annuler
Affichage des résultats de 
Rechercher plutôt 
Vouliez-vous dire : 
cancel
Annonces
Community Live - Mai 2020
274
Visites
0
Compliment
1
Réponses
Zoulman
Beginner

Blocage et limitation du protocole FTP via des ACL

Bonjour à tous,

 

Dans le cadre d'un projet scolaire, j'ai du créer un réseau étendu d'entreprise. J'ai d'ailleurs été beaucoup aidé par les contributeurs de ce forum! J'ai donc créé une maquette packet-tracer ou sont représentés 5 sites qui communiquent ensemble via du frame-relay (l'exercice ne demandait pas que l'on mette en place une infrastructure FAI réaliste, j'ai donc utilisé l'objet "Cloud_PT" de packet tracer pour la représenter et faire du FrameRelay).

 

Screen_Cisco.png

 

 

Mon problème est le suivant: Je souhaite faire en sorte de mettre en place des taches de sauvegarde automatisées des configurations de tous les périphériques réseau de mon réseau étendu. Pour ce faire, j'ai mis en œuvre un serveur FTP situé à Lille (Le site représenté par le cercle vert clair en haut à gauche). 

 

Du fait que j'utilise les routeurs internes de mes sites comme pares-feux (avec ACL), j'ai commencé par créer une règle autorisant le trafic FTP entrant sur le site de Lille, uniquement avec l'adresse de mon serveur FTP en destination en spécifiant que les flux ne pouvaient venir que depuis des adresses en 10.0.0.0/20.

 

Étant consciencieux, j'ai voulu vérifier que mon ACL était bien prise en compte. J'ai donc effacé la première ACL que j'avais crée pour en faire une autre censé interdire tout trafic FTP à destination de Lille. C'est alors que je suis rendu compte qu'elle n'avait aucun effet...

 

J'ai effectué mes divers tests en utilisant la fonction "copy running-config ftp" sur un switch d'un autre site (Celui de Dax, représenté par le cercle de couleur jaune sous celui de Lille).

 

Ce que j'ai fait:

 

 

  1. J'ai configuré le switch DAX-SW-001 afin de spécifier qu'il devait fonctionner en FTP passif. J'ai ensuite rensigné les identifiants du serveur FTP.
  2. Dans les routeurs  LIL-RO-001 et 002, j'ai modifié mes ACL afin d'interdire en entrée sur le site en général et sur le LAN de production en particulier les flux FTP.

 

Pensez-vous que j'ai raté une étape ou est-ce une limitation de Packet-Tracer? Vous trouverez en PJ la configuration de mes pares-feux, ainsi que ma maquette au cas ou je n'aurais pas été assez explicite!

 

Merci d'avance et bonne journée à vous! 

1 RÉPONSE 1
Francesco Molino
VIP Mentor

Bonjour

Pouvez vous mettre le keyword log sur votre acl pour voir si le trafic est catché?
Aussi pourriez vous faire un debug ip packet avec une acl spécifiant le trafic ftp uniquement et valider qu'il passe bien par la bonne interface sur votre routeur.
Je n'ai pas trouvé le nom du routeur du fichier de configuration sur votre schéma.


Thanks
Francesco
PS: Please don't forget to rate and select as validated answer if this answered your question
Content for Community-Ad

Vidéo - Webcast Security de Juin 2019