Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

ATELIER 3 : Filtrage avec les ACL Partie 1 : Listes de contrôle d’accès stand

ATELIER 3 : Filtrage avec les ACL Partie 1 : Listes de contrôle d’accès standard Objectif Planifier, configurer et appliquer une liste de contrôle pour autoriser ou refuser un certain type de trafic et tester la liste de contrôle pour déterminer si les résultats escomptés ont été atteints. Scénario Le bureau principal de la société, qui se trouve à Gadsden (GAD), offre des services aux agences telles que le bureau de Birmingham (BHM). La sécurité et les performances ne sont pas des préoccupations majeures pour ces bureaux. Une liste de contrôle standard doit être mise en œuvre comme un outil simple et efficace de contrôle du trafic. Infrastructure L’hôte 3 représente un ordinateur en libre service qui doit disposer d’un accès limité au réseau local. L’hôte 4 représente un hôte qui se trouve dans le bureau de Birmingham et l’interface en mode bouclé 0 sur le routeur GAD représente Internet. Étape 1 Interconnexion de base des routeurs a. Connectez les routeurs comme indiqué dans le schéma. Étape 2 Configuration de base a. À l’aide des informations apparaissant à la première page, configurez les routeurs et les hôtes puis vérifiez l’accessibilité en envoyant, depuis chaque système, une requête ping à tous les systèmes et à tous les routeurs. b. Pour simuler Internet, ajoutez la configuration suivante au routeur GAD. GAD(config)#interface loopback0 GAD(config-if)#ip address 172.16.1.1 255.255.255.0 GAD(config-if)#exit GAD(config)#router rip GAD(config-router)#network 172.16.0.0 GAD(config-router)#^z Étape 3 Définissez les besoins en termes de liste de contrôle d’accès L’ordinateur en libre service (hôte 3) doit disposer d’un accès limité au réseau local. Il faut donc créer une liste de contrôle standard pour empêcher le trafic provenant de cet hôte d’atteindre les autres réseaux. La liste de contrôle d’accès doit bloquer le trafic provenant de cet hôte mais autoriser tout autre trafic provenant de ce réseau. Dans ce cas, l’utilisation d’une liste de contrôle IP standard est appropriée car elle permet un filtrage en fonction de l’adresse source vers n’importe quelle destination. Étape 4 Planifiez les besoins en termes de liste de contrôle d’accès a. Comme dans la plupart des projets, la planification est l’étape la plus importante du processus. Il faut d’abord définir les informations requises pour créer la liste de contrôle d’accès. Une liste de contrôle d’accès est constituée d’une série d’instructions ACL. Chacune de ces instructions est ajoutée de façon séquentielle à la liste de contrôle d’accès. Étant donné que la liste contient plusieurs instructions, il faut prévoir soigneusement la position de l’instruction. b. Il a été décidé que cette liste nécessite deux étapes logiques. Chacune de ces étapes peut être accomplie par une instruction. Un éditeur de texte tel que Bloc-notes peut être utilisé en tant qu’outil de planification pour définir la logique et écrire la liste. Décrivez la logique dans l’éditeur de texte en entrant les lignes suivantes : ! arrêter le trafic provenant de l’hôte 3 ! autoriser tout autre trafic c. La liste de contrôle d’accès actuelle sera définie en fonction de cette logique. À l’aide des tables ci-dessous, indiquez les informations requises pour chaque instruction. arrêter le trafic provenant de l’hôte 3 N° de liste Refuser ou autoriser Adresse d’origine Masque générique autoriser tout autre trafic N° de liste Refuser ou autoriser Adresse d’origine Masque générique d. Quel serait le résultat si vous n’aviez pas inséré l’instruction autorisant toutes les autres adresses source ? e. Quel serait le résultat si l’ordre des deux instructions était inversé ? f. Pourquoi les deux instructions utilisent-elles le même numéro de liste de contrôle d’accès ? g. L’étape finale du processus de planification consiste à déterminer le meilleur emplacement pour la liste de contrôle d’accès et le sens dans lequel elle doit être appliquée. Examinez le schéma d’interréseau et choisissez l’interface et le sens d’application (direction) appropriés. Consignez les informations requises dans le tableau ci-dessous : Routeur Interface Direction Étape 5 Écrivez et appliquez la liste de contrôle d’accès a. Utilisez la logique précédemment définie et les informations consignées de la liste de contrôle d’accès pour compléter les commandes dans l’éditeur de texte. La syntaxe de la liste doit être similaire à la syntaxe suivante : ! arrêter le trafic provenant de l’hôte 3 access-list #deny adresse masque_générique ! autoriser tout autre trafic access-list #permit adresse masque_générique b. Ajoutez à ce fichier texte les instructions de configuration pour l’application de la liste. Les instructions de configuration ont la syntaxe suivante : interface type #/# ip access-group #{in, out} c. Il faut maintenant appliquer la configuration du fichier texte au routeur. Passez en mode configuration sur le routeur approprié, puis copiez et collez la configuration. Observez l’affichage CLI pour vous assurer qu’aucune erreur ne s’est produite. Étape 6 Vérifiez la liste de contrôle d’accès Maintenant que la liste de contrôle d’accès est créée, elle doit être confirmée et testée. a. La première étape consiste à vérifier si la liste a été configurée correctement dans le routeur. Utilisez la commande show access-lists pour vérifier la logique de la liste de contrôle d'accès. Notez le résultat. b. Ensuite, vérifiez si la liste d’accès a été appliquée, d’une part à l’interface appropriée et d’autre part dans le bon sens. Utilisez donc la commande show ip interface pour contrôler l’interface. Examinez le résultat pour chacune des interfaces et notez les listes qui leur sont appliquées. Interface Liste de contrôle d'accès pour le trafic externe Liste de contrôle d'accès pour le trafic interne c. Pour terminer, testez le fonctionnement de la liste de contrôle d’accès en envoyant des paquets à partir de l’hôte source et vérifiez que le résultat escompté est atteint (envoi autorisé ou refusé selon le cas). Pour ce test, utilisez une requête ping. [ ] vérifier que l’hôte 3 PEUT envoyer une requête ping à l’hôte 4 [ ] vérifier que l’hôte 3 NE PEUT PAS envoyer de requête ping à l’hôte 1 [ ] vérifier que l’hôte 3 NE PEUT PAS envoyer de requête ping à l’hôte 2 [ ] vérifier que l’hôte 3 NE PEUT PAS envoyer de requête ping à GAD eth 0 [ ] vérifier que l’hôte 3 NE PEUT PAS envoyer de requête ping à GAD LO0 [ ] vérifier que l'hôte 4 PEUT envoyer une requête ping à l'hôte 1 [ ] vérifier que l'hôte 4 PEUT envoyer une requête ping à l'hôte 2 [ ] vérifier que l’hôte 4 PEUT envoyer une requête ping à GAD Fa0/0 [ ] vérifier que l’hôte 4 PEUT envoyer une requête ping à GAD LO0 Partie 2 :Listes de contrôle d'accès étendues simples Désignation du routeur Nom du routeur Protocole de routage Instructions réseau RIP Routeur 1 GAD RIP 172.16.0.0 Routeur 2 BHM RIP 192.168.1.0 192.168.2.0 172.16.0.0 Désignation du routeur Adresse Fast Ethernet 0 Adresse Serial 0 Adresse Fast Ethernet 1 Entrée de la table d’hôtes IP Routeur 1 172.16.2.1/24 172.16.1.1/24 BHM Routeur 2 192.168.1.1/24 172.16.1.2/24 192.168.2.1 GAD Hôte Adresse IP Masque de sous-réseau Passerelle Serveur de paie 192.168.1.10 255.255.255.0 192.168.1.1 A 192.168.1.11 255.255.255.0 192.168.1.1 B 192.168.2.20 255.255.255.0 192.168.2.1 C 192.168.2.21 255.255.255.0 192.168.2.1 D 172.16.2.2 255.255.255.0 172.16.2.1 Objectif Configurer des listes de contrôle d’accès étendues pour filtrer le trafic réseau/réseau, hôte/réseau et réseau/hôte. Scénario Une société spécialisée dans le marketing dispose de deux sites. Le bureau principal se trouve à Birmingham (BHM). La société dispose par ailleurs d’une agence à Gadsden (GAD). L’administrateur chargé des télécommunications pour les deux sites a besoin de concevoir et de mettre en oeuvre des listes de contrôle d’accès afin d’améliorer la sécurité et les performances. Sur le site de Birmingham, on distingue deux groupes d’utilisateurs du réseau. L’un de ces groupes est chargé de l’administration, l’autre de la production. Ils sont connectés à des réseaux distincts. Les deux réseaux sont interconnectés à l’aide d’un routeur. Le site Gadsden est un réseau d’extrémité ; il comporte seulement un réseau local (LAN). Étape 1 – Configuration de base des routeurs et des hôtes a. Connectez les routeurs et les hôtes comme indiqué dans le schéma. Note : Le routeur BHM nécessite deux interfaces Ethernet b. Configurez tous les routeurs pour assurer la connectivité entre les différentes réseaux: c. Configurez les hôtes en utilisant les informations appropriées définies précédemment. Avant d’appliquer une liste de contrôle d'accès, il est important de vérifier l’accessibilité entre les systèmes. Vérifiez l'accessibilité en envoyant, depuis chaque système, une requête ping à tous les systèmes et à tous les routeurs. d. Chacun des hôtes doit être capable d’envoyer une requête ping aux autres hôtes et aux interfaces de routeurs. Si des requêtes ping envoyées à certaines interfaces échouent, le problème doit être localisé et corrigé. Vérifiez systématiquement les connexions de la couche physique qui est à l’origine de la plupart des problèmes de connectivité. Ensuite, vérifiez les interfaces de routeur. Assurez-vous que ces dernières ne sont pas désactivées, mal configurées et que RIP est correctement configuré. Enfin, n’oubliez pas que les hôtes doivent avoir des adresses IP valides ainsi que des passerelles par défaut spécifiées. e. Maintenant uploads/Ingenierie_Lourd/ atelier-filtrage-avec-les-acl.pdf