Terminaux virtuels (VTY) Sécurité - TP Listes d'Accès pour Terminaux virtuels (VTY)
Listes de contrôle d'accès standard PC1 PC3 Routeur 1 Routeur 2 Paris Lyon PC2 PC4 Lo0 Objectif Utiliser les commandes access-class et line pour contrôler l’accès au routeur via Telnet. Scénario Le bureau principal de la société, qui se trouve à Gadsden (GAD), offre des services aux agences telles que le bureau de Birmingham (BHM). Seuls les systèmes qui font partie du réseau local doivent pouvoir accéder au routeur via telnet. Pour ce faire, il faut créer une liste de contrôle d’accès standard qui permettra aux utili- sateurs du réseau local d’accéder au routeur local via telnet. La liste de contrôle d’accès sera alors appliquée aux lignes du terminal virtuel (vty).
Données de configuration Nom du Routeur Adresse Fa0/0 S0/0 Type Interface Adresse S0/0 Adresse Lo0 Routage Mot de passe VTY Paris 192.168.1.1/24 DCE 192.168.2.1/24 172.16.1.1/24 RIPv2 class Lyon 192.168.3.1/24 DTE 192.168.2.2/24 Hôte Adresse IP PC1 192.168.1.2/24 PC2 192.168.1.3/24 PC3 192.168.3.2/24 PC4 192.168.3.3/24
Configuration - Avant d'effectuer toute configuration, effacer la configuration en NVRAM et recharger le routeur si cela est nécessaire. Etape1 Interconnexion de base des routeurs a. Connectez les routeurs comme indiqué dans le schéma. Etape 2 Configuration de base a. A l’aide des informations des tables précédentes, configurez le routeur et l’hôte puis vérifiez l’accessibilité en envoyant, depuis chaque systè- me, une requête ping à tous les systèmes et à tous les routeurs. b. Envoyez ensuite une requête telnet à partir des hôtes, à la fois au routeur local et au routeur distant. Etape 3 Créez la liste de contrôle d’accès représentant le réseau local de Paris a. Le réseau local de Gadsden utilise l’adresse réseau 192.168.1.0 /24. Pour créer la liste de contrôle d’accès autorisant cette adresse, utilisez les commandes suivantes : Paris(config)#access-list 1 permit 192.168.1.0 0.0.0.255 Etape 4 Appliquez la liste de contrôle d’accès afin d’autoriser seulement le réseau local de Paris. a. Maintenant que vous avez créé la liste, vous devez l’appliquer aux lignes vty. Cela aura pour effet de restreindre l’accès au routeur via Telnet. Même s’il est possible d’appliquer la liste séparément à chaque interface, il est plus simple de l’appliquer à toutes les lignes vty à l’aide d’une seule instruction. Pour ce faire, entrez en mode interface pour les 5 lignes en utilisant la commande de configuration globale line vty 0 4. Pour le routeur Gadsden, entrez la commande suivante : Paris(config)#line vty 0 4 Paris(config-line)#access-class 1 in Paris(config-line)#^Z
Etape 5 Testez la restriction a. Testez le fonctionnement de la liste de contrôle d’accès à l’aide d’une connexion Telnet et vérifiez que le résultat escompté est atteint (envoi autorisé ou refusé selon le cas). [ ] vérifier que l’hôte 1 PEUT envoyer une requête telnet au routeur Paris [ ] vérifier que l’hôte 2 PEUT envoyer une requête telnet au routeur Paris [ ] vérifier que l’hôte 3 NE PEUT PAS envoyer de requête telnet au routeur Paris [ ] vérifier que l’hôte 4 NE PEUT PAS envoyer de requête telnet au Etape 6 Créez les restrictions pour le routeur Lyon a. Répétez la procédure décrite ci-dessus pour restreindre l’accès au routeur BHM via telnet. Avec cette restriction, seuls les hôtes du réseau local de Lyon doivent pouvoir accéder au routeur Lyon via telnet. b. Testez le fonctionnement de la liste de contrôle d’accès à l’aide d’une connexion telnet et vérifiez que le résultat escompté est atteint (envoi [ ] vérifier que l’hôte 1 NE PEUT PAS envoyer de requête telnet au routeur Lyon [ ] vérifier que l’hôte 2 NE PEUT PAS envoyer de requête telnet au [ ] vérifier que l’hôte 3 PEUT envoyer une requête telnet au routeur Lyon [ ] vérifier que l’hôte 4 PEUT envoyer une requête telnet au routeur
Etape 7 Décrivez par écrit la liste de contrôle d’accès a. Toute administration réseau doit comporter une documentation. Utilisez le fichier texte créé pour la configuration et ajoutez-y des commentaires. b. Le fichier doit être sauvegardé avec le reste de la documentation réseau. La convention d'attribution de noms doit refléter la fonction du fichier et indiquer la date de mise en œuvre. c. Lorsque vous avez terminé, effacez la configuration de démarrage sur les routeurs, retirez les câbles et les adaptateurs, puis rangez-les. Enfin, déconnectez-vous et mettez les routeurs hors tension.