TD n°1 - David Bertho

Ce cours ainsi que les Tp qui suivront vont vous permettre de manipuler les ACL des routeurs Cisco. Les ACL (en anglais « Acces Control Lists ») ou en ...

part of the document

TD n°3
Les listes de contrôle daccès

Exercice 1 Masque générique

Donnez lensemble des adresses IP concernées par les notations suivantes :

192.168.10.0 0.0.0.255
172.16.0.0 0.0.255.255
10.0.0.0 0.255.255.255
192.168.50.1 0.0.0.254
192.168.0.0 0.0.254.255
192.168.10.61 0.0.0.95

Trouvez les notations « masque générique » qui correspondent aux réseaux suivants :

10.250.50.112 255.255.255.224
192.168.16.0 à 192.168.16.127
172.250.16.32 à 172.250.31.63
192.168.10.128 à 192.168.10.159 et 192.168.10.192 à 192.168.10.223

Exercice 2 ACL standard et étendue

EMBED Visio.Drawing.6

Router(config)#access-list 1 permit 172.16.0.0 0.0.255.255
Router(config)#interface Ethernet 0
Router(config-if)#ip access-group 1 out
Router(config)#interface ethernet 1
Router(config-if)#ip access group 1 out

Comment peut-on reconnaître quil sagit dune ACL standard ?
A quoi sert-elle ?
Est-il possible dobtenir le même fonctionnement en plaçant la même ACL autrement ?
Est-il possible dobtenir le même fonctionnement en plaçant une ACL standard différente sur une autre interface ?
Ecrivez une ACL étendue qui permette dobtenir le même fonctionnement
Comment placez-vous cette ACL étendue ?
Quel avantage voyez-vous à cette solution ?

Exercice 3 ACL standard

EMBED Visio.Drawing.6

Router(config)# access-list 1 deny 172.16.4.13 0.0.0.0
Router(config)# interface ethernet 0
Router(config)# ip access-group 1 out

A quoi sert cette ACL ?
Proposez une modification pour quelle produise effectivement leffet attendu

Exercice 4 ACL étendue

EMBED Visio.Drawing.6

Router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21
Router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20
Router(config)#access-list 101 permit ip any any
Router(config)#interface ethernet 0
Router(config-if)#access-group 101 out

A quoi sert cette ACL ?
Pourquoi est-il utile de filtrer le port 21 et le port 20 ?
Trouvez une ACL standard qui produit le même effet

Exercice 5 ACL étendue

Router(config)#access-list 101 deny tcp 192.168.10.0 0.0.0.255 any neg 80
Router(config)#access-list 101 deny tcp 192.168.10.0 0.0.0.255 any neg 21
Router(config)#access-list 101 permit ip any any
Router(config)#interface ethernet 0
Router(config-if)#access-group 101 in

Quel est leffet de cette ACL ?
En devinant lintention de ladministrateur, proposez une ACL correcte

Exercice 6 ACL étendue
EMBED Visio.Drawing.6

On souhaite empêcher les hôtes du réseau 172.16.4.0/24 de dialoguer avec le serveur web 172.16.3.12/24. Pour cela, ladministrateur réseau a choisi de ne pas bloquer les requêtes qui sortent du réseau 172.16.4.0/24, mais plutôt de bloquer les réponses du serveur.

Quelle syntaxe proposeriez vous ?
A quelle interface et dans quel sens appliquez-vous cette ACL ?
Que doit obligatoirement faire le routeur pour quune telle ACL puisse fonctionner ?
Que fait le routeur en réalité ?
Quelle est donc la seule manière de répondre au problème posé ?

Exercice 7 ACL réflexives

Quelle est lutilité particulière des ACL réflexives ?
Est-il possible de faire la même chose avec des ACL étendues ?
Es-il possible de faire la même chose avec des ACL étendues, sans utiliser loption « established » ?
Finalement, quelle est réellement la différence entre ACL étendue et ACL réflexive ?
Trouvez une situation où une ACL étendue serait mise en défaut, alors que son équivalent réflexive ne le serait pas
Pouvez-vous retrouver la particularité de la syntaxe dune ACL réflexive ?
Réponses

Exercice 1
de 192.168.10.0 à 192.168.10.255
de 172.16.0.0 à 172.16.255.255
de 10.0.0.0 à 10.255.255.255
toutes les machines impaires du réseau 192.168.50.0/24
192.168.0.0 à 192.168.0.255
et 192.168.2.0 à 192.168.2.255
et 192.168.4.0 à 192.168.4.255
et
et 192.168.250.0 à 192.168.250.255
et 192.168.252.0 à 192.168.252.255
et 192.168.254.0 à 192.168.254.255
192.168.10.32 à 192.168.10.63
et 192.168.10.96 à 192.168.10.127
10.250.20.112 0.0.0.31
192.168.16.32 0.0.0.127
172.250.16.32 0.0.0.31
192.168.10.128 0.0.0.95

Exercice 2
son numéro est compris entre 1 et 99 ; par ailleurs, seule ladresse IP source est mentionnée
Elle oblige le réseau de droite à naccepter que les paquets qui viennent du réseau de gauche et inversement
non
non
il suffit dinterdire tout le trafic entrant sur la liaison série :
access-list 100 deny ip any any

dans le sens entrant :
interface serial
ip access-group 100 in
le routeur naura pas à traiter le trafic venant de lextérieur avant de linterdire

Exercice 3
cette ACL est fausse, elle interdit en fait tout le trafic sortant de E0 (c'est-à-dire vers le réseau 172.16.3.0/24. Lidée de ladministrateur était de ninterdire que le trafic qui vient du serveur 172.16.4.13
il faut ajouter : access-list 1 permit ip any any

Exercice 4
elle empêche les machines du réseau de droite dutiliser ftp sur le réseau de gauche. Il faut remarquer que cette ACL aurait pu avantageusement être placée en entrée de linterface E1.
il faut filtrer les deux ports car lapplication ftp les utilise tous les deux (21 : contrôle ; 20 : données)
impossible, car les ACLs standards ne permettent pas de spécifier un numéro de port

Exercice 5
elle interdit tout car : si le paquet nest pas à destination du port 21, il est refusé par la première ligne, si le paquet est à destination du port 80, il est refusé par la deuxième ligne
On devine que ladministrateur voulait interdire tout, sauf les ports 80 et 21. Il aurait dû écrire :
Router(config)#access-list 101 permit tcp 192.168.10.0 0.0.0.255 any eq 80
Router(config)#access-list 101 permit tcp 192.168.10.0 0.0.0.255 any eq 21
Router(config)#access-list 101 deny ip any any
Router(config)#interface ethernet 0
Router(config-if)#access-group 101 in

Exercice 6
access-list 100 deny tcp host 172.16.3.12 172.16.4.0 0.0.0.255 eq 80
access-list 100 permit ip any any
interface ethernet0
ip access-group 100 in
il faut que le routeur filter le port 80, mais attention, dans cette situation le port 80 apparaît dans le champ « port destination » de len-tête TCP !
en réalité, le routeur ne filtre que sur le port source !
la seule manière est de filtrer les requêtes et pas les réponses. La solution du 1. ne marche en fait pas du tout !

Exercice 7
elle permet de tenir compte des informations de connexion du protocole TCP, et pour ICMP et UDP, elles permettent de « pister » les connexions en observant la cohérence des identifiants de connexion (c'est-à-dire les couples @IP, n° de port)
oui, mais seulement evec TCP en utilisant loption « established »
non
la vérification de UDP et ICMP, avec en plus une notion très importants : le temps. En effet, une ACL réflexive laissera passer le trafic motivé par une session en cours, mais seulement pendant un certain temps (programmable)
une ACL étendue (sans loption established) acceptera un paquet entrant qui serait une « fausse réponse », c'est-à-dire un paquet non motivé par une session, alors quil est construit exactement comme si cétait le cas
il y a un lien entre le trafic inspecté en sortie et le trafic évalué en entrée

Université de Technologie de Troyes Travaux dirigés RE16 : sécurisation des réseaux IP
__________________________________________________________________________________________

Other exersises:

Chapter 1
baccalauréat technologique - Eduscol
campagne d'habilitation - Département Informatique
II. Propagation guidée des ondes électromagnétiques.
Intitulé de l'UE - LAGA - Université Paris 13
Les réseaux sans fil : classification - DESS MIAGe 2001/2002 - TER
TD Swisscom - RERO DOC
exercice : accueil telephonique : prendre note d'un message - WMaker
Feuille de TD numéro 5
EXCEL T.D. N°4
Journal junior international à distance numéro 62 Villeneuve-Saint ...
Intelligence Artificielle Cours Exercices Corriges Et Projets - kirmes.me