UNIVERSITE CHEIKH ANTA DIOP DE DAKAR

École Supérieur Polytechnique De Dakar

(ESP)

Projet Sécurité

Filtrage Access-list(ACL)
Mise en place d’access-list sur un routeur CISCO
Présenter par :
Alhousseinou wolo traore
 Introduction

Présentation du TP :
Une access-list (notée AL dans la suite de ce TP) est un ensemble de
règles de filtrage (qui interdisent –deny- ou qui autorisent le passage –
permit- d’un datagramme) désigné par un numéro (éventuellement par
un nom à partir de l’IOS 11.2), et qui s’applique sur une interface du
routeur, pour les paquets entrants (une AL in) ou sortants (une AL
out). On peut appliquer différents types différents d'access-list : les
access-lists standards (de 1 à 99) filtrant les adresses IP, les access-
lists étendues (de 100 à 199) filtrant les types ICMP, les ports TCP et
UDP etc.
Pour effectuer les règles filtrages, il faut bien prendre en compte que
l'ordre de définition des règles interface et est donc primordial. De
plus, les définitions ou non définitions entraînent des règles implicites
et par défaut, tout est interdit. Deux commandes doivent être utilisées :
access-list pour définir les règles de filtrage d’une AL, et accessgroup,
pour définir l’interface sur laquelle s’applique l’AL, et de quelle
manière (IN ou OUT). Prenez garde à bien utiliser ces deux
commandes, sans quoi votre AL ne sera pas activée. Par exemple, un
ensemble de règles sans access-group ne sert à rien ! Vous devez
observer dans la documentation les différentes syntaxes pour définir
une source ou une destination (host, any, “ adresse + masque ”), les
ports TCP et UDP (eq Telnet, gt 1024…), les différents types
ICMP…De nombreux exemples vous sont donnés.

0bjectif de ce TP

L’objectif de ce TP est d’établir une communication entre les

utilisateurs de l’entreprise constitue de deux réseaux
privées(192.168.100.0) et (172.16.2.0/24) connectés sur Internet via
le réseau public (41.208.20.0/24) et d’une zone DMZ
(192.168.200.0/24). La DMZ dispose d’un serveur Web, le réseau
192.168.100.0 est représenté par quelques utilisateurs, un serveur
DHCP et un serveur DNS et le réseau 172.16.2.0 a quelques
utilisateurs, un serveur de messagerie et un serveur DNS. Le routeur
Gateway est configuré en serveur DHCP pour distribuer les adresses
de la classe 172.16.2.0 sauf les adresses 172.16.2.1 et 172.16.2.254
(voir configuration du routeur).
Pour ce faire le travail se fera en 3 étapes :

Mise en œuvre

Premier étape :

Cette étape représente la configuration de la communication entre les

utilisateurs de chaque réseau et des deux réseaux privés par une table
de routage.

Deuxième étape :

C’est l’étape de la configuration des serveurs WEB et DNS.

On configure d’abord le serveur WEB en activant le Protocole http
puis sur le fichier index.html on ajoute une balise de test.
Et en dernier on test le test sur un utilisateur en insérant l’IP du
serveur WEB sur le DESKTOP WEB-SERVER ainsi cette
configuration est validée.

Troisième étape :

Dans cette dernière étape on va crée un access-list sur l’interface 0/0

qui va nous permettre d’accéder a nos serveur pour les requête et
l’enregistrement des données de l’entreprise.
Pour ce faire on configure sur le routeur 1 avec les commandes
access :

#IP access-group ? // Nous montre le mode de notre ACL

# IP access-group 100 in // pour déclarer les autorisations ou les
interdictions selon la politique de filtrage souhaitée.
# IP access-group 100 permit ?
# IP access-group 100 permit tcp ?
#IP access-group 100 permit tcp any?
#IP access-group 100 permit tcp any host ?// nous permet de choisir
l’interface de notre ACL
#IP access-group 100 permit tcp any host IP interface ?
#IP access-group 100 permit tcp any host IP interface eq 80 ?