Upload
faysal-bensalah
View
220
Download
0
Embed Size (px)
Citation preview
7/24/2019 RE16-TD4
1/9
Universit de Technologie de Troyes Travaux dirigs RE16 : scurisation des rseaux IP__________________________________________________________________________________________
TD n4
Les listes de contrle daccs(notions avances)
Exercice 1 ACLs tendues
La configuration du routeur rihri!ue est la suivante :
access-list 100 permit tcp any host 200.1.1.14 eq 80 (1)access-list 100 permit udp any host 200.1.1.13 eq 53 (2)access-list 100 permit tcp any host 200.1.1.12 eq 25 (3)access-list 100 permit tcp any eq 25 host 200.1.1.12 establishedaccess-list 100 permit tcp any host 200.1.1.11 eq 21 (4)access-list 100 permit tcp any host 200.1.1.11 eq 20 (5)access-list 100 permit tcp any eq 80 200.0.2.0 0.0.0.255 established (6)
access-list 100 permit udp any eq 53 200.0.2.0 0.0.0.255 ()access-list 100 deny ip any any (8)
inter!ace "thernet1ip access-#roup 100 in
1" Exli!ue# le r$le de chacune des lignes
7/24/2019 RE16-TD4
2/9
Universit de Technologie de Troyes Travaux dirigs RE16 : scurisation des rseaux IP__________________________________________________________________________________________
Exercice 2 ACLs tendues
Le cahier des charges est le suivant :
les internautes doivent avoir acc%s au serveur &E' ())"1"1"11
les internautes doivent avoir acc%s au serveur *+TP ())"1"1"1)
le serveur *+TP ())"1"1"1) de la ,+- doit ouvoir trans.ettre des e.ails au serveur
*+TP interne ())"1"("1)/ .ais seul ce trafic doit 0tre autoris de la ,+- vers le
rseau interne
les utilisateurs internes doivent ouvoir envoyer des re!u0tes ,*
les utilisateurs internes doivent avoir acc%s aux deux serveurs de la ,+-
les utilisateurs internes doivent avoir acc%s aux services T2P de l3Internet
1" Proose# la rdaction de deux 42Ls !ui er.ettent d3o5tenir exacte.ent ce
fonctionne.ent :
une c$t Internet en entre
une en entre du rseau interne
Exercice 3 ACL dynamiques
1" uelle est l3utilit d3une 42L dyna.i!ue 7
(" uel en est le rincie de fonctionne.ent 7
8" Pour!uoi ces 42L er.ettent9elles d3a.liorer la scurit du rseau 7
" ue doit faire un Internaute .alveillant our ; asser au travers < d3une 42Ldyna.i!ue 7
7/24/2019 RE16-TD4
3/9
Universit de Technologie de Troyes Travaux dirigs RE16 : scurisation des rseaux IP__________________________________________________________________________________________
Exercice 4 ACL dynamiques
username toto pass$ord tutu
inter!ace %erial0ip address 12.18.23.2 255.255.255.0ip access-#roup 101 inaccess-list 101 dynamic mytestlist timeout 120 permit ip any anyline &ty 0lo#in localautocommand access-enable timeout 5
1" uels utilisateurs ourront entrer sur le rseau ar%s s30tre identifis 7
(" Un essai .ontre !ue le fonctionne.ent n3est as satisfaisant" Pouve#9vous rooser une
.odification 7
8" =n dsire !ue l3utilisateur autoris ne uisse entrer sur le rseau !ue deuis le oste
utilisant l3adresse IP 1>?"()6"?1"(@" 2o..ent .odifie#9vous l342L 7" La situation de la !uestion 8" est9elle raliste 7
?" Identifie# les deux rinciales situations !ui er.ettent A un oste client de se.5ler avoir
une adresse IP u5li!ue 7
6" ,iscute# de l3utilisation des 42L dyna.i!ues dans cha!ue cas
@" uels sont les deux .oyens de restreindre les adresses IP autorise A se connecter 7
B" ,iscute# des avantages des deux stratgies
>" uelle techni!ue voisine des 42Ls dyna.i!ues aorte !uel!ues a.liorations 7
Exercice 5 CBAC
'outeur p(riph(rique
)nternet
,ataCeneral
%er&eur "mail1*2.1.1.1
"0 "1
Le cahier des charges est le suivant :
tous les utilisateurs internes doivent ouvoir utiliser Internet
le trafic ronse aux re!u0tes internes doit rentrer
les internautes doivent ouvoir atteindre le serveur e.ail
tout le reste doit 0tre interdit
7/24/2019 RE16-TD4
4/9
Universit de Technologie de Troyes Travaux dirigs RE16 : scurisation des rseaux IP__________________________________________________________________________________________
1" Proose# la rdaction d3une 42L !ui er.ette d3o5tenir exacte.ent ce fonctionne.ent
Exercice 6 CBAC
'outeur p(riph(rique
)nternet
,ata Ceneral
%er&eur "mail
1*2.1.2.1
%e#ment interne
1*2.1.1.0+24
,ata Ceneral
%er&eur $$$
1*2.1.2.3
"0 "1
"2
,ataCeneral
%er&eur "mail
1*2.1.1.1
,tilisateurs ...
-/
,ata Ceneral
%er&eur -%
1*2.1.2.2
La configuration du routeur rihri!ue est la suivante :
'outer(con!i#)ip access-list etended internalacl'outer(con!i#-et-nacl)permit tcp host 1*2.1.1.1 host 1*2.1.2.1 eq smtp (1)'outer(con!i#-et-nacl)deny tcp any any eq pop (2)'outer(con!i#-et-nacl) deny tcp any any eq smtp (2)
'outer(con!i#-et-nacl) deny ip host 1*2.1.1.1 any (3)'outer(con!i#-et-nacl)permit ip any any (4)'outer(con!i#-et-nacl)eit'outer(con!i#)'outer(con!i#)ip inspect name internal smtp audit-trail on (5)'outer(con!i#)ip inspect name internal !tp'outer(con!i#)ip inspect name internal http'outer(con!i#)ip inspect name internal realaudio'outer(con!i#)ip inspect name internal tcp'outer(con!i#)ip inspect name internal udp'outer(con!i#)ip inspect name internal icmp'outer(con!i#)'outer(con!i#)ip access-list etended /7
'outer(con!i#-et-nacl)permit tcp host 1*2.1.2.1 any eq smtp (6)'outer(con!i#-et-nacl)permit udp host 1*2.1.2.2 any eq dns ()'outer(con!i#-et-nacl)eit'outer(con!i#)'outer(con!i#) ip inspect name / smtp audit-trail on (8)'outer(con!i#) ip inspect name / http'outer(con!i#) ip inspect name / tcp'outer(con!i#) ip inspect name / udp'outer(con!i#)'outer(con!i#) ip access-list etended eternalacl'outer(con!i#-et-nacl)permit tcp any host 1*2.1.2.1 eq smtp (*)'outer(con!i#-et-nacl)permit tcp any host 1*2.1.2.2 eq dns'outer(con!i#-et-nacl)permit tcp any host 1*2.1.2.3 eq http'outer(con!i#-et-nacl)eit'outer(con!i#)
7/24/2019 RE16-TD4
5/9
Universit de Technologie de Troyes Travaux dirigs RE16 : scurisation des rseaux IP__________________________________________________________________________________________
'outer(con!i#) ip inspect name eternal smtp audit-trail on (10)'outer(con!i#) ip inspect name eternal !tp'outer(con!i#) ip inspect name eternal http'outer(con!i#) ip inspect name eternal realaudio'outer(con!i#) ip inspect name eternal tcp'outer(con!i#) ip inspect name eternal udp
'outer(con!i#) ip inspect name eternal icmp'outer(con!i#)'outer(con!i#) inter!ace ethernet0 (11)'outer(con!i#-i!) descrition internal net$or'outer(con!i#-i!) ip access-#roup internalacl in'outer(con!i#-i!) ip inspect internal in'outer(con!i#-i!) eit'outer(con!i#)'outer(con!i#) inter!ace ethernet2 (12)'outer(con!i#-i!) descrition /'outer(con!i#-i!) ip access-#roup /acl in'outer(con!i#-i!) ip inspect / in'outer(con!i#-i!) eit
'outer(con!i#)'outer(con!i#) inter!ace ethernet1 (13)'outer(con!i#-i!) descrition eternal net$or'outer(con!i#-i!) ip access-#roup eternalacl in'outer(con!i#-i!) eit'outer(con!i#) ip inspect tcp syn$ait-time 15 (14)'outer(con!i#) ip inspect tcp idle time 120'outer(con!i#) ip inspect udp idle-time 20
1" Exli!ue# le r$le de chacune des lignes
Exercice Smurf attack
*ur un routeur/ vous trouve# l342L suivante :
access-list 100 pemit icmp any any echoaccess-list 100 pemit icmp any any echo-replyaccess-list 100 pemit ip any any
inter!ace serial0 ip access-#roup in
1" uel est l3effet de cette 42L 7
Intrigu/ vous lance# la co..ande show access-list 100/ en voici le rsultat :
Routeur 2500#sho$ access-list 100"tended 9 access list 100pemit icmp any any echo (13 matches)pemit icmp any any echo-reply (15001 matches)pemit ip any any (105 matches)
(" 4 la lu.i%re de ces infor.ations/ ouve#9vous dire A !uoi sert l342L 7
8" Exli!ue# le rincie d3une atta!ue de tye ; s.urf < en faisant un sch.a"
7/24/2019 RE16-TD4
6/9
Universit de Technologie de Troyes Travaux dirigs RE16 : scurisation des rseaux IP__________________________________________________________________________________________
7/24/2019 RE16-TD4
7/9
Universit de Technologie de Troyes Travaux dirigs RE16 : scurisation des rseaux IP__________________________________________________________________________________________
!"onses
Exercice 1 #
D1 3i.orte !ui eut atteindre le ort T2P B) du serveur Fe5 ())"1"1"1
D( 3i.orte !ui eut atteindre le ort U,P ?8 du serveur ,* ())"1"1"18D8 La re.i%re co..ande autorise n3i.orte !ui A envoyer un e.ail sur le ort T2P (? du
serveur *+TP ())"1"1"1("
La deuxi%.e co..ande autorise le serveur *+TP interne A envoyer des e.ail A
l3extrieur et A recevoir les ronses
D 3i.orte !ui eut atteindre le ort T2P (1 du serveur GTP ())"1"1"11
D? Per.et aux internautes d3utiliser le ort GTP ,4T4 D() du serveur GTP ())"1"1"11"
Re.ar!ue : on autorise les connexions sur le ort ()/ sans vrifier !u3il y a une connexion
de contr$le sur le ort (1 !ui lui corresond" 23est un ris!ue our la scurit" Pour viter
cela/ il faudrait utiliser le 2'42"
D6 4utorise les ronses des serveurs &&& externes" L3otion establishedo5lige le routeur
A tenir co.te des infor.ations de session de T2P"D@ 4utorise les ronses des serveurs ,* externes
DB Gacultatif/ er.et de voir le no.5re de fois !ue cette ligne est utilise en faisantshow ip
access-list 100
Exercice 2 #
Il faut ( 42Ls : une c$t Internet en entre/ une en entre du rseau interne
access$list 1%% den& i" an& 2%%'1'2'1% %'%'%'1D1 on interdit tout le trafic Internet d3atteindre le serveur e.ail interne et le serveur
d3authentification H lien avec D? et D6
access$list 1%% "erit tc" an& ost 2%%'1'1'11 e* +%D( acc%s au serveur &E'
access$list 1%% "erit tc" an& ost 2%%'1'1'1% e* 25D8 acc%s au serveur *+TP
access$list 1%% "erit tc" an& e* 25 ost 2%%'1'1'1% esta,lisedD autorisation des ronses aux .ails envoys ar ())"1"1"1) aux serveurs e.ails
externes
access$list 1%% "erit tc" an& 2%%'1'2'% %'%'%'255 esta,lisedD? on laisse asser les ronses aux re!u0tes des utilisateurs internes Dsauf A destination
du serveur .ail interne et du serveur d3authentification/ 5lo!ues ar D1access$list 1%% "erit -d" an& e* 53 2%%'1'2'% %'%'%'255D6 autorise les ronses ,* cers les utilisateurs internes Dutile car ,* utilise U,P et
n3est donc as concern ar D?
access$list 1%% den& i" an& an&
inter.ace eternet 1
i" access$/ro-" 1%% in
access$list 1%1 den& i" an& ost 2%%'1'2'11D@ rien ne asse vers le serveur d3authentification
access$list 1%1 "erit tc" an& 2%%'1'2'% %'%'%'255 esta,lised
7/24/2019 RE16-TD4
8/9
Universit de Technologie de Troyes Travaux dirigs RE16 : scurisation des rseaux IP__________________________________________________________________________________________
DB on laisse asser les ronses aux re!u0tes des utilisateurs internes/ utile car on coue
le trafic !ui ourrait venir de la ,+-
access$list 1%1 "erit -d" an& e* 53 2%%'1'2'% %'%'%'255D> on autorise les ronses ,*
access$list 1%1 "erit tc" ost 2%%'1'1'1% ost 2%%'1'2'1% e* 25
D1) autorise le serveur *+TP externe A accder au serveur *+TP interneaccess$list 1%1 "erit tc" ost 2%%'1'1'1% e* 25 ost 2%%'1'2'1% esta,lised
D11 autorise le serveur *+TP externe A rondre au serveur *+TP interne
access$list 1%1 den& i" an& an&
inter.ace eternet %
i" access$/ro-" 1%1 o-t
Exercice 3 #1" er.et de rsoudre le 5 de l3authentification
(" avant de se voir autoriser l3acc%s ar aout d3une instruction dans l342L d3entre/l3utilisateur doit fournir un identifiant et un .d
8" elles er.ettent d3identifier l3utilisateur lui9.0.e/ et as seule.ent son adresse IP
" il doit connaJtre un no. d3utilisateur et un .d valide/ ar exe.le en o5servant le
a!uet !ui les contient A l3ouverture de la session ar le 5on utilisateur" Il faut donc
rendre la rcaution de cryter ces donnes our la trans.ission
Exercice 4 #1" a riori/ tous ceux !ui se sont authentifis
(" l3entre dyna.i!ue est la seule :
l342L est vide tant !ue l3utilisateur ne s3est as authentifi
l3uni!ue entre est donc le deny any anyar dfaut
or our s3authentifier/ il doit faire un telnetsur le routeur
l3identification est i.ossi5le Dsession telnet interdite/ l342L dyna.i!ue ne
servira a.ais
en fait/ rien ne eut entrer sur ce rseau
il faut autoriser l3acc%s telnet :
access-list 101 permit tcp any host 1!"1#"!$"! eq telnet
8" access-list 101 permit tcp host 1%&"!0'"&1"! host 1!"1#"!$"! eq telnet
" utilisateur a rare.ent une adresse IP u5li!ue a lui/ cette situation est asse# eu
raliste
?" connexion deuis l3intrieur d3un rseau d3entrerise : l3utilisateur a une adresse IP
rive/ et cette adresse est translate ar le fireFall sur une adresse u5li!ue" L3adresse
u5li!ue visi5le est donc celle utilise ar le fireFall/ ce n3est as forc.ent touours
la .0.e/ .ais elle aartient A un ool d3adresses !ui lui est touours le .0.e"
connexion deuis le do.icile : c3est le fournisseur d3acc%s !ui attri5ue A l3utilisateur
une adresse u5li!ue ar ,K2P" 2ette adresse est considre co..e alatoire
6" ,ans le re.ier cas/ on eut utiliser les 42Ls dyna.i!ues/ .ais l3utilisateur ourra
0tre identifi/ .ais on est o5ligs d3acceter toutes les adresses IP !ue le fireFall
utilise our la translation
,ans le second cas/ l3utilisation des 42Ls dyna.i!ues est i.ossi5le@" re.i%re .thode : en filtrant l3acc%s telnet dans la artie fixe de l342L
7/24/2019 RE16-TD4
9/9