RE16-TD4

7/24/2019 RE16-TD4

1/9

Universit de Technologie de Troyes Travaux dirigs RE16 : scurisation des rseaux IP__________________________________________________________________________________________

TD n4

Les listes de contrle daccs(notions avances)

Exercice 1 ACLs tendues

La configuration du routeur rihri!ue est la suivante :

access-list 100 permit tcp any host 200.1.1.14 eq 80 (1)access-list 100 permit udp any host 200.1.1.13 eq 53 (2)access-list 100 permit tcp any host 200.1.1.12 eq 25 (3)access-list 100 permit tcp any eq 25 host 200.1.1.12 establishedaccess-list 100 permit tcp any host 200.1.1.11 eq 21 (4)access-list 100 permit tcp any host 200.1.1.11 eq 20 (5)access-list 100 permit tcp any eq 80 200.0.2.0 0.0.0.255 established (6)

access-list 100 permit udp any eq 53 200.0.2.0 0.0.0.255 ()access-list 100 deny ip any any (8)

inter!ace "thernet1ip access-#roup 100 in

1" Exli!ue# le r$le de chacune des lignes

7/24/2019 RE16-TD4

2/9


Exercice 2 ACLs tendues

Le cahier des charges est le suivant :

les internautes doivent avoir acc%s au serveur &E' ())"1"1"11

les internautes doivent avoir acc%s au serveur *+TP ())"1"1"1)

le serveur *+TP ())"1"1"1) de la ,+- doit ouvoir trans.ettre des e.ails au serveur

*+TP interne ())"1"("1)/ .ais seul ce trafic doit 0tre autoris de la ,+- vers le

rseau interne

les utilisateurs internes doivent ouvoir envoyer des re!u0tes ,*

les utilisateurs internes doivent avoir acc%s aux deux serveurs de la ,+-

les utilisateurs internes doivent avoir acc%s aux services T2P de l3Internet

1" Proose# la rdaction de deux 42Ls !ui er.ettent d3o5tenir exacte.ent ce

fonctionne.ent :

une c$t Internet en entre

une en entre du rseau interne

Exercice 3 ACL dynamiques

1" uelle est l3utilit d3une 42L dyna.i!ue 7

(" uel en est le rincie de fonctionne.ent 7

8" Pour!uoi ces 42L er.ettent9elles d3a.liorer la scurit du rseau 7

" ue doit faire un Internaute .alveillant our ; asser au travers < d3une 42Ldyna.i!ue 7

7/24/2019 RE16-TD4

3/9


Exercice 4 ACL dynamiques

username toto pass$ord tutu

inter!ace %erial0ip address 12.18.23.2 255.255.255.0ip access-#roup 101 inaccess-list 101 dynamic mytestlist timeout 120 permit ip any anyline &ty 0lo#in localautocommand access-enable timeout 5

1" uels utilisateurs ourront entrer sur le rseau ar%s s30tre identifis 7

(" Un essai .ontre !ue le fonctionne.ent n3est as satisfaisant" Pouve#9vous rooser une

.odification 7

8" =n dsire !ue l3utilisateur autoris ne uisse entrer sur le rseau !ue deuis le oste

utilisant l3adresse IP 1>?"()6"?1"(@" 2o..ent .odifie#9vous l342L 7" La situation de la !uestion 8" est9elle raliste 7

?" Identifie# les deux rinciales situations !ui er.ettent A un oste client de se.5ler avoir

une adresse IP u5li!ue 7

6" ,iscute# de l3utilisation des 42L dyna.i!ues dans cha!ue cas

@" uels sont les deux .oyens de restreindre les adresses IP autorise A se connecter 7

B" ,iscute# des avantages des deux stratgies

>" uelle techni!ue voisine des 42Ls dyna.i!ues aorte !uel!ues a.liorations 7

Exercice 5 CBAC

'outeur p(riph(rique

)nternet

,ataCeneral

%er&eur "mail1*2.1.1.1

"0 "1

Le cahier des charges est le suivant :

tous les utilisateurs internes doivent ouvoir utiliser Internet

le trafic ronse aux re!u0tes internes doit rentrer

les internautes doivent ouvoir atteindre le serveur e.ail

tout le reste doit 0tre interdit

7/24/2019 RE16-TD4

4/9


1" Proose# la rdaction d3une 42L !ui er.ette d3o5tenir exacte.ent ce fonctionne.ent

Exercice 6 CBAC

'outeur p(riph(rique

)nternet

,ata Ceneral

%er&eur "mail

1*2.1.2.1

%e#ment interne

1*2.1.1.0+24

,ata Ceneral

%er&eur $$$

1*2.1.2.3

"0 "1

"2

,ataCeneral

%er&eur "mail

1*2.1.1.1

,tilisateurs ...

-/

,ata Ceneral

%er&eur -%

1*2.1.2.2

La configuration du routeur rihri!ue est la suivante :

'outer(con!i#)ip access-list etended internalacl'outer(con!i#-et-nacl)permit tcp host 1*2.1.1.1 host 1*2.1.2.1 eq smtp (1)'outer(con!i#-et-nacl)deny tcp any any eq pop (2)'outer(con!i#-et-nacl) deny tcp any any eq smtp (2)

'outer(con!i#-et-nacl) deny ip host 1*2.1.1.1 any (3)'outer(con!i#-et-nacl)permit ip any any (4)'outer(con!i#-et-nacl)eit'outer(con!i#)'outer(con!i#)ip inspect name internal smtp audit-trail on (5)'outer(con!i#)ip inspect name internal !tp'outer(con!i#)ip inspect name internal http'outer(con!i#)ip inspect name internal realaudio'outer(con!i#)ip inspect name internal tcp'outer(con!i#)ip inspect name internal udp'outer(con!i#)ip inspect name internal icmp'outer(con!i#)'outer(con!i#)ip access-list etended /7

'outer(con!i#-et-nacl)permit tcp host 1*2.1.2.1 any eq smtp (6)'outer(con!i#-et-nacl)permit udp host 1*2.1.2.2 any eq dns ()'outer(con!i#-et-nacl)eit'outer(con!i#)'outer(con!i#) ip inspect name / smtp audit-trail on (8)'outer(con!i#) ip inspect name / http'outer(con!i#) ip inspect name / tcp'outer(con!i#) ip inspect name / udp'outer(con!i#)'outer(con!i#) ip access-list etended eternalacl'outer(con!i#-et-nacl)permit tcp any host 1*2.1.2.1 eq smtp (*)'outer(con!i#-et-nacl)permit tcp any host 1*2.1.2.2 eq dns'outer(con!i#-et-nacl)permit tcp any host 1*2.1.2.3 eq http'outer(con!i#-et-nacl)eit'outer(con!i#)

7/24/2019 RE16-TD4

5/9


'outer(con!i#) ip inspect name eternal smtp audit-trail on (10)'outer(con!i#) ip inspect name eternal !tp'outer(con!i#) ip inspect name eternal http'outer(con!i#) ip inspect name eternal realaudio'outer(con!i#) ip inspect name eternal tcp'outer(con!i#) ip inspect name eternal udp

'outer(con!i#) ip inspect name eternal icmp'outer(con!i#)'outer(con!i#) inter!ace ethernet0 (11)'outer(con!i#-i!) descrition internal net$or'outer(con!i#-i!) ip access-#roup internalacl in'outer(con!i#-i!) ip inspect internal in'outer(con!i#-i!) eit'outer(con!i#)'outer(con!i#) inter!ace ethernet2 (12)'outer(con!i#-i!) descrition /'outer(con!i#-i!) ip access-#roup /acl in'outer(con!i#-i!) ip inspect / in'outer(con!i#-i!) eit

'outer(con!i#)'outer(con!i#) inter!ace ethernet1 (13)'outer(con!i#-i!) descrition eternal net$or'outer(con!i#-i!) ip access-#roup eternalacl in'outer(con!i#-i!) eit'outer(con!i#) ip inspect tcp syn$ait-time 15 (14)'outer(con!i#) ip inspect tcp idle time 120'outer(con!i#) ip inspect udp idle-time 20

1" Exli!ue# le r$le de chacune des lignes

Exercice Smurf attack

*ur un routeur/ vous trouve# l342L suivante :

access-list 100 pemit icmp any any echoaccess-list 100 pemit icmp any any echo-replyaccess-list 100 pemit ip any any

inter!ace serial0 ip access-#roup in

1" uel est l3effet de cette 42L 7

Intrigu/ vous lance# la co..ande show access-list 100/ en voici le rsultat :

Routeur 2500#sho$ access-list 100"tended 9 access list 100pemit icmp any any echo (13 matches)pemit icmp any any echo-reply (15001 matches)pemit ip any any (105 matches)

(" 4 la lu.i%re de ces infor.ations/ ouve#9vous dire A !uoi sert l342L 7

8" Exli!ue# le rincie d3une atta!ue de tye ; s.urf < en faisant un sch.a"

7/24/2019 RE16-TD4

6/9


7/24/2019 RE16-TD4

7/9


!"onses

Exercice 1 #

D1 3i.orte !ui eut atteindre le ort T2P B) du serveur Fe5 ())"1"1"1

D( 3i.orte !ui eut atteindre le ort U,P ?8 du serveur ,* ())"1"1"18D8 La re.i%re co..ande autorise n3i.orte !ui A envoyer un e.ail sur le ort T2P (? du

serveur *+TP ())"1"1"1("

La deuxi%.e co..ande autorise le serveur *+TP interne A envoyer des e.ail A

l3extrieur et A recevoir les ronses

D 3i.orte !ui eut atteindre le ort T2P (1 du serveur GTP ())"1"1"11

D? Per.et aux internautes d3utiliser le ort GTP ,4T4 D() du serveur GTP ())"1"1"11"

Re.ar!ue : on autorise les connexions sur le ort ()/ sans vrifier !u3il y a une connexion

de contr$le sur le ort (1 !ui lui corresond" 23est un ris!ue our la scurit" Pour viter

cela/ il faudrait utiliser le 2'42"

D6 4utorise les ronses des serveurs &&& externes" L3otion establishedo5lige le routeur

A tenir co.te des infor.ations de session de T2P"D@ 4utorise les ronses des serveurs ,* externes

DB Gacultatif/ er.et de voir le no.5re de fois !ue cette ligne est utilise en faisantshow ip

access-list 100

Exercice 2 #

Il faut ( 42Ls : une c$t Internet en entre/ une en entre du rseau interne

access$list 1%% den& i" an& 2%%'1'2'1% %'%'%'1D1 on interdit tout le trafic Internet d3atteindre le serveur e.ail interne et le serveur

d3authentification H lien avec D? et D6

access$list 1%% "erit tc" an& ost 2%%'1'1'11 e* +%D( acc%s au serveur &E'

access$list 1%% "erit tc" an& ost 2%%'1'1'1% e* 25D8 acc%s au serveur *+TP

access$list 1%% "erit tc" an& e* 25 ost 2%%'1'1'1% esta,lisedD autorisation des ronses aux .ails envoys ar ())"1"1"1) aux serveurs e.ails

externes

access$list 1%% "erit tc" an& 2%%'1'2'% %'%'%'255 esta,lisedD? on laisse asser les ronses aux re!u0tes des utilisateurs internes Dsauf A destination

du serveur .ail interne et du serveur d3authentification/ 5lo!ues ar D1access$list 1%% "erit -d" an& e* 53 2%%'1'2'% %'%'%'255D6 autorise les ronses ,* cers les utilisateurs internes Dutile car ,* utilise U,P et

n3est donc as concern ar D?

access$list 1%% den& i" an& an&

inter.ace eternet 1

i" access$/ro-" 1%% in

access$list 1%1 den& i" an& ost 2%%'1'2'11D@ rien ne asse vers le serveur d3authentification

access$list 1%1 "erit tc" an& 2%%'1'2'% %'%'%'255 esta,lised

7/24/2019 RE16-TD4

8/9


DB on laisse asser les ronses aux re!u0tes des utilisateurs internes/ utile car on coue

le trafic !ui ourrait venir de la ,+-

access$list 1%1 "erit -d" an& e* 53 2%%'1'2'% %'%'%'255D> on autorise les ronses ,*

access$list 1%1 "erit tc" ost 2%%'1'1'1% ost 2%%'1'2'1% e* 25

D1) autorise le serveur *+TP externe A accder au serveur *+TP interneaccess$list 1%1 "erit tc" ost 2%%'1'1'1% e* 25 ost 2%%'1'2'1% esta,lised

D11 autorise le serveur *+TP externe A rondre au serveur *+TP interne

access$list 1%1 den& i" an& an&

inter.ace eternet %

i" access$/ro-" 1%1 o-t

Exercice 3 #1" er.et de rsoudre le 5 de l3authentification

(" avant de se voir autoriser l3acc%s ar aout d3une instruction dans l342L d3entre/l3utilisateur doit fournir un identifiant et un .d

8" elles er.ettent d3identifier l3utilisateur lui9.0.e/ et as seule.ent son adresse IP

" il doit connaJtre un no. d3utilisateur et un .d valide/ ar exe.le en o5servant le

a!uet !ui les contient A l3ouverture de la session ar le 5on utilisateur" Il faut donc

rendre la rcaution de cryter ces donnes our la trans.ission

Exercice 4 #1" a riori/ tous ceux !ui se sont authentifis

(" l3entre dyna.i!ue est la seule :

l342L est vide tant !ue l3utilisateur ne s3est as authentifi

l3uni!ue entre est donc le deny any anyar dfaut

or our s3authentifier/ il doit faire un telnetsur le routeur

l3identification est i.ossi5le Dsession telnet interdite/ l342L dyna.i!ue ne

servira a.ais

en fait/ rien ne eut entrer sur ce rseau

il faut autoriser l3acc%s telnet :

access-list 101 permit tcp any host 1!"1#"!$"! eq telnet

8" access-list 101 permit tcp host 1%&"!0'"&1"! host 1!"1#"!$"! eq telnet

" utilisateur a rare.ent une adresse IP u5li!ue a lui/ cette situation est asse# eu

raliste

?" connexion deuis l3intrieur d3un rseau d3entrerise : l3utilisateur a une adresse IP

rive/ et cette adresse est translate ar le fireFall sur une adresse u5li!ue" L3adresse

u5li!ue visi5le est donc celle utilise ar le fireFall/ ce n3est as forc.ent touours

la .0.e/ .ais elle aartient A un ool d3adresses !ui lui est touours le .0.e"

connexion deuis le do.icile : c3est le fournisseur d3acc%s !ui attri5ue A l3utilisateur

une adresse u5li!ue ar ,K2P" 2ette adresse est considre co..e alatoire

6" ,ans le re.ier cas/ on eut utiliser les 42Ls dyna.i!ues/ .ais l3utilisateur ourra

0tre identifi/ .ais on est o5ligs d3acceter toutes les adresses IP !ue le fireFall

utilise our la translation

,ans le second cas/ l3utilisation des 42Ls dyna.i!ues est i.ossi5le@" re.i%re .thode : en filtrant l3acc%s telnet dans la artie fixe de l342L

7/24/2019 RE16-TD4

9/9

Documents

RE16-TD4