TD 4 : Les listes de contrôle d'accès - David Bertho

TD n°4. Les listes de contrôle d'accès. (notions avancées). Exercice 1 ACLs étendues ..... d'accès qui attribue à l'utilisateur une adresse publique par DHCP.


un extrait du document



TD n°4
Les listes de contrôle d'accès
(notions avancées)
Exercice 1 ACLs étendues [pic] La configuration du routeur périphérique est la suivante : access-list 100 permit tcp any host 200.1.1.14 eq 80 (1)
access-list 100 permit udp any host 200.1.1.13 eq 53 (2)
access-list 100 permit tcp any host 200.1.1.12 eq 25 (3)
access-list 100 permit tcp any eq 25 host 200.1.1.12 established
access-list 100 permit tcp any host 200.1.1.11 eq 21 (4)
access-list 100 permit tcp any host 200.1.1.11 eq 20 (5)
access-list 100 permit tcp any eq 80 200.0.2.0 0.0.0.255 established
(6)
access-list 100 permit udp any eq 53 200.0.2.0 0.0.0.255 (7)
access-list 100 deny ip any any (8) interface Ethernet1
ip access-group 100 in 1. Expliquez le rôle de chacune des lignes
Exercice 2 ACLs étendues [pic] Le cahier des charges est le suivant : . les internautes doivent avoir accès au serveur WEB 200.1.1.11
. les internautes doivent avoir accès au serveur SMTP 200.1.1.10
. le serveur SMTP 200.1.1.10 de la DMZ doit pouvoir transmettre des
emails au serveur SMTP interne 200.1.2.10, mais seul ce trafic doit
être autorisé de la DMZ vers le réseau interne
. les utilisateurs internes doivent pouvoir envoyer des requêtes DNS
. les utilisateurs internes doivent avoir accès aux deux serveurs de la
DMZ
. les utilisateurs internes doivent avoir accès aux services TCP de
l'Internet 1. Proposez la rédaction de deux ACLs qui permettent d'obtenir exactement
ce fonctionnement :
. une côté Internet en entrée
. une en entrée du réseau interne
Exercice 3 ACL dynamiques 1. Quelle est l'utilité d'une ACL dynamique ?
2. Quel en est le principe de fonctionnement ?
3. Pourquoi ces ACL permettent-elles d'améliorer la sécurité du réseau ?
4. Que doit faire un Internaute malveillant pour « passer au travers »
d'une ACL dynamique ?
Exercice 4 ACL dynamiques username toto password tutu
interface Serial0
ip address 172.18.23.2 255.255.255.0
ip access-group 101 in
access-list 101 dynamic mytestlist timeout 120 permit ip any any
line vty 0
login local
autocommand access-enable timeout 5 1. Quels utilisateurs pourront entrer sur le réseau après s'être identifiés
?
2. Un essai montre que le fonctionnement n'est pas satisfaisant. Pouvez-
vous proposer une modification ?
3. On désire que l'utilisateur autorisé ne puisse entrer sur le réseau que
depuis le poste utilisant l'adresse IP 195.206.51.27. Comment modifiez-
vous l'ACL ?
4. La situation de la question 3. est-elle réaliste ?
5. Identifiez les deux principales situations qui permettent à un poste
client de sembler avoir une adresse IP publique ?
6. Discutez de l'utilisation des ACL dynamiques dans chaque cas
7. Quels sont les deux moyens de restreindre les adresses IP autorisée à se
connecter ?
8. Discutez des avantages des deux stratégies
9. Quelle technique voisine des ACLs dynamiques apporte quelques
améliorations ?
Exercice 5 CBAC
[pic] Le cahier des charges est le suivant : . tous les utilisateurs internes doivent pouvoir utiliser Internet
. le trafic réponse aux requêtes internes doit rentrer
. les internautes doivent pouvoir atteindre le serveur email
. tout le reste doit être interdit
1. Proposez la rédaction d'une ACL qui permette d'obtenir exactement ce
fonctionnement
Exercice 6 CBAC
[pic]
La configuration du routeur périphérique est la suivante : Router(config)#ip access-list extended internal_acl
Router(config-ext-nacl)#permit tcp host 192.1.1.1 host 192.1.2.1 eq smtp
(1)
Router(config-ext-nacl)#deny tcp any any eq pop
(2)
Router(config-ext-nacl)# deny tcp any any eq smtp
(2)
Router(config-ext-nacl)# deny ip host 192.1.1.1 any
(3)
Router(config-ext-nacl)#permit ip any any
(4)
Router(config-ext-nacl)#exit
Router(config)#
Router(config)#ip inspect name internal_CBAC smtp audit-trail on
(5)
Router(config)#ip inspect name internal_CBAC ftp
Router(config)#ip inspect name internal_CBAC http
Router(config)#ip inspect name internal_CBAC realaudio
Router(config)#ip inspect name internal_CBAC tcp
Router(config)#ip inspect name internal_CBAC udp
Router(config)#ip inspect name internal_CBAC icmp
Router(config)#
Router(config)#ip access-list extended DMZ_ACL
Router(config-ext-nacl)#permit tcp host 192.1.2.1 any eq smtp
(6)
Router(config-ext-nacl)#permit udp host 192.1.2.2 any eq dns
(7)
Router(config-ext-nacl)#exit
Router(config)#
Router(config)# ip inspect name DMZ_CBAC smtp audit-trail on
(8)
Router(config)# ip inspect name DMZ_CBAC http
Router(config)# ip inspect name DMZ_CBAC tcp
Router(config)# ip inspect name DMZ_CBAC udp
Router(config)#
Router(config)# ip access-list extended external_acl
Router(config-ext-nacl)#permit tcp any host 192.1.2.1 eq smtp
(9)
Router(config-ext-nacl)#permit tcp any host 192.1.2.2 eq dns
Router(config-ext-nacl)#permit tcp any host 192.1.2.3 eq http
Router(config-ext-nacl)#exit
Router(config)#
Router(config)# ip inspect name external_CBAC smtp audit-trail on
(10)
Router(config)# ip inspect name external_CBAC ftp
Router(config)# ip inspect name external_CBAC http
Router(config)# ip inspect name external_CBAC realaudio
Router(config)# ip inspect name external_CBAC tcp
Router(config)# ip inspect name external_CBAC udp
Router(config)# ip inspect name external_CBAC icmp
Router(config)#
Router(config)# interface ethernet0
(11)
Router(config-if)# descrition internal network
Router(config-if)# ip access-group internal_acl in
Router(config-if)# ip inspect internal_CBAC in
Router(config-if)# exit
Router(config)#
Router(config)# interface ethernet2
(12)
Router(config-if)# descrition DMZ
Router(config-if)# ip access-group DMZ_acl in
Router(config-if)# ip inspect DMZ_CBAC in
Router(config-if)# exit
Router(config)#
Router(config)# interface ethernet1
(13)
Router(config-if)# descrition external network
Router(config-if)# ip access-group external_acl in
Router(config-if)# exit
Router(config)# ip inspect tcp synwait-time 15
(14)
Router(config)# ip inspect tcp idle time 120
Router(config)# ip inspect udp idle-time 20 1. Expliquez le rôle de chacune des lignes
Exercice 7 Smurf attack Sur un routeur, vous trouvez l'ACL suivante : access-list 100 pemit icmp any any echo
access-list 100 pemit icmp any any echo-reply
access-list 100 pemit ip any any interface serial0
ip access-group in 1. Quel est l'effet de cette ACL ? Intrigué, vous lancez la commande show access-list 100, en voici le
résultat : Routeur 2500# show access-list 100
Extended IP access list 100
pemit icmp any any echo (13 matches)
pemit icmp any any echo-reply (15001 matches)
pemit ip any any (105 matches) 2. A la lumière de ces informations, pouvez-vous dire à quoi sert l'ACL ?
3. Expliquez le principe d'une attaque de type « smurf » en faisant un
schéma.
Réponses Exercice 1 : 1) N'importe qui peut atteindre le port TCP 80 du serveur web 200.1.1.14
2) N'importe qui peut atteindre le port UDP 53 du serveur DNS 200.1.1.13
3) La première commande autorise n'importe qui à envoyer un email sur le
port TCP 25 du serveur SMTP 200.1.1.12.
La deuxième commande autorise le serveur SMTP interne à envoyer des email
à l'extérieur et à recevoir les réponses
4) N'importe qui peut atteindre le port TCP 21 du serveur FTP 200.1.1.11
5) Permet aux internautes d'utiliser le port FTP DATA (20) du serveur FTP
200.1.1.11.
Remarque : on autorise les connexions sur le port 20, sans vérifier qu'il
y a une connexion de contrôle sur le port 21 qui lui correspond. C'est
un risque pour la sécurité. Pour éviter cela, il faudrait utiliser le
CBAC.
6) Autorise les réponses des serveurs WWW externes. L'option established
oblige le routeur à tenir compte des informations de session de TCP.
7) Autorise les réponses des serveurs DNS externes
8) Facultatif, permet de voir le nombre de fois que cette ligne est
utilisée en faisant show ip access-list 100 Exercice 2 : Il faut 2 ACLs : une côté Internet en entrée, une en entrée du réseau
interne access-list 100 deny ip any 200.1.2.10 0.0.0.1
1) on interdit tout le trafic Internet d'atteindre le serveur email
interne et le serveur d'authentification ; lien avec (5) et (6)
access-list 100 permit tcp any host 200.1.1.11 eq 80
2) accès au serveur WEB
access-list 100 permit tcp any host 200.1.1.10 eq 25
3) accès au serveur SMTP
access-list 100 permit tcp any eq 25 host 200.1.1.10 established
4) autorisation des réponses aux mails envoyés par 200.1.1.10 aux
serveurs emails externes
access-list 100 permit tcp any 200.1.2.0 0.0.0.255 established
5) on laisse passer les réponses aux requêtes des utilisateurs internes
(sauf à destination du serveur mail interne et du serveur
d'authentification, bloquées par (1))
access-list 100 permit udp any eq 53 200.1.2.0 0.0.0.255
6) autorise les réponses DNS cers les utilisateurs internes (utile car
DNS utilise UDP et n'est donc pas concerné par (5))
access-list 100 deny ip any any interface ethernet 1
ip access-group 100 in access-list 101 deny ip any host 200.1.2.11
7) rien ne passe vers le serveur d'authentification
access-list 101 permit tcp any 200.1.2.0 0.0.0.255 established
8) on laisse passer les réponses aux requêtes des utilisateurs internes,
utile car on coupe le trafic qui pourrait venir de la DMZ
access-list 101 permit udp any eq 53 200.1.2.0 0.0.0.255
9) on autorise les réponses DNS
access-list 101 permit tcp host 200.1.1.10 host 200.1.2.10 eq 25
10) auto
....