Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1928 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  sécurisation routeur cisco 881 déployant le vpn

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

sécurisation routeur cisco 881 déployant le vpn

n°101991
sarusman
volonté est la clé du succès
Posté le 12-10-2012 à 12:11:15  profilanswer
 

bonjour à vous . j'ai un routeur cisco 881 (situé à la direction générale) sur lequel j'ai déployé un VPN pour qu'il communique avec les routeurs des différentes agences de manière sécurisée. ce qui se fait sans problème. maintenant j'aimerai que seules les adresses publiques de mes différentes agences puissent communiquer avec le routeur cisco. je n'aimerai meme pas qu'une adresse publique étrangère puisse faire un ping à l'adresse publique de mon routeur cisco. comment puis-je procéder pour réaliser cette stratégie de sécurité

mood
Publicité
Posté le 12-10-2012 à 12:11:15  profilanswer
 

n°101994
teflon
Et si le luxe c'était l'espace
Posté le 12-10-2012 à 12:29:24  profilanswer
 

Bah access-list qui empêche le ping des adresses autres que celle de ton siège :/

n°101995
fievel
Posté le 12-10-2012 à 12:29:40  profilanswer
 

Tu vas devoir créer des règles sur les pare-feux.


---------------
StatsBOINC
n°102002
sarusman
volonté est la clé du succès
Posté le 12-10-2012 à 13:34:00  profilanswer
 

Citation :

access-list qui empêche le ping des adresses autres que celle de ton siège


pas seulement les ping mais tout accès
 
j'ai créé une acl étendue dont la syntaxe générale est la suivante:
 
IP ACCESS-LIST EXTENDED SECURITY
    PERMIT IP HOST @publik_routeur_agence_distante HOST @publik_routeur_cisco
    PERMIT ICMP HOST @publik_routeur_agence_distante HOST @publik_routeur_cisco ECHO
    PERMIT ICMP HOST @publik_routeur_agence_distante HOST @publik_routeur_cisco ECHO-REPLY
    DENY IP ANY ANY
EXIT
 
INTERFACE F4
   IP ADDRESS @IP_PUBLIK SUBNET_MASK
   IP NAT OUTSIDE
  IP VIRTUAL-REASSEMBLY
  IP-ACCESS GROUP SECURITY IN  
 
  le problème est que lorsque je l'applique comme présenté ci-haut ça stoppe carrément la connexion internet. je ne sais pas où j'ai commis une erreur,éclairez moi s'il vous?
 
   
   

n°102011
teflon
Et si le luxe c'était l'espace
Posté le 12-10-2012 à 14:41:45  profilanswer
 

Début de réponse surement : http://www.cisco.com/en/US/docs/io [...] eflex.html
 
Sinon corrigez-moi si je me trompe, mais tes 2 permit ICMP ne servent à rien si tu as un permit IP au-dessus.

n°102013
sarusman
volonté est la clé du succès
Posté le 12-10-2012 à 14:45:10  profilanswer
 

je suis d'accord avec toi !! ce que je ne comprend pas c'est pourquoi est-ce que la connexion à internet est stoppée immédiatement.  :pfff:

n°102016
teflon
Et si le luxe c'était l'espace
Posté le 12-10-2012 à 14:49:20  profilanswer
 

Bah simple, tout ce qui ne vient pas de ton adresse publique distante est droppé, y compris donc les connexions "internet" vers ton LAN.

n°102021
sarusman
volonté est la clé du succès
Posté le 12-10-2012 à 14:55:36  profilanswer
 

si j'autorise les connexions internet, ça ne remplirai pas ma stratégie de sécurité( autrui pourrait accéder,  meme en faisant un simple ping à mon adresse ce que je ne veux pas).  seules mes @ ip distantes et les sessions établies depuis mon LAN peuvent accéder au routeur. comment faire?

n°102024
teflon
Et si le luxe c'était l'espace
Posté le 12-10-2012 à 15:12:35  profilanswer
 

Reflexive access lists allow IP packets to be filtered based on upper-layer session information. You can use reflexive access lists to permit IP traffic for sessions originating from within your network but to deny IP traffic for sessions originating from outside your network. This is accomplished by reflexive filtering, a kind of session filtering.  
 
Mais :
Reflexive access lists do not work with some applications that use port numbers that change during a session. For example, if the port numbers for a return packet are different from the originating packet, the return packet will be denied, even if the packet is actually part of the same session.
 
The TCP application of FTP is an example of an application with changing port numbers. With reflexive access lists, if you start an FTP request from within your network, the request will not complete. Instead, you must use Passive FTP when originating requests from within your network.

n°102025
sarusman
volonté est la clé du succès
Posté le 12-10-2012 à 15:19:39  profilanswer
 

j'ai pensé à utiliser le parefeu intégré de CISCO ( le CBAC par exemple). j'aimerai savoir si c'est une solution pour résoudre mon problème? s'il y'en a d'autres proposez les moi

mood
Publicité
Posté le 12-10-2012 à 15:19:39  profilanswer
 

n°102027
teflon
Et si le luxe c'était l'espace
Posté le 12-10-2012 à 15:30:59  profilanswer
 

Oui aussi, c'est plus évolué que les reflexive access list et ça inspecte de manière plus évoluée les paquets.


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  sécurisation routeur cisco 881 déployant le vpn

 

Sujets relatifs
Modem routeur, DHCP déactivé ?QOS sur routeur Cisco
Pb VPN CiscoInterconnexion Alcatel et Cisco
[Résolu] Erreur mémoire sur cisco 3750PARTAGE DE LA CONNEXION PAR UN ROUTEUR MIKROTIK
[RESOLU] CISCO VLAN niv. 3 IsolationCisco Catalyst Lite
configuraton routeur mikrotik 
Plus de sujets relatifs à : sécurisation routeur cisco 881 déployant le vpn


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR