ACL 110

Le but du projet est de bloquer les connections Telnet des équipements, qui ne font pas partis du réseau d’administration, vers tous les autres équipements du réseau (Routeur, Switch, etc).

Les équipements qui se verront interdire le Telnet pourront toutefois se connecter en SSH sur les hosts. Le réseau d’administration peu utiliser le Telnet et le SSH

J’ai donc simulé cette configuration de la façon suivante :

Les équipements à gauche du routeur font parti du réseau d’administration 172.16.1.0 /24.

Les équipements de droite représentent le réseau qui n’est pas autorisé à utiliser le Telnet.

Pour réaliser les restrictions de connexion j’ai utilisé des Access Control Lists (ACL) sur les équipements cisco.

Les ACL fonctionnent de la façon suivante :

On autorise ou refuse (permit/deny) les connexions ( tcp, ip, udp, ospf, eigrp, …) qui provienne d’un réseaux ou d’un host particulier à destinations d’un ou plusieurs hosts différents.

On peut finir en choisissant un protocole associé à un port spécifique à accepter ou décliner.

Par exemple :

access-list 110 permit tcp 172.16.1.0 0.0.0.255 10.0.0.0 0.0.0.255 eq telnet

L’ACL 110 autorise les connexions de tous les équipements du réseau 172.16.1.0/24 vers les équipements du réseau 10.0.0.0/24 qui sont en telnet (ou port 23).

Il suffira d’associer cette ACL à un port Ethernet ou un vlan pour qu’elle s’active.

Dans notre cas un seul réseau a accès à tous les autres en Telnet et en SSH.

J’ai donc réalise l’acl suivant :

access-list 110 permit tcp 172.16.1.0 0.0.0.255 10.0.0.0 0.0.0.255 eq telnet

access-list 110 deny tcp any any eq telnet

access-list 110 permit ip any any

Elle autorise les connexions en telnet du réseau 172.16.1.0 vers 10.0.0.0, refuse toute les connexions telnet de tous les autres réseaux vers un autre réseau, et autorise tous les paquets ip.

Il faut ensuite associer cette acl à un port du routeur.

ip access-group 110 in

La mention “in” indique que l’on bloque les paquets entrants.

Cette access list a été utilisé dans le routeur 0 et le switch 1 étant donné qu’ils régissent à la même règle de ne pas autorisé le telnet qui ne viens pas du réseau 172.16.1.0/24.

Pour le routeur, il suffira d’appliquer l’acl au port qui va vers le réseau 10.0.0.0. Pour le switch, il n’est pas possible d’appliquer d’acl sur chaque port. Il suffira de l’associer au vlan qui contient le port.

Il est possible d’appliquer l’acl directement à l’accès du terminal.

line vty 0 4

exec-timeout 60 0

password password

access-class 23 in

Pour cela, il faut créer une access lists 23 on cible que le port Telnet.

Donc on peut autoriser un ou plusieurs réseaux à accéder au telnet.

En associant cette acl avec la commande « transport input ssh ». Seul le réseau d’administration avait accès au Telnet et SSH. Mais les hosts externe n’avaient plus accès en SSH autre host, ce qui n’était pas souhaité, mais qui peut l’appliquer dans d’autre configuration.

Voici la configuration des équipements utilisé pour les tests sur des équipements physique.

Dans cette configuration le routeur empêchant les paquets Telnet d’être routé vers le réseau 172.16.1.0, il n’a pas été nécessaire de configurer un access lists pour filtrer les requêtes.

Les équipements sont configurés pour amorcer une connexion Telnet et SSH.

Routeur 1

Current configuration : 1432 bytes

!

version 12.3

no service timestamps debug uptime

no service timestamps log uptime

service password-encryption

!

hostname Reseaux_1

!

boot-start-marker

boot-end-marker

!

enable secret 5 $1$mERr$GvDaTJK9lhdXRUPWKA74O0

!

mmi polling-interval 60

no mmi auto-configure

no mmi pvc

mmi snmp-timeout 180

aaa new-model

!

!

aaa authentication login default local

aaa session-id common

ip subnet-zero

ip cef

!

!

!

!

ip domain name infra

ip ssh maxstartups 5

ip ssh time-out 60

ip ssh version 2

no ftp-server write-enable

!

voice-card 0

!

!

!

!

!

...