Listes de contr ole dacc` es (S4/C5) D enition dune liste de contr ole d acc` es Une liste de contr ole

dacc` es (ACL) ltre le trac r eseau en donnant lordre au routeur dacheminer ou de bloquer un paquet. Les param` etres utilis es dans une ACL pour d ecider de lacheminement ou non dun paquet sont : ladresse source ladresse destination un protocole de couches sup erieures un num ero de port

Cr eation dune ACL Il existe di erents types de liste de contr ole d acc` es : IP standard (1-99 / 1300-1999) IP etendue (100-199 / 2000-2699) Apple Talk IPX

En mode de conguration globale, pour cr eer une ACL : Router(cong) # (no) accesslist num ero ACL {permit | deny } cond. test Pour appliquer une ACL sur une interface : Router(cong) # (no)protocole accessgroup num ero ACL { in |out } Les r` egles de base ` a respecter avec les ACL sont : une ACL standard doit etre appliqu ee le plus pr` es possible de la destination une ACL etendue doit etre appliqu ee le plus pr` es possible de la source les instructions dune ACL doivent etre class ees du plus sp ecique au plus g en eral. lacceptation ou le refus est examin e uniquement si la condition est v eri ee. il nest pas possible de rajouter une instruction dans une ACL apr` es coup.

Une ACL est d enie en fonction : un protocole une direction une interface La mise en place dune ACL est motiv ee par les raisons suivantes : limitation du trac, contr ole du ux s ecurisation dun r eseau ou sousr eseau autorisation ou interdiction dun certain type de trac ltrage du trac de certains h otes

Fonctionnement dune ACL Une ACL est une liste dinstructions r egie par un ordre. Lorsquun paquet arrive, il est test e successivement dans lordre par les instructions de lACL jusqu` a ce que la condition dune instruction soit v eri ee. Le paquet est alors accept e ou rejet e selon linstruction et les instructions suivantes ne sont pas test ees. Par d efaut, ` a la n de chaque ACL gure linstruction invisible deny any.

Le masque g en erique Un masque g en erique est constitu e de 32 bits divis es en 4 octets. Il est appliqu e` a une adresse IP pour d eterminer la partie de ladresse qui doit etre test ee dans le cadre dune ACL. Son fonctionnement est le suivant : Un z ero dans le masque g en erique indique que la valeur correspondante de ladresse IP doit etre compar ee et une correspondance parfaite est exig ee. Un un dans le masque g en erique indique que la valeur correspondante de ladresse IP ne doit etre compar ee et donc une correspondance parfaite nest pas exig ee. Exemple :

Les ACL standards Les num eros dACL standards sont 1 ` a 99 (1300-1999). La commande pour cr eer une ACL standard est la suivante : Router(cong) # (no) accesslist num ero ACL {permit | deny | remark } source [masque g en. source] La source est constitu ee par : une adresse r eseau une adresse h ote le mot cl e any ou 0.0.0.0 255.255.255.255 Pour appliquer une ACL sur une interface : Router(cong) # ip accessgroup num ero ACL {in | out }

V erication dune ACL Les options any et host Deux motscl es peuvent etre utilis es dans les ACL : any et host. Loption any remplace 0.0.0.0 dans ladresse IP et 255.255.255.255 dans le masque g en erique. Loption host remplace 0.0.0.0 dans le masque g en erique. Exemple : La commande show ip interface indique les ACLs congur ees sur les interfaces du routeur. La commande show accesslists ache le contenu de toutes les ACLs sur le routeur. La commande show run ache le contenu des ACLs et indique les interfaces sur lesquelles elles ont et e activ ees. Plusieurs commandes permettent de v erier le contenu et lemplacement des ACL sur un routeur.

Les ACL etendues Les ACL etendues utilisent les num eros entre 100 et 199 (2000-2699) Elles fournissent une plus grande souplesse car elles se basent sur : ladresse dorigine ladresse de destination le protocole utilis e le num ero de port

Les ACL nomm ees Une ACL nomm ee est une ACL standard ou etendue caract eris ee par un nom (d` es la version IOS 11.2). La commande pour cr eer une ACL nomm ee est la suivante : Router(cong) # (no) accesslist {extended | standard } nom Une fois dans le mode conguration de lACL, on pr ecise les conditions dautorisation et/ou de refus. Exemple :

La commande pour cr eer une ACL etendue est la suivante : Router(cong) # (no) accesslist num ero ACL {permit | deny | remark } protocole source masque g en. source dest. masque g en. dest. [port no port ] De plus, des op erateurs logiques peuvent etre appliqu es ` a des protocoles sp eciques tels que eq , neq, gt, lt. Pour appliquer une ACL sur une interface : Router(cong) # ip accessgroup num ero ACL {in | out } Exemple : Restriction de lacc` es au terminal virtuel Une ACL standard ou etendue sapplique aux paquets traversant un routeur et non pas ` a ceux cr e es par un routeur. Il est possible dactiver une ACL sur les ports virtuels vty 0 4. Cependant, il faut tenir compte : seule une ACL num erot ee peut etre utilis ee la commande access-class est utilis ee ` a la place de accessgroup

Listes de contr ole dacc` es complexes On distingue trois types de listes de contr ole dacc` es complexes : dynamiques reexives temporelles