Vous êtes sur la page 1sur 3

ESP

UNIVERSITE CHEIKH ANTA DIOP


ECOLE SUPERIEURE POLYTECHNIQUE
GE
DEPARTEMENT GENIE ELECTRIQUE

Projet Sécurité
Filtrage Acces-list (ACL)
Mise en place d'access-lists sur un routeur CISCO

ORIGINE Mamadou Lamine NDIAYE

Destinataires Sociétés
MM. ou MMes Services
Etudiants ESP LP EST

HISTORIQUE
Date Version Motifs
24 avril 2018 2 Modification
23 semptembre 2010 1 CREATION

1. GENERALITES

1.1. PRESENTATION DU TP

Une access-list (notée AL dans la suite de ce TP) est un ensemble de règles de filtrage (qui interdisent –
deny- ou qui autorisent le passage –permit- d’un datagramme) désigné par un numéro (éventuellement par
un nom à partir de l’IOS 11.2), et qui s’applique sur une interface du routeur, pour les paquets entrants
(une AL in) ou sortants (une AL out).
On peut appliquer différents types différents d'access-list : les access-lists standards (de 1 à 99) filtrant
les adresses IP, les access-lists étendues (de 100 à 199) filtrant les types ICMP, les ports TCP et UDP etc.
Pour effectuer les règles filtrages, il faut bien prendre en compte que l'ordre de définition des règles interf
ace et est donc primordial. De plus, les définitions ou non définitions entraînent des règles implicites et pa
r défaut, tout est interdit.
Deux commandes doivent être utilisées : access-list pour définir les règles de filtrage d’une AL, et access-
group, pour définir l’interface sur laquelle s’applique l’AL, et de quelle manière (IN ou OUT). Prenez
garde à bien utiliser ces deux commandes, sans quoi votre AL ne sera pas activée. Par exemple, un
ensemble de règles sans access-group ne sert à rien ! Vous devez observer dans la documentation les
différentes syntaxes pour définir une source ou une destination (host, any, “ adresse + masque ”), les ports
TCP et UDP (eq telnet, gt 1024…), les différents types ICMP … De nombreux exemples vous sont
donnés.

Projet ACL Mamadou Lamine NDIAYE Date 06/05/y Page 1 / 3


Ecole Supérieure Polytechnique
ESP
Département Génie Electrique
GE
1.2. DOCUMENTS A FOURNIR

A la fin du projet, vous devez remettre un compte rendu électronique ou papier à l’adresse
électronique : mamadoulamine.ndiaye@ucad.edu.sn
Le compte rendu doit comporter :
Les objectifs du projet
Les mises en œuvre
La validation de votre configuration (scénario de test et validation des tests)
Les difficultés rencontrées et la façon dont elles ont été résolues.
Ce document sera noté.

2. PROJET

La configuration représente un réseau d’entreprise constitué de deux réseaux privés (192.168.100.0) et


(172.16.2.0/24) connectés sur Internet via le réseau public (41.208.20.0/24) et d’une zone DMZ
(192.168.200.0/24).
La DMZ dispose d’un serveur Web, le réseau 192.168.100.0 est représenté par quelques utilisateurs, un
serveur DHCP et un serveur DNS et le réseau 172.16.2.0 a quelques utilisateurs, un serveur de messagerie
et un serveur DNS. Le routeur Gateway_B est configuré en serveur DHCP pour distribuer les adresses de
la classe 172.16.2.0 sauf les adresses 172.16.2.1 et 172.16.2.254 (voir configuration du routeur).

Figure 1 : Schéma de la configuration à valider, proposé par H. SOW.

1) Vous devez valider la configuration et tester la fonctionnalité de toutes les composantes du réseau. Les
serveurs WEB, DHCP, DNS, MAIL devront être testés et des tests d’accessibilités de tous les utilisateurs à tous
les utilisateurs devront être également effectués.
2) Vous devez ensuite valider les règles de filtrage suivantes :
a. Pour la zone DMZ
i. Tout le trafic http venant de n’importe où est autorisé
ii. Tout le reste est interdit

Projet ACL Mamadou Lamine NDIAYE Date 06/05/y Page 2 / 3


Ecole Supérieure Polytechnique
ESP
Département Génie Electrique
GE
b. Pour le réseau privé 192.168.100.0
i. Tout le trafic DHCP venant de n’importe où est autorisé pour le serveur
ii. Tout le trafic DNS venant de n’importe où est autorisé pour le serveur
iii. Tout le reste est interdit pour le serveur
iv. Tout le reste est autorisé pour les autres utilisateurs

c. Pour le réseau privé 172.16.2.0


i. Tout le trafic DHCP venant de n’importe où est autorisé pour le serveur
ii. Tout le trafic DNS venant de n’importe où est autorisé pour le serveur
iii. Tout le reste est interdit pour le serveur
iv. Tout le reste est autorisé pour les autres utilisateurs

Projet ACL Mamadou Lamine NDIAYE Date 06/05/y Page 3 / 3

Vous aimerez peut-être aussi