Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

1 L2-SR Techniques de protection dans les réseaux Mahdi Louati & Noussayr Derbe

1 L2-SR Techniques de protection dans les réseaux Mahdi Louati & Noussayr Derbel TP N°3 : Les Listes de Contrôle d’Accès I. Objectifs ▪ Réaliser des configurations de base de routeurs et de commutateurs ▪ Configurer une liste de contrôle d’accès standard ▪ Configurer une liste de contrôle d’accès étendue II. Manipulation Tâche1 : Configuration du réseau Topologie du réseau 2 L2-SR Techniques de protection dans les réseaux Mahdi Louati & Noussayr Derbel TP N°3 : Les Listes de Contrôle d’Accès Etape 1 : Choix des équipements qui composent la topologie du réseau donnée : ▪ Trois routeurs de type 1841 : Pour avoir une interface série, on ajoute deux ports asynchrone / synchrone Wic2T ▪ Trois commutateurs de type 2960T24 Etape 2 : Câblage entre les différents équipements : ▪ Entre R1 et R2 : Serial DCE (câble série DCE) ▪ Entre R2 et R3 : Serial DCE (câble série DCE) ▪ Entre R1 et Comm1, R1 et Comm2, R3 et Comm3, Comm1 et PC1, Comm2 et PC2, Comm3 et PC3: copper straight-through (câble droit à cuivre) Etape 3 : Configurations de base de routeurs et de commutateurs : Configurez les routeurs et commutateurs R1, R2, R3, Comm1, Comm2 et Comm3 en suivant les directives suivantes : ▪ Configurez les noms d’hôte relatifs au diagramme de topologie. ▪ Configurez les adresses IP et les masques sur tous les périphériques. ▪ Fréquence d’horloge à 64000. ▪ Configurez chaque commutateur avec la passerelle par défaut adéquate. ▪ Vérifiez l’ensemble de la connectivité IP à l’aide de la commande ping. 3 L2-SR Techniques de protection dans les réseaux Mahdi Louati & Noussayr Derbel TP N°3 : Les Listes de Contrôle d’Accès Tâche 2 : Configuration d’une liste de contrôle d’accès standard Les listes de contrôle d’accès standard peuvent filtrer le trafic en fonction de l’adresse IP source uniquement. 1. Configurez une liste de contrôle d’accès standard qui bloque le trafic en provenance du réseau 192.168.11.0 /24. Étape 1 : Création de la liste de contrôle d’accès ▪ Créez une liste de contrôle d’accès nommée standard appelée std-1. R3(config)# ip access-list standard STND-1 ▪ Ajoutez une instruction qui refuse tous les paquets ayant une adresse source 192.168.11.0 /24 R3(config-std-nacl)#deny 192.168.11.0 0.0.0.255 ▪ Autorisez tout autre trafic R3(config-std-nacl)#permit any Étape 2 : Application de la liste de contrôle d’accès ▪ Appliquez la liste de contrôle d’accès std-1 comme filtre à des paquets entrant dans R3 via l’interface série 0/0/1. R3(config)#interface serial 0/0/1 R3(config-if)#ip access-group std-1 in R3(config-if)#end R3#copy run start Étape 3 : Test de la liste de contrôle d’accès Testez la liste de contrôle d’accès en envoyant une requête ping de PC2 à PC3. Étape 4 : Application de la liste de contrôle d’accès std-1 à S0/0/1 en sortie Pour tester l’importance du sens de filtrage de la liste de contrôle d’accès, appliquez à nouveau la liste de contrôle d’accès std-1 à l’interface Serial 0/0/1. R3(config-if)#ip access-group std-1 out Étape 5 : Test de la liste de contrôle d’accès Testez la liste de contrôle d’accès en envoyant une requête ping à PC3 à partir de PC2. Étape 6 : Rétablissement de la configuration d’origine de la liste de contrôle d’accès Supprimez la liste de contrôle d’accès du sens sortant et appliquez-la à nouveau dans le sens entrant. R3(config)#interface serial 0/0/1 R3(config-if)#no ip access-group std-1 out R3(config-if)#ip access-group std-1 in 4 L2-SR Techniques de protection dans les réseaux Mahdi Louati & Noussayr Derbel TP N°3 : Les Listes de Contrôle d’Accès 2. Ajoutez l’ACL nécessaire, afin d’assurer les contrainte suivantes : ▪ Les ordinateurs du Réseau 192.168.10.0/24 n'ont pas droit d'accéder au réseau 192.168.11.0/24. ▪ Autoriser tous le flux restant. Testez la liste de contrôle d’accès en envoyant une requête ping de PC1 à PC2. 3. Contrôle de l’accès aux lignes vty à l’aide d’une liste de contrôle d’accès standard Vérifiez que vous pouvez établir une connexion Telnet vers R2 à partir de R1 et de R3. Configurez une liste de contrôle d’accès standard pour permettre à des hôtes de deux réseaux d’accéder aux lignes vty. Tous les autres hôtes sont rejetés. Étape 1 : Configuration de la liste de contrôle d’accès Configurez une liste de contrôle d’accès standard nommée Sr-G sur R2 qui autorise le trafic en provenance de 10.2.2.0/30 et de 192.168.30.0/24. Refusez tout autre trafic. R2(config)#ip access-list standard Sr-G R2(config-std-nacl)#permit 10.2.2.0 0.0.0.3 R2(config-std-nacl)#permit 192.168.30.0 0.0.0.255 Étape 2 : Application de la liste de contrôle d’accès Accédez au mode de configuration de ligne des lignes vty 0 à 16. R2(config)#line vty 0 16 Appliquez la liste de contrôle d’accès aux lignes vty dans le sens entrant. R2(config-line)#access-class Sr-G in Étape 3 : Test de la liste de contrôle d’accès Établissez une connexion Telnet avec R2 à partir de R1. À partir de R3, établissez une connexion Telnet avec R2 ou avec tout périphérique du réseau 192.168.30.0/24. Pourquoi les tentatives de connexion à partir d’autres réseaux échouent-elles même si ceux-ci ne sont pas spécifiquement répertoriés dans la liste de contrôle d’accès ? Tâche 3 : configuration d’une liste de contrôle d’accès étendue Une stratégie supplémentaire s’appliquant à ce réseau stipule que les périphériques du réseau local 192.168.10.0/24 sont uniquement autorisés à atteindre des réseaux internes. Les 5 L2-SR Techniques de protection dans les réseaux Mahdi Louati & Noussayr Derbel TP N°3 : Les Listes de Contrôle d’Accès ordinateurs de ce réseau local ne sont pas autorisés à accéder à Internet. L’accès de ces utilisateurs à l’adresse IP 209.165.200.225 doit donc être bloqué. 1. Configurez une liste de contrôle d’accès étendue sur R1 qui empêche le trafic en provenance de tout périphérique du réseau 192.168.10.0 /24 d’accéder à l’hôte 192.168.11.20. Étape 1 : Configuration d’une liste de contrôle d’accès étendue nommée ▪ Créez une liste de contrôle d’accès étendue nommée appelée STIC-SR. R1(config)#ip access-list extended STIC-SR ▪ Ajoutez les instructions nécessaires au blocage du trafic partant du réseau 192.168.10.0 /24 vers l’hôte. R1(config-ext-nacl)#deny ip 192.168.10.0 0.0.0.255 host 192.168.11.20 ▪ Ajoutez l’instruction permit pour vous assurer qu’aucun autre trafic n’est bloqué. R1(config-ext-nacl)#permit ip any any Étape 2 : Application de la liste de contrôle d’accès Avec les listes de contrôle d’accès standard, la méthode recommandée consiste à placer la liste de contrôle d’accès le plus près possible de la destination. Les listes de contrôle d’accès étendues se trouvent généralement près de la source. Placez la liste de contrôle d’accès STIC- SR sur l’interface série afin de filtrer le trafic sortant. R1(config)#interface serial 0/0/0 R1(config-if)#ip access-group STIC-SR out Étape 3: Test de la liste de contrôle d’accès À partir de PC1 ou de tout autre périphérique du réseau 192.168.10.0 /24, envoyez une requête ping à l’interface de bouclage sur R2. Envoyez une requête ping à R3 à partir du périphérique réseau 192.168.10.0/24. Que remarquez-vous ? Expliquez uploads/Management/ techniques-de-protection-dans-les-reseaux-tp-n03-les-listes-de-controle-d-x27-acces.pdf