TP CISCO ACL

Filtrage des paquets : configuration des ACL sur un routeur Cisco 1 Gnralits

SEN

Ce cours ainsi que les Tp qui suivront vont vous permettre de manipuler les ACL des routeurs Cisco. Les ACL (en anglais Acces Control Lists ) ou en Franais Listes de Contrle dAccs , vous permettent dtablir des rgles de filtrage sur les routeurs, pour rgler le trafic des datagrammes en transit. Les ACL permettent de mettre en place un filtrage dit statique des datagrammes, c'est-dire dinstaurer un certain nombre de rgles appliquer sur les champs concerns des en-ttes des divers protocoles.

Fonctionnement des ACL

2.1 Gnralits
Quelque soit le type dACL dont il sagit ; leur utilisation se fait toujours selon les mmes principes gnraux : Premire tape : En mode config , on cre une ACL, c'est--dire une liste de rgles. Chaque rgle est du type (condition, action). Les rgles sont interprtes squentiellement. Si la condition analyse ne correspond pas, on passe la rgle suivante. Si la condition correspond, laction correspondante est effectue, et le parcours de lACL est interrompu. Par dfaut, toutes les ACL considrent la rgle (VRAI, REJET) si aucune des rgles prcdentes na t prise en compte, c'est--dire que tout datagramme non explicitement accept par une rgle pralable sera rejet. Deuxime tape : En mode config-int , on applique une ACL en entre (in) (respectivement en sortie(out)), c'est--dire que lon dcide dactiver la liste de rgles correspondante tous les datagrammes entrant dans le routeur (respectivement sortant du routeur) par linterface considre. En consquence, sur un routeur, il peut y avoir au maximum 2 ACLs (IP) par interface.

1/10

TP CISCO ACL

Lorsque lon construit une ACL, les rgles sont ajoutes la fin de la liste dans lordre dans lequel on les saisit. On ne peut pas insrer de rgle dans une ACL, ni mme en supprimer le seul moyen reste deffacer compltement lACL et de recommencer ! En situation relle, pour saisir une ACL assez longue, il peut tre judicieux de crer un fichier texte et de le faire prendre en compte par la suite comme un fichier de capture de configuration de routeur

SEN

2.2 Les ACL standards

Les ACL standards noffrent pas normment de possibilits, elles permettent simplement de crer des rgles dont les conditions ne prennent en compte que les adresses IP sources des datagrammes IP analyss. Cest assez contraignant, mais cela permet dj un certain nombre de manipulations intressantes. La commande pour crer une ACL standard (ou ajouter une rgle une ACL existante) est la suivante : access-list <#ACL> {permit/deny} <@IP source> <masque> Le numro de liste (#ACL) doit tre compris entre 1 et 99 pour une ACL standard (tapez un ? aprs la commande access-list pour visualiser toutes les fourchettes possibles en fonctions des types dACL). Permit ou deny indique laction prendre (deux seules actions sont possibles : autoris ou refus) LIP source + masque indique la condition.

2/10

TP CISCO ACL
2.3 Les ACL tendues

SEN

La syntaxe un peu plus complte des ACL tendues, permet, selon le mme principe que prcdemment, de crer des rgles de filtrage plus prcises, en utilisant des conditions applicables sur dautres champs des en-ttes des divers protocoles. La commande pour crer une ACL (ou ajouter une rgle une ACL existante) est la suivante : access-list <#ACL> {permit/deny} <protocole> <@IPsource> <masque> [port] <@IPdest> <masque> [port] [established] Le numro de liste (#ACL) doit tre compris entre 100 et 199 pour une ACL tendue. Permit ou deny indique laction prendre (deux seules actions sont possibles : autoris ou refus) protocole indique le protocole concern par le filtre (tapez un ? pour avoir la liste des protocoles disponibles) Les protocoles indiqus peuvent tre de diffrents niveaux jusquau niveau transport (ex : TCP ou UDP, mais galement IP ou ICMP). La distinction sur les protocoles applicatifs (http, FTP ) se fera sur le champ port . IP et masques suivent les mmes rgles que pour les ACL standards, port permet dindiquer un numro de port (ou son nom symbolique si il est connu http, FTP, Telnet, ). Notez quun port doit tre indiqu prcd dun oprateur (ex : eq http ou eq 80 ou lt 1024 ) avec eq (pour equal ), lt (pour lower than ) ou gt (pour greater than), established indique quil sagit dune communication TCP dj tablie (et donc pas dune demande de connexion avec le bit syn positionn).

2.4 Remarques essentielles sur la syntaxe des ACL

le masque est compltement invers par rapport la notion de masque que vous connaissez jusquici !!! (On parle de masque gnrique) ex : 193.55.221.0 avec le masque 0.0.0.255 dsigne toute adresse source du type 193.55.221.X merci Cisco !

3/10

TP CISCO ACL

Abrviations dans une rgle : 0.0.0.0 255.255.255.255 qui signifie tout quipement peut tre remplac par le mot cl any . W.X.Y.Z 0.0.0.0 qui signifie lquipement W.X.Y.Z peut tre remplac par host W.X.Y.Z Par dfaut, la rgle deny any est prise en compte par toutes les ACL. En dautre termes, le simple fait de crer une ACL vide et de lappliquer une interface interdit le passage a tout datagramme. Pour changer de politique par dfaut dune ACL, il suffit de mettre la rgle permit any (ou permit ip any any pour les ACL tendues) en fin de liste. Cette rgle sera prise en compte si aucune des prcdentes ne lest. En mode enabled la commande show access-list <#ACL> vous permet de visualiser (et donc de capturer le cas chant ) le contenu de lACL dont vous donnez le numro.

SEN

Exercice complter le masque gnrique

Complter le tableau ci-dessous :

4/10

TP CISCO ACL

2.5 Activation dune ACL

SEN

Pour activer une ACL sur une interface, il faut : Se positionner dans le mode de configuration de linterface, grce la commande interface <nom de linterface> Saisir la commande : ip access-group <#ACL> < in | out> . Noubliez pas de vous considrer lintrieur du routeur , pour choisir entre le mot cl in et le mot cl out

2.6 Dsactivation dune ACL

Pour dsactiver une ACL, (comme toujours selon la logique Cisco), les manipulations sont les mmes que pour lactiver, en utilisant le mot cl no devant la commande

2.7 Utilisation des ACL standards et tendues dans la vraie vie

Dans la pratique, tant donn que les ACL standards ne peuvent prendre en compte que les adresse IP sources, il est logique quelles soient souvent utilises pour filtrer les datagrammes proches de la destination finale, sur un passage oblig pour joindre le destinataire final.

5/10

TP CISCO ACL

SEN

En revanche, les ACL tendues prenant aussi en compte les adresses destination, peuvent tre utilises au contraire sur les routeurs les plus proches des quipements sources concerns, ceci afin dviter du trafic superflu sur le rseau.

Exercices : activit packet tracer sur les ACL standarts activit packet tracer planification, configuration et verification des ACL standart, tendues et nommes.

6/10

TP CISCO ACL
3 MANIPULATIONS

SEN

3.1 Mise en place prliminaire

Cblez correctement les lments de votre rseau en respectant larchitecture propose (cf tp 6 routeurs) Activer le protocole de routage RIP version 2. Configurez les PC en consquence (@IP, masque, passerelle, et DNS : 192.168.1.3 sur chaque machine), sous Windows pour le PC reli au port console (PC de gauche), sous Linux pour lautre (PC de droite). Vrifier les accs toutes les machines du rseau.

3.2 ACL Standards

Pour tout le TP il est demand de conserver la politique all open par dfaut, c'est--dire de conserver la politique du tout autoriser et de ninterdire que le strict ncessaire. Cest loin dtre la plus sre, mais cest celle qui permettra aux autres binmes de travailler, Depuis un terminal sur chacune des machines interne (PC sous Windows et sous Linux) effectuez un PING sur sv1mrim , Que constatez vous ? Cette machine est en mesure de rpondre au moins aux services , http (port 80), ftp (port 21, entre autres), dns (port 53) et icmp bien sr. Tester Crez une ACL standard permettant dinterdire tout accs du rseau mrim vos PC mais pas internet. Activez cette ACL sur les datagrammes sortant sur linterface du LAN. Vrifiez que le filtre fonctionne et que vous avez toujours accs Internet. Remarque : attention aux changes DNS. Quelle rgle auriez vous crit maintenant pour interdire laccs au rseau mrim tous les PCs de votre LAN SAUF le PC Linux (il ny a pas de diffrence pour vous tant donn que vous navez que 2 pc sur votre LAN, mais il en aurait eu une si vous en aviez eu 3 !). Crez une autre ACL pour tester cette rgle. Faites valider les 2 ACL prcdentes par votre enseignant.

3.3 ACL Etendues

Crez une ACL tendue pour interdire au PC Windows de faire des pings sur le rseau de mrim. Faites en sorte dinterdire tout trafic UDP destination de sv1mrim depuis votre PC Linux. Trouvez une manipulation pour valider ce filtre. Trouvez une manipulation pour vrifier que le trafic est toujours autoris sur une autre machine que sv1mrim (PC16 par exemple). Interdisez le trafic web tout votre rseau local. Allgez les restrictions en permettant uniquement votre PC Windows daccder uniquement au site web de sv1mrim. Mettez en place un filtre autorisant votre PC Linux faire un telnet sur sv1mrim, mais pas sv1mrim de faire un telnet sur votre PC Linux. Faites valider par votre enseignant. Enregistrez les configurations.

7/10

TP CISCO ACL

Consignes activit Packet tracer planification, configuration et verification des ACL standart, tendues et nommes. Objectifs Configurer une liste daccs VTY pour assurer la scurit de laccs distance Crer des listes de contrle daccs standard, tendues et nommes pour amliorer la scurit du rseau

SEN

Contexte / Prparation Latelier dentretien du rseau ncessite un accs un routeur install rcemment Londres. Vous devez configurer une liste de contrle daccs pour lui autoriser un accs Telnet au routeur et refuser laccs tous les autres. Une liste daccs supplmentaire doit tre cre sur les routeurs London et DC afin de remplir les conditions requises ci-aprs. Autoriser laccs de tous les clients London au serveur London et bloquer tous les autres utilisateurs. Autoriser laccs de tous les clients au serveur DC et bloquer tous les autres utilisateurs. Mot de passe actif : admin. tape 1 : cration de liste daccs pour limiter laccs au VTY a- Slection du routeur London. b- Configurez les lignes vty 0 4 pour la connexion. Le mot de passe doit tre cisco123. c- Crez une liste daccs standard permettant un accs Telnet tous les clients du sous-rseau de maintenance. 1- Numro de la liste daccs : 10. 2- Sous-rseau de maintenance : 172.16.50.0 255.255.255.0. d- Appliquez la liste daccs aux lignes vty 0 4. 1- Entrez dans le mode de configuration. 2- Entrez line vty 0 4 3- Entrez access-class 10 in e- Enregistrez les configurations.

8/10

TP CISCO ACL
tape 2 : cration de liste daccs tendue sur le routeur DC

SEN

Planification et cration de listes daccs numrotes sur le routeur DC suivant les conditions requises ci-aprs.

a- Crer une liste daccs sortante numrote 150 et lappliquer linterface Fast Ethernet 0/1.1 b- Crer une liste daccs sortant numrote 160 et lappliquer linterface Fast Ethernet 0/1.2 tape 3 : cration dune liste daccs nomme sur le routeur London a- Planification et cration dune liste daccs nomme sur le routeur London suivant les conditions requises ci-aprs. Nommez la liste daccs ICMP.

b-Appliquez la liste daccs linterface srie comme une liste daccs entrant. c- Enregistrez les configurations. tape 4 : vrification des listes daccs configures a- Vrification des restrictions applicables aux vty placs sur le routeur London. 1- Slectionnez le PC Maint et le Telnet du routeur London. 2- Slectionnez le PC2 et le Telnet du routeur London. Le Telnet du PC Maint devrait aboutir contrairement celui du PC2. b- Vrifiez la liste daccs tendue du routeur DC . 1- Slectionnez le PC2 et recherchez le serveur DC (172.16.30.100). 2- Envoyez une requte ping au serveur DC (172.16.30.100). 3- Slectionnez le PC1 et recherchez le serveur London (172.16.20.100). 4-Envoyez une requte ping au serveur London (172.16.30.100). La navigation aboutit contrairement la commande ping.

9/10

TP CISCO ACL

c- Vrifiez la liste daccs nomme du routeur London . 1- Slectionnez le PC2 et envoyez une requte ping au PC1. 2- Naviguez du PC2 au Server0 (172.16.100.250). La commande ping aboutit contrairement la navigation qui dpasse son dlai dattente. d- Cliquez sur le bouton Check Results Remarques gnrales :

SEN

que signifie le terme out en fin de ligne dun nonc dune commande ip access-group ? Quelle est la diffrence entre les commandes dajout dune liste de contrle daccs sur une interface spcifique et le VTY ?

Quelle est la diffrence entre les commandes dajout dune liste de contrle daccs sur une interface spcifique et le VTY ?

10/10