Skip to content

Sécuriation avec les ACLs

Antispoofing

ACL-02 Inbound on S0/0/0 

R1(config)# access-list 150 deny ip host 0.0.0.0 any 
R1(config)# access-list 150 deny ip 10.0.0.0 0.255.255.255 any
R1(config)# access-list 150 deny ip 127.0.0.0 0.255.255.255 any
R1(config)# access-list 150 deny ip 172.16.0.0 0.15.255.255 any
R1(config)# access-list 150 deny ip 192.168.0.0 0.0.255.255 any
R1(config)# access-list 150 deny ip 224.0.0.0 15.255.255.255 any
R1(config)# access-list 150 deny ip host 255.255.255.255 any

Inbound on G0/0 

R1(config)# access-list 105 permit ip 192.168.1.0 0.0.0.255 any

ICMP Abuse

Les pirates peuvent utiliser les paquets echo du protocole ICMP pour découvrir des sous-réseaux et des hôtes sur d'un réseau et pour générer des attaques par inondation de DoS. Les pirates peuvent utiliser les messages de redirection ICMP pour modifier les tables de routage des hôtes. Les messages d'écho et de redirection ICMP doivent être bloqués en entrée par le routeur.

Plusieurs messages ICMP sont recommandés pour le bon fonctionnement du réseau et doivent être autorisés à entrer dans le réseau interne :

  • Echo reply - Permet aux utilisateurs d'envoyer un ping à des hôtes externes.
  • Source quench - Demande à l'expéditeur de diminuer le taux de trafic des messages.

  • Unreachable - Générée pour les paquets qui sont administrativement refusés par un ACL.

  • Echo - Permet aux utilisateurs d'envoyer des pings à des hôtes externes.

  • Parameter problem - Informe l'hôte des problèmes d'en-tête de paquet.
  • Packet too big - Permet la découverte de l'unité de transmission maximale du paquet (MTU).
  • Source quench - Réduit le trafic si nécessaire.

ACL-03 Inbound on S0/0/0 

R1(config)# access-list 112 permit icmp any any echo-reply
R1(config)# access-list 112 permit icmp any any source-quench 
R1(config)# access-list 112 permit icmp any any unreachable
R1(config)# access-list 112 deny icmp any any 
R1(config)# access-list 112 permit ip any any

Inbound on G0/0 

R1(config)# access-list 114 permit icmp 192.168.1.0 0.0.0.255 any echo
R1(config)# access-list 114 permit icmp 192.168.1.0 0.0.0.255 any parameter-problem
R1(config)# access-list 114 permit icmp 192.168.1.0 0.0.0.255 any packet-too-big 
R1(config)# access-list 114 permit icmp 192.168.1.0 0.0.0.255 any source-quench
R1(config)# access-list 114 deny icmp any any
R1(config)# access-list 114 permit ip any any