TP configuration de listes de contrôle d'Accès Étendues pour sécuriser votre réseau

travaux pratiques : Configuration de listes de contrôle d'accès étendues

Objectif

• Configurer et appliquer une liste de contrôle d’accès étendue en vue d’autoriser ou de refuser un type de trafic particulier.
• Tester la liste de contrôle d’accès pour déterminer si les résultats escomptés ont été atteints.

Installez un réseau similaire à celui du schéma. Tout routeur doté d’une interface indiquée dans le schéma ci-dessus peut être utilisé, par exemple les routeurs 800, 1600, 1700, 2500, 2600 ou une combinaison de ces routeurs. Reportez-vous au tableau qui se trouve à la fin du TP pour repérer les identifiants d’interfaces à utiliser en fonction de l’équipement disponible. Dans ce TP, les informations affichées par le routeur lors de sa configuration ont été obtenues avec un routeur de la gamme 1721. Celles-ci peuvent varier légèrement avec un autre routeur. Les étapes qui suivent doivent être exécutées sur chaque routeur, sauf indication contraire.

Lancez une session HyperTerminal comme indiqué dans le TP intitulé Établissement d'une session en mode console avec HyperTerminal.

Remarque : Suivez les instructions d’effacement et de rechargement qui se trouvent à la fin de ce TP. Exécutez ces étapes sur le routeur utilisé dans ce TP avant de continuer.

Étape 1 Configurez le nom d’hôte et les mots de passe sur le routeur GAD

1. Sur le routeur GAD, passez en mode de configuration globale et configurez le nom d’hôte comme indiqué dans le tableau. Configurez ensuite la console, le terminal virtuel et les mots de passe enable. Configurez l’interface FastEthernet sur le routeur conformément au tableau.
2. Autorisez l’accès HTTP en exécutant la commande ip http server en mode de configuration globale.

Étape 2 Configurez les hôtes sur le segment Ethernet

1. Hôte 1

Adresse IP                           192.168.14.2

Masque de sous-réseau                  255.255.255.0

Passerelle par défaut                           192.168.14.1

1. Hôte 2

Adresse IP                           192.168.14.3

Masque de sous-réseau                  255.255.255.0

Passerelle par défaut                           192.168.14.1

Étape 3 Enregistrez les informations de configuration en mode privilégié GAD#copy running-config startup-config

Étape 4 Envoyez une requête ping à la passerelle par défaut à partir de chacun des deux hôtes pour confirmer la connectivité

a. Si les requêtes ping échouent, corrigez la configuration et recommencez jusqu’à ce qu’elles réussissent.

Étape 5 Connectez-vous au routeur en utilisant un navigateur Web

a. À partir d’un hôte, connectez-vous au routeur en utilisant un navigateur Web afin de vous assurer que la fonction de serveur Web est active.

Étape 6 Interdisez l’accès HTTP (port 80) à l’interface Ethernet à partir des hôtes

1. Créez une liste de contrôle d’accès qui interdira l’accès via le Web à FastEthernet 0 depuis le réseau 192.168.14.0.
2. À l’invite de configuration du routeur, entrez la commande suivante :

GAD(config)#access-list 101 deny tcp 192.168.14.0 0.0.0.255 any eq 80 GAD(config)#access-list 101 permit ip any any

1. c. À quoi sert la deuxième instruction ?_______________________________________________________________________________________________________________
   Étape 7 Appliquez la liste de contrôle d’accès à l’interface

a. À l’invite du mode interface FastEthernet 0, entrez la commande suivante : GAD(config-if)#ip access-group 101 in

Étape 8 Envoyez des requêtes ping au routeur à partir des hôtes

1. Ces requêtes ping ont-elles réussi ?________________________
2. Si oui, pourquoi ?_____________________________________________________________________________________

Étape 9 Connectez-vous au routeur en utilisant un navigateur Web

a. Avez-vous pu vous connecter ?_____________________________________________________________________________________________________________________________________________________
Étape 10 Établissez des connexions Telnet avec le routeur à partir des hôtes

1. Avez-vous pu vous connecter au routeur via Telnet ?_______________________
2. Justifiez votre réponse.______________________________________

Après avoir réalisé les étapes précédentes, déconnectez-vous en entrant exit. Mettez le routeur hors tension.

Effacement et rechargement du routeur

Passez en mode privilégié à l’aide de la commande enable.

Si le système vous demande un mot de passe, entrez class. Si « class » ne fonctionne pas,

demandez de l’aide au professeur.Router>enable

À l’invite du mode privilégié, entrez la commande erase startup-config.

Router#erase startup-config

Vous obtenez le message suivant :

Erasing the nvram filesystem will remove all files! Continue?

[confirm]

Appuyez sur Entrée pour confirmer. La réponse suivante devrait s’afficher :

Erase of nvram: complete

Ensuite, à l’invite du mode privilégié, entrez la commande reload.

Router#reload

Vous obtenez le message suivant :

System configuration has been modified. Save? [yes/no]:

Tapez n, puis appuyez sur Entrée.Vous obtenez le message suivant :

Proceed with reload? [confirm]

Appuyez sur Entrée pour confirmer.

La première ligne de la réponse est la suivante :

Reload requested by console.

Après le rechargement du routeur, la ligne suivante s’affiche :

Would you like to enter the initial configuration dialog? [yes/no]: Tapez n, puis appuyez sur Entrée.

Vous obtenez le message suivant :

Press RETURN to get started!

Appuyez sur Entrée.

Le routeur est prêt et le TP peut commencer.