d'ACL :
- standard qui filtre uniquement sur les adresses IP sources (numro compris entre 1 et 99)
- tendue qui filtre sur les adresses IP source et destination (numro compris entre 100 et
199)
WILLM Geoffrey & EMERY Olivier
LP aGSRi
Page 1
1 : Filtrages Basiques
Cahier des charges n1
On souhaite que seules les machines du rseau 10.51.1.0/24 puissent communiquer avec
l'extrieur du poste 51. Tout le reste est interdit.
Configuration du routeur :
routeur51(config)# access-list 100 permit ip 10.51.1.0 0.0.0.255 any
routeur51(config)# access-list 100 deny ip any any
routeur51(config)# int fa0/0
routeur51(config)# ip access-group 101 in
routeur51(config)# ip access-group 100 out
Effectuons un "show ip access-lists" sur le routeur pour faire un tat des lieux de nos ACLs :
On va maintenant effectuer un ping de D51 vers stp :
Notre routeur nous rpond que les paquets sont filtrs.

Effectuons maintenant un nouveau "show ip access-lists" :
On observe que le nombre de correspondances a augment, le paquet a bien t filtr par le

routeur car la machine D51 ne fait pas partie du rseau 10.51.1.0.
LP aGSRi
Page 2
En refaisant le mme test depuis la machine S51, on observe que nos paquets sont toujours
filtrs. Pourtant, cela ne devrait pas tre le cas puisque cette machine fait bien partie du
rseau 10.51.1.0.
Cela s'explique par le fait que nous avons uniquement autoriss les paquets du rseau
10.51.1.0 sortir mais pas entrer, nous ne pouvons donc pas recevoir la rponse de notre
ping.
Pour remdier cela, il suffit de rajouter une ligne autorisant les paquets rentrer puisque
pour l'instant tous les paquets entrant sont filtrs.
routeur51(config)# access-list 101 permit ip any 10.51.1.0 0.0.0.255
Il faut ensuite rappliquer les "access-group" pour que les modifications soient prises en
compte.
Pour vrifier que notre configuration fonctionne correctement, il suffit de refaire un ping de
S51 vers stp :
Cette fois-ci, le paquet n'est plus filtr.

Toutes nos ACLs fonctionnent donc comme prvu.
LP aGSRi
Page 3

On va d'abord supprimer les deux ACLs que nous avons cres prcdemment l'aide de la
commande no access-list :
routeur51(config)# no access-list 100
Cette fois-ci, on souhaite que :
- les machines du rseau 10.51.1.0/24 puissent communiquer avec l'extrieur du poste 51
- les machines du rseau 10.51.2.0/24 ne puissent pas communiquer avec celles du rseau
10.51.1.0/24
- les machines du rseau 10.51.2.0/24 aient un accs IP aux serveurs S51 et stp
routeur51(config)# access-list 100 permit ip 10.51.2.0 0.0.0.255 10.254.0.254 0.0.0.0
exit
routeur51(config)# access-list 103 deny ip 10.51.2.0 0.0.0.255 10.51.1.0 0.0.0.255
routeur51(config)# int fa0/0/0
exit
LP aGSRi
Page 4
L'ACL n100 autorise les machines du rseau 10.51.1.0/24 communiquer vers l'extrieur et
celles du rseau 10.51.2.0/24 accder stp.
L'ACL n101 va permettre le retour des paquets autoriss dans les rgles prcdentes.
L'ACL n102 autorise S51 rpondre aux machines du rseau 10.51.2.0/24.
L'ACL n103 autorise les machines du rseau 10.51.2.0/24 accder uniquement S51.
Maintenant, assurons nous que tout cela fonctionne correctement.
On va d'abord tester la connectivit entre la machine S51 (du rseau 10.51.1.0/24) et stp
(situe l'extrieur du rseau) l'aide de la commande ping pour s'assurer que les machines
du rseau 10.51.1.0/24 puissent bien communiquer avec l'extrieur :
Les deux machines communiquent bien ensemble.

On va ensuite s'assurer que les paquets provenant du rseau 10.51.2.0/24 et destination
du rseau 10.51.1.0/24 soient filtrs en effectuant un ping :
On s'aperoit que les paquets provenant de D51 et destination de S51 sont directement
filtrs.
LP aGSRi
Page 5
On va enfin vrifier que les paquets provenant du rseau 10.51.2.0/24 et destination de

S51 ou de stp ne soient pas filtrs :
La machine D51 peut aussi bien communiquer avec S51 qu'avec stp.
LP aGSRi
Page 6

On va d'abord supprimer les quatre ACLs que nous avons cres prcdemment l'aide de la
Cette fois-ci, on souhaite que :
- les machines du rseau 10.51.1.0/24 puissent communiquer avec l'extrieur du poste 51
- les machines du rseau 10.51.1.0/24 ne puissent pas communiquer avec celles du rseau
10.51.2.0/24
- les machines du rseau 10.51.2.0/24 aient accs au serveur Web de S51
- les machines d'adresse 1 127 du rseau 10.51.2.0/24 aient accs au serveur Web de S52
routeur51(config)# access-list 100 permit tcp 10.51.1.11 0.0.0.0 eq 80 10.51.2.0 0.0.0.255
gt 1023 established
routeur51(config)# access-list 100 deny ip 10.51.1.0 0.0.0.255 10.51.2.0 0.0.0.255
exit
routeur51(config)# access-list 102 permit tcp 10.51.2.0 0.0.0.255 gt 1023 10.51.1.11 0.0.0.0
eq 80
eq 80
gt 1023 established
gt 1023 established
LP aGSRi
Page 7

routeur51(config)# int fa0/0/0
exit
On va d'abord tester la connectivit entre la machine S51 (du rseau 10.51.1.0/24) et stp
(situe l'extrieur du rseau) l'aide de la commande ping pour s'assurer que les machines
du rseau 10.51.1.0/24 puissent bien communiquer avec l'extrieur :
On va ensuite s'assurer que les paquets provenant du rseau 10.51.1.0/24 et destination

du rseau 10.51.2.0/24 soient filtrs :
En effectuant un ping destination d'une machine du rseau 10.51.2.0/24, on s'aperoit que

les paquets sont directement filtrs.
LP aGSRi
Page 8
On va aussi s'assurer que les machines du rseau 10.51.2.0/24 puissent accder au serveur
Web de S51 :
On va enfin vrifier que les machines d'adresse 1 127 du rseau 10.51.2.0/24 puissent
accder au serveur Web de S52 :
LP aGSRi
Page 9
2 : Cahier des charges complet

On va dmarrer les services FTP et SSH sur la machine S51 :
root@S51:~# /etc/init.d/proftpd start
root@S51:~# /etc/init.d/ssh start
On va aussi supprimer les quatre ACLs que nous avons cres prcdemment l'aide de la
Dans un premier temps, nous allons interdire tous les flux entrant et sortant sur l'extrieur
ainsi que les flux entrant et sortant sur les serveurs internes (rseau 10.51.1.0/24) :
Pour mettre en place le cahier des charges, nous allons raliser un tableau des flux :
Serveur stp
Serveur
Web
interne
Utilisateurs
Techniciens
Machine
voisine
Administrateur
HTTP, TCP
ps=80
pd>1023
established
HTTP, TCP
ps=80
pd>1023
established
DNS, UDP
ps=53
pd>1023
DNS, UDP
ps=53
pd>1023
HTTP, TCP
ps=80
pd>1023
established
Serveur stp
10.254.0.254
HTTP, TCP
ps>1023
pd=80
X
FTP, TCP
ps>1023
pd=1023
HTTP, TCP
ps=80
pd>1023
established
DNS, UDP
ps=53
pd>1023
LP aGSRi
DNS, UDP
ps=53
pd>1023
FTP, TCP
ps=20, 21
pd>1023
established
Page 10
Serveur Web
interne
10.51.1.11
Utilisateurs
10.51.1.0/24
Techniciens
10.51.2.0/24
HTTP, TCP
ps=80
pd>1023
established
HTTP, TCP
ps>1023
pd=80
DNS, UDP
ps>1023
pd=53
HTTP, TCP
ps>1023
pd=80
DNS, UDP
ps>1023
pd=53
HTTP, TCP
ps>1023
pd=80
HTTP, TCP
ps>1023
pd=80
HTTP, TCP
ps=80
pd>1023
established
HTTP, TCP
ps=80
pd>1023
established
HTTP, TCP
ps=80
pd>1023
established
HTTP, TCP
ps=80
pd>1023
established
SSH, TCP
ps=22
pd>1023
established
SSH, TCP
ps=22
pd>1023
established
FTP, TCP
ps>1023
pd=20, 21
Machine
voisine
10.52.2.22
Administrateur
10.51.2.22
HTTP, TCP
ps>1023
pd=80
DNS, UDP
ps>1023
pd=53
HTTP, TCP
ps>1023
pd=80
DNS, UDP
ps>1023
pd=53
HTTP, TCP
ps>1023
pd=80
SSH, TCP
ps>1023
pd=22
HTTP, TCP
ps>1023
pd=80
SSH, TCP
ps>1023
pd=22
LP aGSRi
Page 11
Nous pouvons maintenant passer la configuration du routeur :

# Toutes les demandes d'accs au service Web de l'entreprise hberg sur la machine S51
# sont autorises
eq 80
gt 1023 established
Pour tester le bon fonctionnement de ces ACLs, nous allons tenter d'accder la page
d'accueil du serveur Web sur la machine S51 depuis une machine du rseau 10.51.2.0/24.
# Le serveur Web interne doit tre accessible de l'extrieur

routeur51(config)# access-list 101 permit tcp any gt 1023 10.51.1.11 0.0.0.0 eq 80
routeur51(config)# access-list 100 permit tcp 10.51.1.11 0.0.0.0 eq 80 10.254.0.0
0.0.255.255 gt 1023 established
routeur51(config)# access-list 103 permit tcp any gt 1023 10.51.1.11 0.0.0.0 eq 80
routeur51(config)# access-list 102 permit tcp 10.51.1.11 0.0.0.0 eq 80 10.254.0.0
0.0.255.255 gt 1023 established
LP aGSRi
Page 12
Pour tester le bon fonctionnement de ces ACLs, nous allons tenter d'accder la page
d'accueil du serveur Web sur la machine S51 depuis une machine de l'extrieur.
# Aucune machine de l'extrieur n'a accs aux machines de l'entreprise
# Seules les machines des ingnieurs/techniciens peuvent accder au serveur FTP de stp
routeur51(config)# access-list 100 permit tcp 10.51.2.0 0.0.0.255 gt 1023 10.254.0.254
0.0.0.0 eq 20
0.0.0.0 eq 21
gt 1023 established
gt 1023 established
Pour tester le bon fonctionnement de ces ACLs, nous ouvrons notre navigateur et mettons
l'adresse suivante : ftp://10.254.0.254
# La machine de l'administrateur peut accder au serveur par SSH
eq 22
gt 1023 established
Pour tester le bon fonctionnement de ces ACLs, on se connecte depuis la machine
10.51.2.22 sur la machine 10.51.1.11 en tapant la commande ssh 10.51.1.11 dans le shell.
# Toutes les demandes d'accs au service Web sur tout l'Internet sont autorises
0.0.0.0 eq 80
gt 1023 established
0.0.0.0 eq 80
gt 1023 established
0.0.0.0 eq 80
gt 1023 established
LP aGSRi
Page 13
Pour tester le bon fonctionnement de ces ACLs, nous ouvrons notre navigateur et mettons
l'adresse suivante : http://148.60.235.253 (machine reprsentant l'Internet).
# Interdiction de tous les autres flux
3 : Conclusion
Ce TP nous aura permis d'apprendre que la rgle la plus importante en matire de scurit
d'un rseau informatique est que tout ce qui n'est pas permis est interdit. Il faut donc
toujours commencer par tout interdire et ensuite, on autorise ce qui est ncessaire en
fonction de nos besoins.
On retiendra qu'une ACL se construit toujours de la manire suivante :
nACL, action effectuer (permit ou deny), protocole utilis, adresse source (ventuellement
suivi du numro de port) et enfin adresse de destination.
On retiendra aussi qu'il faut toujours placer les instructions les plus prcises en premier et
les plus gnriques en dernier.
Le cahier des charges ralis nous aura permis d'entrevoir le travail demand un
administrateur rseau devant grer la scurit et l'accs au rseau d'une entreprise.
LP aGSRi
Page 14

Acl

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Acl

Transféré par

Droits d'auteur :

Formats disponibles

ACL

Etude d'un systme de filtrage

Mise en place du rseau

On va maintenant effectuer un ping de D51 vers stp :

Notre routeur nous rpond que les paquets sont filtrs.

On observe que le nombre de correspondances a augment, le paquet a bien t filtr par le

Cette fois-ci, le paquet n'est plus filtr.

WILLM Geoffrey & EMERY Olivier

Cahier des charges n2

WILLM Geoffrey & EMERY Olivier

Les deux machines communiquent bien ensemble.

WILLM Geoffrey & EMERY Olivier

On va enfin vrifier que les paquets provenant du rseau 10.51.2.0/24 et destination de

WILLM Geoffrey & EMERY Olivier

Cahier des charges n3

routeur51(config)# access-list 103 deny ip any any

On va ensuite s'assurer que les paquets provenant du rseau 10.51.1.0/24 et destination

En effectuant un ping destination d'une machine du rseau 10.51.2.0/24, on s'aperoit que

WILLM Geoffrey & EMERY Olivier

Toutes nos ACLs fonctionnent donc comme prvu.

WILLM Geoffrey & EMERY Olivier

2 : Cahier des charges complet

WILLM Geoffrey & EMERY Olivier

WILLM Geoffrey & EMERY Olivier

Nous pouvons maintenant passer la configuration du routeur :

# Le serveur Web interne doit tre accessible de l'extrieur

WILLM Geoffrey & EMERY Olivier

WILLM Geoffrey & EMERY Olivier

Vous aimerez peut-être aussi