ACL 110
Documents Gratuits : ACL 110. Recherche parmi 300 000+ dissertationsPar rom91230 • 31 Décembre 2013 • 1 091 Mots (5 Pages) • 1 844 Vues
Le but du projet est de bloquer les connections Telnet des équipements, qui ne font pas partis du réseau d’administration, vers tous les autres équipements du réseau (Routeur, Switch, etc).
Les équipements qui se verront interdire le Telnet pourront toutefois se connecter en SSH sur les hosts. Le réseau d’administration peu utiliser le Telnet et le SSH
J’ai donc simulé cette configuration de la façon suivante :
Les équipements à gauche du routeur font parti du réseau d’administration 172.16.1.0 /24.
Les équipements de droite représentent le réseau qui n’est pas autorisé à utiliser le Telnet.
Pour réaliser les restrictions de connexion j’ai utilisé des Access Control Lists (ACL) sur les équipements cisco.
Les ACL fonctionnent de la façon suivante :
On autorise ou refuse (permit/deny) les connexions ( tcp, ip, udp, ospf, eigrp, …) qui provienne d’un réseaux ou d’un host particulier à destinations d’un ou plusieurs hosts différents.
On peut finir en choisissant un protocole associé à un port spécifique à accepter ou décliner.
Par exemple :
access-list 110 permit tcp 172.16.1.0 0.0.0.255 10.0.0.0 0.0.0.255 eq telnet
L’ACL 110 autorise les connexions de tous les équipements du réseau 172.16.1.0/24 vers les équipements du réseau 10.0.0.0/24 qui sont en telnet (ou port 23).
Il suffira d’associer cette ACL à un port Ethernet ou un vlan pour qu’elle s’active.
Dans notre cas un seul réseau a accès à tous les autres en Telnet et en SSH.
J’ai donc réalise l’acl suivant :
access-list 110 permit tcp 172.16.1.0 0.0.0.255 10.0.0.0 0.0.0.255 eq telnet
access-list 110 deny tcp any any eq telnet
access-list 110 permit ip any any
Elle autorise les connexions en telnet du réseau 172.16.1.0 vers 10.0.0.0, refuse toute les connexions telnet de tous les autres réseaux vers un autre réseau, et autorise tous les paquets ip.
Il faut ensuite associer cette acl à un port du routeur.
ip access-group 110 in
La mention “in” indique que l’on bloque les paquets entrants.
Cette access list a été utilisé dans le routeur 0 et le switch 1 étant donné qu’ils régissent à la même règle de ne pas autorisé le telnet qui ne viens pas du réseau 172.16.1.0/24.
Pour le routeur, il suffira d’appliquer l’acl au port qui va vers le réseau 10.0.0.0. Pour le switch, il n’est pas possible d’appliquer d’acl sur chaque port. Il suffira de l’associer au vlan qui contient le port.
Il est possible d’appliquer l’acl directement à l’accès du terminal.
line vty 0 4
exec-timeout 60 0
password password
access-class 23 in
Pour cela, il faut créer une access lists 23 on cible que le port Telnet.
Donc on peut autoriser un ou plusieurs réseaux à accéder au telnet.
En associant cette acl avec la commande « transport input ssh ». Seul le réseau d’administration avait accès au Telnet et SSH. Mais les hosts externe n’avaient plus accès en SSH autre host, ce qui n’était pas souhaité, mais qui peut l’appliquer dans d’autre configuration.
Voici la configuration des équipements utilisé pour les tests sur des équipements physique.
Dans cette configuration le routeur empêchant les paquets Telnet d’être routé vers le réseau 172.16.1.0, il n’a pas été nécessaire de configurer un access lists pour filtrer les requêtes.
Les équipements sont configurés pour amorcer une connexion Telnet et SSH.
Routeur 1
Current configuration : 1432 bytes
!
version 12.3
no service timestamps debug uptime
no service timestamps log uptime
service password-encryption
!
hostname Reseaux_1
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$mERr$GvDaTJK9lhdXRUPWKA74O0
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
aaa new-model
!
!
aaa authentication login default local
aaa session-id common
ip subnet-zero
ip cef
!
!
!
!
ip domain name infra
ip ssh maxstartups 5
ip ssh time-out 60
ip ssh version 2
no ftp-server write-enable
!
voice-card 0
!
!
!
!
!
...