Sécurisation des réseaux IP

Exercice ACL dynamiques

username toto password tutu             

interface Serial0

 ip address 172.18.23.2 255.255.255.0

 ip access-group 101 in

access-list 101 dynamic mytestlist timeout 120 permit ip any any

line vty 0

login local

autocommand access-enable timeout 5

1. Quels utilisateurs pourront entrer sur le réseau après s’être identifiés ?
2. Un essai montre que le fonctionnement n’est pas satisfaisant. Pouvez-vous proposer une modification ?
3. On désire que l’utilisateur autorisé ne puisse entrer sur le réseau que depuis le poste utilisant l’adresse IP 195.206.51.27. Comment modifiez-vous l’ACL ?
4. La situation de la question 3. est-elle réaliste ?
5. Identifiez les deux principales situations qui permettent à un poste client de sembler avoir une adresse IP publique ?
6. Discutez de l’utilisation des ACL dynamiques dans chaque cas
7. Quels sont les deux moyens de restreindre les adresses IP autorisée à se connecter ?
8. Discutez des avantages des deux stratégies
9. Quelle technique voisine des ACLs dynamiques apporte quelques améliorations ?

Exercice 7   Smurf attack

Sur un routeur, vous trouvez l’ACL suivante :
access-list 100 pemit icmp any any echo
access-list 100 pemit icmp any any echo-reply
access-list 100 pemit ip any any
 
interface serial0
  ip access-group in

1. Quel est l’effet de cette ACL ?

Intrigué, vous lancez la commande show access-list 100, en voici le résultat :

Routeur 2500# show access-list 100
            Extended IP access list 100
            pemit icmp any any echo  (13 matches)
pemit icmp any any echo-reply  (15001 matches)
pemit ip any any  (105 matches)

2. A la lumière de ces informations, pouvez-vous dire à quoi sert l’ACL ?
3. Expliquez le principe d’une attaque de type « smurf » en faisant un schéma.