2LIOT TP sécurité informatique 2022-2023

TP4 : Les listes de contrôle d’accès standard

Définition

Une ACL ou liste de contrôle d'accès est un ensemble de conditions d'autorisation et de refus,
appelées règles, qui offrent une protection en bloquant les utilisateurs non autorisés et en
permettant aux utilisateurs autorisés d'accéder à des ressources spécifiques. Les ACLs peuvent
bloquer toutes les tentatives non fondées d'accès aux ressources réseau. Les objectifs des ACLs
sont les suivants :

• Filtrer le trafic réseau en fonction des adresses et des protocoles de couches supérieures.
• Contrôler le flux du trafic en empêchant les informations de mises à jour de routage
d’un réseau particulier de se propager n’importe où.
• Fournir un niveau de sécurité d’accès réseau de base.

Le traitement des ACLs s’effectue en deux étapes : La recherche de correspondance et l’action.

L’étape de recherche de correspondance consiste à examiner chaque paquet afin de déterminer
s’il correspond à l’une des instructions de la liste. Lorsqu’une correspondance est trouvée deux
actions sont possibles : Autoriser le trafic (Permit) ou le bloquer (Deny).

Il existe deux types de liste de contrôle d'accès :

• Les listes de contrôle d'accès standard qui ne peuvent examiner que l’adresse IP source
pour trouver une correspondance. Le numéro d’une ACL standard peut être entre 0 et
99.
• Les listes de contrôle d'accès étendues qui peuvent examiner les adresses IP sources et
destination ainsi que les numéros de ports sources et destinataires, et plusieurs autres
champs. Le numéro d’une ACL étendue peut être entre 100 et 199.

Quand le routeur applique une ACL sur un trafic, il associe l’ACL à une interface,
spécifiquement pour le trafic entrant ou sortant.

Configuration d’une ACL

o Définition de la liste d’accès :

Router (config)# access-list numéro-liste-accès {permit|deny} @ IPsource masque générique

1
2LIOT TP sécurité informatique 2022-2023

Router (config)# access-list numéro-liste-accès remark texte // Pour définir un commentaire qui
rappelle l’effet de la liste d’accès.

o Le masque générique :

Un masque générique est une chaîne de 32 chiffres binaires utilisés par le routeur pour
déterminer quels bits de l'adresse examiner afin d'établir une correspondance.

➢ 0 signifie « vérifier la valeur du bit correspondant »

➢ 1 signifie « ignorer la valeur du bit correspondant »

Exemple : Router (config.)# access-list 1 permit 5.6.0.0 0.0.255.255

Seul les 16 premiers bits sont vérifiés

o Assignation de la liste à une interface :

Router (config-if)# ip access-group [in|out]

o Afficher le contenu de la liste d’accès :

R2#show access-lists // Permet d’afficher le contenu de toutes les listes d’accès

R2#show access-lists numéro-liste-accès // Permet d’afficher le contenu d’une liste d’accès

spécifique

o La commande « any »

Cette commande est utilisée pour indiquer n’importe quelle adresses (équivaut à 0.0.0.0
255.255.255.255).

Exemple : Router (config)# access-list 1 permit any

o La commande « host »

Cette commande permet d’indiquer une adresse bien spécifique.

Exemple : Router (config)# access-list 1 permit host 172.30.16.29

OUTILS UTILISÉS :

Logiciel Packet Tracer 8.0

2
2LIOT TP sécurité informatique 2022-2023

Travail à réaliser : On considère le réseau suivant :

Interface Adresse IP Masque Passerelle par défaut

G0/0 192.168.1.1 255.255.255.0

R1 G0/1 192.168.2.1 255.255.255.0 N/A

G0/2 192.168.250.1 255.255.255.0

G0/0 172.16.1.1 255.255.255.0

R2 G0/1 172.16.2.1 255.255.255.0 N/A

G0/2 192.168.250.2 255.255.255.0

PC-0 NIC 192.168.1.100 255.255.255.0 192.168.1.1

PC-1 NIC 192.168.1.150 255.255.255.0 192.168.1.1

PC-2 NIC 192.168.2.50 255.255.255.0 192.168.2.1

PC-3 NIC 192.168.2.112 255.255.255.0 192.168.2.1

PC-4 NIC 172.16.1.10 255.255.255.0 172.16.1.1

PC-5 NIC 172.16.1.20 255.255.255.0 172.16.1.1

PC-6 NIC 172.16.2.100 255.255.255.0 172.16.2.1

PC-7 NIC 172.16.2.200 255.255.255.0 172.16.2.1

3
2LIOT TP sécurité informatique 2022-2023

Configurez les interfaces sur R1 et R2.

Configurez une route par défaut sur R1 à travers 192.168.250.2

Configurez une route par défaut sur R2 à travers 192.168.250.1

Partie 1 : Configurer une ACL standard pour restreindre l’accès au

réseau LAN_D
Dans cette partie, vous allez configurer et appliquer la liste d’accès 10 pour restreindre l’accès
au LAN_D.

Étape 1 : Description de la liste d’accès 10

La liste d’accès 10 doit être configurée sur le bon routeur et appliquée à la bonne interface et
dans la bonne direction. Elle doit contenir les règles suivantes :

1. La liste d’accès 10 devrait commencer par le commentaire suivant : ACL_TO_LAN_D

2. Permettre au PC-2 d’atteindre le réseau local LAN_D
3. N’autoriser que la première moitié des hôtes sur le LAN_A, afin qu’ils puissent atteindre
le LAN_D
4. Permettre à tous les hôtes du LAN_B d’atteindre le LAN_D

Étape 2 : Créer, appliquer et tester la liste d’accès 10

Après avoir configuré et appliqué la liste d’accès 10, vous devriez être en mesure d’exécuter
les tests réseau suivants :

1. Un ping de PC-0 vers un hôte dans le LAN_D devrait réussir, mais un ping de PC-1
devrait être refusé.
2. Un ping de PC-2 vers un hôte dans le LAN_D devrait réussir, mais un ping de PC-3
devrait être refusé.
3. Les pings des hôtes du LAN_C vers les hôtes du LAN_D doivent réussir.
4. Quel message est renvoyé aux PC lorsqu’un ping est refusé en raison d’une liste de
contrôle d’accès ?
5. Quelles adresses IP sur le LAN_A sont autorisées à envoyer un ping aux hôtes sur le
LAN_D ?

4
2LIOT TP sécurité informatique 2022-2023

Partie 2 : Configurer une ACL standard pour restreindre l’accès au

réseau LAN_C
Dans la partie 2, vous allez configurer et appliquer la liste d’accès 20 pour restreindre l’accès
au LAN_C.

Étape 1 : Description de la liste d’accès 20

La liste d’accès 20 doit être configurée sur le bon routeur et appliquée à la bonne interface et
dans la bonne direction. La liste d’accès 20 doit avoir 3 entrées de contrôle d’accès pour
effectuer les opérations suivantes :

1. La liste d’accès 20 devrait commencer par le commentaire suivant : ACL_TO_LAN_C

2. Permettre au PC-0 d’atteindre le LAN_C
3. Empêcher le LAN_A d’atteindre le LAN_C
4. Autoriser tous les autres réseaux à atteindre le LAN_C

Étape 2 : Créer, appliquer et tester la liste d’accès 20

Après avoir configuré et appliqué la liste d’accès 20, vous devriez être en mesure d’exécuter
les tests réseau suivants :

1. Seul le PC-0 sur le LAN_A peut exécuter une commande ping sur le LAN_C.
2. Les pings des hôtes du LAN_A vers le LAN_C devraient échouer.
3. Les pings des hôtes dans les LAN_B et LAN_D vers le LAN_C devraient réussir.

Partie 3 : Configuration d’une ACL standard nommée

Dans la partie 3, vous allez configurer et appliquer une liste de contrôle d’accès standard
nommée pour restreindre l’accès à distance au routeur R1.

Étape 1 : Description de la liste d’accès

La liste d’accès nommé doit effectuer les opérations suivantes :

1. Sur R1, créez une liste de contrôle d’accès standard nommée ADMIN_VTY
2. Autoriser un seul hôte, PC-2
3. Appliquer l’ACL aux lignes VTY

5
2LIOT TP sécurité informatique 2022-2023

Étape 2 : Testez la liste d’accès ADMIN_VTY

Après avoir configuré et appliqué la liste d’accès ADMIN_VTY, vous devriez être en mesure
d’exécuter le test réseau suivant :

1. Sur R1, configurer le protocole SSH pour l’accès à distance à travers les commandes
suivantes :
R1(config)#username admin password cisco
R1(config)#ip domain-name admin.tp
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
R1(config)#ip ssh version 2
R1(config)#ip ssh time-out 50
R1(config)#ip ssh authentication-retries 4
R1(config)#line vty 0
R1(config-line)#transport input ssh
R1(config-line)#password cisco
R1(config-line)#logging synchronous
R1(config-line)#motd-banner
R1(config-line)#end
R1#wr memory
2. Une connexion SSH de l’hôte PC-2 à R1 devrait réussir.
3. Les connexions SSH de tous les autres hôtes doivent échouer.