CCNA Discovery

Rseaux domestiques et pour petites entreprises

Travaux pratiques 8.4.2 Configuration des stratgies daccs et des

paramtres de la zone dmilitarise (DMZ)

Objectifs
Se connecter au priphrique multi-fonction et afficher les paramtres de scurit
Configurer les stratgies daccs Internet partir de ladresse IP et de lapplication
Configurer une zone dmilitarise (DMZ) pour un serveur accs ouvert avec une adresse IP
statique
Configurer la transmission du port pour limiter laccessibilit du port HTTP uniquement
Utiliser les fonctions daide du Linksys WRT300N

Contexte / Prparation
Ces travaux pratiques donnent les instructions de configuration des paramtres de scurit du Linksys
WRT300N. Le Linksys est dot dun pare-feu logiciel visant protger les clients internes du rseau local des
attaques dhtes externes. Les connexions des htes internes aux destinations externes peuvent tre filtres
partir de ladresse IP, du site Web de destination et de lapplication. Le Linksys peut galement tre
configur pour crer une zone dmilitarise (DMZ) en vue de contrler laccs un serveur partir dhtes
externes. Ces travaux pratiques sont raliss par quipes de deux et deux quipes peuvent travailler
ensemble pour tester les restrictions daccs et la fonctionnalit DMZ entre elles. Ces travaux pratiques
se divisent en 2 parties :
Partie 1 : configuration des stratgies daccs
Partie 2 : configuration des paramtres de la zone dmilitarise (DMZ)
Ressources requises :
Le Linksys WRT300N ou un autre priphrique multi-fonction avec la configuration par dfaut
LID utilisateur et le mot de passe du priphrique Linksys sils sont diffrents des valeurs par dfaut
Un ordinateur fonctionnant sous Windows XP Professionnel pour accder linterface graphique
utilisateur Linksys
Un PC interne utilis comme serveur dans la zone dmilitarise (DMZ) avec des serveurs HTTP et
Telnet installs (serveur prconfigur ou CD Discovery Live)

All contents are Copyright 1992-2009 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 1 sur 9
CCNA Discovery
Rseaux domestiques et pour petites entreprises

Un serveur externe pour reprsenter le fournisseur de services Internet et Internet (avec serveurs
DHCP, HTTP et Telnet prconfigurs (vrai serveurs avec des services installs ou le serveur CD
Discovery Live)
Le cblage pour connecter les PC htes, le priphrique Linksys WRT300N ou le priphrique multi-
fonction, et les commutateurs

Partie 1 : configuration des stratgies daccs

tape 1 : cration du rseau et configuration des htes

a. Connectez les ordinateurs htes aux ports du commutateur sur le priphrique multi-fonction comme
lindique le schma topologique. LHte-A est la console et sert accder linterface graphique
utilisateur du Linksys. LHte-B est la base une machine test mais devient par la suite le serveur DMZ.
b. Configurez les paramtres IP des deux htes laide des connexions rseaux de Windows XP et des
proprits TCP/IP. Vrifiez que lHte-A est configur comme client DHCP. Attribuez une adresse IP
statique lHte-B dans la porte 192.168.1.x avec un masque de sous-rseau de 255.255.255.0.
La passerelle par dfaut doit tre ladresse du rseau local interne du priphrique Linksys.
REMARQUE : si lHte-B est dj un client DHCP, vous pouvez rserver son adresse actuelle et la
rendre statique laide de la fonction DHCP Reservation sur lcran Basic Setup du Linksys.
c. Utilisez la commande ipconfig pour afficher ladresse IP, le masque de sous-rseau et la passerelle
par dfaut de lHte-A et de lHte-B et notez-les dans le tableau. Obtenez ladresse IP et le masque
de sous-rseau du serveur externe de la part du formateur et notez-les dans le tableau.

Hte Adresse IP Masque de Passerelle par dfaut

sous-rseau

Hte-A

Hte-B/
Serveur DMZ

Serveur
externe

All contents are Copyright 1992-2009 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 2 sur 9
CCNA Discovery
Rseaux domestiques et pour petites entreprises

tape 2 : connexion linterface utilisateur

a. Pour accder linterface graphique utilisateur base sur le Web Linksys ou du priphrique multi-
fonction, ouvrez un navigateur et entrez ladresse IP interne par dfaut du priphrique, normalement
192.168.1.1.
b. Connectez-vous laide de lID dutilisateur et du mot de passe par dfaut ou vrifiez avec le
formateur sils sont diffrents.

c. Le priphrique multi-fonction doit tre configur pour obtenir une adresse IP partir du serveur
DHCP externe. Lcran par dfaut aprs la connexion au priphrique multi-fonction est Setup >
Basic Setup. Quel est le type de connexion Internet ?
____________________________________________________________________________
d. Quelle est ladresse IP du routeur par dfaut (interne) et le masque de sous-rseau du priphrique
multi-fonction ?
____________________________________________________________________________
e. Vrifiez que le priphrique multi-fonction a reu une adresse IP externe partir du serveur DHCP
en cliquant sur longlet Statut > Routeur.
f. Quelle est ladresse IP externe et le masque de sous-rseau du priphrique multi-fonction ?
____________________________________________________________________________

All contents are Copyright 1992-2009 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 3 sur 9
CCNA Discovery
Rseaux domestiques et pour petites entreprises

tape 3 : affichage des paramtres du pare-feu du priphrique multi-fonction

a. Le Linksys WRT300N est dot dun pare-feu de base qui fait appel la traduction dadresses de
rseau (NAT). De plus, il offre une fonctionnalit de pare-feu supplmentaire laide de linspection
dynamique de paquets (IDP) permettant de dtecter et de bloquer du trafic non demand partir
dInternet.
b. Sur lcran principal, cliquez sur longlet Security pour afficher ltat des lments Firewall et
Internet Filter. Quel est ltat de la protection du pare-feu de linspection dynamique de paquets ?
____________________________________________________________________________
c. Quelles cases cocher Internet Filter sont actives ?"
____________________________________________________________________________
d. Cliquez sur Help pour en savoir plus sur ces paramtres. Quels avantages le filtrage IDENT offre-t-il ?
____________________________________________________________________________

All contents are Copyright 1992-2009 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 4 sur 9
CCNA Discovery
Rseaux domestiques et pour petites entreprises

tape 4 : configuration des restrictions daccs Internet partir de ladresse IP

Dans les travaux pratiques 7.3.5, vous avez vu que les fonctions de scurit sans fil peuvent servir contrler
les ordinateurs clients sans fil qui peuvent avoir accs au priphrique multi-fonction, partir de leur adresse
MAC. Cela empche les ordinateurs externes non autoriss de se connecter au point daccs sans fil et davoir
accs au rseau local interne et Internet.
Le priphrique multi-fonction peut aussi contrler les utilisateurs internes qui peuvent quitter Internet partir du
rseau local. Vous pouvez crer une stratgie daccs Internet pour refuser ou autoriser certains ordinateurs
internes spcifiques accder Internet partir de ladresse IP, de ladresse MAC et dautres critres.
a. Sur lcran principal du priphrique multi-fonction, cliquez sur longlet Access Restrictions pour
dfinir la stratgie Access Policy 1.
b. Entrez Blocage-IP comme nom de stratgie. Slectionnez Enabled pour activer la stratgie, puis
slectionnez Deny pour empcher laccs Internet partir dune adresse IP spcifie.

c. Cliquez sur le bouton Edit List et entrez ladresse IP de lHte-B. Cliquez sur Save Settings, puis sur
Close. Cliquez sur Save Settings pour enregistrer la stratgie daccs Internet 1 Blocage IP.
d. Testez la stratgie en tentant daccder au serveur Web externe partir de lHte-B. Ouvrez un
navigateur et entrez ladresse IP du serveur externe dans la zone dadresse. Pouvez-vous accder
au serveur ? __________________________________________________________________
e. Changez le statut de la stratgie Blocage-IP en Disabled et cliquez sur Save Settings. Pouvez-vous
accder au serveur maintenant ? __________________________________________________
f. De quelles autres manires les stratgies daccs peuvent-elles tre utilises pour bloquer laccs
Internet ?
____________________________________________________________________________

All contents are Copyright 1992-2009 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 5 sur 9
CCNA Discovery
Rseaux domestiques et pour petites entreprises

tape 5 : configuration dune stratgie daccs Internet partir dune application

Vous pouvez crer une stratgie daccs Internet pour bloquer des ordinateurs spcifiques afin de les
empcher dutiliser certaines applications Internet ou protocoles.
a. Sur lcran principal de linterface graphique utilisateur Linksys, cliquez sur longlet Access Restrictions
pour dfinir une stratgie daccs Internet.
b. Entrez Blocage-Telnet comme nom de stratgie. Slectionnez Enabled pour activer la stratgie, puis
cliquez sur Allow pour permettre un accs Internet partir dune adresse IP spcifie, pour autant
quil ne s'agisse pas de lune des applications bloques.
c. Cliquez sur le bouton Edit List et entrez ladresse IP de lHte-B. Cliquez sur Save Settings, puis
sur Close.
Quels sont les autres protocoles et les autres applications Internet qui peuvent tre bloqus ?
____________________________________________________________________________
d. Slectionnez lapplication Telnet dans la liste des applications qui peuvent tre bloques, puis
cliquez sur la double flche vers la droite pour lajouter la liste Blocked List. Cliquez sur Save
Settings.

e. Testez la stratgie en ouvrant une invite de commandes laide de Dmarrer > Tous les
programmes > Accessoires > Invite de commandes.
f. Envoyez une requte ping ladresse IP du serveur externe partir de lHte-B laide de la
commande ping.
Pouvez-vous utiliser une commande ping sur le serveur ? ___________________________
g. Envoyez une requte Telnet ladresse IP du serveur externe partir de lHte-B laide de la
commande telnet A.B.C.D (o A.B.C.D est ladresse IP du serveur).
Pouvez-vous utiliser une commande telnet sur le serveur ? _____________________________
REMARQUE : si vous navez pas lintention de faire la deuxime partie de ces travaux pratiques
aujourdhui et que dautres participants utilisent le matriel aprs vous, passez ltape 3 de la
Partie 2 et restaurez le priphrique multi-fonction ses paramtres par dfaut.

All contents are Copyright 1992-2009 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 6 sur 9
CCNA Discovery
Rseaux domestiques et pour petites entreprises

Partie 2 : configuration dune zone dmilitarise (DMZ) sur le priphrique multi-fonction

tape 1 : configuration dune zone dmilitarise (DMZ) simple

Il est parfois ncessaire dautoriser laccs un ordinateur partir dInternet tout en protgeant les autres
ordinateurs du rseau local interne. Pour ce faire, vous pouvez configurer une zone dmilitarise (DMZ)
qui vous permet douvrir laccs aux ports et aux services qui sexcutent sur le serveur indiqu. Toutes
les requtes ralises pour des services vers ladresse extrieure du priphrique multi-fonction seront
rediriges vers le serveur spcifi.
a. LHte-B fera office de serveur DMZ et il devra excuter les serveurs HTTP et Telnet. Vrifiez que
lHte-B a une adresse IP statique ou si lHte-B est un client DHCP, vous pouvez rserver son
adresse actuelle et la rendre statique laide de la fonction DHCP Reservation sur lcran Basic
Setup du priphrique Linksys.
b. Sur lcran principal de linterface graphique utilisateur Linksys, cliquez sur longlet Applications &
Gaming, puis cliquez sur DMZ.
c. Cliquez sur Help pour en savoir plus sur la zone dmilitarise (DMZ). Pour quelles autres raisons
voudriez-vous configurer un hte sur la zone dmilitarise (DMZ) ?
____________________________________________________________________________

d. La fonction DMZ est dsactive par dfaut. Slectionnez Enabled pour activer la zone dmilitarise
(DMZ). Laissez ladresse Source IP Address slectionne en tant que Any IP Address, puis entrez
ladresse IP de lHte-B dans Destination IP Address. Cliquez sur Save Settings, puis sur Continue
lors de linvite.
e. Testez laccs de base au serveur DMZ en excutant une commande ping partir du serveur externe
vers ladresse extrieure du priphrique multi-fonction. Utilisez la commande ping a pour vrifier
que cest le serveur DMZ qui rpond et non le priphrique multi-fonction. Pouvez-vous utiliser une
commande ping sur le serveur DMZ ?
______________________________________________________________________________
f. Testez laccs HTTP sur le serveur DMZ en ouvrant un navigateur sur le serveur externe et en
pointant vers ladresse IP externe du priphrique multi-fonction. Essayez la mme chose partir
dun navigateur sur lHte-A vers lHte-B laide des adresses internes.
Pouvez-vous accder la page Web ? ______________________________________________

All contents are Copyright 1992-2009 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 7 sur 9
CCNA Discovery
Rseaux domestiques et pour petites entreprises

g. Testez laccs Telnet en ouvrant une invite de commandes comme dcrit ltape 5. Utilisez une
commande Telnet vers ladresse IP extrieure du priphrique multi-fonction laide de la commande
telnet A.B.C.D (o A.B.C.D est ladresse extrieure du priphrique multi-fonction).
Pouvez-vous utiliser une commande telnet sur le serveur ? ______________________________

tape 2 : configuration dun hte avec transmission port simple

La configuration dhte DMZ basique ltape 6 vous permet douvrir laccs tous les ports et tous
les services sexcutant sur le serveur, comme HTTP, FTP et Telnet. Si un hte doit servir une fonction
particulire, comme des services FTP ou Web, laccs doit tre limit au type de services fournis. La
transmission de port simple peut tre utilise pour cela et est plus scurise quune zone dmilitarise (DMZ)
de base, car elle ouvre uniquement les ports ncessaires. Avant de raliser cette tape, dsactivez les
paramtres de la zone dmilitarise (DMZ) pour ltape 1.
LHte-B est le serveur sur lequel des ports sont transmis mais dont laccs est uniquement limit au
protocole HTTP (Web).
a. Sur lcran principal, cliquez sur longlet Applications & Gaming, puis cliquez sur Single Port
Forwarding pour prciser les applications et les numros des ports.
b. Cliquez sur le menu droulant de la premire entre sous Application Name et slectionnez HTTP.
Il sagit du port 80 du protocole du serveur Web.
c. Dans le premier champ To IP Address, entrez ladresse IP de lHte-B et slectionnez Enabled.
Cliquez sur Save Settings.

d. Testez laccs HTTP sur lhte DMZ en ouvrant un navigateur sur le serveur externe et en pointant
vers ladresse IP extrieure du priphrique multi-fonction. Essayez la mme chose partir dun
navigateur sur lHte-A vers lHte-B.
Pouvez-vous accder la page Web ? ______________________________________________
e. Testez laccs Telnet en ouvrant une invite de commandes comme dcrit ltape 5. Essayez
dutiliser une commande Telnet vers ladresse IP extrieure du priphrique multi-fonction laide
de la commande telnet A.B.C.D (o A.B.C.D est ladresse extrieure du priphrique multi-fonction).
Pouvez-vous utiliser une commande telnet sur le serveur ?
______________________________________________________________________________

All contents are Copyright 1992-2009 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 8 sur 9
CCNA Discovery
Rseaux domestiques et pour petites entreprises

tape 3 : rtablir les paramtres par dfaut du priphrique multi-fonction

a. Pour rtablir les paramtres dusine par dfaut du Linksys, cliquez sur longlet Administration >
Factory Defaults.
b. Cliquez sur le bouton Restore Factory Defaults. Toutes les entres ou toutes les modifications
apportes aux paramtres seront perdues.
REMARQUE : les paramtres actuels peuvent tre enregistrs et rtablis plus tard avec longlet
Administration > Management et les boutons Backup Configuration et Restore Configuration.

All contents are Copyright 1992-2009 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 9 sur 9