Académique Documents
Professionnel Documents
Culture Documents
Une ACL ou liste de contrôle d'accès est un ensemble de conditions d'autorisation et de refus,
appelées règles, qui offrent une protection en bloquant les utilisateurs non autorisés et en
permettant aux utilisateurs autorisés d'accéder à des ressources spécifiques. Les ACLs peuvent
bloquer toutes les tentatives non fondées d'accès aux ressources réseau. Les objectifs des ACLs
sont les suivants :
• Filtrer le trafic réseau en fonction des adresses et des protocoles de couches supérieures.
• Contrôler le flux du trafic en empêchant les informations de mises à jour de routage
d’un réseau particulier de se propager n’importe où.
• Fournir un niveau de sécurité d’accès réseau de base.
• Les listes de contrôle d'accès standard qui ne peuvent examiner que l’adresse IP source
pour trouver une correspondance. Le numéro d’une ACL standard peut être entre 0 et
99.
• Les listes de contrôle d'accès étendues qui peuvent examiner les adresses IP sources et
destination ainsi que les numéros de ports sources et destinataires, et plusieurs autres
champs. Le numéro d’une ACL étendue peut être entre 100 et 199.
Quand le routeur applique une ACL sur un trafic, il associe l’ACL à une interface,
spécifiquement pour le trafic entrant ou sortant.
1
2LIOT TP sécurité informatique 2022-2023
Router (config)# access-list numéro-liste-accès remark texte // Pour définir un commentaire qui
rappelle l’effet de la liste d’accès.
o Le masque générique :
Un masque générique est une chaîne de 32 chiffres binaires utilisés par le routeur pour
déterminer quels bits de l'adresse examiner afin d'établir une correspondance.
o La commande « any »
Cette commande est utilisée pour indiquer n’importe quelle adresses (équivaut à 0.0.0.0
255.255.255.255).
o La commande « host »
OUTILS UTILISÉS :
2
2LIOT TP sécurité informatique 2022-2023
3
2LIOT TP sécurité informatique 2022-2023
La liste d’accès 10 doit être configurée sur le bon routeur et appliquée à la bonne interface et
dans la bonne direction. Elle doit contenir les règles suivantes :
Après avoir configuré et appliqué la liste d’accès 10, vous devriez être en mesure d’exécuter
les tests réseau suivants :
1. Un ping de PC-0 vers un hôte dans le LAN_D devrait réussir, mais un ping de PC-1
devrait être refusé.
2. Un ping de PC-2 vers un hôte dans le LAN_D devrait réussir, mais un ping de PC-3
devrait être refusé.
3. Les pings des hôtes du LAN_C vers les hôtes du LAN_D doivent réussir.
4. Quel message est renvoyé aux PC lorsqu’un ping est refusé en raison d’une liste de
contrôle d’accès ?
5. Quelles adresses IP sur le LAN_A sont autorisées à envoyer un ping aux hôtes sur le
LAN_D ?
4
2LIOT TP sécurité informatique 2022-2023
La liste d’accès 20 doit être configurée sur le bon routeur et appliquée à la bonne interface et
dans la bonne direction. La liste d’accès 20 doit avoir 3 entrées de contrôle d’accès pour
effectuer les opérations suivantes :
Après avoir configuré et appliqué la liste d’accès 20, vous devriez être en mesure d’exécuter
les tests réseau suivants :
1. Seul le PC-0 sur le LAN_A peut exécuter une commande ping sur le LAN_C.
2. Les pings des hôtes du LAN_A vers le LAN_C devraient échouer.
3. Les pings des hôtes dans les LAN_B et LAN_D vers le LAN_C devraient réussir.
1. Sur R1, créez une liste de contrôle d’accès standard nommée ADMIN_VTY
2. Autoriser un seul hôte, PC-2
3. Appliquer l’ACL aux lignes VTY
5
2LIOT TP sécurité informatique 2022-2023
Après avoir configuré et appliqué la liste d’accès ADMIN_VTY, vous devriez être en mesure
d’exécuter le test réseau suivant :
1. Sur R1, configurer le protocole SSH pour l’accès à distance à travers les commandes
suivantes :
R1(config)#username admin password cisco
R1(config)#ip domain-name admin.tp
R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
R1(config)#ip ssh version 2
R1(config)#ip ssh time-out 50
R1(config)#ip ssh authentication-retries 4
R1(config)#line vty 0
R1(config-line)#transport input ssh
R1(config-line)#password cisco
R1(config-line)#logging synchronous
R1(config-line)#motd-banner
R1(config-line)#end
R1#wr memory
2. Une connexion SSH de l’hôte PC-2 à R1 devrait réussir.
3. Les connexions SSH de tous les autres hôtes doivent échouer.