| Sécurisation des routeurs Cisco 54
Chapitre3 : Politique de sécurité
Access-list contre le spoofing
L'Access-List suivante interdit l'accès au réseau pour tous les datagrammes en provenance de l'extérieur, dont :
L‟adresse source est locale (127.0.0.0, 0.0.0.0)
L‟adresse source est privée (10.0.0.0, 172.16.0.0 et 192.168.0.0),
L‟adresse source est une adresse multicast (224.0.0.0) ou broadcast (255.255.255.255) L‟adresse source est sur le réseau interne
access-list 100 deny IP 127.0.0.0 0.255.255.255 any access-list 100 deny IP 10.0.0.0 0.255.255.255 any access-list 100 deny IP 224.0.0.0 31.255.255.255 any access-list 100 deny IP host 0.0.0.0 any
access-list 100 deny IP host 255.255.255.255 any
access-list 100 deny IP 192.168.0.0 0.0.255.255 any
access-list 100 deny IP 172.16.0.0 0.0.255.255 any
access-list 100 deny IP numéro-sous-réseau masque-sous-réseau any access-list 100 permit IP any any
Cette Access-List doit rtre appliquée sur toutes les interfaces externes à l‟aide de lacommande
suivante:
IP Access-Group 100 in
Il est possible aussi de limiter le spoofing sur le réseau interne. L'Access-List suivante ne peut pas empêcher un utilisateur d'usurper une autre adresse IP du réseau, mais elle l'empêche d'usurper une adresse externe.
Access-List 101 permit IP 10.0.10.0 10.0.10.254 any Access-List 101 deny IP any any
Elle est appliquée sur l'interface du réseau interne:
IP Access-Group 101 in
Share with your friends: | 
