Cisco 827 , cherche config acl sécurisé [Réglé] - Windows & Software
Marsh Posté le 10-05-2004 à 16:19:04
ACL IP :
Elles permettent de filtrer le trafic. Elles peuvent être nommées et doivent être appliquées au plus près du trafic concerné.
Numéro attribution ACL
On affecte aux ACLs un numéro :
Protocole Plage
IP 1-99
IP étendu 100-199
Appletalk 600-699
IPX 800-899
IPX étendu 900-999
Protocole IPX Service Advertising 1000-1099
ACL standard Vs ACL étendues
Les ACLs standards permettent dinterdire ou dautoriser un host ou un réseau sans distinction du protocole de couche 4 et/ou du port utilisé.
Les ACLs étendues permettent de filtrer de manière plus précise en vérifiant les adresses dorigine, de destination, le protocole utilisé (TCP, UDP ou ICMP), ainsi que le numéro de port utilisé (TCP 80, TCP 21, TCP25, UDP 53
). Ce type dACL implique un plus grand temps de latence, et une syntaxe plus complexe.
Assignation dune ACL standard ou étendue à une interface :
Syntaxe :
Router(config-if)# {protocole} access-group {N° liste daccès} {in|out}
Exemple :
Router(config-if)# ip access-group 1 in
Router(config-if)# ip access-group 101 out
Remarque:
Out est la valeur par défaut.
ACL standard
Définition dune liste ACL :
Syntaxe :
Router(config)# access-list {N° liste daccès} {permit|deny} {condition}
Exemple :
Router(config)# access-list 1 permit 10.10.0.0 0.0.255.255
Autorise le trafic en provenance du réseau 10.10.0.0/16
Router(config)# access-list 2 deny 10.20.0.0 0.0.255.255
Interdit le trafic en provenance du réseau 10.20.0.0/16
Commandes Spécifiques:
Any
Sert à indiquer nimporte quelle adresse.
Equivaut à « 0.0.0.0 255.255.255.255 »
Exemple :
Router(config)# access-list 1 permit 0.0.0.0 255.255.255.255
Equivaut à :
Router(config)# access-list 1 permit any
Host
Sert à indiquer une ip spécifique.
Equivaut à « x.y.w.z 0.0.0.0 »
Exemple :
Router(config)# access-list 1 permit x.y.w.z 0.0.0.0
Equivaut à :
Router(config)# access-list 1 permit host x.y.w.z
ACL Etendue:
Définition de dune liste ACL étendue :
Syntaxe :
Router(config)# access-list {N° liste daccès} {permit|deny} [protocole] source [source_mask] [operateur operant] destination [destination_mask] [operateur operant] established
Paramètre Description
N° liste daccès 100-199
Permit|Deny Autorise ou bloque
Protocole IP, TCP, UDP ou ICMP
Source et Destination @IP source / @IP destination
Mask source et Mask destination Complément à 1 du masque souhaité
Operateur operant If, gt, lt, eq, neq suvi dun N° de port
Established Permet au trafic de passer, si celui-ci utilise une connexion établie (ACK)
Exemple :
Router(config)# access-list 101 deny tcp 10.10.0.0 0.0.255.255 any eq 21
Bloque le trafic ftp en provenance du réseau 10.10.0.0/16 vers toute destination.
Router(config)# access-list 101 permit ip 10.10.0.0 0.0.255.255 any
Autorise le reste du trafic en provenance de ce même réseau.
Remarque :
Linstruction deny any any est implicite.
Vérification dACL :
Show ip interface :
Fournit les informations relatives à linterface
Affiche si des ACL sont configurés sur ces interfaces
Show access-list
Affiche le contenu de toutes les listes de contrôle daccès.
Hope it will help
Marsh Posté le 10-05-2004 à 20:57:21
Merci Tiramissu75
@vrobaina
Ouais pq ??
---
sinon je me suis fait ma petite config sécurisée qui passe tous les tests de sécurités PC flank , grc an co.
Code :
|
vous en pensez quoi les gars ???
Marsh Posté le 10-05-2004 à 21:01:00
Pas mal mais j'aurai rajouter sur l'ACL 111 des deny sur les adresses IP lan.
Marsh Posté le 10-05-2004 à 21:06:57
Voice les 2 ACL que j'ai sur le mien :
access-list 102 remark flux sortant
access-list 102 deny udp any any eq netbios-ns
access-list 102 deny udp any any eq netbios-dgm
access-list 102 deny udp any any eq netbios-ss
access-list 102 deny tcp any any eq 135
access-list 102 deny udp any any eq 135
access-list 102 deny tcp any any eq 139
access-list 102 permit ip 10.10.10.0 0.0.0.255 any
access-list 102 deny ip any any
access-list 111 remark Flux Entrant
access-list 111 deny ip 10.0.0.0 0.255.255.255 any
access-list 111 deny ip 127.0.0.0 0.255.255.255 any
access-list 111 deny ip host 0.0.0.0 any
access-list 111 deny ip any host 255.255.255.255
access-list 111 deny ip host 255.255.255.255 any
access-list 111 permit icmp any any unreachable
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any source-quench
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any ttl-exceeded
access-list 111 deny icmp any any
access-list 111 permit udp any eq isakmp any eq isakmp
access-list 111 permit gre any any
access-list 111 permit tcp any any eq 1723
access-list 111 permit tcp any any eq 1731
access-list 111 deny ip any any
Marsh Posté le 10-05-2004 à 21:15:19
Citation : access-list 111 permit tcp any any eq 1731 |
sa correspond à quoi ces régles ???
1723 c'est pour MSN et Net Meeting mais 1731 ???
PS : les ports 9999-1000 c pour la mule et 10002-10003 pour bitto
Marsh Posté le 10-05-2004 à 21:26:51
Ces 3 lignes sont optionelles :
port 1723 : c'est pour faire du pppt
port 1731 : VPN Ipsec.
La 3ieme : de tete (je ne connais par coeur les RFC consernant les trames ICMP...) c'est une trame icmp qui contient un code retour/erreur.
Marsh Posté le 10-05-2004 à 21:31:45
seiyar a écrit :
|
Chez moi le 9999 c'est pour VNC, le 10000 c'est WebMin.
Qt aux softs de p2p, je n'utilise aucun ports par defaut.
Marsh Posté le 10-05-2004 à 21:34:19
Par contre as-tu un IOS contenant les fonctions de Firewall ?. Car dans ta confgi, je ne vois aucunes lignes du genre :
ip inspect name myfw udp timeout 15
ip inspect name myfw tcp timeout 3600
...
Marsh Posté le 10-05-2004 à 21:45:08
ouais j'ai le dernier IOS le 12.3
j'ai pas fait un copier coller de tout voila pq
Code :
|
h323 c pour MSN (sa marche nickel pour les transferts de fichiers ,les conférences audio et video)je me suis gouré taleur avec le port 1723
Marsh Posté le 10-05-2004 à 21:47:36
ReplyMarsh Posté le 10-05-2004 à 21:47:42
Je vois qu'on a le meme IOS et pratiquement le meme parametrage.
Marsh Posté le 10-05-2004 à 21:51:14
vrobaina a écrit : Je vois qu'on a le meme IOS et pratiquement le meme parametrage. |
yes mais pas la même maitrise du routeur , moi je suis un newb avec Cisco , j'avais fais une formation Admin Réseaux (W2k Server-Unix Linux ,Cisco) , j'ai pratiquement oubliés pas mal de truc par manque de pratique , bah ouais les entreprises ne laissent pas les débutants faire leur preuves
Marsh Posté le 05-06-2004 à 20:40:39
J'ai un cisco c827 avec le dernier IOS c820-oy6-mz.123-8.T.bin , ios 12.3(8)T
voici mon sh run
Code :
|
si quelqu'un pouvais améliorer mes ACL sa serait sympas , de tels sorte que je puisse pinger vers le WAN , et interdire le WAN de pinguer mon routeur , je passe tous les tests de sécurité , grc,pc flank mise à part celui ci , sygate udp scan , si vous pouviez me régler çà sa serais sympas
http://scan.sygatetech.com/preudpscan.html
merci @+++
Marsh Posté le 15-06-2004 à 00:15:18
c'est bon les gars j'ai trouvé des ACL de tueur , voici ma nouvelle config de tueur qui passe tous les test de sécus ...
Code :
|
voilà je me suis inspirer de ce site
http://www.net130.com/2004/5-16/133627.html
merci les chinois
Marsh Posté le 08-05-2004 à 13:33:20
Hi All ,
Je recherche des ACL pour sécurisés mon routeur , en bloquant tout , et en autorisant que les truc de bases , telnet ,dns, pop , smtp et ftp .
merci des régles antispoofing et macspoofing m'intéresse aussi , car mon c827 ne passe pas les test grs hallucinant pour un matos de haute gamme .
et merci de m'indiquer la procédure pour créer et appliquer des ACL en français svp ( je ne veux pas de liens vers des sites cisco qui sont pas claires et puis débrouille toi )
Merci d'avance
pour info je n'ai qu'un pc connecté au routeur
IP :10.0.0.1
Mask:255.0.0.0
Gateway 10.0.0.138
Message édité par seiyar le 15-06-2004 à 00:16:43