sécurisation routeur cisco 881 déployant le vpn - Sécurité - Systèmes & Réseaux Pro
Marsh Posté le 12-10-2012 à 12:29:24
Bah access-list qui empêche le ping des adresses autres que celle de ton siège
Marsh Posté le 12-10-2012 à 12:29:40
ReplyMarsh Posté le 12-10-2012 à 13:34:00
Citation : access-list qui empêche le ping des adresses autres que celle de ton siège |
pas seulement les ping mais tout accès
j'ai créé une acl étendue dont la syntaxe générale est la suivante:
IP ACCESS-LIST EXTENDED SECURITY
PERMIT IP HOST @publik_routeur_agence_distante HOST @publik_routeur_cisco
PERMIT ICMP HOST @publik_routeur_agence_distante HOST @publik_routeur_cisco ECHO
PERMIT ICMP HOST @publik_routeur_agence_distante HOST @publik_routeur_cisco ECHO-REPLY
DENY IP ANY ANY
EXIT
INTERFACE F4
IP ADDRESS @IP_PUBLIK SUBNET_MASK
IP NAT OUTSIDE
IP VIRTUAL-REASSEMBLY
IP-ACCESS GROUP SECURITY IN
le problème est que lorsque je l'applique comme présenté ci-haut ça stoppe carrément la connexion internet. je ne sais pas où j'ai commis une erreur,éclairez moi s'il vous?
Marsh Posté le 12-10-2012 à 14:41:45
Début de réponse surement : http://www.cisco.com/en/US/docs/io [...] eflex.html
Sinon corrigez-moi si je me trompe, mais tes 2 permit ICMP ne servent à rien si tu as un permit IP au-dessus.
Marsh Posté le 12-10-2012 à 14:45:10
je suis d'accord avec toi !! ce que je ne comprend pas c'est pourquoi est-ce que la connexion à internet est stoppée immédiatement.
Marsh Posté le 12-10-2012 à 14:49:20
Bah simple, tout ce qui ne vient pas de ton adresse publique distante est droppé, y compris donc les connexions "internet" vers ton LAN.
Marsh Posté le 12-10-2012 à 14:55:36
si j'autorise les connexions internet, ça ne remplirai pas ma stratégie de sécurité( autrui pourrait accéder, meme en faisant un simple ping à mon adresse ce que je ne veux pas). seules mes @ ip distantes et les sessions établies depuis mon LAN peuvent accéder au routeur. comment faire?
Marsh Posté le 12-10-2012 à 15:12:35
Reflexive access lists allow IP packets to be filtered based on upper-layer session information. You can use reflexive access lists to permit IP traffic for sessions originating from within your network but to deny IP traffic for sessions originating from outside your network. This is accomplished by reflexive filtering, a kind of session filtering.
Mais :
Reflexive access lists do not work with some applications that use port numbers that change during a session. For example, if the port numbers for a return packet are different from the originating packet, the return packet will be denied, even if the packet is actually part of the same session.
The TCP application of FTP is an example of an application with changing port numbers. With reflexive access lists, if you start an FTP request from within your network, the request will not complete. Instead, you must use Passive FTP when originating requests from within your network.
Marsh Posté le 12-10-2012 à 15:19:39
j'ai pensé à utiliser le parefeu intégré de CISCO ( le CBAC par exemple). j'aimerai savoir si c'est une solution pour résoudre mon problème? s'il y'en a d'autres proposez les moi
Marsh Posté le 12-10-2012 à 15:30:59
Oui aussi, c'est plus évolué que les reflexive access list et ça inspecte de manière plus évoluée les paquets.
Marsh Posté le 12-10-2012 à 12:11:15
bonjour à vous . j'ai un routeur cisco 881 (situé à la direction générale) sur lequel j'ai déployé un VPN pour qu'il communique avec les routeurs des différentes agences de manière sécurisée. ce qui se fait sans problème. maintenant j'aimerai que seules les adresses publiques de mes différentes agences puissent communiquer avec le routeur cisco. je n'aimerai meme pas qu'une adresse publique étrangère puisse faire un ping à l'adresse publique de mon routeur cisco. comment puis-je procéder pour réaliser cette stratégie de sécurité