2LIOT TP sécurité informatique 2023-2024

TP5 : Les listes de contrôle d’accès étendues

Définition :

Les listes d’accès étendues permettent de filtrer les paquets au niveau de la couche transport du
modèle OSI en fonction de plusieurs paramètres : Adresse IP source, Adresse IP destination,
Protocole (tcp, udp, icmp, …), Port source, Port destination, Etc.

Les listes de contrôle d’accès étendues sont à appliquer le plus proche possible de la source.

Configuration des listes de contrôle d’accès étendue :

• Vérification des ACLs :

Pour vérifier les listes de contrôle d’accès, on utilise la syntaxe suivante :

Router#show access-lists

I. Configuration d’une ACL étendue numérotée :

Les listes de contrôle d'accès étendues numérotée peuvent utiliser des numéros entre 100 à 199.

La procédure est la même que la liste d’accès standard, avec la syntaxe suivante :

Router (config)# access-list numéro-liste-accès {permit|deny} protocole @ IP source

masque générique [opérateur [port]] @ IP destination masque générique [opérateur [port]]
[established] [log]

Paramètre Description
numéro-liste-
Entre 100 et 199
accès
Identifie le protocole concerné : IP, TCP, ICMP, UDP, IGRP, OSPF,
protocole
EIGRP
opérateur Fonction conditionnelle : eq, lt, gt, ne, range
Port N° de port (peut être remplacé par son nom)
established Permet au trafic TCP de passer si le paquet utilise une connexion établie
Permet de préciser si les correspondances trouvées pour la liste d’accès
log
doivent être consignées

1
2LIOT TP sécurité informatique 2023-2024

Exemple : Router(config)# access-list 101 deny tcp any host 172.16.4.1 range 20 23

access-list 101 permit tcp any host 172.16.4.1 eq smtp

Cette commande permet de bloquer les services TCP (20 à 23) à destination de 172.16.4.1, et
d’autoriser uniquement le service de messagerie (SMTP) vers cette même machine.

• Pour Assigner la liste à une interface, on utilise la syntaxe suivante :

Router(config-if)# ip access-group numéro-liste-accès [in|out]

• Pour supprimer une liste d’accès étendue, on utilise la syntaxe suivante :

Router(config)#no access-list numéro-liste-accès
II. Configuration d’une ACL étendue nommée :
• Pour créer une liste de contrôle d’accès étendue nommée, on utilise la syntaxe suivante :

Router(config)#ip access-list extended nom-liste-accès

Router (config-ext-nacl)# {permit|deny} protocole @ IP source masque générique

[opérateur [port]] @ IP destination masque générique [opérateur [port]]

Router (config-ext-nacl)#exit

• Pour Assigner la liste à une interface, on utilise la syntaxe suivante :

Router(config-if)# ip access-group nom-liste-accès [in|out]

• Pour supprimer une liste d’accès étendue, on utilise la syntaxe suivante :

Router(config)#no ip access-list extended nom-liste-accès
• Pour supprimer l'association de la liste de contrôle à une interface, on utilise la syntaxe
suivante :
Router(config-if)#no ip access-group nom-liste-accès [in|out]

OUTILS UTILISÉS :

Logiciel Packet Tracer 8.0

2
2LIOT TP sécurité informatique 2023-2024

Travail à réaliser : On considère le réseau suivant :

Interface Adresse IP Masque Passerelle par défaut

G0/0 172.22.34.65 255.255.255.224

R1 G0/1 172.22.34.97 255.255.255.240 N/A

G0/2 172.22.34.1 255.255.255.192

Serveur NIC 172.22.34.62 255.255.255.192 172.22.34.1

PC1 NIC 172.22.34.66 255.255.255.224 172.22.34.65

PC2 NIC 172.22.34.98 255.255.255.240 172.22.34.97

Objectifs :

Configurer, appliquer et vérifier les listes de contrôle d’accès étendues numérotées et nommées.

Scénario :

Deux employés ont besoin d’accéder aux services fournis par le serveur. PC1 n’a besoin que
d’un accès FTP tandis que PC2 n’a besoin que d’un accès Web. Les deux ordinateurs peuvent
envoyer une requête ping au serveur, mais pas l’un à l’autre.

3
2LIOT TP sécurité informatique 2023-2024

Partie 1 : Configurer, appliquer et vérifier une liste de contrôle

d’accès numérotée étendue

Étape 1 : Configurez une liste de contrôle d’accès pour autoriser FTP et

ICMP

Dans cette partie, vous allez configurer et appliquer la liste d’accès 100 pour restreindre l’accès
du PC1 au serveur.

1. Créer une première instruction de la liste d’accès permettant d’autoriser l’accès FTP du
PC1 au serveur.
2. Créer une deuxième instruction de liste d’accès pour autoriser le trafic ICMP (ping, etc.)
de PC1 vers le serveur. Notez que le numéro de la liste d’accès reste le même et
qu’aucun type particulier de trafic ICMP ne doit être spécifié.
3. Tous les autres trafics sont refusés, par défaut.

Étape 2 : Appliquez l’ACL sur la bonne interface pour filtrer le trafic

Du point de vue de R1, le trafic auquel la liste de contrôle d’accès 100 s’applique provient du
réseau connecté à l’interface Gigabit Ethernet 0/0.

Entrer en mode de configuration d’interface et appliquez la liste de contrôle d’accès.

Étape 3 : Vérifiez l’implémentation de l’ACL 100

1. Réaliser un ping de PC1 vers Server. Si les pings échouent, vérifiez les adresses IP avant
de continuer.
2. FTP de PC1 vers Server. Le nom d’utilisateur et le mot de passe sont tous deux cisco.
3. Réaliser un ping de PC1 à PC2. L’hôte de destination doit être inaccessible, car le trafic
n’est pas explicitement autorisé.

Partie 2 : Configurer, appliquer et vérifier une liste de contrôle

d’accès nommée étendue

Étape 1 : Configurez une liste de contrôle d’accès pour autoriser l’accès

HTTP et ICMP

4
2LIOT TP sécurité informatique 2023-2024

Dans cette partie, vous allez configurer et appliquer la liste d’accès nommée HTTP_ONLY
pour restreindre l’accès du PC2 au serveur.

1. Entrer en mode de configuration ACL nommée étendue.

2. Créer une première instruction de la liste d’accès permettant d’autoriser l’accès Web du
PC2 au serveur.
3. Créer une deuxième instruction de liste d’accès pour autoriser le trafic ICMP (ping, etc.)
de PC2 vers le serveur. Remarque : Il n’est pas nécessaire de spécifier un type spécifique
de trafic ICMP.
4. Tous les autres trafics sont refusés. Quitter le mode de configuration ACL nommé
étendu

Étape 2 : Appliquez l’ACL sur la bonne interface pour filtrer le trafic

Du point de vue de R1, le trafic auquel la liste d’accès s’applique HTTP_ONLY est en
provenance du réseau connecté à l’interface Gigabit Ethernet 0/1.

Entrer dans le mode de configuration de l’interface et appliquez l’ACL.

Étape 3 : Vérifiez l’implémentation de l’ACL HTTP_ONLY

1. Réaliser un ping de PC2 vers Server. Le ping doit réussir, si le ping échoue, vérifiez les
adresses IP avant de continuer.
2. FTP de PC2 vers Server. La connexion doit échouer.
3. Ouvrer le navigateur Web sur PC2 et entrez l’adresse IP du serveur comme URL. La
connexion doit réussir.