Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Université Ibn Khaldoun – Tiaret Module : Techniques de l’Internet Faculté des

Université Ibn Khaldoun – Tiaret Module : Techniques de l’Internet Faculté des Mathématiques et de l’Informatique Niveau : M1 : R&T Département d’Informatique Année : 2015-2016 TP N° 4 Configurations des ACL Diagramme de topologie Table d’adressage Objectifs : À l’issue de ces travaux pratiques, vous serez en mesure d’effectuer les tâches suivantes : Concevoir des listes de contrôle d’accès nommées standard et étendues  Appliquer des listes de contrôle d’accès nommées standard et étendues  Tester des listes de contrôle d’accès nommées standard et étendues  Résoudre les problèmes liés aux listes de contrôle d’accès nommées standard et étendues  Scénario Dans le cadre de ces travaux pratiques, vous apprendrez à configurer la sécurité d’un réseau de base à l’aide des listes de contrôle d’accès. Vous appliquerez des listes de contrôles d'accès standard et étendues. Tâche 1 : Préparation du réseau (câblage d’un réseau similaire à celui du diagramme de topologie) Tâche 2 : exécution des configurations de routeur de base Configurez les routeurs R1, R2 et R3, ainsi que les commutateurs Comm1, Comm2 et Comm3 en respectant les consignes suivantes : Configurez le nom d'hôte du routeur conformément au diagramme de topologie.  1/4 Désactivez la recherche DNS.  Configurez un mot de passe  class pour le mode d’exécution privilégié. Configurez une bannière de message du jour.  Configurez un mot de passe cisco pour les connexions de consoles.  Configurez un mot de passe pour les connexions de terminaux virtuels (vty).  Configurez des adresses IP et des masques sur tous les périphériques.  Activez la zone OSPF 0 pour l'ensemble des routeurs de tous les réseaux.  Configurez une interface en mode bouclé sur R2 pour simuler le FAI.  Configurez des adresses IP pour l’interface VLAN 1 sur chaque commutateur.  Configurez chaque commutateur avec la passerelle par défaut appropriée.  Vérifiez l'intégralité de la connectivité IP à l’aide de la commande  ping. Tâche 3 : configuration d’une liste de contrôle d’accès standard Dans cette tâche, vous allez configurer une liste de contrôle d’accès standard. La liste de contrôle d’accès est conçue pour bloquer le trafic provenant du réseau 192.168.11.0/24, et ce afin de l’empêcher d’accéder à des réseaux locaux sur R3. Cette liste est appliquée en entrée, sur l’interface série de R3. Avant de configurer et d’appliquer cette liste, veillez à vérifier la connectivité depuis PC1 (ou l’interface Fa0/1 sur R1) vers PC3 (ou l’interface Fa0/1 sur R3). Les tests de connectivité doivent aboutir avant d’appliquer cette liste. Étape 1 : création de la liste de contrôle d’accès sur le routeur R3 En mode de configuration globale, créez une liste de contrôle d’accès standard nommée STND-1. R3(config)#ip access-list standard STND-1 En mode de configuration de liste de contrôle d’accès standard, ajoutez une instruction chargée de refuser tous les paquets dont l’adresse source est 192.168.11.0/24 et d’ajouter un message dans la console pour chaque paquet correspondant. R3(config-std-nacl)#deny 192.168.11.0 0.0.0.255 log Autorisez le reste du trafic. R3(config-std-nacl)#permit any Étape 2 : application de la liste de contrôle d’accès Appliquez la liste de contrôle d’accès STND-1 pour filtrer les paquets entrant dans R3, par le biais de l’interface série 0/0/1. R3(config)#interface serial 0/0/1 R3(config-if)#ip access-group STND-1 in R3(config-if)#end R3#copy run start Étape 3 : test de la liste de contrôle d’accès Vérifiez la liste de contrôle d’accès en envoyant une requête ping vers le PC3 à partir du PC2. La liste de contrôle d’accès étant conçue pour bloquer le trafic dont l’adresse source fait partie du réseau 192.168.11.0/24, le PC2 (192.168.11.10) ne peut normalement pas envoyer de requêtes ping vers le PC3. En mode d’exécution privilégié sur R3, lancez la commande show access-lists. Une sortie similaire à la suivante s’affiche. Chaque ligne d’une liste de contrôle d’accès possède un compteur associé, qui affiche le nombre de paquets correspondants à la règle. Standard IP access list STND-1 10 deny 192.168.11.0, wildcard bits 0.0.0.255 log (5 matches) 20 permit any (25 matches) Tâche 4 : configuration d’une liste de contrôle d’accès étendue Une autre stratégie mise en place pour ce réseau indique que les périphériques du réseau local 192.168.10.0/24 ne peuvent accéder qu’aux réseaux internes. Les ordinateurs de ce réseau local ne sont pas autorisés à accéder à Internet. Par conséquent, ces utilisateurs ne doivent pas pouvoir accéder à l’adresse IP 209.165.200.225. Cette exigence s’appliquant à la source et à la destination, il est nécessaire d’utiliser une liste de contrôle d’accès étendue. Cette tâche consiste à configurer une liste de contrôle d’accès étendue sur R1, qui sera chargée d’empêcher le trafic en provenance d’un périphérique du réseau 192.168.10.0 /24 d’accéder à l’hôte 209.165.200.225 (l’ISP simulé). Cette liste de contrôle d’accès sera appliquée en sortie de l’interface série 0/0/0 de R1. Pour appliquer de façon optimale des listes de contrôle d’accès étendues, il est conseillé de les placer aussi près que possible de la source. Avant de commencer, vérifiez que vous pouvez envoyer une requête ping vers 209.165.200.225 depuis le PC1. Étape 1 : configuration d’une liste de contrôle d’accès étendue nommée En mode de configuration globale, créez une liste de contrôle d’accès étendue nommée EXTEND-1. R1(config)#ip access-list extended EXTEND-1 Vous remarquerez que l’invite du routeur change pour indiquer que le routeur est à présent en mode de configuration de liste de contrôle 2/3 d’accès étendue. À partir de cette invite, ajoutez les instructions nécessaires pour bloquer le trafic provenant du réseau 192.168.10.0 /24 à destination de l’hôte. Utilisez le mot clé host lors de la définition de la destination. R1(config-ext-nacl)# deny ip 192.168.10.0 0.0.0.255 host 209.165.200.225 R1(config-ext-nacl)# permit ip any any Étape 2 : application de la liste de contrôle d’accès Les listes de contrôle d’accès étendues sont souvent placées près de la source. La liste EXTEND-1 sera placée sur l’interface série et filtrera le trafic sortant. R1(config)#interface serial 0/0/0 R1(config-if)#ip access-group EXTEND-1 out log R1(config-if)#end R1#copy run start Étape 3 : test de la liste de contrôle d’accès Vous pouvez effectuer une vérification approfondie en entrant la commande show ip access-list sur R1 après l’envoi de la requête ping. Tâche 5 : contrôle de l’accès aux lignes vty par le biais d’une liste de contrôle d’accès standard Il est généralement conseillé de restreindre l’accès aux lignes vty du routeur pour l’administration à distance. Une liste de contrôle d’accès peut être appliquée aux lignes vty afin de limiter l’accès à des hôtes ou des réseaux spécifiques. Cette tâche consiste à configurer une liste de contrôle d’accès standard autorisant les hôtes de deux réseaux à accéder aux lignes vty. Les autres hôtes se voient refuser l’accès. Vérifiez que vous pouvez établir un accès Telnet vers R2 à partir de R1 et de R3. Étape 1 : configuration de la liste de contrôle d’accès. Configurez une liste de contrôle d’accès standard nommée sur R2 pour autoriser le trafic provenant des réseaux 10.2.2.0/30 et 192.168.30.0/24. Refusez le reste du trafic. Attribuez à la liste de contrôle d’accès le nom Task-5. R2(config)#ip access-list standard TASK-5 R2(config-std-nacl)#permit 10.2.2.0 0.0.0.3 R2(config-std-nacl)#permit 192.168.30.0 0.0.0.255 Étape 2 : application de la liste de contrôle d’accès Accédez au mode de configuration de ligne pour les lignes vty 0 à 4. R2(config)#line vty 0 4 Utilisez la commande access-class pour appliquer la liste de contrôle d’accès aux lignes vty. R2(config-line)#access-class TASK-5 in R2(config-line)#end R2#copy run start Étape 3 : test de la liste de contrôle d’accès Établissez une connexion Telnet avec R2 depuis R1. R1 ne comporte pas d’adresse IP présente dans la plage d’adresses répertoriée dans les instructions d’autorisation de la liste de contrôle d’accès TASK-5. Les tentatives de connexion sont censées échouer. R1# telnet 10.1.1.2 Trying 10.1.1.2 … % Connection refused by remote host Établissez une connexion Telnet avec R2 depuis R3. Vous êtes alors invité à entrer le mot de passe des lignes vty. R3# telnet 10.1.1.2 Trying 10.1.1.2 … Open CUnauthorized access strictly prohibited, violators will be prosecuted to the full extent of the law. User Access Verification Password: Pourquoi les tentatives de connexion à partir d’autres réseaux échouent-elles alors que ces réseaux ne sont pas explicitement répertoriés dans la liste de contrôle d’accès ? _________________________________________________________________________________ _________________________________________________________________________________ Tâche 6 : dépannage des listes de contrôle d’accès Lorsqu’une liste de contrôle d’accès est mal configurée, appliquée à une interface inadéquate ou dans un sens incorrect, le trafic réseau peut être affecté de manière imprévisible. Étape 1 : suppression d’une liste de contrôle d’accès STND-1 à partir de S0/0/1 de R3 Vous avez précédemment créé et appliqué une liste de contrôle d’accès standard nommée sur R3. Utilisez la commande show running-config pour afficher la liste de contrôle d’accès et sa position. Vous devriez remarquer qu’une liste de contrôle d’accès appelée STND-1 a été configurée et appliquée en entrée de l’interface série 0/0/1. Souvenez-vous que cette liste a été conçue pour empêcher l’ensemble du trafic dont l’adresse source provient du réseau 192.168.11.0/24 d’accéder au réseau local de R3. Pour supprimer la liste de contrôle d’accès, accédez au mode de configuration d’interface de l’interface série 0/0/1 de R3. Utilisez la commande 3/3 no ip access-group STND-1 in uploads/Management/ tp-acl 2 .pdf